Смена директора (уполномоченного лица) Удостоверяющего Центра

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Смена директора (уполномоченного лица) Удостоверяющего Центра

Опции

Предыдущая тема Следующая тема

codegen		#1 Оставлено : 5 апреля 2011 г. 18:01:40(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Юрий Маслов		#2 Оставлено : 5 апреля 2011 г. 18:11:22(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		codegen написал: Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)? Если у Вас меры защиты ключа Уполномоченного лица УЦ обеспечивают невозможность его компрометации прежним владельцем (а именно, снятие копии этого ключа) то перевыпускать не требуется. В противном случае - требуется. К таким мерам могут относиться: Вариант 1. Хранение ииспользование ключа в ПАКМ "Атликс-HSM" Вариант 2: Ключевой контейнер был записан на токен, с признаком "неэкспортируемый", с ПИН-кодом к токену с длиной не менее 6 символов и не более 3 попыток ввода неправильного ПИН-кода и токен хранится с разграничением доступа к нему по лицам и времени.
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Laroux		#3 Оставлено : 8 февраля 2012 г. 16:40:24(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз Поблагодарили: 72 раз в 60 постах		А можем чуть подробнее осветить этот вопрос? Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый. 1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС? 2. Кстати, вот тут описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет. Отредактировано пользователем 8 февраля 2012 г. 16:45:11(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#4 Оставлено : 8 февраля 2012 г. 17:08:21(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		Laroux написал: А можем чуть подробнее осветить этот вопрос? Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый. 1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС? 2. Кстати, вот тут описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет. Постараюсь объяснить на пальцах... Меняется уполномоченное лицо УЦ. Он может быть ещё и руководителем УЦ или гендиректором или уборщиком. Это не важно. Я понял, что Вас интересует именно событие со сменой уполномоченного лица УЦ как владельца корневого сертификата УЦ. Будем считать время Ч1 как время, когда ключевой носитель (ключ на токене, экспортируемый) передаётся от Иванова к Петрову и передача оформляется соответствующей записью в журнале или актом приёма-передачи. Интервал времени от начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1 - компрометации нет т.к. Иванов не заявлял о компрометации. Ч1 - компрометации нет т.к. событие происходит при, как минимум одном свидетеле (Петрове). Интервал времени от Ч1 до Ч2 - компрометации нет т.к. Петров не заявлял о компрометации. Но Петрова гложет червячёк сомнения. А вдруг Иванов сделал себе копию ключевого контейнера? А вдруг он его как-то использует в своих целях? У Петрова есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован Ивановым. Наступило событие, описанное тут http://www.cryptopro.ru/....aspx?g=posts&t=3451 , которое порождает внеплановую смену. Ч2 - время, когда Петров подал заявление о необходимости внеплановой смены ключей уполномоченного лица УЦ, владельцем которых ранее был Петров. Таким образом, все сертификаты изготовленные в период с начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1, не требуют каких либо действий со стороны УЦ. Их не надо аннулировать и заменять. Все сертификаты, изготовленные в период с Ч1 до Ч2 , надо аннулировать и заменять. В интересах Петрова, что бы между Ч1 и Ч2 не было изготовлено сертификатов. Так что, коллега Laroux, Ваша причина описана в топике http://www.cryptopro.ru/....aspx?g=posts&t=3451 .
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Laroux		#5 Оставлено : 21 марта 2012 г. 20:29:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз Поблагодарили: 72 раз в 60 постах		Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ? В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те. А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие. Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Sergey M. Murugov		#6 Оставлено : 22 марта 2012 г. 1:36:44(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах		1. По 63-ФЗ есть новая сущность - сертификат юрлица - обезличен и не связан конкретно ни с кем из людей. 2. В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280 там прописана процедура перезда и особенности автора CRL.
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#7 Оставлено : 22 марта 2012 г. 2:00:22(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2046 раз в 1586 постах		Sergey M. Murugov написал: 2. В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280 там прописана процедура перезда и особенности автора CRL. с тем же url в CDP ? Отредактировано пользователем 22 марта 2012 г. 2:23:45(UTC) \| Причина: Не указана
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#8 Оставлено : 23 марта 2012 г. 16:46:28(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		Laroux написал: Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ? В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те. А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие. Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее? А где в 63-ФЗ такое указано "однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие"?!?! Это неизвестная для меня новелла :-)
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close