Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ivanivan  
#1 Оставлено : 14 мая 2010 г. 18:32:55(UTC)
ivanivan

Статус: Участник

Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow

Добрый день!

Скажите, пожалуйста, существует ли возможность развернуть УЦ на виртуальных машинах, скажем, на Virtual PC, VMWare и т.д.?
Установка на виртуальных машинах более удобна в плане администрирования, бэкапа, резервирования и т.д.
Имеется ввиду, разворачивание боевой системы, которая будет проходить аттестацию и т.д.

Вроде бы, проблема в том, что на ЦС и ЦР должны использоваться серверные CSP в исполнении КС2, которые требуют наличия аппаратного датчика случайных чисел, Соболь-PCI, доступ к которому нельзя получить из виртуальной машины. Может еще какие-то причины существуют? Или, быть может, можно развернуть УЦ на КС1, а ключи генерировать уже не на виртуальной машине, а на машине с Соболь и с КС2?
Заранее спасибо за любую дополнительную информацию.

Вообще, тема эта уже поднималась, например, Установка УЦ на Virtual PC, и было сказано, что так делать нельзя, но не объяснялось почему.

И, с другой стороны, в другой обсуждавшейся теме, УЦ с 500 тыс. пользователей, утверждалось, что существует некий достаточно крупный УЦ, развернутый на виртуальных машинах:
"У нас ЦС, ЦР, SQL 2000 Std - каждый крутится на отдельной виртуальной машине под Windows 2003 x32 Std. На виртуалку c SQL выделено 2 процессора и 4 ГБ оперативной памяти. Но SQL 2000 Std максимум может использовать 2ГБ. Сеть почти не загружена (все время по 0%). "
"Пользователей - 500тыс.
Сертификатов - 767тыс.
Размер базы ЦР - больше 16ГБ."

С уважением,
Владимир.

Отредактировано пользователем 14 мая 2010 г. 18:40:56(UTC)  | Причина: Не указана

Offline Писинин Алексей  
#2 Оставлено : 14 мая 2010 г. 19:52:47(UTC)
Писинин Алексей

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 348
Мужчина
Откуда: ООО "Крипто-Про"

Технически, развернуть УЦ на виртуальных машинах возможно, но как о сертифицированном решении, в данном случае, не может идти никакой речи.

Отредактировано пользователем 14 мая 2010 г. 22:32:56(UTC)  | Причина: Не указана

Offline ivanivan  
#3 Оставлено : 14 мая 2010 г. 20:01:05(UTC)
ivanivan

Статус: Участник

Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow

Писинин Алексей написал:
Технически, развернуть УЦ на виртуальных машинах развернуть возможно, но как о сертифицированном решении, в данном случае, не может идти никакой речи.


А с чем это связано? В чем основная причина? Ведь нигде же не сказано, что на обычный компьютер УЦ ставить можно, а на виртуальный нельзя. Единственная техническая проблема, что не доступен аппаратный датчик случайных чисел. Или это не единственная проблема?
Скажем, можно же развернуть УЦ в исполнении КС1 на виртуальных машинах и пройти аттестацию на уровень КС1?

Offline Писинин Алексей  
#4 Оставлено : 14 мая 2010 г. 20:26:01(UTC)
Писинин Алексей

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 348
Мужчина
Откуда: ООО "Крипто-Про"

Для примера, вот ответ Юрия Маслова по достаточно схожей теме:
Цитата:
В отличии от римского права, одним из постулатов которого является принцип "что не запрещено - то разрешено", к сертифицированным ФСБ средствам криптографической защиты информации применяется принцип "что не разрешено - то запрещено". Аргумент: для продукта проведены исследования в конкретной среде функционирования криптосредства (СФК) и для этой СФК установлена соответствие требованиям. Изменение СФК влечет необходимость проведения дополнительных исследований.

Честно говоря, сомневаюсь, что виртуальная среда, в данном случае является "разрешенной".
Offline winni-pyx  
#5 Оставлено : 12 ноября 2010 г. 20:07:13(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Так все таки можно или нет в техническом и правовом плане поднять УЦ на VMWare Server 2.0
В техническом все поднимается, за исключением Соболя/Аккорда.....с ними пока еще не разбирался. Но вот допустит или нет ФСБ подобный бутерброд???
Offline Юрий Маслов  
#6 Оставлено : 13 ноября 2010 г. 17:59:07(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
winni-pyx написал:
Так все таки можно или нет в техническом и правовом плане поднять УЦ на VMWare Server 2.0
В техническом все поднимается, за исключением Соболя/Аккорда.....с ними пока еще не разбирался. Но вот допустит или нет ФСБ подобный бутерброд???


В техническом плане - проблем нет. Ставите "КриптоПро УЦ" на VMWare Server 2.0 и работаете. Но это будет несертифицированное ФСБ России условие эксплуатации "КриптоПро УЦ".
В плане соблюдения требований ФСБ - нельзя использовать СКЗИ и "КриптоПро УЦ" на VMWare Server 2.0. Ибо VMWare Server 2.0 нет в перечне допустимой платформы (среды функционирования криптосредства) для "КриптоПро CSP" и "КриптоПро УЦ".

Т.о. ФСБ не разрешает "подобный бутерброд"!
С уважением,
КРИПТО-ПРО
Offline winni-pyx  
#7 Оставлено : 15 ноября 2010 г. 12:41:05(UTC)
winni-pyx

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.03.2009(UTC)
Сообщений: 105
Мужчина
Откуда: Пермь

Сказал «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
спасибо! Покажу ваше сообщение руководству. Вы избавили меня от лишней и не нужной работы)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.