Atom Лента - Форум КриптоПро - Тема:Смена директора (уполномоченного лица) Удостоверяющего Центра - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Smenadirektora(upolnomochennogolica)UdostoverjajushchegoCentra-10:1Copyright 2024 Форум КриптоПро2024-03-29T07:44:28Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловАндрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *Sergey M. Murugovhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=588&name=Sergey M. MurugovLarouxhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=656&name=LarouxЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловLarouxhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=656&name=LarouxЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий Масловcodegenhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=779&name=codegenYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid25167:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Laroux написал:</span><blockquote>Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ?<br /><br />В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те.<br /><br />А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие.<br /><br />Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?</div></div><br /><br />А где в 63-ФЗ такое указано "однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие"?!?! Это неизвестная для меня новелла :-)</td></tr></table>2012-03-23T16:46:28+03:002012-03-23T16:46:28+03:00Юрий Маслов<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Laroux написал:</span><blockquote>Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ?<br /><br />В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те.<br /><br />А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие.<br /><br />Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?</div></div><br /><br />А где в 63-ФЗ такое указано "однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие"?!?! Это неизвестная для меня новелла :-)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid25083:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Sergey M. Murugov написал:</span><blockquote> 2. <strong>В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280</strong> там прописана процедура перезда и особенности автора CRL.</div></div><br /> <br />с тем же url в CDP ?</td></tr></table>2012-03-22T02:23:45+03:002012-03-22T02:23:45+03:00Андрей *<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Sergey M. Murugov написал:</span><blockquote> 2. <strong>В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280</strong> там прописана процедура перезда и особенности автора CRL.</div></div><br /> <br />с тем же url в CDP ?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid25082:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer_Alt" width="100%"><tr><td>1. По 63-ФЗ есть новая сущность - сертификат юрлица - обезличен и не связан конкретно ни с кем из людей.<br />2. В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280 там прописана процедура перезда и особенности автора CRL.</td></tr></table>2012-03-22T01:36:44+03:002012-03-22T01:36:44+03:00Sergey M. Murugov<table class="content postContainer_Alt" width="100%"><tr><td>1. По 63-ФЗ есть новая сущность - сертификат юрлица - обезличен и не связан конкретно ни с кем из людей.<br />2. В вашем случае достаточно издавать CRL от другой ключевой пары, но чтоб ничего не переделывать с тем же DN - почитайте RFC 5280 там прописана процедура перезда и особенности автора CRL.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid25073:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer" width="100%"><tr><td>Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ?<br /><br />В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те.<br /><br />А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие.<br /><br />Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?</td></tr></table>2012-03-21T20:29:48+03:002012-03-21T20:29:48+03:00Laroux<table class="content postContainer" width="100%"><tr><td>Тут в процессе, так сказать, деятельности возник такой нюанс, связанный со сменой УЛ УЦ: что делать с сертификатами Пользователей УЦ при смене корневого сертификата УЦ?<br /><br />В свете нормативки, связанной с ФЗ №1, сертификаты, выпущенные на "старом" корневом сер-те, "доживают" свой срок, являясь полностью работоспособными. Мы им "помогаем" выпуском СОС на "старом" корневом сер-те, а параллельно выпускаем новые клиентские сер-ты на "новом" корневом сер-те.<br /><br />А вот новый ФЗ №63 на этот счет однозначно говорит, что в таком случае все выданные квалифицированные сертификаты прекращают свое действие.<br /><br />Представляю себе масштабы пипеца... Интересно, как себя можно обезопасить от такого развития событий на будущее?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid23527:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Laroux написал:</span><blockquote>А можем чуть подробнее осветить этот вопрос?<br /><br />Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый.<br />1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС?<br /><br />2. Кстати, вот <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">тут</a> описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет.</div></div><br /><br />Постараюсь объяснить на пальцах...<br />Меняется уполномоченное лицо УЦ. Он может быть ещё и руководителем УЦ или гендиректором или уборщиком. Это не важно. Я понял, что Вас интересует именно событие со сменой уполномоченного лица УЦ как владельца корневого сертификата УЦ.<br />Будем считать время Ч1 как время, когда ключевой носитель (ключ на токене, экспортируемый) передаётся от Иванова к Петрову и передача оформляется соответствующей записью в журнале или актом приёма-передачи.<br />Интервал времени от начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1 - компрометации нет т.к. Иванов не заявлял о компрометации. <br />Ч1 - компрометации нет т.к. событие происходит при, как минимум одном свидетеле (Петрове).<br />Интервал времени от Ч1 до Ч2 - компрометации нет т.к. Петров не заявлял о компрометации. Но Петрова гложет червячёк сомнения. А вдруг Иванов сделал себе копию ключевого контейнера? А вдруг он его как-то использует в своих целях? У Петрова есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован Ивановым. Наступило событие, описанное тут <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">http://www.cryptopro.ru/....aspx?g=posts&t=3451</a> , которое порождает внеплановую смену. <br />Ч2 - время, когда Петров подал заявление о необходимости внеплановой смены ключей уполномоченного лица УЦ, владельцем которых ранее был Петров.<br /><br />Таким образом, все сертификаты изготовленные в период с начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1, не требуют каких либо действий со стороны УЦ. Их не надо аннулировать и заменять. <br />Все сертификаты, изготовленные в период с Ч1 до Ч2 , надо аннулировать и заменять. В интересах Петрова, что бы между Ч1 и Ч2 не было изготовлено сертификатов.<br /><br />Так что, коллега Laroux, Ваша причина описана в топике <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">http://www.cryptopro.ru/....aspx?g=posts&t=3451</a> . <br /><br /> </td></tr></table>2012-02-08T17:08:21+03:002012-02-08T17:08:21+03:00Юрий Маслов<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Laroux написал:</span><blockquote>А можем чуть подробнее осветить этот вопрос?<br /><br />Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый.<br />1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС?<br /><br />2. Кстати, вот <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">тут</a> описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет.</div></div><br /><br />Постараюсь объяснить на пальцах...<br />Меняется уполномоченное лицо УЦ. Он может быть ещё и руководителем УЦ или гендиректором или уборщиком. Это не важно. Я понял, что Вас интересует именно событие со сменой уполномоченного лица УЦ как владельца корневого сертификата УЦ.<br />Будем считать время Ч1 как время, когда ключевой носитель (ключ на токене, экспортируемый) передаётся от Иванова к Петрову и передача оформляется соответствующей записью в журнале или актом приёма-передачи.<br />Интервал времени от начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1 - компрометации нет т.к. Иванов не заявлял о компрометации. <br />Ч1 - компрометации нет т.к. событие происходит при, как минимум одном свидетеле (Петрове).<br />Интервал времени от Ч1 до Ч2 - компрометации нет т.к. Петров не заявлял о компрометации. Но Петрова гложет червячёк сомнения. А вдруг Иванов сделал себе копию ключевого контейнера? А вдруг он его как-то использует в своих целях? У Петрова есть подозрение, что закрытый ключ уполномоченного лица УЦ мог быть скомпрометирован Ивановым. Наступило событие, описанное тут <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">http://www.cryptopro.ru/....aspx?g=posts&t=3451</a> , которое порождает внеплановую смену. <br />Ч2 - время, когда Петров подал заявление о необходимости внеплановой смены ключей уполномоченного лица УЦ, владельцем которых ранее был Петров.<br /><br />Таким образом, все сертификаты изготовленные в период с начала действия закрытого ключа уполномоченного лица УЦ Иванова до Ч1, не требуют каких либо действий со стороны УЦ. Их не надо аннулировать и заменять. <br />Все сертификаты, изготовленные в период с Ч1 до Ч2 , надо аннулировать и заменять. В интересах Петрова, что бы между Ч1 и Ч2 не было изготовлено сертификатов.<br /><br />Так что, коллега Laroux, Ваша причина описана в топике <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">http://www.cryptopro.ru/....aspx?g=posts&t=3451</a> . <br /><br /> </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid23525:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer" width="100%"><tr><td>А можем чуть подробнее осветить этот вопрос?<br /><br />Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый.<br />1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС?<br /><br />2. Кстати, вот <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">тут</a> описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет.</td></tr></table>2012-02-08T16:45:11+03:002012-02-08T16:45:11+03:00Laroux<table class="content postContainer" width="100%"><tr><td>А можем чуть подробнее осветить этот вопрос?<br /><br />Просто возникла как раз такая ситуёвина: меняется ген. директор, а вместе с ним и руководитель УЦ. Про Атликс вообще речи нет (пока что это непомерно дорогая штука, все-таки), а вот ключ на токене, но экспортируемый.<br />1. В соответствии с ответом Юрия Маслова в этом топике необходимо произвести перевыпуск ключевой пары ЦС. Тут опять нет вопросов... а вот что делать с действующими сертификатами, выпущенными на "старом" ЦС?<br /><br />2. Кстати, вот <a rel="nofollow" href="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451" title="http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3451">тут</a> описаны причины, по которым должен перевыпускаться ключ. Нашей причины (описанной в топике) нет.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid17132:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">codegen написал:</span><blockquote>Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?</div></div><br />Если у Вас меры защиты ключа Уполномоченного лица УЦ обеспечивают невозможность его компрометации прежним владельцем (а именно, снятие копии этого ключа) то перевыпускать не требуется. В противном случае - требуется.<br />К таким мерам могут относиться:<br />Вариант 1. Хранение ииспользование ключа в ПАКМ "Атликс-HSM"<br />Вариант 2: Ключевой контейнер был записан на токен, с признаком "неэкспортируемый", с ПИН-кодом к токену с длиной не менее 6 символов и не более 3 попыток ввода неправильного ПИН-кода и токен хранится с разграничением доступа к нему по лицам и времени.</td></tr></table>2011-04-05T17:11:22+04:002011-04-05T17:11:22+04:00Юрий Маслов<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">codegen написал:</span><blockquote>Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?</div></div><br />Если у Вас меры защиты ключа Уполномоченного лица УЦ обеспечивают невозможность его компрометации прежним владельцем (а именно, снятие копии этого ключа) то перевыпускать не требуется. В противном случае - требуется.<br />К таким мерам могут относиться:<br />Вариант 1. Хранение ииспользование ключа в ПАКМ "Атликс-HSM"<br />Вариант 2: Ключевой контейнер был записан на токен, с признаком "неэкспортируемый", с ПИН-кодом к токену с длиной не менее 6 символов и не более 3 попыток ввода неправильного ПИН-кода и токен хранится с разграничением доступа к нему по лицам и времени.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid17130:1Смена директора (уполномоченного лица) Удостоверяющего Центра<table class="content postContainer" width="100%"><tr><td>Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?</td></tr></table>2011-04-05T17:01:40+04:002011-04-05T17:01:40+04:00codegen<table class="content postContainer" width="100%"><tr><td>Необходимо ли в связи с этим пере выпускать СКП Уполномоченного Лица (В качестве CN сертификата стоит псевдоним)?</td></tr></table>