Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

17 Страницы«<1112131415>»
Опции
К последнему сообщению К первому непрочитанному
Offline Sergey M. Murugov  
#121 Оставлено : 15 декабря 2014 г. 18:39:43(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Уважаемый Aborigen.
Я об этом уже писал, вот моя точка зрения на это: http://www.cryptopro.ru/...ts&m=54314#post54314
Offline Aborigen  
#122 Оставлено : 16 декабря 2014 г. 14:49:41(UTC)
Aborigen

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.06.2013(UTC)
Сообщений: 3
Российская Федерация

Автор: Sergey M. Murugov Перейти к цитате
Я об этом уже писал ...

Нет сомнений, что Вы рассмотрели (в проекте) и указали наиболее возможные причины появления «вот таких вот» формулировок от регулятора.
Я же пытался сказать чуть о другом: о том, что этот самый регулятор, таким образом, позволяет себе «регулировать» эту сферу методами неопределенности понятий, их подмены, необоснованности и замалчивания (т.е. «мошенническими» методами), … даже не в какой-то своей ведомственной инструкции, в прямо в Законе (че мелочиться!)
И, как справедливо говорил в свое время Шарапов, «… тогда это будет не закон, а кистень».

Offline Sergey M. Murugov  
#123 Оставлено : 16 декабря 2014 г. 19:58:57(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Уважаемый Aborigen прежде чем с вами согласиться или нет. Надо бы понять, а что собственно хочет (добивается, о чём мечтает ….) сам МКС. Итак что мы имеем:
1. Пожалуй самое фундаментальное отличие 63-ФЗ от 1-ФЗ (в том виде в котором он был подкреплён НПА на момент его отмены), это то, что появилась квалифицированная подпись, которая по своей идеи должна быть одной и приниматься везде. Вопрос: УЦ готовы согласиться с тем, что субъекту достаточно иметь единственный сертификат для удовлетворения своих нужд? Если – да, то совершенно очевидно рынок УЦ сильно слохлопнится до уровня 2-3 миллионов сертификатов. Если – нет, то 63-ФЗ просто превращается в 1-ФЗ, что выгодно УЦ (сохраняется рынок и тут уже не важно практически нужна или нет продукция этого рынка), но не выгодно пользователям – зачем иметь «бусы на шее» из сертификатов, поскольку, вспоминая всё ту же бумагу, подпись моя везде одинаковая по начертанию на всех документах без разницы каких именно и какого назначения. Теперь задумаемся, а нужно ли это МКС? Судя по правкам, которые они мусолили 2 года – нет не нужно, сделано несколько реверансов в сторону единой подписи, но и только, оставшиеся (не изменённые) нормы 63-ФЗ не дадут создать единое пространство обращения квалифицированных сертификатов/подписей в РФ.
2. Следующее, у нас по 63-ФЗ появился сертификат юрлица, я много где писал, что эта сущность, в том виде как обозначена – фикция, причин много: нет прямого аналога в бумаге и следом будет параллельное законодательство с электричеством что повлечет к массе проблем, не решена задача с актуализацией полномочий (сертификат выдается на год, полномочия могут сменится за 5 рабочих дней), напрочь убивается институт доверенностей в ЭД и т.д. Нужен другой подход. Каково отношение к этому МКС – ни какое, их всё устраивает.
3. Ключевая ошибка 63-ФЗ, вызванная непониманием криптографии, декларировать неотказуемость и авторство ЭЦП можно только при условии единоличного владения закрытом ключом. МКС тоже все это устраивает, оно даже не идет на условия «смягчения» последствий, хоть бы прописали требования к средствам ЭЦП про неизвлекаемость закрытого ключа из девайса (как в ЕС, да и по стандарту FIPS 140-2 начиная от Level 3 и выше), и тут тоже нет.
4. Уж коль наконец МКС прочитало 63-ФЗ и решило отказаться от кроссов (кстати ими же самими и выдуманными поперёк исходного текста закона), то пора бы подумать, что доступная техника дошла до того уровня, что даже формально в соответствии с сертификатами ФСБ средство подписи может работать с закрытыми ключами в течении 3 лет, значит и всё дерево иерархии что выше ЕЕ-сертификата тоже должно иметь более продолжительные сроки действия. Что в этом плане сделано? Ничего.
Тут много еще что можно писать, но все эти вопросы более архитектурные, которые надо исправлять и над которыми надо работать, но что то желающих поработать не сильно видно.
Итак, что мы имеем внизу. Имеем более 340 УЦ которые в меру своего понимания пытаются что то делать, выпускать сертификаты, причем зачастую чрезвычайно кривые, как и по структуре так и по ASN.1 представлению. Мы лично были на протяжении последних двух лет втянуты в процессы, когда ИС обслуживающая всю страну и (по идее) обязанная принимать все квалифицированные сертификаты от всех аккредитованных УЦ отбраковывала некоторые по формальным признакам несоответствия международным стандартам, причем владельцы этих сертификатов оказывались люди весьма высокого ранга. Не работает это единое и причем большое (340 УЦ трудятся на ниве) всё на сейчас.
Какой выход, самый простой, правдами и неправдами создавать «удельные княжества», таким путем пошли и ФНС и ПФР и Казначейство ….
А как же 63-ФЗ? Правил и требований единых нет, написать их либо не хотят, либо не могут? Спрашивать у экспертов тоже не хотят, живой пример, экспертный совет по ЭЦП при МКС собирался один единственный раз в ноябре или декабре прошлого года и всё. Вот и приходится сокращать число игроков, причем самым незамысловатым образом – ввести ценовой ценз. Да, это не современно, не гуманно, но иного придумать просто невозможно, чтоб придумать иное надо МКСу быть технарями (а не только юристами) и править фундаментально 63-ФЗ, писать требования, т.е. определять архитектуру и правила игры на рынке, причем такие, чтобы рынок работал на конечную задачу, а не занимался валовой осертификацией населения, по принципу – чем больше сертификатов, тем лучше.
Закругляюсь, МКС в нынешнем своём состоянии могло придумать только те правки которые придумало.
thanks 3 пользователей поблагодарили Sergey M. Murugov за этот пост.
Zloy Strelok оставлено 17.12.2014(UTC), Executer оставлено 17.12.2014(UTC), Eserten оставлено 01.06.2015(UTC)
Offline Aborigen  
#124 Оставлено : 17 декабря 2014 г. 12:51:23(UTC)
Aborigen

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.06.2013(UTC)
Сообщений: 3
Российская Федерация

+ 4! (вроде так сейчас положено одобрительно отзываться о содержании «поста». В данном случае, - 4 это четверо моих коллег, которые «в теме»).

Несмотря на доходчиво рассмотренные обстоятельства, которые вроде бы должны побуждать МКС к действиями по вполне конкретным предполагаемым направлениям, есть стойкое ощущение, что ответа на вопрос
Цитата:
… а что собственно хочет … сам МКС

(в концептуально-стратегическом смысле) не понимают внутри самого МКС (предположу, что даже не хотят его ставить, - иначе было бы заметно), тем самым провоцируя PKI-сообщество выискивать какие-никакие здравые (или не очень) смыслы и пути движения в (и «из») очередной недо-правовой и недо-технологической ситуации, складывающейся в результате неуклюжих «регулирующих» действий (а чаще бездействий) со стороны МКС.
При том, что есть актуальнейшая необходимость-потребность
Цитата:
… определять архитектуру и правила игры …, чтобы рынок работал на конечную задачу

, а в условиях, когда
Цитата:
… что-то желающих поработать не сильно видно

, то пора, наверное коллективно прозреть, что «чего-то в консерватории не так» ?!
Offline Alexey I  
#125 Оставлено : 17 декабря 2014 г. 16:02:01(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 125
Мужчина

Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
Автор: Sergey M. Murugov Перейти к цитате
Не соглашусь с вами, обясните мне пожалуйста чем отличается "разрешить считать сертификат действительным только в конкретной одной ИС" и "ограничить действительность сертификата только конкретной одной ИС" (т.е. во всех остальных нельзя).


"разрешить считать сертификат действительным только в конкретной одной ИС" - у меня было без слова "только". Это разрешение на использование для конкретной ИС, которое не ограничивает использование сертификата для других ИС (пост 106)
Цитата:
Т.е. для использования с в ИС "Финансы" владелец ИС может потребовать - "СКП должен иметь расширение с OID 1.2.3.4" - но это не ограничение, а разрешение, причем не ограничивающее использование СКП дл других ИС


"ограничить действительность сертификата только конкретной одной ИС" - имхо, исходя из толкования слова "ограничить" (поставить в какие-н. рамки, границы, определить какими-н. условиями), данное ограничение в СКП должно не разрешать, а запрещать использование СКП в конкретной ИС. Т.е. если смотреть со стороны ИС - в СКП есть OID который прямо говорит о том, что данный СКП нельзя использовать в данной ИС. Аналогия (правда без привязки к OID) - неквалифицированные СКП не используются в некоторых ИС.

Возможно у некоторых будет другое мнение, например такое - "ограничение разрешает использовать сертификат только в данной ИС"
Но тогда появляется противоречие:
1. Ограничение = разрешение с условием использования только в конкретной ИС, но в таком случае в других ИС сертификат не должен применяться.
2. Операторы ИС не вправе указывать ограничения применения СКП для иных ИС - предусматривается законопроектом.
Цитата:
"21. Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами, или информационных систем общего пользования не вправе требовать наличия в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах.";


И если в действующем 63-ФЗ не определено кто именно устанавливает ограничения (ст.18 ч.2), то по законопроекту ограничения устанавливает заявитель
Цитата:
"2. При обращении в аккредитованный удостоверяющий центр заявитель указывает на ограничения использования квалифицированного сертификата (если такие ограничения им устанавливаются)

Автор: Sergey M. Murugov Перейти к цитате
PKI устроен так, что ограничение можно вводить только по формуле: "можно только тут (в единственном числе)". Это если мы говорим про полиси с флагом "критический".

Согласен. Но и тут есть противоречие между "только тут", "в любых правоотношениях" и "ограничения устанавливает заявитель".
Существующая практика показывает, что в настоящее время в СКП вводятся не ограничения, а разрешения, т.е. СКП для Росреестра можно применять ещё и для госуслуг например, и для СЭД и т.д.
Я считаю, что ни "ограничения", ни "разрешения" не имеют будущего для квалифицированных сертификатов, а термин "ограничения" в 63-ФЗ и законопроекте не корректен. Либо понятие термина "ограничения" требуется описать в ст.2., либо заменить его на иной термин, либо предусмотреть использование ограничений подзаконным актом, а лучше вообще исключить.

Ограничение правоотношений, когда дело касается ЭП, вообще сложный вопрос, и я считаю, что не следует подобные вопросы решать на уровне структуры сертификата.
Если ограничения прав нужны владельцам ИС, то они такие ограничения могут ввести и без наличия OID в квалифицированом сертификате.

Отредактировано пользователем 17 декабря 2014 г. 16:21:30(UTC)  | Причина: Не указана

Offline Sergey M. Murugov  
#126 Оставлено : 17 декабря 2014 г. 19:35:11(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Aborigen, спасибо за лестное мнение о моем посте. Я пытался как мог работать с регулятором начиная с конца правления Реймана начала Матюхина и до сих пор, что то получалось, что то не очень, а сейчас что то совсем не получается :-( Как на это влиять я не знаю.
Но там, на верху (почему то Пугачиха вспомнилась со своей песенкой :-) ), к сожалению, полно политики и межведомственных тёрок ….
По поводу МКС, может я мысль размазал во многих словах предыдущего поста, но если коротко, предмет регулирования непонятен, рулить процессом надо, число рулируемых зашкалило (это я про число аккредитованных УЦ), начались писаться письма с вопросами что то не фурычит, причем в гобальных ИС на всю страну. Что делать? Сократить число участвующих в процессе, где внутри управляемо можно силами оставшихся навести внешнее подобие порядка. Но такой подход, не решит концептуальных проблем PKI в РФ по определению.
Alexey I, я согласен с вами, что пока не будет жестко закреплённого профиля сертификата, без возможности менять (всовывать во внутрь самовыдуманные расширения и атрибуты) его кому вздумается ничего путного не получится. Но, к сожалению, это уже «не в этой жизни». Разговаривал я с конторой по этому поводу, ответ, как бы это помягче …, прикольный. «Мы безопасники и Приказ 795 это то что касаемо безопасности, мы в бизнес логику не лезем, исполнение своего Приказа не отслеживаем (поскольку нам ни кто не поручал это делать)» А действительно, прикольная позиция?! МКС на эту тему – «мы профиль не писали – это к ФСБ». Повторюсь, что делать, как править ситуацию, я не знаю. Рычаги влияния на регулятора не работают (ну или я не знаю как ими пользоваться).

Отредактировано пользователем 17 декабря 2014 г. 19:38:01(UTC)  | Причина: Не указана

Offline Alexey I  
#127 Оставлено : 19 декабря 2014 г. 9:37:03(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 125
Мужчина

Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
Автор: Sergey M. Murugov Перейти к цитате

А действительно, прикольная позиция?! МКС на эту тему – «мы профиль не писали – это к ФСБ». Повторюсь, что делать, как править ситуацию, я не знаю. Рычаги влияния на регулятора не работают (ну или я не знаю как ими пользоваться).

В связи с тем что "ограничения" не урегулированы 63-ФЗ, можно выйти с инициативой о внесении изменений в ФЗ, например таких
Цитата:
В статье 8 часть 4 дополнить пунктом 4 следующего содержания:
4) порядок формирования и использования ограничений, содержащихся в квалифицированном сертификате.

Через https://www.roi.ru/ или (и) поднять вопрос на PKI-forum 2015 (который в общем то не скоро ещё будет), правда уже не остается времени:
Законопроект № 672981-6 в Госдуме http://asozd2.duma.gov.r...t&RN=672981-6&02
Цитата:
установить срок представления в Комитет Государственной Думы по финансовому рынку отзывов, предложений и замечаний до 18 января 2015 года;
установить срок подготовки законопроекта к рассмотрению Государственной Думой в первом чтении – январь 2015 года.


Offline Sergey M. Murugov  
#128 Оставлено : 20 декабря 2014 г. 20:59:49(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Ребята вот почитайте, пипец какой то, и с ответвенностью УЦ в т ом числе: https://www.facebook.com...20259019915?notif_t=like
Offline Варенуха  
#129 Оставлено : 22 января 2015 г. 11:55:01(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
thanks 1 пользователь поблагодарил Варенуха за этот пост.
shkodnik оставлено 22.01.2015(UTC)
Offline Expert  
#130 Оставлено : 29 января 2015 г. 15:50:01(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Предложено включить законопроект в проект порядка работы Государственной Думы на 17 февраля 2015 года для рассмотрения в первом чтении.

Отредактировано пользователем 29 января 2015 г. 19:10:54(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
17 Страницы«<1112131415>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.