Сроки действия закрытых ключей и СКП- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

13 Страницы<123 4 >»

Сроки действия закрытых ключей и СКП

Опции

Предыдущая тема Следующая тема

Юрий Маслов		#11 Оставлено : 17 июля 2009 г. 16:30:32(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		sdmaestro написал: Корневой сертификат УЦ и СКП УЛ УЦ это идентичные понятия? Нет, не идентичные. Корневой сертификат УЦ всегда является СПК УЛ УЦ. Не каждый СПК УЛ УЦ является Корневым сертификатом УЦ sdmaestro написал: Если да, то в таком случае, при использовании Крипто ПРО CSP, закрытый ключ УЦ и, как следствие, корневой сертификат УЦ придеться менять раз в 1 год 3 месяца? При использовании на Центре Сертификации "КриптоПро УЦ" СКЗИ "КриптоПро CSP" в качестве средства средства ЭЦП, закрытый ключ и СКП УЛ УЦ необходимо менять ежегодно. При использовании на Центре Сертификации "КриптоПро УЦ" ПАКМ "Атликс HSM" в качестве средства средства ЭЦП, закрытый ключ и СКП УЛ УЦ необходимо менять раз в 5 лет. sdmaestro написал: Таким образом кол-во Корневых сертификатов УЦ каждый год будет увеличиваться на еденицу, в то время как срок сертификата пользователя ( по нашему регламенту) 1 год. Да, и что тут такого? sdmaestro написал: Тогда в чем смысл выставлять срок действия корневого к примеру 7 лет? Срок действия чего???? Закрытого ключа УЛ УЦ или СКП УЛ УЦ? Что бы получить чёткий ответ, надо задавать четкие вопросы.
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

sdmaestro		#12 Оставлено : 17 июля 2009 г. 17:10:23(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 17.07.2009(UTC) Сообщений: 4		Переформулирую вопрос. Есть ли смысл указывать срок действия Корневогого сертификата 7 лет, при условии, что срок действия открытого ключа (сертификата пользователей) 1 год? 2. Если используется отличный от Крипто Про УЦ центр сертификации, но в кач-ве криптопровайдера используется Крипто ПРО CSP, то в этом случае закрытый ключ также необходимо менять раз в 1 год 3 мес?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#13 Оставлено : 17 июля 2009 г. 19:48:58(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		sdmaestro написал: Переформулирую вопрос. Есть ли смысл указывать срок действия Корневогого сертификата 7 лет, при условии, что срок действия открытого ключа (сертификата пользователей) 1 год? Если у Вас 1 год для СКП пользователя, то значит есть доказательство момента подписи. Значит у Вас срок действия СКП УЦ УЛ должен быть не менее 2 лет, т.к. СКП пользователя мог быть изготовлен в последние минуты действия перед плановой сменой закрытого ключа и СКП УЛ УЦ. И на перио действия СКП пользователя должен действовать СКП УЛ УЦ. Но обычно УЦ изготавливает СКП пользователей для разных имнформационных систем, включая и ИС в которых нет доказательств момента подписи документа. В этом случае срок действия СКП пользователей делают не меньшим срока исковой давности по документам, удостоверенным ЭЦП. Вот и получается, что лучше срок действия СКП УЛ УЦ делать равным 6 или 7 годам. sdmaestro написал: 2. Если используется отличный от Крипто Про УЦ центр сертификации, но в кач-ве криптопровайдера используется Крипто ПРО CSP, то в этом случае закрытый ключ также необходимо менять раз в 1 год 3 мес? Сроки действия закрытых и открытых ключей прописываются в СКЗИ, например в "КриптоПро CSP". Поэтому да, нужно менять ежегодно.
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

js		#14 Оставлено : 28 июля 2009 г. 16:25:43(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.07.2009(UTC) Сообщений: 35 Откуда: Msk		Юрий Маслов Я правильно понимаю что при использовании Крипто-про CSP (для формирования и хранения закрытого ключа УЛ УЦ) через год необходимо поднимать новый УЦ для выпуска пользовательских сертификатов, а старый использовать только для выпуска СОС? Отредактировано пользователем 28 июля 2009 г. 16:29:42(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

js		#15 Оставлено : 28 июля 2009 г. 21:24:36(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.07.2009(UTC) Сообщений: 35 Откуда: Msk		Или при плановой смене ключей старый закрытый ключ не уничтожается?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#16 Оставлено : 13 августа 2009 г. 20:40:09(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		js написал: Юрий Маслов Я правильно понимаю что при использовании Крипто-про CSP (для формирования и хранения закрытого ключа УЛ УЦ) через год необходимо поднимать новый УЦ для выпуска пользовательских сертификатов, а старый использовать только для выпуска СОС? Нет, не правильно. При использовании ПАК "КриптоПро УЦ" через год делаете плановую смену ключей и старый ключ не удаляете. Само программное обеспечение ПАК "КриптоПро УЦ" будет использовать новый ключ для изготовления сертификатов, а старый только для изготовления СОС. Использовать СКЗИ "КриптоПро CSP" без ПАК "КриптоПро УЦ" или иного аналогичного продукта для управления сертификатами (автоматизации УЦ) невозможно! СКЗИ "КриптоПро CSP" не знает, что такое "сертификат открытого ключа" и что такое "СОС". Ведь это же криптопровайдер! :-)
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Николай		#17 Оставлено : 6 октября 2009 г. 18:19:35(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 27.03.2008(UTC) Сообщений: 17		Юрий Маслов написал: Рекомендуем: плановую смену ключей УЛ УЦ делать не раз в 1 год и 3 месяца, а раз в 1 год! Тогда у Вас останется 3 месяца, что бы провести плановую смену и подать уведомление в УФО. И даже останется время, что бы получить уведомление о внесении в Реестр :-) Юрий Маслов написал: При использовании ПАК "КриптоПро УЦ" через год делаете плановую смену ключей и старый ключ не удаляете. Само программное обеспечение ПАК "КриптоПро УЦ" будет использовать новый ключ для изготовления сертификатов, а старый только для изготовления СОС. Юрий, а поясните, каким образом у меня будет 3 месяца на регистрацию в УФО, если ПАК "КриптоПро УЦ" сразу же (после плановой замены) будет использовать новый ключ для изготовления сертификатов?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#18 Оставлено : 8 октября 2009 г. 16:38:25(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		Николай написал: Юрий, а поясните, каким образом у меня будет 3 месяца на регистрацию в УФО, если ПАК "КриптоПро УЦ" сразу же (после плановой замены) будет использовать новый ключ для изготовления сертификатов? Да, есть такая фишка. В "КриптоПро УЦ" версии 2.0 будет по другому.
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

WarlordXXX		#19 Оставлено : 12 ноября 2009 г. 15:06:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 12.11.2009(UTC) Сообщений: 6		Что-то как- то вообще непонятны ответы на вопрос: 1.Каким образом возможно определить дату создания закрытого ключа, и каким образом можно проверить срок действия закрытого ключа. 2. А в чем смысл устанавливать срок действия закрытого ключа 1 год, а срок действия открытого 30 лет ведь в этом случае согласно сертификату получается можно шифровать и подписывать просроченным закрытым ключом. 3. А возможно вообще сделать следующим образом - с генерировать закрытый ключ а сертификаты просто продлевать пере подписывая раннее полученный запрос (раз в год например) ?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#20 Оставлено : 12 ноября 2009 г. 17:36:37(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		WarlordXXX написал: Что-то как- то вообще непонятны ответы на вопрос: 1.Каким образом возможно определить дату создания закрытого ключа, и каким образом можно проверить срок действия закрытого ключа. Обычно датой создания закрытого ключа принято считать дату начала действия сертификата ключа подписи. Срок действия закрытого ключа определяется Регламентом УЦ. Поэтому не стоит задача "проверить срок действия закрытого ключа". А стоит задача "проверить что на данный момент закрытый ключ действует". Надеюсь, что эту разницу в постановке задачи Вы поняли. Проверить что на данный момент закрытый ключ действует можно разными способами. Например, занести в сертификат ключа подписи дату начала действия закрытого ключа и дату окончания действия закрытого ключа, а потом в прикладном ПО проверять, что текущий момент времени находится между этими датами. Или можно (если в сертификате нет дат действия закрытого ключа) в прикладном ПО проверять что текущая дата лежит между датой начала действия сертификата и датой начала действия сертификата + константа, равная сроку действия закрытого ключа согласно Регламента УЦ. WarlordXXX написал: 2. А в чем смысл устанавливать срок действия закрытого ключа 1 год, а срок действия открытого 30 лет ведь в этом случае согласно сертификату получается можно шифровать и подписывать просроченным закрытым ключом. Смысл глубокий и нужный. Вероятность неявной компрометации закрытого ключа в превышает допустимое значение (типа три сигма) при превышении срока действия закрытого ключа, устанавливаемого формуляром на сертифицированное СКЗИ. Поэтому для закрытых ключей и соответствующих сертификатов открытых ключей, использующихся для шифрования информации, срок действия закрытого ключа и срок действия сертификата клча подписи делают одинаковым, 1 год. Но ведь есть ещё и ЭЦП!!! А согласно статьи 4 1-ФЗ "Об ЭЦП", сертификат должен дейтвовать на момент проверки ЭЦП, если нет доказательства момента подписи. А срок хранения и/или срок исковой давности документов, к которым применена ЭЦП, как правило больше 1 года. Т.е. проверять ЭЦП нужно и и через 5 лет и через 30 лет. И доказательства момента создания ЭЦП не всегда находится. И сертификат должен быть действительным (не окончившим свой срок) на этот момент Поэтому и делают, что сертификат живет 5 или 30 лет. Но его используют только для проверки ЭЦП. А что бы не создавали ЭЦП просроченным ключем и возникает задача "проверить что на данный момент закрытый ключ действует", о которой писалось выше. Элементарно! WarlordXXX написал: 3. А возможно вообще сделать следующим образом - с генерировать закрытый ключ а сертификаты просто продлевать пере подписывая раннее полученный запрос (раз в год например) ? Между закрытым и открытым ключем взаимнооднозначное соответствие, т.е. одному закрытому ключу соответствует один и только один открытый ключ. И наоборот. Естественно, что скажем, условно, что это в поле допустимых ключей. Поэтому и невозможно сделать то, о чем Вы спросили :-)
		С уважением, КРИПТО-ПРО
		WWW
1 пользователь поблагодарил Юрий Маслов за этот пост.		Отображаемое имя уже занято два раза оставлено 21.11.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

13 Страницы<123 4 >»

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close