Atom Лента - Форум КриптоПро - Тема:Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Juridicheskijjvopros,doveriekotvetamOCSP+TSPnevydavavshimsertifikatkotorymproizvedenapodpis'-10:1Copyright 2024 Форум КриптоПро2024-03-28T18:34:08Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruAlexey Ihttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1509&name=Alexey IAlexey Ihttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1509&name=Alexey Iredu4https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=39892&name=redu4Alexey Ihttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1509&name=Alexey Iredu4https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=39892&name=redu4Alexey Ihttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1509&name=Alexey Iredu4https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=39892&name=redu4basidhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=8162&name=basidАндрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *basidhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=8162&name=basidAlexey Ihttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=1509&name=Alexey IYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid101233:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101178#post101178"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>а нельзя просто синхронизировать время по ntp с например ntp.msk-ix.ru ?<br /></div></div><br /><br />В этом случае будет подключение TSP сервера к сети Интернет. Лучше поднять свой NTP сервер и разместить в <a rel="nofollow" href="https://ru.wikipedia.org/wiki/DMZ_(%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B8)" title="https://ru.wikipedia.org/wiki/DMZ_(%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B8)">DMZ</a> (он будет синхронизироваться с внешним ntp) и уже от своего ntp сервера синхронизировать время с TSP сервером (все равно через сертифицированный межсетевой экран)</td></tr></table>2019-03-13T14:58:00+03:002019-03-13T14:58:00+03:00Alexey I<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101178#post101178"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>а нельзя просто синхронизировать время по ntp с например ntp.msk-ix.ru ?<br /></div></div><br /><br />В этом случае будет подключение TSP сервера к сети Интернет. Лучше поднять свой NTP сервер и разместить в <a rel="nofollow" href="https://ru.wikipedia.org/wiki/DMZ_(%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B8)" title="https://ru.wikipedia.org/wiki/DMZ_(%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B8)">DMZ</a> (он будет синхронизироваться с внешним ntp) и уже от своего ntp сервера синхронизировать время с TSP сервером (все равно через сертифицированный межсетевой экран)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101178:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey I <a href="/forum2/default.aspx?g=posts&m=101168#post101168"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101159#post101159"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер для обращения к нему - дополнительно купить клиентскую лицензию на tsp.</div></div><br />+ Часовая станция ведения единого времени (поверенная)+ обеспечение ИБ TSP сервера + сопровождение (инфраструктура и ИБ).<br />Возможно проще использовать TSP от УЦ как клиенту (можно и по защищенным каналам связи, на основе соглашений).<br />Лицензия вроде не нужна, если будет использовать для собственных нужд или привлечете лицензиата.<br /><br />Насчет SVS, встраивания и "доказывать то что все пункты пройдены", полагаю разработчики (в т.ч. с КРИПТО-ПРО) грамотнее ответят :)</div></div><br />а нельзя просто синхронизировать время по ntp с например ntp.msk-ix.ru ?<br /></td></tr></table>2019-03-12T09:44:50+03:002019-03-12T09:44:50+03:00redu4<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey I <a href="/forum2/default.aspx?g=posts&m=101168#post101168"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101159#post101159"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер для обращения к нему - дополнительно купить клиентскую лицензию на tsp.</div></div><br />+ Часовая станция ведения единого времени (поверенная)+ обеспечение ИБ TSP сервера + сопровождение (инфраструктура и ИБ).<br />Возможно проще использовать TSP от УЦ как клиенту (можно и по защищенным каналам связи, на основе соглашений).<br />Лицензия вроде не нужна, если будет использовать для собственных нужд или привлечете лицензиата.<br /><br />Насчет SVS, встраивания и "доказывать то что все пункты пройдены", полагаю разработчики (в т.ч. с КРИПТО-ПРО) грамотнее ответят :)</div></div><br />а нельзя просто синхронизировать время по ntp с например ntp.msk-ix.ru ?<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101168:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101159#post101159"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер для обращения к нему - дополнительно купить клиентскую лицензию на tsp.</div></div><br />+ Часовая станция ведения единого времени (поверенная)+ обеспечение ИБ TSP сервера + сопровождение (инфраструктура и ИБ).<br />Возможно проще использовать TSP от УЦ как клиенту (можно и по защищенным каналам связи, на основе соглашений).<br />Лицензия вроде не нужна, если будет использовать для собственных нужд или привлечете лицензиата.<br /><br />Насчет SVS, встраивания и "доказывать то что все пункты пройдены", полагаю разработчики (в т.ч. с КРИПТО-ПРО) грамотнее ответят :)</td></tr></table>2019-03-11T19:43:59+03:002019-03-11T19:43:59+03:00Alexey I<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101159#post101159"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер для обращения к нему - дополнительно купить клиентскую лицензию на tsp.</div></div><br />+ Часовая станция ведения единого времени (поверенная)+ обеспечение ИБ TSP сервера + сопровождение (инфраструктура и ИБ).<br />Возможно проще использовать TSP от УЦ как клиенту (можно и по защищенным каналам связи, на основе соглашений).<br />Лицензия вроде не нужна, если будет использовать для собственных нужд или привлечете лицензиата.<br /><br />Насчет SVS, встраивания и "доказывать то что все пункты пройдены", полагаю разработчики (в т.ч. с КРИПТО-ПРО) грамотнее ответят :)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101159:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey I <a href="/forum2/default.aspx?g=posts&m=101154#post101154"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101147#post101147"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.<br />поэтому и начинается вся свистопляска со своим OCSP и TSP серверами<br /></div></div><br />Если нет своего УЦ, берете на свою организацию сертификат в любом АУЦ, который предоставляет возможность работы с OCSP и TSP, вам нужны будут только клиентские лицензии OCSP и TSP. Далее дорабатываете информационную систему, чтобы была возможность проверять (возможно в автоматическом режиме)ЭП документов пользователей, заверять документы (или пакет документов) усовершенствованной ЭП и отправлять в БД "на хранение".<br />В этом случае, по сути, будут исполняться функции доверенной третьей стороны из законопроекта <a rel="nofollow" href="https://regulation.gov.ru/projects#npa=83642" title="https://regulation.gov.ru/projects#npa=83642">https://regulation.gov.ru/projects#npa=83642</a><br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br /><em>17) доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами;<br />18) средства доверенной третьей стороны – программные и (или) аппаратные средства, используемые для оказания услуг доверенной третьей стороной, прошедшие процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;<br />19) метка доверенного времени – информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в установленном Правительством Российской Федерации порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;</em><br /></div></div><br /></div></div><br /><br />Если все обобщить по всем темам, то : Если у сертификата нет OCSP - усовершенствовать его до X long Type 1 нельзя(максимум что можно - cades-t), можно только заверить своим сертификатом(с прописанным внутри него OCSP сервером) - при этом купив соответственно клиентскую лицензию на ocsp.<br />Если есть OCSP в сертификате - на сервере нужна клиентская лицензия на ocsp для усовершенствования до x long type 1.<br />Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер + для обращения к нему - дополнительно купить клиентскую лицензию на tsp.<br />Разницы в том - чьим сертификатом подписывает TSP - нет.<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ?<br />Лицензии или сертификаты соответствия? По встраиванию были темы на форуме, например, <a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221">Какое ПО нуждается в сертификации? </a><br />Есть ещё темы:<br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971">Долгосрочное хранение документов</a><br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595">Обеспечению юридической значимости при долговременном хранении (50 лет и более)</a><br /></div></div><br />Мы можем купить крипто про SVS - и тогда лицензия на это ПО будет гарантом того что проверка "прошла".<br /><br />Если не покупаем :<br />Лицензия ФСБ на криптографию и шифрование - хотя шифрование происходит на стороне клиента, сервер только проверяет подпись и по возможности усовершенствует.<br />про встраивание - предполагается использовать серверный КриптоПро .NET на сервере(для генерации хэша) - "использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP" и крипто про браузер плагин на клиенте для подписи.<br /><br />Если мы не покупаем криптопро SVS, а пишем свой проверяльщик в соответствие с пунктами что он должен делать. Как доказывать то что все пункты пройдены ? Делать как в крипто-арме "печатную форму" по статусу проверки + подписывать своей ЭЦП ?</td></tr></table>2019-03-11T15:22:59+03:002019-03-11T15:22:59+03:00redu4<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey I <a href="/forum2/default.aspx?g=posts&m=101154#post101154"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101147#post101147"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.<br />поэтому и начинается вся свистопляска со своим OCSP и TSP серверами<br /></div></div><br />Если нет своего УЦ, берете на свою организацию сертификат в любом АУЦ, который предоставляет возможность работы с OCSP и TSP, вам нужны будут только клиентские лицензии OCSP и TSP. Далее дорабатываете информационную систему, чтобы была возможность проверять (возможно в автоматическом режиме)ЭП документов пользователей, заверять документы (или пакет документов) усовершенствованной ЭП и отправлять в БД "на хранение".<br />В этом случае, по сути, будут исполняться функции доверенной третьей стороны из законопроекта <a rel="nofollow" href="https://regulation.gov.ru/projects#npa=83642" title="https://regulation.gov.ru/projects#npa=83642">https://regulation.gov.ru/projects#npa=83642</a><br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br /><em>17) доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами;<br />18) средства доверенной третьей стороны – программные и (или) аппаратные средства, используемые для оказания услуг доверенной третьей стороной, прошедшие процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;<br />19) метка доверенного времени – информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в установленном Правительством Российской Федерации порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;</em><br /></div></div><br /></div></div><br /><br />Если все обобщить по всем темам, то : Если у сертификата нет OCSP - усовершенствовать его до X long Type 1 нельзя(максимум что можно - cades-t), можно только заверить своим сертификатом(с прописанным внутри него OCSP сервером) - при этом купив соответственно клиентскую лицензию на ocsp.<br />Если есть OCSP в сертификате - на сервере нужна клиентская лицензия на ocsp для усовершенствования до x long type 1.<br />Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер + для обращения к нему - дополнительно купить клиентскую лицензию на tsp.<br />Разницы в том - чьим сертификатом подписывает TSP - нет.<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ?<br />Лицензии или сертификаты соответствия? По встраиванию были темы на форуме, например, <a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221">Какое ПО нуждается в сертификации? </a><br />Есть ещё темы:<br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971">Долгосрочное хранение документов</a><br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595">Обеспечению юридической значимости при долговременном хранении (50 лет и более)</a><br /></div></div><br />Мы можем купить крипто про SVS - и тогда лицензия на это ПО будет гарантом того что проверка "прошла".<br /><br />Если не покупаем :<br />Лицензия ФСБ на криптографию и шифрование - хотя шифрование происходит на стороне клиента, сервер только проверяет подпись и по возможности усовершенствует.<br />про встраивание - предполагается использовать серверный КриптоПро .NET на сервере(для генерации хэша) - "использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP" и крипто про браузер плагин на клиенте для подписи.<br /><br />Если мы не покупаем криптопро SVS, а пишем свой проверяльщик в соответствие с пунктами что он должен делать. Как доказывать то что все пункты пройдены ? Делать как в крипто-арме "печатную форму" по статусу проверки + подписывать своей ЭЦП ?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101154:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101147#post101147"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.<br />поэтому и начинается вся свистопляска со своим OCSP и TSP серверами<br /></div></div><br />Если нет своего УЦ, берете на свою организацию сертификат в любом АУЦ, который предоставляет возможность работы с OCSP и TSP, вам нужны будут только клиентские лицензии OCSP и TSP. Далее дорабатываете информационную систему, чтобы была возможность проверять (возможно в автоматическом режиме)ЭП документов пользователей, заверять документы (или пакет документов) усовершенствованной ЭП и отправлять в БД "на хранение".<br />В этом случае, по сути, будут исполняться функции доверенной третьей стороны из законопроекта <a rel="nofollow" href="https://regulation.gov.ru/projects#npa=83642" title="https://regulation.gov.ru/projects#npa=83642">https://regulation.gov.ru/projects#npa=83642</a><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><em>17) доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами;<br />18) средства доверенной третьей стороны – программные и (или) аппаратные средства, используемые для оказания услуг доверенной третьей стороной, прошедшие процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;<br />19) метка доверенного времени – информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в установленном Правительством Российской Федерации порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;</em><br /></div></div><br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101147#post101147"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ? </div></div><br />Лицензии или сертификаты соответствия? По встраиванию были темы на форуме, например, <a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221">Какое ПО нуждается в сертификации? </a><br />Есть ещё темы:<br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971">Долгосрочное хранение документов</a><br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595">Обеспечению юридической значимости при долговременном хранении (50 лет и более)</a><br /></td></tr></table>2019-03-11T13:51:38+03:002019-03-11T13:51:38+03:00Alexey I<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101147#post101147"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.<br />поэтому и начинается вся свистопляска со своим OCSP и TSP серверами<br /></div></div><br />Если нет своего УЦ, берете на свою организацию сертификат в любом АУЦ, который предоставляет возможность работы с OCSP и TSP, вам нужны будут только клиентские лицензии OCSP и TSP. Далее дорабатываете информационную систему, чтобы была возможность проверять (возможно в автоматическом режиме)ЭП документов пользователей, заверять документы (или пакет документов) усовершенствованной ЭП и отправлять в БД "на хранение".<br />В этом случае, по сути, будут исполняться функции доверенной третьей стороны из законопроекта <a rel="nofollow" href="https://regulation.gov.ru/projects#npa=83642" title="https://regulation.gov.ru/projects#npa=83642">https://regulation.gov.ru/projects#npa=83642</a><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><em>17) доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами;<br />18) средства доверенной третьей стороны – программные и (или) аппаратные средства, используемые для оказания услуг доверенной третьей стороной, прошедшие процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;<br />19) метка доверенного времени – информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в установленном Правительством Российской Федерации порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;</em><br /></div></div><br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101147#post101147"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ? </div></div><br />Лицензии или сертификаты соответствия? По встраиванию были темы на форуме, например, <a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=10221">Какое ПО нуждается в сертификации? </a><br />Есть ещё темы:<br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12971">Долгосрочное хранение документов</a><br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8595">Обеспечению юридической значимости при долговременном хранении (50 лет и более)</a><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101147:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)<br /><br />Тут ответственность:<br />- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";<br />- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;<br />- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.<br /></div></div><br /><br />рассматриваем только принимающую сторону, тк в законе есть что владелец ЭП несет всю ответственность за её использование(в т.ч. несанкционированное)<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />Варианты :<br />1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию<br />Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет. <br />Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.<br />Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".<br /></div></div> <br /><br />доверяем всем УЦ от мин.ком связи + список приостановленных УЦ<br />своего УЦ нет<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?<br />В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.<br /></div></div><br /><br />этот риск понятен, <br />тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.<br />поэтому и начинается вся свистопляска со своим OCSP и TSP серверами<br />Допустим - это не корректно, тогда нужно знать все адреса OCSP и TSP серверов УЦ которым мы доверяем(списку мин.ком связи) чтобы отправлять запросы на те сервера где ЭЦП выдана<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?<br />В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.<br /></div></div><br />требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ? </td></tr></table>2019-03-11T10:44:52+03:002019-03-11T10:44:52+03:00redu4<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)<br /><br />Тут ответственность:<br />- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";<br />- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;<br />- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.<br /></div></div><br /><br />рассматриваем только принимающую сторону, тк в законе есть что владелец ЭП несет всю ответственность за её использование(в т.ч. несанкционированное)<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />Варианты :<br />1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию<br />Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет. <br />Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.<br />Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".<br /></div></div> <br /><br />доверяем всем УЦ от мин.ком связи + список приостановленных УЦ<br />своего УЦ нет<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?<br />В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.<br /></div></div><br /><br />этот риск понятен, <br />тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.<br />поэтому и начинается вся свистопляска со своим OCSP и TSP серверами<br />Допустим - это не корректно, тогда нужно знать все адреса OCSP и TSP серверов УЦ которым мы доверяем(списку мин.ком связи) чтобы отправлять запросы на те сервера где ЭЦП выдана<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote><br />4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?<br />В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.<br /></div></div><br />требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ? </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101141:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer_Alt" width="100%"><tr><td>Хорошо, возможно я неправ, факт остаётся фактом - отметки времени в CADES-BES нельзя доверять.</td></tr></table>2019-03-10T17:09:58+03:002019-03-10T17:09:58+03:00basid<table class="content postContainer_Alt" width="100%"><tr><td>Хорошо, возможно я неправ, факт остаётся фактом - отметки времени в CADES-BES нельзя доверять.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101138:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer" width="100%"><tr><td>Здравствуйте.<br /><br /><div class="quote"><span class="quotetitle">Автор: basid <a href="/forum2/default.aspx?g=posts&m=101136#post101136"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> Отталкивайтесь от того, что в CADES-BES время подписания находится среди неподписанных атрибутов и, технически, может быть легко подделано. <br /></div></div><br /><br />basid, а можно пример такой подписи?<br /><br />Не встречал время в неподписанных атрибутах, обычно записывают в ту же структуру, что и messageDigest, комментарий и другие данные и любые изменения (времени\комментария) - приводят к "неправильная подпись".<br /><br />В CADES-BES время подписания - это атрибут, добавленый на стороне подписанта (локальное время или время полученное с сервера "точного времени") - и в случае помещения в подписанные атрибуты - подписывается самим <strong>подписантом</strong> - именно в этом проблема, которую и решает третья сторона - доверенный TSP-сервис.<br /><br /><br />[attach]7067[/attach]</td></tr></table>2019-03-10T10:40:50+03:002019-03-10T10:40:50+03:00Андрей *<table class="content postContainer" width="100%"><tr><td>Здравствуйте.<br /><br /><div class="quote"><span class="quotetitle">Автор: basid <a href="/forum2/default.aspx?g=posts&m=101136#post101136"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> Отталкивайтесь от того, что в CADES-BES время подписания находится среди неподписанных атрибутов и, технически, может быть легко подделано. <br /></div></div><br /><br />basid, а можно пример такой подписи?<br /><br />Не встречал время в неподписанных атрибутах, обычно записывают в ту же структуру, что и messageDigest, комментарий и другие данные и любые изменения (времени\комментария) - приводят к "неправильная подпись".<br /><br />В CADES-BES время подписания - это атрибут, добавленый на стороне подписанта (локальное время или время полученное с сервера "точного времени") - и в случае помещения в подписанные атрибуты - подписывается самим <strong>подписантом</strong> - именно в этом проблема, которую и решает третья сторона - доверенный TSP-сервис.<br /><br /><br />[attach]7067[/attach]</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101136:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Вступительная часть :<br />1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.<br />2) Никто не хочет покупать OCSP или TSP client лицензии из пользователей</div></div>Регулярно обновляйте списки отзыва.<br />В минимальном варианте достаточно один раз установить списки отзыва конкретного УЦ конкретному пользователю и дальше всё будет работать на автомате.<br />Более правильный вариант - устанавливать списки отзывов в системное хранилище и регулярно обновлять их заданием планировщика.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)</div></div>Если вы не собираетесь предъявлять результаты проверки в суде, то актуальные списки отзыва - всё, что вам нужно.<br />Если собираетесь, то требуется как-то заверять результаты проверки. Если "по безбумажной технологии" - потребуются штампы времени.<br />Если, кроме того, вы хотите, чтобы подлинность результата вашей проверки была возможна без дополнительных сетевых обращений, то формат подписи будет, если не ошибаюсь, CADES-Long и для ЭП проверяющих потребуется сертификаты с OCSP-/TSP-ссылками.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Также попутные вопросы :<br />1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)</div></div>Это зависит от смысла подписей.<br />Если подписи должны делаться "строго по цепочке", то разумно подписать исходный документ и уже имеющиеся подписи, если они должны быть.<br />Для отсоединённых подписей такой функционал придётся делать ручками, для присоединённых - не знаю.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>2) Достаточно ли делать cades-bes подпись для 120% покрытия рисков ?</div></div>Отталкивайтесь от того, что в CADES-BES время подписания находится среди неподписанных атрибутов и, технически, может быть легко подделано.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>3) Можем ли мы сами проверять валидность подписи и сертификата не используя покупной DSS\SVS.</div></div>Проверка подписи - базовый функционал СКЗИ. Остальное - вопрос регламентации технических аспектов.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?</div></div>Адресуйте этот вопрос каждому из 99% сайтов.<br /><br /></td></tr></table>2019-03-09T07:33:36+03:002019-03-09T07:33:36+03:00basid<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Вступительная часть :<br />1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.<br />2) Никто не хочет покупать OCSP или TSP client лицензии из пользователей</div></div>Регулярно обновляйте списки отзыва.<br />В минимальном варианте достаточно один раз установить списки отзыва конкретного УЦ конкретному пользователю и дальше всё будет работать на автомате.<br />Более правильный вариант - устанавливать списки отзывов в системное хранилище и регулярно обновлять их заданием планировщика.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)</div></div>Если вы не собираетесь предъявлять результаты проверки в суде, то актуальные списки отзыва - всё, что вам нужно.<br />Если собираетесь, то требуется как-то заверять результаты проверки. Если "по безбумажной технологии" - потребуются штампы времени.<br />Если, кроме того, вы хотите, чтобы подлинность результата вашей проверки была возможна без дополнительных сетевых обращений, то формат подписи будет, если не ошибаюсь, CADES-Long и для ЭП проверяющих потребуется сертификаты с OCSP-/TSP-ссылками.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Также попутные вопросы :<br />1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)</div></div>Это зависит от смысла подписей.<br />Если подписи должны делаться "строго по цепочке", то разумно подписать исходный документ и уже имеющиеся подписи, если они должны быть.<br />Для отсоединённых подписей такой функционал придётся делать ручками, для присоединённых - не знаю.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>2) Достаточно ли делать cades-bes подпись для 120% покрытия рисков ?</div></div>Отталкивайтесь от того, что в CADES-BES время подписания находится среди неподписанных атрибутов и, технически, может быть легко подделано.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>3) Можем ли мы сами проверять валидность подписи и сертификата не используя покупной DSS\SVS.</div></div>Проверка подписи - базовый функционал СКЗИ. Остальное - вопрос регламентации технических аспектов.<div class="quote"><span class="quotetitle">Цитата:</span><blockquote>4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?</div></div>Адресуйте этот вопрос каждому из 99% сайтов.<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101115:1Юридический вопрос, доверие к ответам OCSP+TSP не выдававшим сертификат которым произведена подпись<table class="content postContainer" width="100%"><tr><td>Выскажу свое личное мнение, не претендующее на истину, тут возможно и юристы смогут проконсультировать и технические специалисты, в т.ч. от КриптоПро, т.к. вопрос в самом деле актуальный.<br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.<br /></div></div><br />Обязанности включать в сертификат иную информацию, кроме той, которая установлена Федеральным законом "Об электронной подписи" и Требованиями к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденными приказом ФСБ России от 27.12.2011 № 795, у удостоверяющих центров нет.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)<br /></div></div><br />Тут ответственность:<br />- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";<br />- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;<br />- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />Варианты :<br />1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию<br /></div></div><br />Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет. <br />Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.<br />Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?<br /></div></div><br />В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)<br /></div></div><br />Если документ пользователя ИС и ЭП (или несколько документов и ЭП к ним) рассматривать как пакет документов, то пользователь подписывает каждый документ - ИС (или оператор) подписывает "накладывает" подпись на каждый документ и (или) на весь пакет документов в зависимости от того, требуется ли в дальнейшем использовать совокупность поданных документов. По примерно такому принципу реализуется подача документов в ЛК ЮЛ ФНС.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?</div></div><br />В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.<br /></div></div></td></tr></table>2019-03-07T18:11:52+03:002019-03-07T18:11:52+03:00Alexey I<table class="content postContainer" width="100%"><tr><td>Выскажу свое личное мнение, не претендующее на истину, тут возможно и юристы смогут проконсультировать и технические специалисты, в т.ч. от КриптоПро, т.к. вопрос в самом деле актуальный.<br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.<br /></div></div><br />Обязанности включать в сертификат иную информацию, кроме той, которая установлена Федеральным законом "Об электронной подписи" и Требованиями к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденными приказом ФСБ России от 27.12.2011 № 795, у удостоверяющих центров нет.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)<br /></div></div><br />Тут ответственность:<br />- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";<br />- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;<br />- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />Варианты :<br />1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию<br /></div></div><br />Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет. <br />Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.<br />Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?<br /></div></div><br />В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)<br /></div></div><br />Если документ пользователя ИС и ЭП (или несколько документов и ЭП к ним) рассматривать как пакет документов, то пользователь подписывает каждый документ - ИС (или оператор) подписывает "накладывает" подпись на каждый документ и (или) на весь пакет документов в зависимости от того, требуется ли в дальнейшем использовать совокупность поданных документов. По примерно такому принципу реализуется подача документов в ЛК ЮЛ ФНС.<br /><br /><div class="quote"><span class="quotetitle">Автор: redu4 <a href="/forum2/default.aspx?g=posts&m=101106#post101106"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote> <br />4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?</div></div><br />В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.<br /></div></div></td></tr></table>