Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline codegen  
#1 Оставлено : 5 апреля 2011 г. 18:01:40(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 202
Мужчина
Российская Федерация

Сказал «Спасибо»: 8 раз
Поблагодарили: 1 раз в 1 постах
Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?
Offline Юрий Маслов  
#2 Оставлено : 5 апреля 2011 г. 18:11:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
codegen написал:
Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?

Если у Вас меры защиты ключа Уполномоченного лица УЦ обеспечивают невозможность его компрометации прежним владельцем (а именно, снятие копии этого ключа) то перевыпускать не требуется. В противном случае - требуется.
К таким мерам могут относиться:
Вариант 1. Хранение ииспользование ключа в ПАКМ "Атликс-HSM"
Вариант 2: Ключевой контейнер был записан на токен, с признаком "неэкспортируемый", с ПИН-кодом к токену с длиной не менее 6 символов и не более 3 попыток ввода неправильного ПИН-кода и токен хранится с разграничением доступа к нему по лицам и времени.
С уважением,
КРИПТО-ПРО
Offline Laroux  
#3 Оставлено : 8 февраля 2012 г. 16:40:24(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
А можем чуть подробнее осветить этот вопрос?

Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый.
1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС?

2. Кстати, вот тут описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет.

Отредактировано пользователем 8 февраля 2012 г. 16:45:11(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#4 Оставлено : 8 февраля 2012 г. 17:08:21(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Laroux написал:
А можем чуть подробнее осветить этот вопрос?

Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый.
1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС?

2. Кстати, вот тут описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет.


Постараюсь объяснить на пальцах...
Меняется уполномоченное лицо УЦ. Он может быть ещё и руководителем УЦ или гендиректором или уборщиком. Это не важно. Я понял, что Вас интересует именно событие со сменой уполномоченного лица УЦ как владельца корневого сертификата УЦ.
Будем считать время Ч1 как время, когда ключевой носитель (ключ на токене, экспортируемый) передаётся от Иванова к Петрову и передача оформляется соответствующей записью в журнале или актом приёма-передачи.
Интервал времени от начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1 - компрометации нет т.к. Иванов не заявлял о компрометации.
Ч1 - компрометации нет т.к. событие происходит при, как минимум одном свидетеле (Петрове).
Интервал времени от Ч1 до Ч2 - компрометации нет т.к. Петров не заявлял о компрометации. Но Петрова гложет червячёк сомнения. А вдруг Иванов сделал себе копию ключевого контейнера? А вдруг он его как-то использует в своих целях? У Петрова есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован Ивановым. Наступило событие, описанное тут http://www.cryptopro.ru/....aspx?g=posts&t=3451 , которое порождает внеплановую смену.
Ч2 - время, когда Петров подал заявление о необходимости внеплановой смены ключей уполномоченного лица УЦ, владельцем которых ранее был Петров.

Таким образом, все сертификаты изготовленные в период с начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1, не требуют каких либо действий со стороны УЦ. Их не надо аннулировать и заменять.
Все сертификаты, изготовленные в период с Ч1 до Ч2 , надо аннулировать и заменять. В интересах Петрова, что бы между Ч1 и Ч2 не было изготовлено сертификатов.

Так что, коллега Laroux, Ваша причина описана в топике http://www.cryptopro.ru/....aspx?g=posts&t=3451 .

С уважением,
КРИПТО-ПРО
Offline Laroux  
#5 Оставлено : 21 марта 2012 г. 20:29:48(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ?

В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те.

А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие.

Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?
Offline Sergey M. Murugov  
#6 Оставлено : 22 марта 2012 г. 1:36:44(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
1. По 63-ФЗ есть новая сущность - сертификат юрлица - обезличен и не связан конкретно ни с кем из людей.
2. В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280 там прописана процедура перезда и особенности автора CRL.
Offline Андрей Писарев  
#7 Оставлено : 22 марта 2012 г. 2:00:22(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,729
Мужчина
Российская Федерация

Сказал «Спасибо»: 355 раз
Поблагодарили: 1404 раз в 1083 постах
Sergey M. Murugov написал:
2. В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280 там прописана процедура перезда и особенности автора CRL.


с тем же url в CDP ?

Отредактировано пользователем 22 марта 2012 г. 2:23:45(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Юрий Маслов  
#8 Оставлено : 23 марта 2012 г. 16:46:28(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Laroux написал:
Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ?

В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те.

А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие.

Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?


А где в 63-ФЗ такое указано "однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие"?!?! Это неизвестная для меня новелла :-)
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.