Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Брухно Геннадий  
#1 Оставлено : 30 мая 2013 г. 13:16:23(UTC)
Брухно Геннадий

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.05.2013(UTC)
Сообщений: 4
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Добрый день, в описании службы TSP (http://www.cryptopro.ru/products/pki/tsp/tasks%20) очень интересует пункт, связанный с архивным хранением документов.
приведу его здесь полностью:
Цитата:
Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя.
Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени.


Начало пункта вроде бы понятное и логичное, но начиная с подчеркнутого текста возникло небольшое замешательство:

Не очень понятно зачем нужно запрашивать новый штамп?
Ведь ЭЦП уже содержит OCSP-ответы, являющиеся доказательством того, что сертификат TSP был действителен?

Второй момент, если у меня в архиве сотни тысяч документов, мне для всех нужно запрашивать новые штампы? Мягко говоря очень трудоемко, да и при этом где хранить эти штампы? в отдельной БД? Think

Третий момент, если администратор УЦ отозвал сертификат TSP, а администратор архива не успел получить новые штампы? Они ведь по логике не обязаны координировать свои действия.

Или я что то не так понял? Просьба ответить кто с этим сталкивался, может быть есть практика применения ЭЦП для архивных документов?
Offline Новожилова Елена  
#2 Оставлено : 4 июня 2013 г. 19:59:36(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 930
Женщина
Откуда: Крипто-Про

Поблагодарили: 105 раз в 98 постах
Мне кажется, ответы практически на все свои вопросы вы найдете здесь ETSI TS 101 733 "Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)" - вам нужен формат подписи CAdES-A.

1. Сертификат службы OCSP, которым подписаны OCSP-ответы, также может истечь. И обязательно истечет - вот на этот случай на сами OCSP-ответы получают штамп времени CAdES-C timestamp. (Строго говоря не на сами OCSP-ответы - подробно можно прочитать в стандарте CAdES).

Так вот для этого штампа в подпись уже никакие доказательства не добавляются - он всегда проверяется на текущий момент. Для этого и нужен длинный срок действия сертификата службы штампов.

2. Для сотен тысяч документов процесс безусловно стоит автоматизировать. Штампы можно хранить в самой подписи.

3. А если администратор УЦ отозвал сертификат УЦ? Компрометация ключа службы штампов - точно такая же катастрофа. Именно поэтому к таким ключам намного более строгие требования по безопасности.
thanks 1 пользователь поблагодарил Новожилова Елена за этот пост.
Брухно Геннадий оставлено 05.06.2013(UTC)
Offline Брухно Геннадий  
#3 Оставлено : 5 июня 2013 г. 8:58:40(UTC)
Брухно Геннадий

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.05.2013(UTC)
Сообщений: 4
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Спасибо за ответ, более или менее ситуация проясняется.
Если я правильно понял, на УЦ и TSP следует формировать бессрочные сертификаты, тогда все будет в порядке :)
Offline Sergey M. Murugov  
#4 Оставлено : 5 июня 2013 г. 9:28:28(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Бессрочные не получится - всегда есть предел и есть требование регулятора к сроку действия открытого ключа. Но то что такие сертификаты должны быть длинными - это факт. Это может выглядеть как, срок действия сертификата == сроку действия открытого ключа, а срок действия закрытого ключа должен быть определён через ввод расширения Private Key Usage Period.
Для долговременных архивов помимо сочинения адвансед подписи есть ещё один способ обеспечить "продление" ЭЦП автора (и мне он больше нравится, как минимум потому, что перед укладыванием на хранение ЭЦП проверяется и статус проверки фиксируется и собирается доказательная база)на эту тему даже есть RFC с вот такими словами:
The DVCS signing key MUST be of a sufficient length to allow for a sufficiently long lifetime. Even if this is done, the key will have a finite lifetime. Since data validation certificates are just another type of signed documents, they can be validated using (another) DVCS.

Отредактировано пользователем 5 июня 2013 г. 9:29:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.