Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline spectrekr  
#1 Оставлено : 30 июня 2020 г. 12:59:57(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Добавил в реестр новый OID, в настройках шаблона добавил и указал добавлять в сертификат всегда. Но после выпуска сертификата данным шаблоном, в сертификате отсутствует OID. Возможно ли сделать добавление OIDа не зависимо от наличия его в запросе?
oid.png (20kb) загружен 21 раз(а).
Offline roflanVikared  
#2 Оставлено : 30 июня 2020 г. 13:07:15(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 198
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 71 раз в 46 постах
Автор: spectrekr Перейти к цитате
Добавил в реестр новый OID, в настройках шаблона добавил и указал добавлять в сертификат всегда. Но после выпуска сертификата данным шаблоном, в сертификате отсутствует OID. Возможно ли сделать добавление OIDа не зависимо от наличия его в запросе?
oid.png (20kb) загружен 21 раз(а).


Выставьте приоритет "Значение по умолчанию".
D2/CB-4+BF2/A-DASH-4+BF2
Offline spectrekr  
#3 Оставлено : 30 июня 2020 г. 13:34:59(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Пробовал и так, не добавляет.
Offline bstas  
#4 Оставлено : 30 июня 2020 г. 13:52:37(UTC)
bstas

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.01.2017(UTC)
Сообщений: 113
Российская Федерация

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 4 раз в 4 постах
Я так понимаю данный OID вводится для изменений в 63-фз, вступающих в силу с 1 июля. Данный OID утвержден официально?
В моем понимании было что ФСБ должно внести изменения в 795 приказ, и все УЦ на основании него уже редактируют шаблоны
Offline spectrekr  
#5 Оставлено : 30 июня 2020 г. 13:56:29(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Подготавливаемся к изменениям. Нет, данный оид взят из пула зарегистрированным за нашим УЦ. Насколько я знаю, каких-то определенных ОИД-ов не подразумевалось, как и изменение 795, но могу в этом плане и ошибаться.
Offline Захар Тихонов  
#6 Оставлено : 30 июня 2020 г. 14:17:40(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,565
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Укажите как зарегистрировали OID (можете приложить рег файл).
Уточните, требуется чтоб OID был как независимое расширение или он должен был попасть, например, в EKU?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline roflanVikared  
#7 Оставлено : 30 июня 2020 г. 14:19:55(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 198
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 71 раз в 46 постах
Я думал, это у вас тест ПАК УЦ.

Всё правильно, изменения в 63-ФЗ подразумевают определенный OID, но он должен однозначно указывать способ идентификации, т.е. одинаковый для всех аккредитованных УЦ. Значение вашего OID большинство ИС вряд ли смогут прочитать, если вообще будут читать. К сожалению, регуляторы не удосужились позаботиться о данном пункте закона, который до сих пор очень сырой и противоречивый. Можно попробовать добавить OID не как расширение сертификата (т.к. это будет нарушать Приказ ФСБ № 795), а как дополнительное значение поля "Улучшенный ключ", пока не будет чёткого понимания, как выполнять требования 63-ФЗ.
D2/CB-4+BF2/A-DASH-4+BF2
Offline spectrekr  
#8 Оставлено : 30 июня 2020 г. 14:31:42(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Автор: roflanVikared Перейти к цитате
Автор: spectrekr Перейти к цитате
Добавил в реестр новый OID, в настройках шаблона добавил и указал добавлять в сертификат всегда. Но после выпуска сертификата данным шаблоном, в сертификате отсутствует OID. Возможно ли сделать добавление OIDа не зависимо от наличия его в запросе?
oid.png (20kb) загружен 21 раз(а).


Выставьте приоритет "Значение по умолчанию".


Автор: Захар Тихонов Перейти к цитате
Укажите как зарегистрировали OID (можете приложить рег файл).
Уточните, требуется чтоб OID был как независимое расширение или он должен был попасть, например, в EKU?


Регистрировал в ручную, в этих ветках создал раздел 1.2.643.3.45.1.1!6 и строковое значение Name. Рег файл приложил.
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo

В EKU я так понимаю принудительно добавить не получится, так как в запросах бывают другие OID в поле EKU, а в настройках можно выставить либо брать из запросов, либо писать только определенные шаблоном. Если можно настроить так чтоб этот OID шел плюсом к пришедшим в запросе, то будет замечательно, если нет - то настроить как независимое расширения. Так как в требованиях нет точного местонахождения данного OID.
oid.reg (1kb) загружен 1 раз(а).
Offline spectrekr  
#9 Оставлено : 30 июня 2020 г. 14:39:45(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Автор: roflanVikared Перейти к цитате
Я думал, это у вас тест ПАК УЦ.

Всё правильно, изменения в 63-ФЗ подразумевают определенный OID, но он должен однозначно указывать способ идентификации, т.е. одинаковый для всех аккредитованных УЦ. Значение вашего OID большинство ИС вряд ли смогут прочитать, если вообще будут читать. К сожалению, регуляторы не удосужились позаботиться о данном пункте закона, который до сих пор очень сырой и противоречивый. Можно попробовать добавить OID не как расширение сертификата (т.к. это будет нарушать Приказ ФСБ № 795), а как дополнительное значение поля "Улучшенный ключ", пока не будет чёткого понимания, как выполнять требования 63-ФЗ.


Да, тестирую на тестовом. Чтобы понять возможно ли это настроить на УЦ или решать вопрос добавление данного OID на стороне формирования запросов.
С самим OID понятно, надо будет ждать, когда регуляторы определятся с номерами и расположением.
Offline Захар Тихонов  
#10 Оставлено : 30 июня 2020 г. 15:06:01(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,565
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
т.е. хотите как отдельное расширение. А что в это расширение добавлять будете?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#11 Оставлено : 30 июня 2020 г. 15:32:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,565
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Возможно не корректно задал вопрос, поясню.
Расширение то добавили, а значение какое будете добавлять?
1.png (1,848kb) загружен 7 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline spectrekr  
#12 Оставлено : 30 июня 2020 г. 15:49:05(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Автор: Захар Тихонов Перейти к цитате
Возможно не корректно задал вопрос, поясню.
Расширение то добавили, а значение какое будете добавлять?
1.png (1,848kb) загружен 7 раз(а).


Логическое значение True\False. Это уже больше для понимания как можно добавить ОИД для внутреннего применения.
А в EKU дополнительно добавлять не заменяя пришедшие с запросом функционала нет, правильно понял?

Отредактировано пользователем 30 июня 2020 г. 15:51:09(UTC)  | Причина: Не указана

Offline spectrekr  
#13 Оставлено : 2 июля 2020 г. 11:01:43(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Автор: Захар Тихонов Перейти к цитате
Возможно не корректно задал вопрос, поясню.
Расширение то добавили, а значение какое будете добавлять?
1.png (1,848kb) загружен 7 раз(а).


Можете подсказать какой тип данных и название добавить в реестре, чтоб в поле значение что-либо добавлять, а то в инструкциях нет. Заранее спасибо.
Offline Захар Тихонов  
#14 Оставлено : 2 июля 2020 г. 12:44:06(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,565
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Автор: spectrekr Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Возможно не корректно задал вопрос, поясню.
Расширение то добавили, а значение какое будете добавлять?
1.png (1,848kb) загружен 7 раз(а).


Можете подсказать какой тип данных и название добавить в реестре, чтоб в поле значение что-либо добавлять, а то в инструкциях нет. Заранее спасибо.


У вас не удастся выпустить сертификат с расширением в котором нет значения. Значение не добавляется в реестр, вы его загружаете в формате der (при настройке расширения имеется кнопка загрузить).
Мой вопрос был, какое значение вы собираетесь загружать? Мой пример - я туда ерунду загрузил, но вам же не требуется ерунда, а что-то конкретное (ваша организация и ваша задача).

По поводу EKU. Либо вы оставляете набор OIDов по умолчанию, либо вы загружаете все из запроса (это настройка приоритета).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline spectrekr  
#15 Оставлено : 2 июля 2020 г. 14:34:45(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Автор: Захар Тихонов Перейти к цитате
Автор: spectrekr Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Возможно не корректно задал вопрос, поясню.
Расширение то добавили, а значение какое будете добавлять?
1.png (1,848kb) загружен 7 раз(а).


Можете подсказать какой тип данных и название добавить в реестре, чтоб в поле значение что-либо добавлять, а то в инструкциях нет. Заранее спасибо.


У вас не удастся выпустить сертификат с расширением в котором нет значения. Значение не добавляется в реестр, вы его загружаете в формате der (при настройке расширения имеется кнопка загрузить).
Мой вопрос был, какое значение вы собираетесь загружать? Мой пример - я туда ерунду загрузил, но вам же не требуется ерунда, а что-то конкретное (ваша организация и ваша задача).

По поводу EKU. Либо вы оставляете набор OIDов по умолчанию, либо вы загружаете все из запроса (это настройка приоритета).


Строку "Личная идентификация", спасибо.
Offline Захар Тихонов  
#16 Оставлено : 2 июля 2020 г. 15:32:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,565
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 452 раз в 436 постах
Вы зарегистрировали 1.2.643.3.45.1.1!6 как расширение. Вы хотите чтоб было и расширение этот OID и как-то декодировать этот OID еще и в значение?
Какая информационная система будет обрабатывать такое расширение?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline spectrekr  
#17 Оставлено : 2 июля 2020 г. 18:20:28(UTC)
spectrekr

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.03.2018(UTC)
Сообщений: 9
Российская Федерация
Откуда: Kaluga

Автор: Захар Тихонов Перейти к цитате
Вы зарегистрировали 1.2.643.3.45.1.1!6 как расширение. Вы хотите чтоб было и расширение этот OID и как-то декодировать этот OID еще и в значение?
Какая информационная система будет обрабатывать такое расширение?


Нет, вы сказали что расширение не добавиться в сертификат, пока не будет значение по умолчанию, которое надо загрузить в der кодировке. Вот и написал, что значение будет PrintableString "Личная идентификация" в данном расширении.

ИС будет самописная.
Offline sergak  
#18 Оставлено : 7 июля 2020 г. 7:07:52(UTC)
sergak

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.05.2020(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
ФСБ готовит требования к OID лично/дистанционно, так что ждём
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.