Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219  Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
|
Автор: neigel  Это неважно только до тех пор, пока вы - владелец анулированного сертификата. А вот когда вы станете контрагентом такого чувачка и окажете ему услугу или перечислите ему денег, а потом вам скажут "сорри, но мы тут анулировали сертификат, потому что СКЗИ не совпадали", вы запоёте фальцетом. Есть подозрение, что судебное дело по таким случаям может длиться годами, особенно учитывая необходимость проверки факта подписания ЭП в самом УЦ. Т.е. там процедура будем интересней, чем Игра престолов. |
Цена свободы - вечная бдительность! |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216   Откуда: Helsinki Сказал «Спасибо»: 2 раз
Поблагодарили: 139 раз в 51 постах
|
Автор: neigel Я вот совсем не уверен, что запрос, сгенерированный через Крипто Про будет содержать "Рутокен ЭЦП 2.0". Это поле в запросе проставляет софт УЦ, который генерирует запрос. Узнать о том, что они обратились через MS Crypto API к криптопровайдеру Крипто Про, а тот хитрым образом заюзал набортное СКЗИ Рутокена, они не могут, скорее всего. Что именно вас смущает? Вроде всё предельно просто. Используется СКЗИ "КриптоПро" - сертификат должен содержать наименование СКЗИ "КриптоПро". Используется СКЗИ "Рутокен ЭЦП 2.0" - сертификат должен содержать наименование СКЗИ "Рутокен ЭЦП 2.0. То, что УЦ что-то там не могут, никак не освобождает от требований Федерального закона. Автор: neigel Офигеть, вы красавчик! Тут согласен! Автор: neigel А вот когда вы станете контрагентом такого чувачка и окажете ему услугу или перечислите ему денег, а потом вам скажут "сорри, но мы тут анулировали сертификат, потому что СКЗИ не совпадали", вы запоёте фальцетом. За исключением юридических последствий, которые связаны с аннулированием сертификата. Зависит от того, каким будет решение суда. |
D2/CB-4+BF2/A-DASH-4+BF2 |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
|
Автор: roflanVikared За исключением юридических последствий, которые связаны с аннулированием сертификата. Ну тут еще зависит от статуса организация, гос.структура или нет и много всяких фишек, вплоть до визита контролирующих органов. Кстати, как дела с ЭП у наших соседей (привет Йоулупукки!)? и как вы справляетесь с трансграничной передачей данных и покупкой крипто про? Может есть где почитать? |
Цена свободы - вечная бдительность! |
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Добрый день. Автор: neigel Если выбрать вариант не облачной подписи, а хранимого ключа, то работать надо через ViPNET CSP. Так вот ViPNET CSP уже тогда умел работать с хардварными ключами, и когда я подсунул ему Рутокен ЭЦП 2.0, то ключевую пару сгенерил и запрос отправил, но ФНС сертификат не выпустила как раз ругнувшись на то, что СКЗИ не поддерживается. Там есть другие заморочки - вроде бы описание оида ИНН по разному кодируется и потому есть еще прикол в том чтобы подписать запрос на сертификат сделанный в одном СКЗИ в УЦ работающем на другом СКЗИ. Подробности можно посмотреть в профильном разделе форума (про УЦ). Хотя естественно УЦ может не принимать запросы из не разрешенных СКЗИ как писали выше. Ну а вообще проблема скорее в ПО генерующем запрос - должно указывать именно то что использовалось. Хотя, как посмотреть (на то что генерировали ключ на аппаратном СКЗИ через КриптоПро CSP): ведь по-другому можно сказать что хотя для генерации использовался датчик случайных чисел аппаратного СКЗИ, хранится на аппаратном СКЗИ и фактически подписывает аппаратное СКЗИ, но сам запрос составлял и инструкции аппаратному СКЗИ сгенерировать ключ давал КриптоПро CSP. КриптоПро CSP ведь во всем этом участвовал, так и с чего взяли что будет ошибкой указать Криптопро в сертификате? Сертифицированное СКЗИ (прошедшее проверки на соответствие закону!) считает возможным указать себя, но при этом использовать аппаратное СКЗИ. Явно проверка не усмотрела в этом ошибки. Скорее проблема законодательства - все написано универсально обтекаемо. Не вижу никакой конкретики что именно считать генерацией в контексте закона или приказа. Ну и в дальнейшем при подписании этим сертификатом используете КриптоПро - все четко. Что могли бы использовать аппаратное СКЗИ не через КриптоПро (но не используете) и так же подписывать тем же ключом, это уже детали. Вот при использовании не через указанное в сертификате СКЗИ будет явно нарушение законодательства. Однако это доказать будет еще сложнее. Цитата:Кстати, как дела с ЭП у наших соседей (привет Йоулупукки!)? и как вы справляетесь с трансграничной передачей данных и покупкой крипто про? Судя по форуму они никак не могут докричаться и купить лицензию. Создать квалифицированную ЭП для них будет проблемой из-за банального отсутсвия необходимых реквизитов - инн огрн снилс. Другими словами, организация должна зарегистрироваться в России и нанять гражданина России чтобы получить хотя бы реквизиты для квалифицированной подписи. И потому видимо за рубежом госта нет. Ну в смысле проверять подписи гост конечно можно без лицензии, а шифровать на сертификат или с эфемерным ключом, но подписать или расшифровать проблематично. Отредактировано пользователем 9 января 2020 г. 11:46:58(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
