Цитата:То есть технически я могу написать систему, которая будет позволять получить доступ к зашифрованным документам без их перешифрования в течение времени жизни сертификата.
Скорее всего расшифровка будет работать и после истечения сертификата, до момента уничтожения ключа, при условии что не включен усиленный режим контроля использования ключей. Однако новые/измененные документы уже будет невозможно зашифровать этим ключом, если контроль в "нормальном" или усиленном режиме.
Цитата:Но с точки зрения пункта 45 152-го приказа ФАПСИ, мне нужно в течение 10-ти дней с момента истечения срока действия закрытого ключа перешифровать все документы, зашифрованные с использованием соответствующего ему открытого ключа?
Да, в большинстве случаев данные полагается перешифровать, а ключ удалить.
Отмечу, что: 1) шифрование данных не обязано проводится асимметричным ключом, даже если изначально ключи асимметричные; 2) не запрещено после истечения сертификата и удаления закрытого ключа переустановить сертификат в хранилище без ссылки на ключ. Периодически интересный эффект наблюдаю в Контур-Экстерн: вход производится по новому сертификату того же пользователя, что ранее подписал документ: при наличии старого сертификата в хранилище без привязки к закрытому ключу все равно возможна расшифровка документов, без старого сертификата в хранилище фокус не удается.
Предположу, что такое возможно если система шифрует данные симметричным ключом (сформированным из закрытого ключа системы и открытого ключа пользователя либо соответственно закрытого ключа пользователя и открытого ключа системы) и делает привязку какой пользователь какие сертификаты может предъявить для расшифровки. Привязка "старого" сертификата к пользователю запрещает использование симметричного ключа другими пользователями у кого есть тот же "старый" сертификат.
Технически такая схема возможна, если хранить в системе по копии шифрованных данных для отправителя и для каждого получателя, копии сертификатов всех пользователей и перешифровать все данные при смене ключа системы, но без перешифрования при смене ключа пользователя.
Цитата:Если у нас есть сертификат со сроком действия 5 лет и сроком действия ключа 1 год
Насчет случая когда сертификат действует 5 лет, а ключ 1 год (есть такие сертификаты для континента-АП у клиентов федерального казначейства) возможны нюансы из-за того, чем именно ограничивается срок действия ключа.
Если в самом сертификате срок действия ключа 1 год, то остается только перешифровать данные и удалить ключ.
Если в самом сертификате срок действия закрытого ключа тоже 5 лет или не указан, то вполне реально пересоздать контейнер КриптоПро заново, переустановить сертификат и срок действия ключа "волшебным образом" станет уже 1 год 3 месяца с даты пересоздания контейнера. Так как при пересоздании контейнера сертификата в контейнере нет, то срок действия ключа оказывается никак не связан со сроком действия сертификата, только с датой пересоздания. Посмотрим, что это дает: формально приказ будет соблюден, если зарегистрировать новую копию контейнера с уже продленным сроком, а старую копию контейнера с истекшим сроком как и положено удалить.
Получается, что вопросы при возможной проверке будут уже не столько к использованию ключа после истечения срока действия, а скорее к сертификату, который выдан более чем на 1 год 3 месяца или без ограничения срока действия закрытого ключа. Скорее всего такой сертификат будет признан нарушающим требования. Однако, срок действия сертификата, срок действия ключа в сертификате в журнал не пишутся и при документарной проверке проверяющий может и не заметить такой нюанс, особенно если организация регистрирует пару десятков контейнеров в год.
Отредактировано пользователем 18 октября 2018 г. 12:46:10(UTC)
| Причина: Не указана