Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Error0_0  
#1 Оставлено : 5 июля 2016 г. 18:49:54(UTC)
Error0_0

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Добрый день.
Возник вопрос касательно хранения\уничтожения ключевых документов\информации.
Исходя из "Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Зарегистрировано в Минюсте РФ 06.08.2001 N 2848)" пункт 45:
Цитата:
Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах.

Также если посмотреть регламенты некоторых УЦ, то есть соответствующая цитата:
Цитата:
Ключевые носители с закрытыми (секретными) ключами, срок действия которых истек, должны уничтожаться путем двойного переформатирования

То есть получается, что как только истекает срок действия закрытого ключа, дается 10 дней на его уничтожение вместе с сертификатом?
Или это как-то странно или я не так это понимаю.
Даже простой пример: если у нас имеются шифрованные материалы, письма, или даже просто подписанные документы ЭП без участия сервера со штампом времени, мы или не сможем получить доступ либо не будем иметь даже сертификатов?
Offline basid  
#2 Оставлено : 6 июля 2016 г. 4:44:01(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
"Ключевой контейнер" <> "вместе с сертификатом".
Контейнер может вообще не хранить сертификат - это задача PKI / ОИК.
Offline Error0_0  
#3 Оставлено : 6 июля 2016 г. 9:04:57(UTC)
Error0_0

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
В любом случае получается, что закрытый ключ необходимо удалить.
Но по памяти вроде мало кто такое соблюдает.
Offline vega  
#4 Оставлено : 18 октября 2018 г. 10:48:47(UTC)
vega

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.10.2010(UTC)
Сообщений: 47
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Хотелось бы не открывая новую тему, уточнить вопрос, в связи с найденным комментарием: https://www.cryptopro.ru...ts&m=71175#post71175
Цитата:

Цитата:

Если у нас есть сертификат со сроком действия 5 лет и сроком действия ключа 1 год, то что можно и что нельзя будет сделать допустим, через 2 года с этим сертификатом и ЭП, созданной с помощью этого сертификата и относящегося к нему закрытого ключа?

Этим ключом нельзя будет подписывать ( это ограничение уже реализовало в CSP 4.0 ), но можно расшифровывать.


То есть технически я могу написать систему, которая будет позволять получить доступ к зашифрованным документам без их перешифрования в течение времени жизни сертификата. Но с точки зрения пункта 45 152-го приказа ФАПСИ, мне нужно в течение 10-ти дней с момента истечения срока действия закрытого ключа перешифровать все документы, зашифрованные с использованием соответствующего ему открытого ключа?

Цитата:
В любом случае получается, что закрытый ключ необходимо удалить.
Но по памяти вроде мало кто такое соблюдает.


Это получается будет работать до момента проверки контролирующим органом :-(
Offline two_oceans  
#5 Оставлено : 18 октября 2018 г. 12:42:42(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
То есть технически я могу написать систему, которая будет позволять получить доступ к зашифрованным документам без их перешифрования в течение времени жизни сертификата.
Скорее всего расшифровка будет работать и после истечения сертификата, до момента уничтожения ключа, при условии что не включен усиленный режим контроля использования ключей. Однако новые/измененные документы уже будет невозможно зашифровать этим ключом, если контроль в "нормальном" или усиленном режиме.
Цитата:
Но с точки зрения пункта 45 152-го приказа ФАПСИ, мне нужно в течение 10-ти дней с момента истечения срока действия закрытого ключа перешифровать все документы, зашифрованные с использованием соответствующего ему открытого ключа?
Да, в большинстве случаев данные полагается перешифровать, а ключ удалить.

Отмечу, что: 1) шифрование данных не обязано проводится асимметричным ключом, даже если изначально ключи асимметричные; 2) не запрещено после истечения сертификата и удаления закрытого ключа переустановить сертификат в хранилище без ссылки на ключ. Периодически интересный эффект наблюдаю в Контур-Экстерн: вход производится по новому сертификату того же пользователя, что ранее подписал документ: при наличии старого сертификата в хранилище без привязки к закрытому ключу все равно возможна расшифровка документов, без старого сертификата в хранилище фокус не удается.

Предположу, что такое возможно если система шифрует данные симметричным ключом (сформированным из закрытого ключа системы и открытого ключа пользователя либо соответственно закрытого ключа пользователя и открытого ключа системы) и делает привязку какой пользователь какие сертификаты может предъявить для расшифровки. Привязка "старого" сертификата к пользователю запрещает использование симметричного ключа другими пользователями у кого есть тот же "старый" сертификат.

Технически такая схема возможна, если хранить в системе по копии шифрованных данных для отправителя и для каждого получателя, копии сертификатов всех пользователей и перешифровать все данные при смене ключа системы, но без перешифрования при смене ключа пользователя.
Цитата:
Если у нас есть сертификат со сроком действия 5 лет и сроком действия ключа 1 год
Насчет случая когда сертификат действует 5 лет, а ключ 1 год (есть такие сертификаты для континента-АП у клиентов федерального казначейства) возможны нюансы из-за того, чем именно ограничивается срок действия ключа.
Если в самом сертификате срок действия ключа 1 год, то остается только перешифровать данные и удалить ключ.

Если в самом сертификате срок действия закрытого ключа тоже 5 лет или не указан, то вполне реально пересоздать контейнер КриптоПро заново, переустановить сертификат и срок действия ключа "волшебным образом" станет уже 1 год 3 месяца с даты пересоздания контейнера. Так как при пересоздании контейнера сертификата в контейнере нет, то срок действия ключа оказывается никак не связан со сроком действия сертификата, только с датой пересоздания. Посмотрим, что это дает: формально приказ будет соблюден, если зарегистрировать новую копию контейнера с уже продленным сроком, а старую копию контейнера с истекшим сроком как и положено удалить.

Получается, что вопросы при возможной проверке будут уже не столько к использованию ключа после истечения срока действия, а скорее к сертификату, который выдан более чем на 1 год 3 месяца или без ограничения срока действия закрытого ключа. Скорее всего такой сертификат будет признан нарушающим требования. Однако, срок действия сертификата, срок действия ключа в сертификате в журнал не пишутся и при документарной проверке проверяющий может и не заметить такой нюанс, особенно если организация регистрирует пару десятков контейнеров в год.

Отредактировано пользователем 18 октября 2018 г. 12:46:10(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.