Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2020(UTC) Сообщений: 2 Откуда: Уфа
|
Добрый день!
У нас имеется информационная система (не ЭДО), в которой пользователи подписывают документы личными подписями (около 100 пользователей). Им не всегда удобно носить с собой токен, иногда нужно оперативно подписать документ с планшета и т.д. Руководство хочет реализовать следующую схему: 1. В информационной системе написан сервис электронной подписи, который получает от пользователя запрос из интерфейса системы и подписывает документ / проверяет подпись. 2. Сервис развернут на серверной unix-системе с установленным Крипто-Про CSP 5.0. 3. Сервис при помощи функций Крипто-про подписывает документ закрытым ключом пользователя, который хранится на этом сервере.
Проверили на тестовой версии Крипто-про с небольшим количеством ключей (2-3), все работает. Сейчас встал вопрос о приобретении серверных лицензий и развертывании решения в нескольких филиалах. Соответственно вопросы:
1. Имеются ли какие-то ограничения на количество хранимых на сервере закрытых ключей, с которыми может работать Крипто-про? Крипто-про нормально будет работать, если загрузить на сервер 100-150 ключей ЭП? У клиентских лицензий вроде были ограничения на количество зарегистрированных токенов.
2. И немного оффтоп. Не запрещается хранить много ключей ЭП на одном сервере? При условии, что сервер защищен и все пользователи наши сотрудники. На решения HSM + DSS денег нет (
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: unin68 Добрый день!
У нас имеется информационная система (не ЭДО), в которой пользователи подписывают документы личными подписями (около 100 пользователей). Им не всегда удобно носить с собой токен, иногда нужно оперативно подписать документ с планшета и т.д. Руководство хочет реализовать следующую схему: 1. В информационной системе написан сервис электронной подписи, который получает от пользователя запрос из интерфейса системы и подписывает документ / проверяет подпись. 2. Сервис развернут на серверной unix-системе с установленным Крипто-Про CSP 5.0. 3. Сервис при помощи функций Крипто-про подписывает документ закрытым ключом пользователя, который хранится на этом сервере.
Проверили на тестовой версии Крипто-про с небольшим количеством ключей (2-3), все работает. Сейчас встал вопрос о приобретении серверных лицензий и развертывании решения в нескольких филиалах. Соответственно вопросы:
1. Имеются ли какие-то ограничения на количество хранимых на сервере закрытых ключей, с которыми может работать Крипто-про? Крипто-про нормально будет работать, если загрузить на сервер 100-150 ключей ЭП? У клиентских лицензий вроде были ограничения на количество зарегистрированных токенов.
2. И немного оффтоп. Не запрещается хранить много ключей ЭП на одном сервере? При условии, что сервер защищен и все пользователи наши сотрудники. На решения HSM + DSS денег нет ( Здравствуйте. 1) Такого ограничения нет. Рекомендуется проверить в тестовой среде планируемую нагрузку на сервер, возможно, все упрется в характеристики сервера (рекомендаций по конфигурации сервера, наверно, здесь Вам никто не напишет). 2) Из Вашего второго вопроса вытекает другой вопрос - если бы все было так просто, то зачем вообще нужно решение КриптоПро DSS (+ КриптоПро HSM)? Ответить подробно Вам смогут на info@cryptopro.ru |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Конечно я не пробовал на практике, но думается, что 100-150 слишком много. Как мне кажется проблема возникнет с хранилищами сертификатов - немалое количество ПО написано так, что начала перечисляет контейнеры, потом для каждого контейнера ищет сертификат (перечислением всего хранилища) потом выводит всю эту кучу пользователю на выбор. Большое количество сертификатов будет неудобно как выбирать пользователю, так и запрашивать из общего хранилища для сервиса. Для плагина госуслуг, например, время показа списка сертификатов примерно пропорционально квадрату количества сертификатов (теоретическая оценка из времени для 15 сертификатов, наверняка Вам не хочется замедлить операции в 22500 раз для 150 сертификатов по сравнению с временем операции для одного сертификата, даже если взять время для одного 100 мс это выйдет 2250 секунд = 37+ минут), а диалоговое окно разных ИС бывает не показывает некоторые сертификаты уже при 10-20 сертификатах. Или будете для каждого пользователя запускать свой экземпляр сервиса с доступом только к хранилищу одного пользователя? По безопасности конечно желательно каждому свой экземпляр, но на 150 экземпляров сервер наверно должен быть огого по характеристикам, не считая технических сложностей по перенаправлению запроса на нужный экземпляр. Конечно если сертификаты очень аккуратно обрабатываются ИС (например, у ИС отдельное хранилище сертификатов (база данных с краткой выжимкой из сертификата), с указанием имени контейнера каждого сертификата, с возможностью фильтровать по конкретному пользователю, пользователю показывается окно списка сертификатов из базы данных (не штатное от криптопровайдера) и в итоге ИС от криптопровайдера запрашивает уже конкретное имя контейнера), то возможно и будет работать в разумное время со 150 сертификатами, но мне как-то сомнительно. Насчет количества именно "токенов", скорее всего надо учитывать ограничения операционной системы и драйверов токенов - скорее всего будет ограничение с этой стороны. Все-таки разработчики драйверов не рассматривают такую ситуацию. Знаю, что на Windows больше 10 (20) подключить нереально, на серверной unix-системе ограничение определенно есть (вряд ли что-то есть неограниченное в принципе), но больше ли оно чем 150 затрудняюсь ответить. По безопасности ограничения по количеству нет, но есть проблема с тем что это контейнеры разных людей. Если бы было 150 контейнеров одного человека - вообще вопросов нет, а вот хранить в одном месте контейнеры разных людей может быть проблемой - как их изолировать друг от друга. Как минимум нужен ввод достаточно сложного, регулярно сменяемого пароля для пользователей такого сервиса плюс двойная изоляция от интернета брандмауэрами (один изолирует от интернета, второй дополнительно изолирует от первого) или физически не подключенная у интернету сеть, пин-коды на контейнеру не "по умолчанию". Отредактировано пользователем 27 июля 2020 г. 11:13:00(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2020(UTC) Сообщений: 2 Откуда: Уфа
|
Всем спасибо за разъяснения. Постараюсь донести до коллег.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close