Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline ams  
#1 Оставлено : 23 мая 2011 г. 21:59:49(UTC)
ams

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2011(UTC)
Сообщений: 16
Откуда: RR

Здравствуйте!

Для того, чтобы нормально выполнялась проверка ЭЦП документов системными функциями я устанавливаю корневой сертификат УЦ, которому я планирую доверять, в доверенные корневые сертификаты. (если я не прав, поправьте, пожалуйста)

Подскажите, пожалуйста,
нужно ли мне устанавливать также и сертификаты уполномоченных лиц УЦ в доверенные, чтобы нормально обрабатывались все ЭЦП документов, сделанные с помощью полученных от УЦ ключей?
Offline Юрий Маслов  
#2 Оставлено : 1 июня 2011 г. 15:18:47(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Обычно считается, что корневой сертификат УЦ, сертификат ЦЕнтра Сертификации и сертификат уполномоченного лица УЦ - это одна и таже сущность! Разными словами, но об одном и том же :-) Так что сертификаты уполномоченных лиц УЦ нужно устанавливать в раздел "доверенные корневые сертификаты" хранилища сертификатов.
С уважением,
КРИПТО-ПРО
Offline maxx  
#3 Оставлено : 8 февраля 2012 г. 14:03:01(UTC)
maxx

Статус: Участник

Группы: Участники
Зарегистрирован: 18.11.2010(UTC)
Сообщений: 18
Мужчина
Откуда: Городок за МКАДом

Сказал «Спасибо»: 5 раз
Здравствуйте. прошу прощения если вопрос ранее поднимался.
Напомните пожалуйста, в каких случаях, кроме окончания срока действия необходимо перевыпускать корневой сертификат УЦ, и если я правильно понимаю. необходимо оповестить всех пользователей УЦ о смене корневого и необходимости установки нового?

Поиск пока не помог((
Offline Юрий Маслов  
#4 Оставлено : 8 февраля 2012 г. 15:57:32(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Перевыпускать (изготавливать новый) корневой сертификат УЦ нужно в следующих случаях:
1. При плановой смене ключей уполномоченного лица УЦ, т.е. в случае, когда скоро закончится срок действия закрытого ключа уполномоченного лица УЦ.
2. При внеплановой смене ключей уполномоченного лица УЦ, а именно когда:
- закрытый ключ уполномоченного лица УЦ закончил свой срок действия, а плановая смена произведена не была;
- произошла компрометация закрытого ключа уполномоченного лица УЦ;
- есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован;
- закрытый ключ уполномоченного лица УЦ не доступен (уронили в море ключевой носитель или ключевой носитель повреждён или забыли ПИН-код к ключевому контейнеру и т.д.);
- в связи с необходимостью внести изменение в содержимое сертификата открытого уполномоченного лица УЦ (переименование владельца, введение новых Требований к форме или формату сертификата и т.д.);
- по решению, вступившему в законную силу (по решению суда, по решению владельца удостоверяющего центра и т.д.).
С уважением,
КРИПТО-ПРО
Offline maxx  
#5 Оставлено : 8 февраля 2012 г. 17:27:31(UTC)
maxx

Статус: Участник

Группы: Участники
Зарегистрирован: 18.11.2010(UTC)
Сообщений: 18
Мужчина
Откуда: Городок за МКАДом

Сказал «Спасибо»: 5 раз
Благодарю за полноту и оперативность ответа.
Нашел на форуме ответ еще на один вопрос. О необходимости перевыпуска корневого сертификата при увольнении уполномоченного лица (Директора УЦ например). Если правильно понял, то перевыпуск не требуется если:
1. Ключ хранится с соблюдением требований безопасности;
2. Ключ неэкспортируемый;
3. Не утрачен, не скопрометирован, не заканчивается и т.д.

Offline Юрий Маслов  
#6 Оставлено : 8 февраля 2012 г. 17:34:58(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
maxx написал:
Благодарю за полноту и оперативность ответа.
Нашел на форуме ответ еще на один вопрос. О необходимости перевыпуска корневого сертификата при увольнении уполномоченного лица (Директора УЦ например). Если правильно понял, то перевыпуск не требуется если:
1. Ключ хранится с соблюдением требований безопасности;
2. Ключ неэкспортируемый;
3. Не утрачен, не скопрометирован, не заканчивается и т.д.



Вы попытались другими словами изложить выше приведённый перечень. Но сделали это не совсем полно. Я бы добавил:
4. В сертификат уполномоченного лица УЦ не занесена информация об уполномоченном лице (нет его ФИО, должности или иной информации, которая меняется);
5. Если не прошло переименование организации-УЦ или её реорганизации;
6. Если не произошло внешних причин, вызвавших необъодимость сменить информацию в сертификате уполномоченного лица УЦ.
С уважением,
КРИПТО-ПРО
Offline maxx  
#7 Оставлено : 8 февраля 2012 г. 18:00:14(UTC)
maxx

Статус: Участник

Группы: Участники
Зарегистрирован: 18.11.2010(UTC)
Сообщений: 18
Мужчина
Откуда: Городок за МКАДом

Сказал «Спасибо»: 5 раз
Юрий Маслов написал:
maxx написал:
Вы попытались другими словами изложить выше приведённый перечень. Но сделали это не совсем полно. Я бы добавил:
4. В сертификат уполномоченного лица УЦ не занесена информация об уполномоченном лице (нет его ФИО, должности или иной информации, которая меняется);
5. Если не прошло переименование организации-УЦ или её реорганизации;
6. Если не произошло внешних причин, вызвавших необъодимость сменить информацию в сертификате уполномоченного лица УЦ.


Теперь предельно понятно. В нашем случае директор УЦ более не работает в организации, КС не содержит ФИО и т.п. При соблюдении прочих условий сертификат можно не перевыпускать.
Еще раз СПАСИБО.
С Уважением...
Offline freecod  
#8 Оставлено : 10 февраля 2012 г. 16:21:43(UTC)
freecod

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.04.2010(UTC)
Сообщений: 57

maxx написал:
... При соблюдении прочих условий сертификат можно не перевыпускать.

Только не забывайте его раз в год перевыпускать, если у вас нет дорогущего шкафчика от КриптоПро ;)
Offline Юрий Маслов  
#9 Оставлено : 10 февраля 2012 г. 16:39:29(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
freecod написал:
maxx написал:
... При соблюдении прочих условий сертификат можно не перевыпускать.

Только не забывайте его раз в год перевыпускать, если у вас нет дорогущего шкафчика от КриптоПро ;)


А всё равно иных аналогов в России, кроме "дорогущего шкафчика " пока нет. Поэтому не надо говорить так... Мы сейчас ищем (уже практически нашли) иную аппаратную платформу, которая позволит существенно удешевить стоимость HSM. К сожалению, объем рынка HSMов в России не позволяет получить существенные скидки при приобретении комплектующих.
С уважением,
КРИПТО-ПРО
Offline Uatto  
#10 Оставлено : 17 сентября 2014 г. 13:19:37(UTC)
Uatto

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте!
1) А необходимо ли вообще официально назначать Уполномоченное лицо УЦ? Ведь в 63-ФЗ такое понятние отсутствует.
2) Поскольку ФСБ требует учитывать все ключевые документы, следовательно нужно учитывать и ключи ЦС, а значит и закреплять ответственность за конкретным лицом, которое будет хранить ключ ЦС (корневой ключ УЦ)?
3) Можно ли назначить Уполномоченным лицом директора (и нужно ли), если в документации на КриптоПро УЦ сказано:
"Описание ролей УЦ:
Администратор ЦС – уполномоченное лицо Удостоверяющего Центра, администратор специального программного обеспечения ЦС."
т.е. уполномоченным лицом следует назначать того, кто администрирует ЦС. А чтобы не считалось компрометацией увольнение этого лица - использовать неэкспортируемые ключи.
Поделитесь мнением, пожалуйста )
Offline chomper  
#11 Оставлено : 18 сентября 2014 г. 14:22:18(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Цитата:
1) А необходимо ли вообще официально назначать Уполномоченное лицо УЦ? Ведь в 63-ФЗ такое понятние отсутствует.

Смотря что Вы понимаете под "уполномоченным лицом УЦ". Если Вы имеете ввиду понятие, определенное в 1-ФЗ, то, учитывая, что 1-ФЗ уже не действует, то в этом смысле понятия уполномоченного лица УЦ уже не существует.

Цитата:
2) Поскольку ФСБ требует учитывать все ключевые документы, следовательно нужно учитывать и ключи ЦС, а значит и закреплять ответственность за конкретным лицом, которое будет хранить ключ ЦС (корневой ключ УЦ)?

В соответствии со ст. 14, п. 3 63-ФЗ:

Цитата:
Допускается не указывать в качестве владельца сертификата ключа проверки электронной подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа проверки электронной подписи, используемом для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе ....а также в иных случаях, предусмотренных федеральными законами ... Владельцем такого сертификата ключа проверки электронной подписи признается юридическое лицо, информация о котором содержится в таком сертификате.


Таким образом, корневой сертификат УЦ принадлежит юридическому лицу УЦ и в нем не указывается ФИО.

Цитата:
3) Можно ли назначить Уполномоченным лицом директора (и нужно ли), если в документации на КриптоПро УЦ сказано:
"Описание ролей УЦ:
Администратор ЦС – уполномоченное лицо Удостоверяющего Центра, администратор специального программного обеспечения ЦС."


Можно, но зачем?
В документации говорится об "уполномоченном лице" в смысле "сотрудника УЦ, уполномоченного приказом руководителя исполнять роль Администратора ЦС". Им может быть любой сотрудник УЦ, с соответствующей квалификацией.
Offline Uatto  
#12 Оставлено : 19 сентября 2014 г. 7:45:37(UTC)
Uatto

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Автор: chomper Перейти к цитате

Таким образом, корневой сертификат УЦ принадлежит юридическому лицу УЦ и в нем не указывается ФИО.

С этим согласен, но согласно инструкции ФАПСИ нужно учитывать все ключевые документы, а следовательно все-равно учитывать за каким работником закреплен ключ УЦ (как ключевой документ).
И тогда увольнение такого лица будет считаться компрометацией ключа УЦ и потребуется перевыпуск всех сертификатов, если я правильно все понимаю.

Автор: chomper Перейти к цитате

Можно, но зачем?
В документации говорится об "уполномоченном лице" в смысле "сотрудника УЦ, уполномоченного приказом руководителя исполнять роль Администратора ЦС". Им может быть любой сотрудник УЦ, с соответствующей квалификацией.

Верно, но в таком случае вероятность увольнения такого лица намного выше чем директора ) а значит и вероятность возникновения проблемы, описанной выше.
Offline chomper  
#13 Оставлено : 19 сентября 2014 г. 11:41:56(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Цитата:
С этим согласен, но согласно инструкции ФАПСИ нужно учитывать все ключевые документы, а следовательно все-равно учитывать за каким работником закреплен ключ УЦ (как ключевой документ).

Форма журнала является типовой, т.е. образцовой, являющейся моделью. На базе этого образца можно утвердить форму журнала, которая будет применяться в УЦ.
Тогда, в журнале ОКЗ (приложение 1) в столбце "От кого получены или Ф.И.О. сотрудника органа криптогра¬фической защиты, изготовившего ключевые документы" - указываете сотрудника УЦ, кто изготовил ключи для корневого сертификата, например, Администратор ЦС. А столбец "Кому разосланы (переданы)" может отсутствовать или можно оставить пустым, т.к. ключи в действительности никому и никуда не передавались, а были установлены в автоматизированную систему ЦС. Можно, конечно, указать ФИО того же Администратора ЦС, ведь он их сделал и он же установил в ЦС.
В журнале обладателя (приложение 2) в столбце "Отметка о подключении (установке)" - указываете ФИО Администратора ЦС, который произвел установку ключей в автоматизированную систему ЦС, а столбец "Отметка о выдаче" может отсутствовать или оставляете пустым или опять указываете здесь Администратора ЦС, т.к. описано выше.

Цитата:
И тогда увольнение такого лица будет считаться компрометацией ключа УЦ и потребуется перевыпуск всех сертификатов, если я правильно все понимаю.

Владельцем корневого сертификата и ключей является юридическое лицо - удостоверяющий центр, а значит автоматически вся ответственность за их конфиденциальность лежит на единоличном исполнительном органе в соответствии с уставом (например, директор). Увольнение администратора ЦС или директора не будет являться компрометацией ключа УЦ, т.к. они не являются его владельцем, в соответствии с ст. 14 п. 3 63-ФЗ.

Цитата:
Верно, но в таком случае вероятность увольнения такого лица намного выше чем директора ) а значит и вероятность возникновения проблемы, описанной выше.

В таком случае, директор должен сам изготоавливать ключи и производить их установку в ЦС, публиковать списки отзыва и выпускать сертификаты клиентам :)
thanks 1 пользователь поблагодарил chomper за этот пост.
Uatto оставлено 19.09.2014(UTC)
Offline Uatto  
#14 Оставлено : 23 сентября 2014 г. 7:36:05(UTC)
Uatto

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
chomper, пожалуй соглашусь, что ключ УЦ может выпускаться на ЮЛ. Единственное, что смущает, это цитата из Методических рекомендаций Минкомсвязи по составу КСКПЭП, о том что в поле CN пишется "Псевдоним удостоверяющего центра", а в примечании сказано: "Псевдоним аккредитованного удостоверяющего центра (псевдоним удостоверяющего центра) – наименование, идентифицирующее ДОВЕРЕННОЕ ЛИЦО аккредитованного УЦ, являющееся владельцем квалифицированного сертификата УЦ;". Хотя в требованиях фсб сказано: "Наименование удостоверяющего центра: <commonName>".
Offline Андрей Писарев  
#15 Оставлено : 23 сентября 2014 г. 8:56:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,729
Мужчина
Российская Федерация

Сказал «Спасибо»: 355 раз
Поблагодарили: 1404 раз в 1083 постах
Автор: Uatto Перейти к цитате
chomper, пожалуй соглашусь, что ключ УЦ может выпускаться на ЮЛ. Единственное, что смущает, это цитата из Методических рекомендаций Минкомсвязи по составу КСКПЭП, о том что в поле CN пишется "Псевдоним удостоверяющего центра", а в примечании сказано: "Псевдоним аккредитованного удостоверяющего центра (псевдоним удостоверяющего центра) – наименование, идентифицирующее ДОВЕРЕННОЕ ЛИЦО аккредитованного УЦ, являющееся владельцем квалифицированного сертификата УЦ;". Хотя в требованиях фсб сказано: "Наименование удостоверяющего центра: <commonName>".


Начните и закончите ответом на вопрос, что "выше".
Техническую поддержку оказываем тут
Наша база знаний
Offline chomper  
#16 Оставлено : 24 сентября 2014 г. 12:29:45(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Автор: Uatto Перейти к цитате
Единственное, что смущает, это цитата из Методических рекомендаций Минкомсвязи по составу КСКПЭП...


В последнем письме от Минсвязи они дали понять, что их "Методические рекомендации" более не действуют:

Цитата:
...в ЕСИА сохранена поддержка сертификатов, выпущенных УЦ с отклонением от требований Извещения ФСБ России, но в соответствии с действующим до публикации Извещения ФСБ России документом Минкомсвязи России "Методические рекомендации по составу квалифицированного сертификата ключа проверки электронной подписи"
Offline domnina  
#17 Оставлено : 13 сентября 2016 г. 11:27:36(UTC)
domnina

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.08.2016(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 8 раз
Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли?
Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо.
Offline moremore  
#18 Оставлено : 13 сентября 2016 г. 12:02:27(UTC)
moremore

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2014(UTC)
Сообщений: 70

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 9 раз в 8 постах
Автор: domnina Перейти к цитате
Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли?
Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо.


В анкете указывается информация об использующемся ПАК например "КриптоПро УЦ 1.5 (вариант исполнения 1)", по адресам публикации СОС думаю понятно, что писать. Для каждого ПАК заполняется такая таблица.
По генерации запроса на сертификата - если ранее уже проходили процедуру кроссертификации, то необходимо действовать по инструкции http://www.cryptopro.ru/...iles/docs/perevod-uc.pdf .
Offline domnina  
#19 Оставлено : 13 сентября 2016 г. 12:12:36(UTC)
domnina

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.08.2016(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 8 раз
Автор: moremore Перейти к цитате
Автор: domnina Перейти к цитате
Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли?
Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо.


В анкете указывается информация об использующемся ПАК например "КриптоПро УЦ 1.5 (вариант исполнения 1)", по адресам публикации СОС думаю понятно, что писать. Для каждого ПАК заполняется такая таблица.
По генерации запроса на сертификата - если ранее уже проходили процедуру кроссертификации, то необходимо действовать по инструкции http://www.cryptopro.ru/...iles/docs/perevod-uc.pdf .


Спасибо за ответ, только УЦ с нуля создается. Как действовать тогда?
Offline moremore  
#20 Оставлено : 13 сентября 2016 г. 12:19:16(UTC)
moremore

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2014(UTC)
Сообщений: 70

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 9 раз в 8 постах
Автор: domnina Перейти к цитате
Автор: moremore Перейти к цитате
Автор: domnina Перейти к цитате
Здравствуйте! Заполняем анкету для получения корневого сертификата. Расскажите, пожалуйста, что писать в п. Программно-аппаратные комплексы и какие запросы на сертификаты необходимо создавать? Необходимо заново добавлять роли?
Извиняюсь, если не по адресу или где-то уже это обсуждалось. Заранее спасибо.


В анкете указывается информация об использующемся ПАК например "КриптоПро УЦ 1.5 (вариант исполнения 1)", по адресам публикации СОС думаю понятно, что писать. Для каждого ПАК заполняется такая таблица.
По генерации запроса на сертификата - если ранее уже проходили процедуру кроссертификации, то необходимо действовать по инструкции http://www.cryptopro.ru/...iles/docs/perevod-uc.pdf .


Спасибо за ответ, только УЦ с нуля создается. Как действовать тогда?


При установке ПАК на этапе "Установка службы сертификации" какую роль ЦС выбирали?

Отредактировано пользователем 13 сентября 2016 г. 12:19:52(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.