Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

13 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Анатольевич  
#1 Оставлено : 5 июля 2009 г. 16:04:10(UTC)
Юрий Анатольевич

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2009(UTC)
Сообщений: 31
Мужчина
Откуда: Russia

Из закона об ЭЦП (статья 3):
закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

То есть, СКП содержит в себе открытый ключ ЭЦП, который, в свою очередь, соответствует закрытому ключу.

Из Регламента УЦ Крипто-Про
"11.13.1. Сроки действия ключевых документов Уполномоченного лица Удостоверяющего центра
Срок действия закрытого ключа Уполномоченного лица Удостоверяющего центра составляет максимально допустимый срок действия, установленный для применяемого средства обеспечения деятельности удостоверяющего центра, и для средства электронной цифровой подписи, с использованием которого данный закрытый ключ был сформирован....(я предполагаю, не более 1 года 3 месяцев?)
Срок действия сертификата ключа подписи Уполномоченного лица Удостоверяющего центра не превышает 30 (тридцать) лет..."

У многих других УЦ указаны конкретные сроки: закрытый ключ УЛ УЦ 1 год, СКП УЛ УЦ - 5, 10, 20, 25, 30 лет.
Предполагая, что сроки действия разные, возможна ситуация, когда срок действия закрытого ключа УЛ УЦ истек, а срок действия СКП нет. Значит, необходимо генерировать новый закрытый ключ УЛ? Но он же не будет соответствовать открытому ключу из ещё действующего СКП УЛ УЦ?!

Возможно, я что-то недопонимаю, поэтому прошу разъяснить мне, как технически и юридически может быть разный срок действия закрытого ключа УЛ УЦ и сертификата ключа подписи УЛ УЦ?.
Offline Юрий Маслов  
#2 Оставлено : 6 июля 2009 г. 12:30:45(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Если возьмем документацию на СКЗИ "КриптоПро CSP" то увидим, что срок действия закрытого ключа не более 1 год 3 месяца, а срок действия открытого ключа (или СКП) не более 30 лет.
Если возьмем документацию на СКЗИ "Атликс HSM" то увидим, что срок действия закрытого ключа не более 5 лет, а срок действия открытого ключа (или СКП) не более 30 лет.
Если возьмем документацию на СКЗИ "Магистра CSP" то увидим, что срок действия закрытого ключа не более 3 лет, а срок действия открытого ключа (или СКП) не более 30 лет.

Именно поэтому в Регламенте УЦ ООО "КРИПТО-ПРО" не указано конкретных сроков. Сроки действия закрытых ключей определяются применяемым средством ЭЦП (эквивалент - СКЗИ). А сроки действия СКП - предназначением СКП.

Как правило, срок действия закрытого ключа и срок действия СКП делают равным при их применении в целях шифрования и/или аутентификации и/или ЭЦП с условим использования механизма создания доказательства момента подписи (например, штампы времени).
Когда закрытые ключи и СКП применяют для ЭЦП и доказательства момента подписи нет, то срок действия СКП устанавливают обычно равным 5 лет или 6 лет. Технически это будет означать, что в течении срока действия закрытого ключа можно создавать ЭЦП, а в течении срока действия СКП можно проверять ЭЦП.
С уважением,
КРИПТО-ПРО
Offline Юрий Анатольевич  
#3 Оставлено : 6 июля 2009 г. 13:23:56(UTC)
Юрий Анатольевич

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2009(UTC)
Сообщений: 31
Мужчина
Откуда: Russia

Меня больше интересует вопрос внесения СКП уполномоченного лица в Реестр. При генерации нового закрытого ключа создаётся новый СКП. То есть, необходимо ежегодно вносить в Реестр новый СКП уполномоченного лица?
Offline Юрий Маслов  
#4 Оставлено : 6 июля 2009 г. 19:36:20(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Да, если Выосуществляете плановую сменуключей и СКП уполномоченного лица УЦ ежегодно, то уведомлять об этом (вносить в Реестр) уполномоченный федеральный орган исполнительной власти (ФАИТ) Вы должны ежегодно.
С уважением,
КРИПТО-ПРО
Offline Юрий Анатольевич  
#5 Оставлено : 7 июля 2009 г. 14:40:13(UTC)
Юрий Анатольевич

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2009(UTC)
Сообщений: 31
Мужчина
Откуда: Russia

В том то и вопрос... Нет особого желания ежегодно производить плановую смену ключей УЛ УЦ.... Срок для внесения в реестр
Если срок действия закрытого ключа 1 год и 3 месяца, при плановой смене формируется новый СКП, который необходимо внести в Реестр...
А между заявлением о внесении в реестр и непосредственным внесением проходит время, в течение которого (если срок действия старого закрытого ключа уже истек, а СКП нового закрытого ключа ещё не внесен в Реестр) УЛ УЦ не может удостоверять пользовательские СКП...
Offline Юрий Маслов  
#6 Оставлено : 7 июля 2009 г. 15:22:39(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Извините, не понимаю, какого эффекта Вы хотите добиться?! :-(

Не хотите ежегодно призводить смену ключей УЛ УЦ, значит используйте "Атликс-HSM" и будете это делать раз в 5 лет.

Хотите ежегодно - нет проблем!
Смотрим пункт 1 статьи 10 1-ФЗ "Об ЭЦП" и, о чудо, видим, что "Удостоверяющий центр ДО НАЧАЛА использования электронной цифровой подписи уполномоченного лица удостоверяющего центра для заверения от имени удостоверяющего центра сертификатов ключей подписей ОБЯЗАН ПРЕДОСТАВИТЬ в уполномоченный федеральный орган исполнительной власти сертификат ключа подписи уполно-моченного лица удостоверяющего центра ...". Таким образом, Вам не надо ждать времени непосредственного внесениея в Реестр. Достаточно подать заявление (уведомление) и можете использовать новый ключ УЛ УЦ.

Рекомендуем: плановую смену ключей УЛ УЦ делать не раз в 1 год и 3 месяца, а раз в 1 год! Тогда у Вас останется 3 месяца, что бы провести плановую смену и подать уведомление в УФО. И даже останется время, что бы получить уведомление о внесении в Реестр :-)
С уважением,
КРИПТО-ПРО
Offline Юрий Анатольевич  
#7 Оставлено : 9 июля 2009 г. 20:53:16(UTC)
Юрий Анатольевич

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2009(UTC)
Сообщений: 31
Мужчина
Откуда: Russia

Простите, никак не могу угомониться... хочу добиться эффекта как можно более редкого издания закрытого ключа УЛ...
Относительно срока 1 год и 3 месяца...
"Удостоверяющий центр ЗАО «ПФ «СКБ Контур» построен на базе сертифицированного ФСБ России программного комплекса «Удостоверяющий Центр «КриптоПро УЦ» (http://www.cryptopro.ru/)." (http://ca.skbkontur.ru/CrertificationAuthority/CrertificationAuthority.aspx)
"Срок действия закрытого ключа Уполномоченного лица Удостоверяющего Центра составляет 3 (Три) года" (пункт 10.7.1 Регламента УЦ ЗАО «ПФ «СКБ Контур»)..
(http://ca.skbkontur.ru/upload/file/reglament_7_red.doc)
То есть, получается, возможно указать срок действия ключа и 10 лет? Даже если это не совсем соответствует документации?
Offline Юрий Анатольевич  
#8 Оставлено : 10 июля 2009 г. 20:54:26(UTC)
Юрий Анатольевич

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2009(UTC)
Сообщений: 31
Мужчина
Откуда: Russia

Всё-таки хочется уточнить - используя КриптоПро CSP, при установлении (регламентом или иным документом) срока действия закрытого ключа УЛ УЦ свыше 1г3мес нарушаются (не соблюдаются) требования по безопасности, по которым сертифицирован КриптоПро CSP? соответственно, и лицензионные требования к работе с СКЗИ? со всеми вытекающими последствиями?
Offline Юрий Маслов  
#9 Оставлено : 13 июля 2009 г. 15:46:08(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
А в пункет 10.2 Регламента УЦ ЗАО «ПФ «СКБ Контур» указано, что "плановая смена ключей (Закрытого и соответствующего ему Открытого ключа подписи) Уполномоченного лица Удостоверяющего Центра выполняется не ранее, чем через 1 (Один) год и не позднее, чем через 2 (Два) года после начала действия закрытого ключа (сертификата ключа подписи) Уполномоченного лица Удостоверяющего Центра". Т.е. все равно раз в год издание ключа УЛ :-)
Установление срока действия закрытого ключа УЛ УЦ свыше 1 года 3 месяца при условии, что он сверх этого срока будет использоваться только для подписывания CRL - допустимо. Но при условии ежегодной плановой смены.
С уважением,
КРИПТО-ПРО
Offline sdmaestro  
#10 Оставлено : 17 июля 2009 г. 16:21:10(UTC)
sdmaestro

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.07.2009(UTC)
Сообщений: 4
Мужчина

Позвольте включиться в беседу.
Корневой сертификат УЦ и СКП УЛ УЦ это идентичные понятия? Если да, то в таком случае, при использовании Крипто ПРО CSP, закрытый ключ УЦ и, как следствие, корневой сертификат УЦ придеться менять раз в 1 год 3 месяца?
Таким образом кол-во Корневых сертификатов УЦ каждый год будет увеличиваться на еденицу, в то время как срок сертификата пользователя ( по нашему регламенту) 1 год. Тогда в чем смысл выставлять срок действия корневого к примеру 7 лет?

P.S. Собственно основной вопрос по поводу толкования понятий Корневой серт и серт УЛ.

Заранее спасибо!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
13 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.