Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Винтик  
#1 Оставлено : 30 января 2015 г. 7:09:29(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Здравствуйте!

Знаю и видел много дискусий, но так и ен понял окончательно ответа.

Кто то говорит надо. кто то это уже каменый век и сидиромов то уже
бывает не найти, а всё приобретают и обновляют с вашего сайта.

Потому спрошу ещё раз, не злитесь только.

====
Вот на пример надо Крипто-ПРО CSP (или другую вашу продукцию)
и всё можно скачать (зарегестрировариться понятно) и для работы
приобрести только лицензию?
Или всё же надо чтоб был диск с продуктом именно?
На пример в одной организации приобретали ваш диск,
но как понял он давно уже стал мамонтом, а на деле
они обновили версию через свой лич. кабинет.
Контрольные суммы проверены и верны. НО диска как такого
понятно на это ПО нет - достаточно ли будет просто лицензии
если будет проверка?

И по количеству тога (если на пример надо 10-ть раб. мест
обеспечить, то достаточно ли будет приобрести 10-ть лиценций
и потом скачать с вашего сайта ПО)

Вот как то так.
Whistle

Спасибо.

Отредактировано модератором 30 января 2015 г. 14:23:04(UTC)  | Причина: Не указана

Offline Станислав Смышляев  
#2 Оставлено : 30 января 2015 г. 12:14:38(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Добрый день! Вопрос весьма популярный, поэтому отвечу существенно более широко, чем того требует Ваш вопрос.

Наиболее актуальная согласованная с ФСБ России процедура описана в Руководстве администратора безопасности на CSP 3.9 (документацию можно скачать с нашего сайта). Приведу несколько выдержек из нее.

Цитата:

Установочные модули СКЗИ «КриптоПро CSP» и комплект эксплуатационной документации к нему могут поставляться пользователю Уполномоченной организацией двумя способами:
1. На носителе (CD, DVD - диски);
2. Посредством загрузки через Интернет.

Таким образом, распространие через Интернет является допустимым способом. Теперь о нюансах процедуры.

Цитата:
Пользователь, загрузив установочные модули СКЗИ «КриптоПро CSP» и эксплуатационную, документацию должен убедиться в целостности полученных данных. Это пользователь должен сделать с использованием утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP», либо иным другим сертифицированным ФСБ России шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
...
Средство контроля целостности (cpverify.exe или иное сертифицированное средство) должно быть получено на дистрибутивном носителе доверенным образом или через канал связи, защищенный сертифицированными ФСБ России криптографическими средствами. При этом допускается использование утилиты cpverify.exe из состава СКЗИ «КриптоПро CSP» версий 2.0, 3.0, 3.6 при условии, что они были получены на дистрибутивном носителе, а не загружены через общедоступные каналы связи.


То есть, проверять целостность Вы обязаны с помощью утилиты, которая сама была получена Вами доверенным образом (например, с диском с предыдущей версией CSP, из множества перечисленных). Это нужно ровно для того, чтобы Вы могли доверять процедуре вычисления контрольных сумм.

Самый тонкий момент, тем не менее, состоит в порядке получения самих хэшей актуальной версии.

Цитата:
Получение значений контрольных сумм данных, скачанных с сайта, не гарантирует аутентичность значений. Рекомендуется получать значения контрольных сумм дистрибутива по доверенному каналу (в офисе ООО «КРИПТО-ПРО», у официальных дилеров, у разработчиков прикладного ПО, использующего функции СКЗИ).
Данный метод не гарантирует защиту дистрибутива от подмены. В случае получения дистрибутива СКЗИ уровня защиты КС1 использовать данный метод не рекомендуется. Для уровней защиты КС2, КС3 скачивание дистрибутива с сайта запрещено.


Эта фраза означает, что, строго говоря, сами значения хэшей могут быть подменены нарушителем в канале, а значит, именно их (и, по сути, только их) Вам необходимо получать по доверенному каналу перед скачиванием той или иной версии дистрибутива. Разумеется, это неудобно.

Фактически адекватным, но, увы, противоречащим документации методом будет получение контрольных значений в рамках https-соединения. В документации данный метод не описан будет по той причине, что опираться на зарубежный TLS регулятор не может (и имеет на это все основания – взгляните на серию статей в нашем блоге, посвященную уязвимостям TLS с зарубежными алгоритмами).

Мы понимаем, что эта ситуация неудобная для пользователей, поэтому мы разработали и начали внедрять (в рамках cpverify.exe) систему подписи нашего кода, основанную на российских криптографических алгоритмах. Мы рассчитываем согласовать ее с регулятором для CSP 4.0, чтобы навсегда сделать соответствующую документации процедуру скачивания дистрибутива с нашего сайта прозрачной и удобной.

После внедрения данной системы ситуация будет следующая. Корнем доверия при проверке подлинности скачанного дистрибутива является утилита cpverify.exe, полученная пользователем (единожды) доверенным образом. Использование утилиты cpverify.exe с расширенным функционалом по проверке электронной подписи кода позволяет, имея в наличии только открытые каналы связи, обеспечить получение программного обеспечения доверенным образом при его скачивании с сайта www.cryptopro.ru. Дистрибутив программного обеспечения доступен к скачиванию с сайта ООО «КРИПТО-ПРО», соединение с которым устанавливается по открытому каналу. Вместе с дистрибутивом пользователь должен скачать с сайта строку с отделяемой электронной подписью (исключение: дистрибутивы на ОС Windows значение подписи в формате Microsoft Authenticode содержат в себе). Для проверки электронной подписи должна использоваться cpverify.exe, полученная доверенным образом, и содержащая ключ проверки данной электронной подписи. Подписи Microsoft Authenticode встроены в файл дистрибутива, отделенная подпись по ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012 в виде байтовой строки (а также дата в формате ДД.ММ.ГГГГ) выкладывается на сайт www.cryptopro.ru наряду с дистрибутивом.

Отредактировано пользователем 30 января 2015 г. 12:15:53(UTC)  | Причина: Не указана

С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 4 пользователей поблагодарили Станислав Смышляев за этот пост.
Винтик оставлено 30.01.2015(UTC), arslanov оставлено 13.02.2015(UTC), Zloy Strelok оставлено 24.02.2015(UTC), Laroux оставлено 24.08.2016(UTC)
Offline Винтик  
#3 Оставлено : 30 января 2015 г. 12:44:04(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Спасибо. В общем всё понятно.

И вы правы, вроде и можно и тут же столько тонких моментов.
Одно не понял почему "значений контрольных сумм" которые
указынына сайте могут быть не действительны?
Что их кто то на вашем сайте подменит?
Или в режиме реального времени всегда можно у вас запросить,
если есть сомнения у кого то, а верна ли там сумма "5656"?

То что проверку производить программой не скаченой понятно,
но если есть другие ПО проверки (не буду рекламировать, но
они есть и вы знаете их) то тут вопросов нет.

Но всё же пока видно самый "не придирчивый" остаётся способ
получается, приобритать всё комплектом.

===
А вот ещё тогда момент такой.
Уполномоченый ценрт продаёт лицензию,
программу клиент спокойно скачивает, а вот
получается средство проверки должен на твёрдотелом носителе
дополнительно приобретать?
Или можно попросить записать на диск,
версию проверочного файла с их носителя (КС на сам файл проверки
тоже же должен быть?). И тогда клиент будет иметь лицензию,
и проверенную "проверялку" на диске от "продовца", и все счастливы :-)

Или так нельзя по вашим правилам, передовать третим лицам?
Если можно то может вам записать и разослать эти проверялки,
если кому то надо.
Offline Станислав Смышляев  
#4 Оставлено : 30 января 2015 г. 13:52:43(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Цитата:
И вы правы, вроде и можно и тут же столько тонких моментов.
Одно не понял почему "значений контрольных сумм" которые
указынына сайте могут быть не действительны?
Что их кто то на вашем сайте подменит?
Или в режиме реального времени всегда можно у вас запросить,
если есть сомнения у кого то, а верна ли там сумма "5656"?


Угроза в том, что при получении Вами контрольных сумм нарушителем будет произведена атака с подменой для Вас сайта.

Цитата:
Или так нельзя по вашим правилам, передовать третим лицам?
Если можно то может вам записать и разослать эти проверялки,
если кому то надо.


Даже если подходить совсем формально, можно использовать "проверялки" столько раз, сколько необходимо, без ограничения количества лиц – условие "получено на физическом носителе" будет выполнено. Ну и можно брать с древних дисков - 2.0, 3.0.
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Станислав Смышляев за этот пост.
Винтик оставлено 30.01.2015(UTC)
Offline Винтик  
#5 Оставлено : 30 января 2015 г. 14:42:32(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Автор: svs Перейти к цитате
....
Угроза в том, что при получении Вами контрольных сумм нарушителем будет произведена атака с подменой для Вас сайта.
....

Даже если подходить совсем формально, можно использовать "проверялки" столько раз, сколько необходимо, без ограничения количества лиц – условие "получено на физическом носителе" будет выполнено. Ну и можно брать с древних дисков - 2.0, 3.0.


Вон оно как, тогда может с запросом лицензий доверенные представители ("продавцы")
будут распечатывать (ксерокопировать) КС которые получали от вас?
Вам же не сложно при выпуске новой версии отправлять всем увидомление
по доверенным каналам или с теми же лицензиями КС. (На тех же токинах,
на которых лицензии).

А если с ваших слов "проверялку" можно раздавать, тогда смело можно с лицензией
записывать на диск проверенную "проверялку" (вышу) и пусть он ей проверяет и при
необходимости предъявляет.
(Только хорошо если это будет на "фирменом" диске от продовца, хоть какая то
правда, что релаьно от них получил, а то как доказать что я не сам этот диск
"распечатал" и записал на него "проверялку" - Think.
Эх, ладно – условие "получено на физическом носителе" будет выполнено Whistle главное же Shhh Silenced

+ конечно в том ещё, чтоб древнии не выкидывали, это надо отметить.
=========

Спасибо.

Т.З.
Offline ДенисК  
#6 Оставлено : 22 июня 2016 г. 12:13:27(UTC)
ДенисК

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.12.2008(UTC)
Сообщений: 2
Откуда: Москва

Уважаемые коллеги!
Необходима легитимная установка CSP на АРМ локальной сети предприятия. Сеть распределенная, техническая поддержка тоже, в некоторых местах размещения АРМ техподдержки нет и используется удаленная.
Будет ли считаться легитимным следующий вариант распространения дистрибутива КриптоПро CSP в рамках одного юрлица (для себя):
1. Дистрибутив закуплен в КриптоПро на матносителе;
2. Дистрибутив размещен работником безопасности внутри локальной сети на файловом сервере с правами на чтение для всех пользователей локальной сети;
3. Для контроля НСД к файлам дистрибутива настроено логирование средствами, подконтрольными исключительно безопасности;
4. В модели нарушителя в локальной сети считаем, что у пользователя отсутствую полномочия, позволяющие изменять файлы дистрибутива на файловом сервере, а также отсутствует возможность осуществлять подмены файлов при их скачивании другими пользователями с файлового сервера.
Offline Винтик  
#7 Оставлено : 22 июня 2016 г. 14:50:28(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Самое главное чтоб лицензия была у организации, а носитель может лежать спокойно в сейфе ИБ.
Установку не кто вам в нутре не запрещает ставить как вам угодно и копии ПО хранить как резерв тоже.
В окончании всё равно если что надо будет предоставить тот самый ваш носитель, с которого всё было
скопировано, т.к. по нему сверка контр. сумм.
Хотя и не исключено, что билд может исправляться и ПО по сети из личного кабинета получают многие,
при этом дик исходник "старый" используется для утилиты подсчёта КС, которые предоставляются при загрузки.

Ну если поправят.
Offline Русев Андрей  
#8 Оставлено : 24 августа 2016 г. 8:48:35(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Внимание. Теперь получение дистрибутива через Интернет может быть доверенным.

С появлением сертифицированной версии СКЗИ КриптоПро CSP 4.0 (сборка 4.0.9708 Nechaev) легализована поставка дистрибутивов пользователю как на носителе, так и посредством загрузки через Интернет (см. "ЖТЯИ.00087-01 91 01. Руководство администратора безопасности. Общая часть" - "2. Требования к эксплуатации СКЗИ"). Как и планировалось, после загрузки надо проверять специальные отделённые подписи с помощью cpverify. Команды проверки - на странице загрузки вместе с дистрибутивом. Например, для КриптоПро CSP 4.0 (сборка 4.0.9708 Nechaev) - здесь.
Официальная техподдержка. Официальная база знаний.
thanks 2 пользователей поблагодарили Русев Андрей за этот пост.
Laroux оставлено 24.08.2016(UTC), stempid468 оставлено 14.01.2020(UTC)
Offline Laroux  
#9 Оставлено : 24 августа 2016 г. 9:14:42(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
olin как получать cpverify? Есть описание процедуры?
Или так как и говорилось пару лет назад cpverify надо получить на "болванке", а уже потом пользоваться всеми "благами" загрузки дистрибутивов через Интернет?

И что касается СКЗИ КС2 (КС3) - через Интернет их загружать стало можно?
Offline Русев Андрей  
#10 Оставлено : 27 августа 2016 г. 9:59:33(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Нужно использовать cpverify, "полученную доверенным образом". Это понятие не раскрыто. Например, первую копию можно получить на носителе, а остальные (когда ключи подписи истекут) - транзитивно - по успеху проверки специальной отделённой подписи под самой cpverify.

Исполнения КС1 и КС2 получать из Интернет можно. Остальные, скорее всего, тоже, но лучше уточнять в документации, когда она будет доступна.
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.