logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline NUCvibor  
#21 Оставлено : 11 октября 2017 г. 15:47:38(UTC)
NUCvibor

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 113
Откуда: Смоленск

Сказал(а) «Спасибо»: 94 раз
Поблагодарили: 27 раз в 16 постах
Слышал от сотрудника МКС, что выпустить им новый корневой сертификат ГУЦ мешает отсутствие сертификации программных средств ГУЦ с ГОСТом-2012. Они рассчитывают на получение такого сертификата (дословно) в первом квартале 2018. Первый квартал = 01.01.2018 -- 31.03.2018. Правда, где-то выше были приведены слова "в первом полугодии" (конец -- 30.06.2018). Исходя из всего тут написанного, нужно, чтобы новый корневой серт УЦ для соответствия ГОСТ-2012 был подписан новым корневым серт-ом ГУЦ, соответствующим ГОСТ-2012. Т.е. теоретически от месячного (раньше они не успеют) до полугодового количества выпущенных удостоверяющими центрами в 2018 году сертификатов УЦ должны будут "списать в утиль"? Выше написанное кем-то "смешное" предположение типа "проблемы индейцев шерифа не волнуют" - и не смешное, и не конструктивное (даже с точки зрения интересов МКС). Весь негатив за такой бардак неизбежно падёт на них, хоть и через посредство УЦ. ГОСТ, конечно, штука серьёзная, и сроки его ввода тоже директивные. Но в законах я что-то не припомню фраз об этом.
В своё время (без подробностей) было что-то про внедрение квал. сертификатов к какой-то дате, в 63-м законе давался на это целый год. За этот год (естественно) никто ничего не успел сделать, и тогда было решено продлить процесс ещё на год. Помню, тогда ещё все УЦ метали икру: 1-е число (кажется, июля) наступило, закон прошёл Думу и лежит в Москве, Путиным не подписан, Путин сидит в Сочи, и в телевизоре это видно, ему там хорошо. Дней через 10 Путин вернулся, и (о! чудо) закон оказался подписан нужным (30-м) числом.
Думаю, что и в данном случае МКС найдёт вариант по формуле "овцы - сыты, волки - целы, зайцы - смеются".
Не удержусь, чтобы не привести здесь один документ, до сих пор не отменённый.
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ И ТОРГОВЛИ РОССИЙСКОЙ ФЕДЕРАЦИИ = ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ПРИКАЗ от 7 августа 2012 г. № 215-ст ОБ УТВЕРЖДЕНИИ НАЦИОНАЛЬНОГО СТАНДАРТА
В соответствии с Федеральным законом от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" приказываю:
1. Утвердить для добровольного (??) применения национальный стандарт Российской Федерации ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" с датой введения в действие 1 января 2013 г. взамен ГОСТ Р 34.10-2001.
Отменить ГОСТ Р 34.10-2001 с 1 января 2013 г.
2. Закрепить утвержденный стандарт за Управлением технического регулирования и стандартизации.
Руководитель Федерального агентства Г.И.ЭЛЬКИН
====
Не знаю, где работает сейчас Г.И.ЭЛЬКИН, но приказ он выдал славный, но невыполнимый (как оказалось). Почему-то в 2017 году ещё все пользуются ГОСТом-2001, и те, кому это жизненно важно (например, аккредитованные УЦ) ни ухом, ни рылом не ведают, как с него перескочить на ГОСТ-2012. Это такой показательный пример воплощения в жизнь решений, принятых на государственном уровне (ФА).
Dancing Обращаю внимание, что ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ позорно употребило в названии документа старый (отменённый на тот день 63-м законом) термин: электронной цифровой подписи, вместо электронной подписи. Ибо не ведают, что творят! Applause

Отредактировано пользователем 11 октября 2017 г. 15:51:16(UTC)  | Причина: Не указана

Offline Ткаченко Александр Борисович  
#22 Оставлено : 12 октября 2017 г. 14:01:46(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
У них что, с HSM от Крипто ПРО проблемы?
Но вроде как у ВиПНЕТ есть сертифицированный по ГОСТ-2012 HSM.
https://infotecs.ru/product/vipnet-hsm-1-0.html
https://infotecs.ru/incl...D=11068&IBLOCK_ID=14

Что мешает?
Offline svyazist  
#23 Оставлено : 15 октября 2017 г. 22:05:17(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 139
Мужчина

Сказал «Спасибо»: 12 раз
Поблагодарили: 42 раз в 25 постах
В настоящее время проводятся тематические исследования ПАК ГУЦ ГОСТ-2012, после которых должна быть ещё аттестация ИС ГУЦ ГОСТ-2012, а это дополнительное время.
ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации: запрещено при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2001 использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2012 и наоборот, при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2012 запрещено использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2001.
Offline Ткаченко Александр Борисович  
#24 Оставлено : 16 октября 2017 г. 6:33:37(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Автор: svyazist Перейти к цитате
В настоящее время проводятся тематические исследования ПАК ГУЦ ГОСТ-2012, после которых должна быть ещё аттестация ИС ГУЦ ГОСТ-2012, а это дополнительное время.
ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации: запрещено при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2001 использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2012 и наоборот, при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2012 запрещено использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2001.


Не понял - опять планируется выпуск корневых с цепочкой из 3-х сертификатов вместо действующей цепочки из 2-х?
Offline tikhonov  
#25 Оставлено : 16 октября 2017 г. 8:45:29(UTC)
tikhonov


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,215
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 12 раз
Поблагодарили: 188 раз в 181 постах
Автор: Ткаченко Александр Борисович Перейти к цитате

Не понял - опять планируется выпуск корневых с цепочкой из 3-х сертификатов вместо действующей цепочки из 2-х?


Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка серитфикатов состоит из 3-х?
Offline Ткаченко Александр Борисович  
#26 Оставлено : 16 октября 2017 г. 8:55:19(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Автор: tikhonov Перейти к цитате

Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка серитфикатов состоит из 3-х?

Да ни в чем трудностей нет, хоть из десяти.
Кроме суеты и вскипания мозгов - сначала с июля прошлого года выдаем корневые подчинных в цепочке из трех, потом с третьего марта этого года в цепочке из двух, потом опять начнем выдавать в цепочке из трех, но при этом ссылаясь на новые алгоритмы.

Но при этом бы хотелось понять, что за собой имеет формулировка в законе о ГУЦ, какой с точки зрения закона и установленных на нем правил должна быть цепочка и так далее, далее, далее...
Но это чисто для удовлетворения линого любопытства.
Offline NUCvibor  
#27 Оставлено : 16 октября 2017 г. 11:59:08(UTC)
NUCvibor

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 113
Откуда: Смоленск

Сказал(а) «Спасибо»: 94 раз
Поблагодарили: 27 раз в 16 постах
Автор: tikhonov Перейти к цитате
Автор: Ткаченко Александр Борисович Перейти к цитате

Не понял - опять планируется выпуск корневых с цепочкой из 3-х сертификатов вместо действующей цепочки из 2-х?


Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка сертификатов состоит из 3-х?


Трудностей с цепочками для УЦ, действительно, никаких. Гипотетически они могут быть (незначительными) для обычных владельцев сертификатов, которые иногда могут забывать устанавливать себе какой-то сертификат из цепочки, обращаются с жалобами, но это быстро решается.
Ну, вот предположим, что все необходимые сертификации и аттестации ГУЦ и его "дочки" в цепочке получили, и даже успели это сделать до 31.12.2017. ГУЦ на радостях выпускает свои корневые на ГОСТ-2012, следом аккредитованные УЦ тоже получают от ГУЦ свои сертификаты уполномоченных лиц УЦ на ГОСТ-2012. И?? Наступает всеобщее счастье?Boo hoo!
УЦ начинают выдавать клиентуре сертификаты, соответствующие ГОСТ-2012, и соответствующие ключам ЭП, выпущенным в соответствии с ГОСТ-2012. Клиенты (счастливые) начинают подписывать (а то и шифровать) какие-то файлы во множестве информационных систем (ИС). А дальше возможны варианты.
1) Информационным системам по всей стране всё равно, каким ГОСТом были подписаны (зашифрованы) файлы, они автоматически проверяют и старые, и новые виды ЭП. Поэтому пользователи плавно переходят и на новое ПО СКЗИ (с ГОСТом-2012) по мере того, как у них заканчивается срок действия их предыдущего сертификата. Ну, кому-то надо будет подкупить КриптоПро версии 4.0 при смене сертификата.
2) Выясняется, что не все ИС могут работать с обоими видами ключей и сертификатов к ним. И либо не принимают ЭП нового вида (2012), либо (вдруг для всей массы пользователей) старого вида (2001). Объясняют: а) нам пофигу; б) мы не успели вообще что-то сделать; в) мы технически не можем работать с обоими видами ключей. Минкомсвязь стоит в сторонке, злорадно хихикает, но на официальные вопросы УЦ неофициально отвечает: а мы тут причём? разбирайтесь с ИС (которых много), они не успели, а мы их всех (якобы) предупреждали. А на вопросы обманутых пользователей пусть отвечают УЦ.
3) Допустим, что все ИС с 1 января "перестроились" на новый ГОСТ, готовы с ним (и только с ним) работать. И тут дело за малым (за малыми мира сего) - за УЦ. Они должны быстренько (за день? за неделю? за месяц?) Brick wall перевыпустить сертификаты со старого ГОСТа на новый всем своим клиентам, которым до этого выдавали их целый год. Решение изящное (для МКС и примкнувших к нему ИС). Разумеется, для УЦ это дело плёвое, раз-два и перевыпустили. А не могут? значит, они - враги народа, к позорному столбу их и лишить аккредитации.

Возможно, я что-то не понимаю, и существует какой-то совсем иной вариант развития событий, или сбудется-таки мой первый вариант. Мне плевать, как долго будет возиться ГУЦ с сертификацией от ФСБ, какую цепочку он построит и т.д. Мне очень интересно, что должны будут сделать УЦ после "наступления счастья". Интересно не только мне, но МКС ограничилось глухим обещанием: ждите, скоро мы вам всем напишем бумажку, там будет написано, что всем делать. Пока и бумажки нет, нет даже сплетен Drool , более или менее чётко разъясняющих вышеописанные вопросы (или проблемы?). Такое впечатление, что вся проблематика сводится к получению ГУЦем каких-то сертификатов и пр. Это - проблематика ГУЦ (МКС), а у УЦ совсем иные заботы.
Offline lab  
#28 Оставлено : 16 октября 2017 г. 17:42:22(UTC)
lab

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2010(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 3 раз в 3 постах
Автор: tikhonov Перейти к цитате
Для аккредитованных УЦ алгоритм ключа пользователя должен совпадать с алгоритмом ключа ЦС.

можете пояснить, откуда это требование ?


Offline Андрей *  
#29 Оставлено : 16 октября 2017 г. 22:40:46(UTC)
Андрей *


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 6,879
Мужчина
Российская Федерация

Сказал «Спасибо»: 248 раз
Поблагодарили: 812 раз в 681 постах
Автор: lab Перейти к цитате
Автор: tikhonov Перейти к цитате
Для аккредитованных УЦ алгоритм ключа пользователя должен совпадать с алгоритмом ключа ЦС.

можете пояснить, откуда это требование ?




Из документации на ПАК, а туда попало - по требованию ФСБ.

thanks 1 пользователь поблагодарил Андрей * за этот пост.
lab оставлено 17.10.2017(UTC)
Offline Андрей *  
#30 Оставлено : 16 октября 2017 г. 22:52:19(UTC)
Андрей *


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 6,879
Мужчина
Российская Федерация

Сказал «Спасибо»: 248 раз
Поблагодарили: 812 раз в 681 постах
ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.pdf
Цитата:

раздел 13.3 - Контроль соответствия алгоритмов ключей ЦС и выпускаемых сертификатов
Offline Ткаченко Александр Борисович  
#31 Оставлено : 17 октября 2017 г. 2:19:35(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
Из документации наПАК, а туда попало - по требованию ФСБ.


А ФСБ это откуда взяло?

Совместимость то зачем объявляли для ГОСТ-2012-256 и ГОСТ-2001 сверху вниз?
Ведь предполагалось, что можно будет проверить ЭП по ГОСТ-2001 средствами ПО, которое написано под алгоритмы ГОСТ-2012?


Offline tikhonov  
#32 Оставлено : 17 октября 2017 г. 8:44:20(UTC)
tikhonov


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,215
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 12 раз
Поблагодарили: 188 раз в 181 постах
Автор: Ткаченко Александр Борисович Перейти к цитате
Автор: Андрей * Перейти к цитате
Из документации наПАК, а туда попало - по требованию ФСБ.


А ФСБ это откуда взяло?



Т.е. фсб для вас не регулирующий орган?

Автор: Ткаченко Александр Борисович Перейти к цитате
Совместимость то зачем объявляли для ГОСТ-2012-256 и ГОСТ-2001 сверху вниз?
Ведь предполагалось, что можно будет проверить ЭП по ГОСТ-2001 средствами ПО, которое написано под алгоритмы ГОСТ-2012?


CSP 4.0 поддерживает два алгоритма и ГОСТ 2001 и ГОСТ 2012. Т.е. "можно будет проверить ЭП по ГОСТ-2001 средствами ПО, которое" умеет работать и с ГОСТ 2012.
Offline lab  
#33 Оставлено : 17 октября 2017 г. 11:47:56(UTC)
lab

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2010(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 3 раз в 3 постах
Не понимал, почему народ переживает по поводу перехода на новый ГОСТ, ведь технически нет проблем выпустить клиентский сертификат с ключом ЭП по ГОСТ 2012
подписав его корневым с ключом ЭП по ГОСТ 2001.

НО если так, то это все усложняет - ждать, пока УЦ получит новый корень по ГОСТ 2012. (т.е. пункт 4 по методичке перехода на новый ГОСТ)

Я не рассматриваю сейчас вопрос о том, что готовы ли ИС по стране к новому ГОСТ, это другой кейс, однако если это становится определяющим (т.е. ИС не готовы к новому ГОСТ), то тогда можно хотя бы понять зачем нужен "пункт 4"

Offline lab  
#34 Оставлено : 17 октября 2017 г. 12:05:31(UTC)
lab

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2010(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 3 раз в 3 постах
в нашей палате видится следующее наименее болезненное развитие событий (для УЦ)

- УЦ живут как живут, выпускают сертификаты как обычно
- Получив новый корень, переходят на выпуск сертификатов по новому
- УЦ с 01.01.2019 ничего не отзывает, если ИС приняла документ, то это проблема ИС
- Если 01.01.2019 ИС не приняла документ, то клиент идет в УЦ и ему выпускают новый сертификат

Клиент, конечно, немного потеряет в деньгах (ему понадобится новый серфтикат; старый хоть и жив, но в работе нелегитимен), но эти деньги придут в УЦ

Отредактировано пользователем 17 октября 2017 г. 12:56:34(UTC)  | Причина: ошибся с датой

Offline Андрей *  
#35 Оставлено : 17 октября 2017 г. 12:07:40(UTC)
Андрей *


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 6,879
Мужчина
Российская Федерация

Сказал «Спасибо»: 248 раз
Поблагодарили: 812 раз в 681 постах
не с 01.01.2018, а с 01.01.2019... видимо?
thanks 1 пользователь поблагодарил Андрей * за этот пост.
lab оставлено 17.10.2017(UTC)
Offline Ткаченко Александр Борисович  
#36 Оставлено : 18 октября 2017 г. 4:38:39(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Автор: lab Перейти к цитате
- Если 01.01.2019 ИС не приняла документ, то клиент идет в УЦ и ему выпускают новый сертификат
Клиент, конечно, немного потеряет в деньгах (ему понадобится новый серфтикат; старый хоть и жив, но в работе нелегитимен), но эти деньги придут в УЦ

Я бы не был столь оптимистичен.
Потому что если абонент физическое лицо, и в результате отказа приема документов по недействительности алгоритма / сертификата / электронной подписи он понесет убытки или негативные последствия, то он в соответствии с ЗЗПП пойдет сначала с претензией к УЦ, а потом в суд за возмещением убытков, морального вреда, штрафа на УЦ...
А УЦ рискует еще огрести административный штраф и другие последствия от надзирающего органа.

И опять же - нормы о наличии сертифицированного действующего средства ЭП и средств УЦ и их связки с аккредитацией УЦ никто не отменял.
Равно как и регулирующую роль федерального органа в области безопасности.

Единственное, что утешает во всей этой истории, это то, что сообщение о прекращении использования ГОСТ-2001 и переход на ГОСТ-2012 изложен:
В соответствии с выпиской из документа ФСБ России №149/7/1/3-58 от 31.01.2014 ”О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования“.

Результаты поиска на сайте ФСБ по реквизитам: № 149/7/1/3-58 от 31.01.2014:
Вы искали: 149/7/1/3-58 от 31.01.2014
Всего найдено документов: 0
С гуглом таже ситуация - полного документа не находит.

То есть этот документ в полном виде видели только избранные, статус этого документа и данные о его регстирации в МЮ неизвестны, где и когда он официально публиковался так же неизвестно, письма МЮ о том что данный документ не нуждается в регистрации в МЮ так же нет.
В связи с чем он не является НПА обязательным к применению широким кругом неопределенных лиц, и в связи с этим не может быть оспорен в судебном порядке.
А посему вопрос с его обязательным применением становится весьма спорным утверждением.

Цитата:
Есть такое латинское изречение "cui prodest" (куи продэст) - "кому выгодно?"
Когда не сразу видно, какие политические или социальные группы, силы, величины отстаивают известные предложения, меры и т. п., следует всегда ставить вопрос: "Кому выгодно?" (В. И. Ленин, Кому выгодно?).

Ответы, комментарии?

Offline Andreynvs  
#37 Оставлено : 23 октября 2017 г. 9:25:53(UTC)
Andreynvs

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.09.2011(UTC)
Сообщений: 48
Откуда: Novosibirsk

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 62 раз в 19 постах
На портале ситуационного центра - Разъяснение по переходу на ГОСТ Р 34.10-2012
https://sc.minsvyaz.ru/m...rehodu_na_GOST12_2.1.doc
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.