Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Компрометация ЭЦП при генерации в УЦ
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline m6113215  
#1 Оставлено : 14 июня 2014 г. 21:01:59(UTC)
m6113215

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2014(UTC)
Сообщений: 3
Российская Федерация
Получил ЭЦП как физлицо для работы с сайтам госорганов в удостоверяющем центре из списка аккредитованных.
ЭЦП была сгенерирована на компьютере в офисе УЦ и записана на флешку.
Только после выхода из офиса УЦ понял, что не могу быть уверен в нескомпрометированности ЭЦП. То есть ЭЦП скомпрометирована!

Как поступить в этой ситуации?

P.S. Поговорив со знакомыми и коллегами, выяснил, что большинство вообще не задумывается о возможности компрометации ключей при генерации на компьютере третьих лиц, в том числе УЦ.
Вверх
Online Андрей Писарев  
#2 Оставлено : 14 июня 2014 г. 21:29:53(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 14,022
Мужчина
Российская Федерация

Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
Автор: m6113215 Перейти к цитате
Получил ЭЦП как физлицо для работы с сайтам госорганов в удостоверяющем центре из списка аккредитованных.
ЭЦП была сгенерирована на компьютере в офисе УЦ и записана на флешку.
Только после выхода из офиса УЦ понял, что не могу быть уверен в нескомпрометированности ЭЦП. То есть ЭЦП скомпрометирована!

Как поступить в этой ситуации?

P.S. Поговорив со знакомыми и коллегами, выяснил, что большинство вообще не задумывается о возможности компрометации ключей при генерации на компьютере третьих лиц, в том числе УЦ.


Т.е. Вы за самостоятельную генерацию запроса на сертификат?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline m6113215  
#3 Оставлено : 14 июня 2014 г. 22:29:02(UTC)
m6113215

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2014(UTC)
Сообщений: 3
Российская Федерация
Я за исключение возможности компрометации закрытого ключа при генерации, в том числе - сотрудниками УЦ.
Вверх
Online Андрей Писарев  
#4 Оставлено : 15 июня 2014 г. 1:30:19(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 14,022
Мужчина
Российская Федерация

Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
Автор: m6113215 Перейти к цитате
Я за исключение возможности компрометации закрытого ключа при генерации, в том числе - сотрудниками УЦ.


Автор: m6113215 Перейти к цитате
ЭЦП была сгенерирована на компьютере в офисе УЦ и записана на флешку.


Тогда несколько риторических вопросов:

0. Используемое при генерации ключей СКЗИ было сертифицировано? Проверяли?
1. Генерировали ключ ЭП за Вас или Вы сами? Статья 13, п.7 63 ФЗ - было от Вас обращение\заявление?
2. Почему был использован не сертифицированный внешний носитель? Ваше желание\не знание? Или под "флешка" - подразумевалось "ру\е\токен"?


Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline m6113215  
#5 Оставлено : 15 июня 2014 г. 2:00:58(UTC)
m6113215

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2014(UTC)
Сообщений: 3
Российская Федерация
0. Обычная флешка Transcend TS4GJF330
1. Генерация была произведена сотрудником УЦ на его компьютере. Я расписался в сертификате (на бумаге), оплатил "Создание и выпуск сертификата ключа электронной подписи" и расписался в акте, оплатил лицензию КриптоПро CSP.
2. Не задумывался в момент генерации, согласился на предложение сотрудника УЦ.
Вверх
Offline shkodnik  
#6 Оставлено : 25 июня 2014 г. 14:53:43(UTC)
shkodnik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2011(UTC)
Сообщений: 554
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
А какое предложение то было от сотрудника УЦ? сгенерить именно на обычную флешку(вашу личную/их)? Почему не предложили сертифицированный носитель?
Вверх
БЛОГ Twitter
Offline Варенуха  
#7 Оставлено : 14 августа 2014 г. 15:00:46(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Здравствуйте.
Подскажите, каким документом регламентируется использование именно сертифицированного носителя? В большинстве случаев, токен используется как средство хранения ключа ЭП, а не как средство его создания. В серифицированном скзи КриптоПро CSP в качестве ключевых носителей флешки (и даже дискеты) упоминаются.
Вверх
Offline Expert  
#8 Оставлено : 14 августа 2014 г. 18:16:29(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Например, Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии Версия.4.3 ( http://smev.gosuslugi.ru/portal/ )
Вверх
Offline Zloy Strelok  
#9 Оставлено : 14 августа 2014 г. 18:51:49(UTC)
Zloy Strelok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.07.2012(UTC)
Сообщений: 267
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
Автор: Expert Перейти к цитате
Например, Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии Версия.4.3 ( http://smev.gosuslugi.ru/portal/ )


в них, как и в 63-фз упоминаются сертифицированные средства создания электронной подписи. а является ли носитель этим средством, если создается подпись и генерятся ключи на компе через криптопро? а носитель только для хранения используется..
Вверх
Online Андрей Писарев  
#10 Оставлено : 14 августа 2014 г. 19:13:35(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 14,022
Мужчина
Российская Федерация

Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
Автор: Zloy Strelok Перейти к цитате
Автор: Expert Перейти к цитате
Например, Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии Версия.4.3 ( http://smev.gosuslugi.ru/portal/ )


в них, как и в 63-фз упоминаются сертифицированные средства создания электронной подписи. а является ли носитель этим средством, если создается подпись и генерятся ключи на компе через криптопро? а носитель только для хранения используется..


Цитата:

При выборе в качестве программно-аппаратных средств для хранения ключевой информации устройств, реализующих криптографические алгоритмы и протоколы, указанные средства должны соответствовать требованиям приказа ФСБ России № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» в соответствии с утвержденной для информационной системы ОГВ моделью угроз.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Варенуха оставлено 15.08.2014(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET