Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Компрометация ЭЦП при генерации в УЦ
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287   Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
писец, товарищи.. а чо вы ходите за разрешением споров в суд? Вас же там могут "обмануть, продать"...
А чо вы покупаете мобильники в салонах мобильной связи? Вам же там могут продать "хауноу"...
А чо вы ехаете на работу на автобусе? там же могут обокрасть..
ну и мильён могу предложить вариантов.
А знаете почему? потому что эти организации, а не иные какие-то, уполномочены государством на данную деятельность. Любыми способами..
Второе: если вы не верите этому УЦ - какого Вы сюда пришли? Адреналин? или как?
Третье: если вы знаете, что такое "компрометация", то почему не потрудились разобраться, как Вам должен был быть сгенерирован ключ? Указали бы на это сотрудникам УЦ да и всех делов - либо бабки обратно, либо пусть делают по правилам...
УЦ ждал именно Вас, поверьте.. сохранить именно Ваш ключ, чтобы потом на Вас повесить кучу всякого разного. Вы же самый "крупный" клиент этого УЦ, наверное))
P.S. Я прошу прощения за некий "агрессив".. просто парит эта вся фигня. Реально. Сказал "а", прочти и про "б".. чтоб уж до конца все понимать
|
 1 пользователь поблагодарил Laroux за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии Версия.4.3
Требования к программно-аппаратным средствам, используемым для хранения ключевой информации
12. При выборе программно-аппаратных средств для хранения ключевой информации следует учитывать, что данное средство должно иметь сертификат ФСТЭК России, подтверждающий, что:
данное устройство является программно-аппаратным средством аутентификации и хранения ключевой информации пользователей в автоматизированных системах до класса защищенности 1Г включительно;
может использоваться при создании информационных систем персональных данных до 1 класса включительно.
|
3 пользователей поблагодарили Expert за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.07.2013(UTC)
Сообщений: 9
Откуда: Томск
Поблагодарили: 4 раз в 2 постах
|
В принципе, УЦ может сам может сгенерировать ключи, создать запрос на сертификат и издать сертификат, а может издать сертификат на основании запроса, полученного от пользователя. Никаких проблем. В регламенте удостоверяющего центра эти моменты по идее должны быть отражены. Я считаю что вопрос "как генерировать глючи" - забота пользователей ключей (а в более общем смысле - забота участников информационных систем, где ключи будут применяться). Нужно риски оценить. Автор: m6113215  Как поступить в этой ситуации? По этому вопросу ответ простой - если вы считаете ключ скомпрометированным, то надо написать заявление на отзыв сертификата, сгенерировать запрос на сертификат и купить новый сертификат, сделанный на основании этого запроса.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Согласно Закона (п. 4 ч. 2 ст. 13 ФЗ «Об электронной подписи») обеспечение конфиденциальности созданных удостоверяющим центром ключей электронных подписей- обязанность УЦ.
И если ключ ЭП создавался УЦ и сохранялся на несертифицированный ключевой носитель (флэшку) не при личном присутствии пользователя- владельца ЭП, то в этом случае у пользователя- владельца ЭП есть основание полагать, что конфиденциальность данного ключа нарушена. Нарушена сотрудниками УЦ.
Ключ использовать нельзя (п.3 ст. 10 ФЗ «Об электронной подписи»). За этим должно последовать уведомление УЦ пользователем о нарушении конфиденциальности . А если пользователь обратится в контролирующие органы, то последуют санкции к УЦ. И никакой Регламент УЦ не поможет удостоверяющему центру избежать санкций.
|
1 пользователь поблагодарил Expert за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.07.2013(UTC)
Сообщений: 9
Откуда: Томск
Поблагодарили: 4 раз в 2 постах
|
Expert, вы немного исказили суть моего ответа.
Во первых, Регламент УЦ описывает помимо всего прочего и порядок выдачи сертификатов (ведь могут быть разные случаи - как генерация ключа и выпуск сертификата в присутствии пользователя, так и выпуск сертификата по запросу). Естесственно, что по отношению к нормативно-правовым актам Регламент вторичен и не должен противоречить им.
Во-вторых, если человек приходит в УЦ, пишет заявление, ему там делают ключи с сертификатом (при нем), а потом человек пишет обращение в органы, то никаких санкций не последует, так как УЦ действовал в рамках правил. Но человек очень боится, он не доверяет сотруднику, сгенерировавшему ключ. Тогда человек обращается в УЦ с просьбой отозвать изданный сертификат, затем сам генерирует ключи и запрос на сертификат, оформляет все должным образом и приходит в УЦ с запросом. УЦ производит проверку и издает сертификат по запросу. Все довольны.
А вот флешка это конечно грустно.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Компрометация ЭЦП при генерации в УЦ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
