Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Константин Гаинцев  
#11 Оставлено : 17 октября 2019 г. 14:21:21(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
1. Запись ключа ЭП на HSM предусмотрена разработчиками, что обусловлено сроками действия закрытых ключей - экспортируемые ключи созданные на HSM или загруженные на него имеют срок действия 1 год и 3 месяца. Т.е. технически записать ключ на HSM можно, если он экспортируемый, но юридически квалифицированную ЭП копировать в HSM не стоит.

2. С точки зрения защиты - ключ сделанный на HSM скомпрометировать сложнее, чем ключ созданный на каком-нибудь носителе и загруженном в ПАКМ. У импортированного ключа будет такой же статус, как и у экспортируемого ключа сделанного в HSM, определяющий срок его действия.

3. Нет, закрытые ключи принципиально ни чем не отличаются, отличие заключается в расширении сертификатов.

4. Ключевой материал - это случайная бинарная последовательность, которая расходуется на создание любого ключа. Т.е. на HSM можно создать ограниченное количество ключей, для дальнейшего использования необходимо производить загрузку гаммы. Штатного способа загрузки гаммы не существует, загрузка производится исключительно сотрудниками Крипто Про в рамках сервисного обслуживания.
Импорт секретного ключа в контейнер ПАКМ - копирование ключа с внешнего носителя в HSM, но с точки зрения типа события журнала аудита TYPE_CRYPT_IMPORT_KEY - пишет в журнал при импорте с карты, через LCD панель, при входе в меню под привилегированным пользователем "Администратор HSM". Этот функционал устаревший и сценариев его использования сейчас практически нету.

5. Актуальные. При сертификации DSS ФСБ определило перечень методов аутентификации, которые можно использовать в том числе для УКЭП. Аналогий в использовании DSS и загрузкой ключа УКЭП в HSM - не вижу.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Андрей2100  
#12 Оставлено : 18 октября 2019 г. 12:32:23(UTC)
Андрей2100

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 14
Российская Федерация
Откуда: Москва

Константин, большое спасибо за развернутые ответы.
1. Т.е. технически записать ключ на HSM можно, если он экспортируемый, но юридически квалифицированную ЭП копировать в HSM не стоит. - А почему на ваш взгляд КЭП не стоит копировать в HSM?

2. Нет, закрытые ключи принципиально ни чем не отличаются, отличие заключается в расширении сертификатов.- Я так понимаю нет какого-то требования запрещающего на HSM использовать ключи, чьи сертификаты не содержат необходимых расширений в сертификате? Или там технические нюансы?

3. Почему все-же в документации на HSM отсутствует описание возможности загрузки ключа ЭП с носителя? Если подходить к вопросу с юридической точки зрения, то скажем ПКЗ-2005 указывает "46. СКЗИ эксплуатируются в соответствии с правилами пользования ими". То есть если что-то не указано в документации, то вроде как и использовать такое нельзя.
Offline Константин Гаинцев  
#13 Оставлено : 18 октября 2019 г. 17:54:40(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
1. В соответствии с требованиями к полям квалифицированного сертификата, в нём должно быть поле "Средства ЭП владельца" в которое записывается используемое владельцем СКЗИ. И если в этом поле указано Крипто Про CSP, то эта ЭП должна использоваться с Крипто Про CSP. Также, на мой взгляд, идея избавить сотрудников от использования ключевых носителей, путём переноса ключей в HSM не имеет смысла, т.к. для подключения к HSM будет нужен ключ доступа созданный на HSM, который также нужно будет менять каждый год. А если рассматривать, что все ключи будут копироваться под одним пользователем, на каком-нибудь сервере, к которому сотрудники будут подключаться для создания подписи, то встаёт вопрос безопасности личных ключей, т.к. каждому подключившемуся будут видны все ключи других сотрудников с возможностью подобрать к ним пароли.

2. Да, таких требований нет. Если ЭП не квалифицированная, то можете копировать и использовать на HSM.

3. В документации ЖТЯИ.00096-01 90 01 КриптоПро HSM. Инструкция по использованию, пункт 11.2.10. Управление пользователями есть описание импорта ключа в HSM через LCD панель, как я писал ранее - сценариев использования данного функционала практически нет.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Андрей2100  
#14 Оставлено : 21 октября 2019 г. 10:10:14(UTC)
Андрей2100

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 14
Российская Федерация
Откуда: Москва

Константин, спасибо.
Ознакомился с документом ЖТЯИ.00096-01 90 01 КриптоПро HSM. Инструкция по использованию, пункт 11.2.10.
В документе действительно указано о возможности загрузки ключа, но при этом там написано "Для этого необходимо, чтобы сохраняемый ключ подписи хранился на смарт карте" - Судя по всему обязательным условием является наличие ключа именно на смарт карте.
Offline Андрей2100  
#15 Оставлено : 29 октября 2019 г. 9:56:42(UTC)
Андрей2100

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 14
Российская Федерация
Откуда: Москва

Здравствуйте. В документации Общее описание DSS в разделе про способы аутентификации указан способ про аутентификацию по сертификату.
4.2.4.2.4.2.4.2. Аутентификация по сертификату
Данный метод требует установки защищенного TLS-соединения с двусторонней аутентификацией (просмотр и подтверждение операции с загруженным на сервер документом производятся в рамках взаимодействия по защищенному каналу). Аутентификация производится с использованием пары ключей, закрытая часть которой хранится у Пользователя, а сертификат открытого ключа должен быть доверенным для СЭП.

Тут под хранением закрытого ключа у Пользователя имеется ввиду непосредственное хранение у пользователя (на носителе) или под хранением имеется ввиду хранение в HSM/DSS, со знанием пользователем пин-кода от этого контейнера?
Если на имеется в виду хранение на носителе, то подразумевается DSSlite? В противном случае не понимаю смысла использования DSS если ключ пользователя находится у пользователя.

Offline Александр Лавник  
#16 Оставлено : 29 октября 2019 г. 10:11:04(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Андрей2100 Перейти к цитате
Здравствуйте. В документации Общее описание DSS в разделе про способы аутентификации указан способ про аутентификацию по сертификату.
4.2.4.2.4.2.4.2. Аутентификация по сертификату
Данный метод требует установки защищенного TLS-соединения с двусторонней аутентификацией (просмотр и подтверждение операции с загруженным на сервер документом производятся в рамках взаимодействия по защищенному каналу). Аутентификация производится с использованием пары ключей, закрытая часть которой хранится у Пользователя, а сертификат открытого ключа должен быть доверенным для СЭП.

Тут под хранением закрытого ключа у Пользователя имеется ввиду непосредственное хранение у пользователя (на носителе) или под хранением имеется ввиду хранение в HSM/DSS, со знанием пользователем пин-кода от этого контейнера?
Если на имеется в виду хранение на носителе, то подразумевается DSSlite? В противном случае не понимаю смысла использования DSS если ключ пользователя находится у пользователя.


Здравствуйте.

1) Имеется ввиду хранение ключа у пользователя (в реестре, на жестком диске, на внешнем носителе).

Этот ключ (и соответствующий сертификат) в данном случае необходим для доступа к КриптоПро DSS.

Ключи (и соответствующие сертификаты) для использования в web-интерфейсе КриптоПро DSS находятся в HSM/DSS.

2) DSSLite предполагает, что ключи пользователя, которые он использует в web-интерфейсе КриптоПро DSS, хранятся у пользователя.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей2100  
#17 Оставлено : 29 октября 2019 г. 16:56:18(UTC)
Андрей2100

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 14
Российская Федерация
Откуда: Москва

Здравствуйте.

1) Имеется ввиду хранение ключа у пользователя (в реестре, на жестком диске, на внешнем носителе).

Этот ключ (и соответствующий сертификат) в данном случае необходим для доступа к КриптоПро DSS. - То есть имеется ввиду ключ аутентификации? (некий криптографический ключ используемый только для доступа к веб-сервису DSS, отличный от ключа электронной подписи, хранящийся в HSM). Я верно понял?



Offline Александр Лавник  
#18 Оставлено : 29 октября 2019 г. 17:00:02(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Андрей2100 Перейти к цитате
Здравствуйте.

1) Имеется ввиду хранение ключа у пользователя (в реестре, на жестком диске, на внешнем носителе).

Этот ключ (и соответствующий сертификат) в данном случае необходим для доступа к КриптоПро DSS. - То есть имеется ввиду ключ аутентификации? (некий криптографический ключ используемый только для доступа к веб-сервису DSS, отличный от ключа электронной подписи, хранящийся в HSM). Я верно понял?




Да, совершенно верно.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей2100  
#19 Оставлено : 13 ноября 2019 г. 16:33:25(UTC)
Андрей2100

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 14
Российская Федерация
Откуда: Москва

Здравствуйте.
Подскажите пожалуйста еще один момент.

В качестве сертифицированного решения, для применения УКЭП можно использовать клиенту один лишь myDSS или обязательно также наличие веб-интерфейса (ЛК) DSS либо доступа к личному кабинету автоматизированной системы которую подружили с DSS посредством API?

Отредактировано пользователем 13 ноября 2019 г. 16:33:59(UTC)  | Причина: Не указана

Offline Александр Лавник  
#20 Оставлено : 13 ноября 2019 г. 17:05:09(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Андрей2100 Перейти к цитате
Здравствуйте.
Подскажите пожалуйста еще один момент.

В качестве сертифицированного решения, для применения УКЭП можно использовать клиенту один лишь myDSS или обязательно также наличие веб-интерфейса (ЛК) DSS либо доступа к личному кабинету автоматизированной системы которую подружили с DSS посредством API?

Здравствуйте.

Требования по наличию web-интерфейса пользователя нет.

Вот этот сертификат соответствует использованию в качестве средства вторичной аутентификации (и подтверждения операций) приложения myDSS.

Следует учитывать, что myDSS не используется для подписи документов.

То есть в любом случае необходимо использовать некоторое приложение для подписи, например, с использованием облачного токена в КриптоПро CSP 5.0.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.