Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
В чем различия ПАК "Удостоверяющий центр "КриптоПро УЦ" версии 1.5 класс КС3 и класс КС2
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Ответ на вопрос "Из каких соображений она строит УЦ защищенный по классу КС1, КС2, КС3, ... ?": исходя из модели угроз и модели нарушителя УЦ
Ответ на вопрос "Из каких соображений выбирается класс защиты СКЗИ, с помощью которого генерируются ключи?": исходя из модели угроз и модели нарушителя информационной системы, в которой генерируются и используются ключи и сертификаты ключей подписей.
Как видите, выше указаны ДВЕ разные модели!
Так что вполне может получиться ситуация "УЦ построен на ПАК КС3, ключи и запрос пользователь сгенерировал на CSP КС2, а использует на компьютере с CSP КС1".
Ответ на вопрос "При использовании ключей от какого нарушителя мы сможем защититься?": опять непонятен :-) Но наверное правильно ответить так: вы защититесь от тех угроз, против которых у Вас достаточные меры защиты. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:
"УЦ построен на ПАК КС3, ключи и запрос пользователь сгенерировал на CSP КС2, а использует на компьютере с CSP КС1".
"При использовании ключей от какого нарушителя мы сможем защититься?
вы защититесь от тех угроз, против которых у Вас достаточные меры защиты.
Ответ логичен и верен вообще. Однако, моя цель - прояснить для себя, как описывается влияние классов защищенности СКЗИ, участвующих в цепочке создания ключей и сертификата ЭЦП на безопасность информации пользователя, обеспечиваемой созданными ключами ЭЦП. Рассмотрим ситуацию "УЦ построен на ПАК Кx, ключи и запрос пользователь сгенерировал на CSP Кy, а использует на компьютере с CSP Кz". Вектор определяющий защищенность СКЗИ, участвующих в цепочке, можно описать u=(x,y,z). Если Ui=1..6, то всего существует 6^3=216 различных вариантов построения цепочки. Обозначим I(u) - класс нарушителя, от которого пользователь сможет защититься с использованием созданных ключей и сертификата ЭЦП. Так вот, мой вопрос I(u)=?Из ваших предыдущих ответов у меня складывается ощущение, на безопасность информации пользователя, обеспечиваемой созданными ключами ЭЦП, влияет только СКЗИ самого пользователя, т.е. I(u)=z, правильно? Есть мнение, что I(u)=min(x,y,z), так ли это?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Дабы апнуть тему. Цитата:Ответ на вопрос "Из каких соображений выбирается класс защиты СКЗИ, с помощью которого генерируются ключи?": исходя из модели угроз и модели нарушителя информационной системы, в которой генерируются и используются ключи и сертификаты ключей подписей.
Как видите, выше указаны ДВЕ разные модели! Итак, если считать I(u)=z, то получается в ситуации, когда УЦ работает на СКЗИ КС1, а пользователь сгенерировал ключи ЭЦП и пользуется СКЗИ КС3, то он защищен от нарушителя Н3? Данный вывод представляется сомнительным, поскольку в случае "нападения" на УЦ Н2, возможна ситуация компрометации ключей уполномоченного лица УЦ, а как следствие - создание поддельных сертификатов данного УЦ и реализация угроз со стороны Н2 в прикладной системе пользователя, который, как мы помним, теоретически защищен от Н3. Очевидно, защищенность пользователя УЦ зависит от защищенности УЦ. Так вот, как зависит? I(u)=?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Если кому-то интересно, то решил остановиться на таком ответе:
если рассматривать систему, составленную из различных СКЗИ целиком, то защищенность оцениваем по наименьшему показателю защищенности,
а если есть возможность разделить по частям - то тогда каждая система будет обладать защищенностью применяемого отдельного СКЗИ.
И тогда нормальным является генерация ключей на КС2, где другими мерами обеспечено отсутствие Н3-Н6, выпуск ключей на КС1, а использование на КА1.
imho.
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
В чем различия ПАК "Удостоверяющий центр "КриптоПро УЦ" версии 1.5 класс КС3 и класс КС2
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
