Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

21 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline LD  
#1 Оставлено : 1 февраля 2012 г. 22:14:14(UTC)
LD

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2012(UTC)
Сообщений: 4
Откуда: Москва

Добрый день!
Мы ваши партнеры - разработчики софта. Подскажите, где можно посмотреть форматы сертификатов для физических и юридических лиц, соответствующие требованиям 63-ФЗ?
Offline Андрей Писарев  
#2 Оставлено : 1 февраля 2012 г. 22:26:44(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,889
Мужчина
Российская Федерация

Сказал «Спасибо»: 363 раз
Поблагодарили: 1431 раз в 1105 постах
LD написал:
Добрый день!
Мы ваши партнеры - разработчики софта. Подскажите, где можно посмотреть форматы сертификатов для физических и юридических лиц, соответствующие требованиям 63-ФЗ?


формат? x509

Новые требования к сертификату от Минкомсвязи

+ http://www.rg.ru/2011/04/08/podpis-dok.html

Отредактировано пользователем 1 февраля 2012 г. 22:34:12(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Юрий Маслов  
#3 Оставлено : 2 февраля 2012 г. 11:00:23(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
LD написал:
Добрый день!
Мы ваши партнеры - разработчики софта. Подскажите, где можно посмотреть форматы сертификатов для физических и юридических лиц, соответствующие требованиям 63-ФЗ?


На данный момент отсутствует утверждённый нормативный акт, определяющий формат сертификата в соответствии с 63-ФЗ. Есть только проект. Это проект приказа ФСБ России. В соответствии с 63-ФЗ, именно ФСБ должно определить форму (формат) квалифицированного сертификата ключа проверки электронной подписи, а ни какой иной орган. Проект опубликован тут http://www.fsb.ru/fsb/np...3D10436284%40fsbNpa.html . Прямая ссылка - http://www.fsb.ru/files/...t/sertifkey_26102011.pdf

Отредактировано пользователем 2 февраля 2012 г. 11:02:55(UTC)  | Причина: Не указана

С уважением,
КРИПТО-ПРО
Offline Юрий Маслов  
#4 Оставлено : 2 февраля 2012 г. 11:02:08(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах


Коллега!

Прошу Вас не вводить в заблуждение посетителей данного форума неправильными ответами!
С уважением,
КРИПТО-ПРО
Offline LD  
#5 Оставлено : 2 февраля 2012 г. 14:10:59(UTC)
LD

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2012(UTC)
Сообщений: 4
Откуда: Москва

Спасибо!
Не могли бы вы предоставить примеры тестовых квалифицированных сертификатов для физических и юридических лиц, соответствующих требованиям 63-ФЗ, для использования их в процессе разработки и тестирования нашей системы. В тестовом центре сертификации http://cryptopro.ru/certsrv/ получить такие сертификаты не удалось.
Offline Alexey I  
#6 Оставлено : 2 февраля 2012 г. 14:25:19(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 125
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 27 раз в 20 постах
Уточнение.
Приказ ФСБ РФ от 27 декабря 2011 г. N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи"
Зарегистрировано в Минюсте РФ 27 января 2012 г.
Регистрационный N 23041
Цитата:
В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля
2011 г. N 63-ФЗ "Об электронной подписи"* приказываю
утвердить Требования к форме квалифицированного сертификата ключа
проверки электронной подписи (прилагаются).

Директор А.Бортников


Цитата:
Объектный идентификатор дополнения certificatePolicies имеет вид
2.5.29.32.
27. Для обозначения класса средств ЭП владельца квалифицированного
сертификата должны применяться следующие идентификаторы:
- 1.2.643.100.113.1 - класс средства ЭП КС 1,
- 1.2.643.100.113.2 - класс средства ЭП КС2,
- 1.2.643.100.113.3 - класс средства ЭП КС3,
- 1.2.643.100.113.4 - класс средства ЭП КВ1,
- 1.2.643.100.113.5 - класс средства ЭП КВ2,
- 1.2.643.100.113.6 - класс средства ЭП КА1.
28. Сведения о классе средств ЭП владельца квалифицированного
сертификата должны быть указаны в дополнении certificatePolicies путем
включения следующих идентификаторов:
- для класса средств ЭП КС 1: 1.2.643.100.113.1,
- для класса средств ЭП КС2: 1.2.643.100.113.1, 1.2.643.100.113.2,
- для класса средств ЭП КС3: 1.2.643.100.113.1, 1.2.643.100.113.2,
1.2.643.100.113.3,
- для класса средств ЭП КВ1: 1.2.643.100.113.1, 1.2.643.100.113.2,
1.2.643.100.113.3, 1.2.643.100.113.4,
- для класса средств ЭП КВ2: 1.2.643.100.113.1, 1.2.643.100.113.2,
1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,
- для класса средств ЭП КА1: 1.2.643.100.113.1, 1.2.643.100.113.2,
1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,
1.2.643.100.113.6.
Для средств ЭП, класс которых отличается от класса средств УЦ, в
которых используются указанные средства ЭП, следует указывать
идентификаторы для класса средств ЭП, соответствующего классу средств УЦ.
29. Для указания в квалифицированном сертификате наименования
используемого владельцем квалифицированного сертификата средства ЭП
должно использоваться некритичное дополнение subjectSignTool типа
UTF8String SIZE(1..200), объектный идентификатор которого имеет вид
1.2.643.100.111.



Вопрос: Описание как правильно реализовать п.26 - п.29 на УЦ 1.5 (сборки ниже 1000) будет?
Offline Юрий Маслов  
#7 Оставлено : 2 февраля 2012 г. 14:29:30(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
LD написал:
Спасибо!
Не могли бы вы предоставить примеры тестовых квалифицированных сертификатов для физических и юридических лиц, соответствующих требованиям 63-ФЗ, для использования их в процессе разработки и тестирования нашей системы. В тестовом центре сертификации http://cryptopro.ru/certsrv/ получить такие сертификаты не удалось.


Пока не делали тестовых сертификатов. Требования слишком настраиваемые (много опциональных расширений) под разные случаи из жизни. Мы сделали ПАК "КриптоПро УЦ" версии 1.5 R2, настройки которого позволяют изготовить сертификат под любые вариации, удовлетворяющий проекту приказа ФСБ.

Тестовый центр сертификации http://cryptopro.ru/certsrv/ это не ПАК "КриптоПро УЦ" версии 1.5 R2, поэтому на нём сделать и не получиться.
С уважением,
КРИПТО-ПРО
Offline LD  
#8 Оставлено : 2 февраля 2012 г. 18:38:23(UTC)
LD

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2012(UTC)
Сообщений: 4
Откуда: Москва

Спасибо!
Очень жаль.
Offline Юрий Маслов  
#9 Оставлено : 2 февраля 2012 г. 18:52:40(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
LD написал:
Спасибо!
Очень жаль.


Как сделаем я Вам сообщу!
С уважением,
КРИПТО-ПРО
Offline Юрий Маслов  
#10 Оставлено : 3 февраля 2012 г. 13:02:28(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
LD написал:
Спасибо!
Очень жаль.


Вот примеры сертификатов. Для правильного отображения новых расширений в окне сертификата требуется регистрация обработчиков (они войдут в дистрибутивы нового CSP - 3.6 R3 и новой версии УЦ - 1.5 R2).
Вложение(я):
myroot.cer (1kb) загружен 227 раз(а).
Организация.cer (2kb) загружен 343 раз(а).
Физлицо.cer (2kb) загружен 263 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
С уважением,
КРИПТО-ПРО
Offline LD  
#11 Оставлено : 3 февраля 2012 г. 14:01:12(UTC)
LD

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2012(UTC)
Сообщений: 4
Откуда: Москва

Большое спасибо!
Offline ssm_2005  
#12 Оставлено : 6 февраля 2012 г. 16:02:31(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Просмотрел примеры серитификатов КриптоПро. Прошу уточнить:
1. Почему в сертификате организации отсутствует компонент имени streetAdrdress? В то же время там присутствуют organizationName и Email?
2. Почему в streetAddress указан город, а не только улица и дом?
(см. Приложение 2 к "Требованиям к форме квалифицированного сертификата ключа проверки электронной подписи")
3. Известны ли какие-нибудь рекомендации илил требования по форматам наименований улиц?
Anxious
С уважением,
Сергей
Offline Юрий Маслов  
#13 Оставлено : 6 февраля 2012 г. 16:52:53(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
ssm_2005 написал:
Просмотрел примеры серитификатов КриптоПро. Прошу уточнить:
1. Почему в сертификате организации отсутствует компонент имени streetAdrdress? В то же время там присутствуют organizationName и Email?
2. Почему в streetAddress указан город, а не только улица и дом?
(см. Приложение 2 к "Требованиям к форме квалифицированного сертификата ключа проверки электронной подписи")
3. Известны ли какие-нибудь рекомендации илил требования по форматам наименований улиц?
Anxious


Отвечаю на Ваши вопросы с сохранением их нумерации:
1. А где написано, что компонент имени streetAdrdress является обязательным для сертификата юридического лица? В "Требованиях...", утверждённых Приказом ФСБ РФ ОТ 27 декабря 2011 Г. N 795 такого указания нет. И почему бы в сертификате юридического лице не быть organizationName и Email? Обязательного его отсутвия тоже нет! На наш взгляд, указание Email должно быть обязательным т.к. нужно для оперативной коммуникации с владельцем сертификата (в данном случае с ЮЛ). Указание organizationName тоже является обязательным т.к. лицу, проверяющему электронному подпись нужно знать наименование владельца сертификата без поиска в ЕГРЮЛ. А вот streetAdrdress думаю не обязательно указывать. Ибо согласно пункта 17 "Требований..." в streetAdrdress заносится часть адреса местанахождения владельца сертификата, а не юридический адрес. Адрес местанождения достаточно часто меняется (в зависимости от размера арендной платы и т.д.). Что теперь, все сертификаты менять?! :-)
2. Согласно пункта 17 "Требований..." в streetAdrdress заносится улица, номер дома и т.д. Но не заносится наименование города! А почему у нас наименование города занесено? Потому что сертификат тестовый!
3. Рекомендации по применению "Требований...", а так же по наименованию улиц и иных объектов, участвующих в значениях компонент имени владельца сертификата ОТСУТСТВУЮТ. И это очень жаль... :-(
С уважением,
КРИПТО-ПРО
Offline Юрий  
#14 Оставлено : 6 февраля 2012 г. 17:39:02(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 667
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 2 раз
Поблагодарили: 93 раз в 67 постах
Насчет использования Email непосредственно при кодировании RDN есть несколько мнений, лично я e-mail предпочитаю кодировать отдельным расширением с OID "2.5.29.19" (RFC822 Name).
Насчет использования различных streetAddress и прочая - рекомендую посмотреть ITU X.520, благо это стандарт сейчас находится в свободном доступе.

Отредактировано пользователем 6 февраля 2012 г. 17:40:50(UTC)  | Причина: Не указана

С уважением,
Юрий Строжевский
Offline ssm_2005  
#15 Оставлено : 6 февраля 2012 г. 17:56:21(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Юрий Маслов написал:
1. А где написано, что компонент имени streetAdrdress является обязательным для сертификата юридического лица?
Указание organizationName тоже является обязательным т.к. лицу, проверяющему электронному подпись нужно знать наименование владельца сертификата без поиска в ЕГРЮЛ.
А вот streetAdrdress думаю не обязательно указывать.


А как с этим быть?

Приложение N 2
к Требованиям (п. 32)

Общий вид квалифицированного сертификата на бумажном носителе
для владельца - юридического лица

Номер квалифицированного сертификата: <serialNumber>
Действие квалифицированного сертификата: с <notBefore>
по <notAfter>

Сведения о владельце квалифицированного сертификата

Наименование юридического лица: <commonName>
Основной государственный регистрационный номер: <OGRN>
Идентификационный номер налогоплательщика: <INN>
Место нахождения юридического лица: <countryName>,
<stateOrProvinceName>, <localityName>, <streetAddress>
* Уполномоченный представитель юридического лица: <title> <surname>
<givenName>
С уважением,
Сергей
Offline ssm_2005  
#16 Оставлено : 6 февраля 2012 г. 17:57:51(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Символом "*" отмечены поля, которые в квалифицированном сертификате
могут отсутствовать.
Соответственно, все остальные обязательные
С уважением,
Сергей
Offline Юрий Маслов  
#17 Оставлено : 6 февраля 2012 г. 17:58:00(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Юрий написал:
Насчет использования Email непосредственно при кодировании RDN есть несколько мнений, лично я e-mail предпочитаю кодировать отдельным расширением с OID "2.5.29.19" (RFC822 Name).
Насчет использования различных streetAddress и прочая - рекомендую посмотреть ITU X.520, благо это стандарт сейчас находится в свободном доступе.


В данном топике, рассматриваются не стандартные атрибуты имени, которые описаны в рекомендации Х.520 и т.д., а те атрибуты, которые определены для квалифицированного сертификата ключа проверки подписи согласно "Требованиям...", утверждённым ФСБ России. А тут есть отличия :-)

С уважением,
КРИПТО-ПРО
Offline Юрий  
#18 Оставлено : 6 февраля 2012 г. 18:01:41(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 667
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 2 раз
Поблагодарили: 93 раз в 67 постах
Юрий Маслов написал:
Юрий написал:
Насчет использования Email непосредственно при кодировании RDN есть несколько мнений, лично я e-mail предпочитаю кодировать отдельным расширением с OID "2.5.29.19" (RFC822 Name).
Насчет использования различных streetAddress и прочая - рекомендую посмотреть ITU X.520, благо это стандарт сейчас находится в свободном доступе.


В данном топике, рассматриваются не стандартные атрибуты имени, которые описаны в рекомендации Х.520 и т.д., а те атрибуты, которые определены для квалифицированного сертификата ключа проверки подписи согласно "Требованиям...", утверждённым ФСБ России. А тут есть отличия :-)



У меня просто нет сомнения, что "пояснения от ФСБ" будут совершенно идентичны пояснениям из X.520 :)
С уважением,
Юрий Строжевский
Offline Юрий Маслов  
#19 Оставлено : 6 февраля 2012 г. 18:15:09(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
ssm_2005 написал:
Символом "*" отмечены поля, которые в квалифицированном сертификате
могут отсутствовать.
Соответственно, все остальные обязательные


Коллега! Вы что-то перепутали.
1) Ваше заявление "Символом "*" отмечены поля, которые в квалифицированном сертификате могут отсутствовать. Соответственно, все остальные обязательные" сделано не на основе "Требований...". Там таких указаний нет. По крайней мере я не нашёл. Постарайтесь меня убедить в обратном...
2) Мне кажется, Вы считаете, что в Приложении № 2 приведена распечатка (копия) сертификата на бумажном носителе. Если так, то Вы ошибаетесь. Как и в пункте 2) статьи 2 63-ФЗ "Об ЭП" дано определение "сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе..." так и в "Требованиях..." определено, что "сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе...". Если я правильно прочитал в Толковом словаре Ожегова и если меня правильно учили на уроках русского языка в школе, то союз ИЛИ - это союз , который соединяет два или несколько предложений, а также однородные члены предложения, находящиеся в отношениях взаимоисключения.
Таким образом, в "Требованиях...", в приложении 2 говорится о о том, когда Вы сертификат делаете в форме бумажного документа, а не в форме электронного. Наверное, есть такие изыскию. В жизни не встречал, но в 1-ФЗ "Об ЭЦП" и 63-ФЗ "Об ЭП" такая уникальная форма мазохизма присутствует. Поэтому и в "Требованиях..." нашла отражение...
С уважением,
КРИПТО-ПРО
Offline Юрий Маслов  
#20 Оставлено : 6 февраля 2012 г. 18:24:13(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Юрий написал:
Юрий Маслов написал:
Юрий написал:
Насчет использования Email непосредственно при кодировании RDN есть несколько мнений, лично я e-mail предпочитаю кодировать отдельным расширением с OID "2.5.29.19" (RFC822 Name).
Насчет использования различных streetAddress и прочая - рекомендую посмотреть ITU X.520, благо это стандарт сейчас находится в свободном доступе.


В данном топике, рассматриваются не стандартные атрибуты имени, которые описаны в рекомендации Х.520 и т.д., а те атрибуты, которые определены для квалифицированного сертификата ключа проверки подписи согласно "Требованиям...", утверждённым ФСБ России. А тут есть отличия :-)



У меня просто нет сомнения, что "пояснения от ФСБ" будут совершенно идентичны пояснениям из X.520 :)


Ну если в Х.520 найдутся атрибуты имени OGRN и SNILS и INN то согласен, будут совершенно идентичны. А так извините, уже будут отличаться :-)

По стандартным атрибутам - да, согласен будут из X.520. Но в Х.520 нет ответов на вопросы типа:
- если владельцем является индивидуальный предприниматель, то что указывается в commonName? ФИО физического лица или контструкция типа "ИП Иванова И.И."?
- если владельцем является индивидуальный предприниматель, то что сертификат должен содержать: только СНИЛС или только ИНН или и СНИЛС и ИНН?
- если сертификат выдан на юридическое лицо, допустимо ли отсутствие атрибута organizationUnitName или title?
- если сертификат выдан на физическое лицо, допустимо ли отсутствие атрибута адреса для этого физического лица?
- и ещё много вопросов...

Вот, что сейчас волнует специалистов. Вот какие "пояснения от ФСБ" мы надеемся увидеть:-)
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
21 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.