Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline auglov  
#1 Оставлено : 6 декабря 2017 г. 18:56:15(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Здравствуйте.

Изучил вот эту тему с форума. https://www.cryptopro.ru....aspx?g=posts&t=3611

Хочется еще раз уточнить некоторые детали и что поменялось за последние годы по теме.

Задача:
Есть организация, у нее есть система, которая хранит электронне документы (ЭД), часть из которых поступает из внешних источников, часть создается внутри. Многие из этих документов подписываются электронной подписью (ЭП), как сотрудников организации, так и внешних контрагентов. Для простоты, все подписи при этом квалифицированные, то есть имеют юридическую значимость "из коробки" на момент создания, и это обязательно проверяется системой в момент приема документа с ЭП на хранение. Часть документов имеют несколько разных ЭП нескольких сторон. Пока все хорошо.

Нужно обеспечить возможность получить документ из системы, со всеми его ЭП, чтобы они проходили проверку с помощью стороннего ПО (например, КриптоАрм-ом или онлайн-сервисом на Госуслугах), то есть, чтобы не возникало сомнений в юридической значимости ЭД с его ЭП. И должна быть возможность сделать это и через 50 лет, особенно в части признания действительности ЭП сторонних организаций.

Что пробовали:
Можно улучшить все ЭП с формата CAdES-BES до CAdES-X Long 1 - это возможно делать автоматически в момент приема документа системой на хранение. Используем КриптоПро JCP для этого. Таким образом, задача замечательно решается для временного интервала в 10 лет, примерно. Почти то, что надо.

Проблема 1: т.к. мы принимаем ЭП с сертификатами от многих разных УЦ, лишь бы они были квалифицированными, то, на практике, получаем невозможность гарантированного улучшения ЭП до XLong1, по причине отсутствия OCSP для некоторых УЦ. Значит лучшее, что мы можем сделать, это получить ЭП в формате CAdES-T, получается, т.к. TSP мы вольны выбрать любой. И, как-будто, этого достаточно для решения исходной задачи, если ограничиться сроком действия сертификата TSP. Так ли это?

Проблема 1.1: получается, что мы подвержены риску внезапного отзыва сертификата TSP и ничего с этим не можем сделать?

Проблема 2: везде предлагается переподписывать документ свежей ЭП при приближении окончания срока действия предыдущей, чем удостоверять факт того, что предыдущая ЭП все еще действовала в момент переподписания.
- Появились ли какие-то рекомендации и лучшие практики на этот счет?
- Мы должны переподписать только исходный документ или некий контейнер, содержащий документ, все предыдущие ЭП и некую информацию о том, что предыдущая ЭП верна и принадлежит условному Васе?
- Если контейнер, то как специфицировать его формат, чтобы не было проблем с его признанием судом через условные 50 лет?
- Действительно ли для всего этого достаточно/необходимо утвердить некий внутренний регламент об архивном переподписании внутри организации? Особенно в том моменте, что организация таким образом продлевает срок жизни не только "своих" ЭП, но и "чужих"?
- Можно ли полностью автоматизировать процесс переподписания, то есть, получить сертификат и ключ на систему, а не на конкретного сотрудника-архивариуса, который должен своими глазами смотреть, что он переподписывает?



Offline basid  
#2 Оставлено : 6 декабря 2017 г. 23:34:59(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Чем не устроил Archival Electronic Signature (CAdES-A)?
Offline auglov  
#3 Оставлено : 7 декабря 2017 г. 15:06:26(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
1. Тем, что мы даже CAdES-X Long 1 не можем, по причине отсутствия OCSP в принципе - некоторые УЦ выдают такие сертификаты. Чуть подробнее здесь: https://www.cryptopro.ru...aspx?g=posts&t=12666
2. Тем, что КриптоПро JCP не поддерживает и не собирается поддерживать CAdES-A. Здесь: https://www.cryptopro.ru....aspx?g=posts&t=6881 и здесь: https://www.cryptopro.ru....aspx?g=posts&t=6869

Есть идеи, как при таких вводных получить CAdES-A? И точно ли его хватает для подтверждения значимости даже через 50 лет?
Offline basid  
#4 Оставлено : 8 декабря 2017 г. 8:13:24(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Автор: auglov Перейти к цитате
1. Тем, что мы даже CAdES-X Long 1 не можем, по причине отсутствия OCSP в принципе - некоторые УЦ выдают такие сертификаты. Чуть подробнее здесь: https://www.cryptopro.ru...aspx?g=posts&t=12666
на стадии "добавляем штамп" можно переподписывать так называемой подписью "архивариуса"
?

Offline cross  
#5 Оставлено : 8 декабря 2017 г. 13:42:00(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Автор: auglov Перейти к цитате
1. Тем, что мы даже CAdES-X Long 1 не можем, по причине отсутствия OCSP в принципе - некоторые УЦ выдают такие сертификаты. Чуть подробнее здесь: https://www.cryptopro.ru...aspx?g=posts&t=12666
2. Тем, что КриптоПро JCP не поддерживает и не собирается поддерживать CAdES-A. Здесь: https://www.cryptopro.ru....aspx?g=posts&t=6881 и здесь: https://www.cryptopro.ru....aspx?g=posts&t=6869

Есть идеи, как при таких вводных получить CAdES-A? И точно ли его хватает для подтверждения значимости даже через 50 лет?


Поддержка CADES-A в JCP планируется. Скорее всего в след году(наверное даже в первой половине года) реализуем.
CADES-T не подойдет для долговременного хранения. Т.к. при проверке "потом" уже не будет доказательств того что сертификат подписанта и сертификат штампа времени были валидны. Именно для долговременного хранения и нужен X Long Type 1 и его продолжение CADES-A.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline auglov  
#6 Оставлено : 8 декабря 2017 г. 14:45:17(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Хорошие новости, что CAdES-A планируется. Его будет достаточно для полноценного архивного хранения, без дополнительных усилий в будущем?

Плохие новости, что сущесвуют УЦ раздающие квалифицированные сертификаты, ЭП на которых мы не имеем права не принять, но которые не поддаются улучшению, даже до XLong1 сами по себе. Ссылку на тему с подробностями давал выше, конкретные примеры сертификатов могу приложить позже, если любопытно.

Что делать в этом случае?
Offline cross  
#7 Оставлено : 8 декабря 2017 г. 16:06:37(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
CADES-A как раз предназначен для длительного хранения, его будет достаточно.
Насчет отсутствия OCSP, к сожалению он требуется для "правильного и безопасного" хранения подписи и возмножности эту подпись проверить через большой промежуток времени. Тут можно только обращаться к УЦ и просить их сделать OCSP сервис и/или рекомендовать пользователям сменить УЦ если нет OCSP. Все остальные варианты достаточно костыльные и имеют подводные камни. Чисто теоретически вы можете сделать свой OCSP сервер который будет выдавать статус сертификатов у которых нет своего OCSP(например на основании CRL). Но проверить такую подпись можно будет только на специально настроенном рабочем месте который сможет принять такой OCSP ответ. Мы не можем рекомендовать такие решения.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline auglov  
#8 Оставлено : 8 декабря 2017 г. 16:13:05(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Надеюсь, что когда-нибудь наличие CRL и OCSP в сертификатах и для всех УЦ станет законодательной нормой.

Вариант взять исходную ЭП, улучшить до CAdES-T, а потом все это как-то (до)подписать еще одной "своей" ЭП, которая уже улучшается до любого типа, все-таки, так себе вариант, с точки зрения что сложно будет доказать, за что конкретно ты подписался, получается, и никакие регламенты и документы тут не помогут, выходит? А если привлекать третью сторону для такого подписания, например, какой-либо серьезный УЦ?
Offline basid  
#9 Оставлено : 9 декабря 2017 г. 8:11:26(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Понятно, что хочется полностью автоматического решения "в один шаг", но всё-таки ...
Архив получает ЭП. В момент получения архивариус (архивная система) обязана проверить действительность сертификата.
Без OCSP/TSP в сертификате будет скачан (взят из кэша) список отзыва сертификатов в виде файла. Добавили СОС-файлу ЭП архивариуса нужного вида и поместили в архив.
Расписали в регламенте процедуру проверки "для особых случаев".
Offline auglov  
#10 Оставлено : 11 декабря 2017 г. 15:04:00(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Автор: basid Перейти к цитате

Без OCSP/TSP в сертификате будет скачан (взят из кэша) список отзыва сертификатов в виде файла. Добавили СОС-файлу ЭП архивариуса нужного вида и поместили в архив.
Расписали в регламенте процедуру проверки "для особых случаев".


ОК, как потом в суде доказать валидность такой ЭП из "особого случая", что мы взяли все доказательства валидности не с потолка? Какие основания у третьей стороны доверять нашему регламенту?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.