Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#11 Оставлено : 18 июня 2009 г. 21:05:24(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Сергей! Не надо лукавить. В Польше и в Эстонии сделана целая инфраструктура на государственном и частном уровне, обеспечивающая такую схему применения ЭЦП: законы, подзаконные акты, предприятия, техническая и программная инфраструктура ведения реестров владельцев ID-card и поддержки ID-card на рабочих местах. Это десятки и десятки миллионов долларов было потрачено.
В России этой инфраструктуры нет. Действующее законодательство РФ не позволяет её применять. А Вы предлагаете уважаемому г-ну Ananda (Владимир Андреев) и его организации самостоятельно всё это построить и поднять? Да Вы садист и утопист! :-)
Для начала, Сергей, измените действующее законодательство, сложите бизнес-практику и судебную практику, практику рассмотрения электронных документов с "вашими ЭЦП" в налоговой, МВД, прокуратуре, а вот потом двигайте новые технологии :-))))))

Поэтому, Сергей, мы обсуждаем вопросы не теоретические "ах как было бы здорово если бы", а вопросы, как реализовать применение ЭЦП в действующем правовом поле и имеющейся (точнее отсутствующей) государственной инфраструктурой обеспечения применения ЭЦП.

Я не спорю, решения с атрибутными сертификатами или государственными реестрами держателей сертификатов и их правомочности, являются красивыми и грамотными. Но... мы имеем то, что мы имеем. Т.к. это государственная задача и решить её способно только государство или очень богатый (синоним - влиятельный) спонсор. А такого нет ни у Вас, ни у нас :-(((
С уважением,
КРИПТО-ПРО
Offline Sergey M. Murugov  
#12 Оставлено : 18 июня 2009 г. 23:21:52(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Я не очень понял ответ, но слов много, спасибо :-)
Какую инфраструктуру строить, какие реесты, что глобально поднимать ??? Вы о чем? Есть сертификат - идентифицирующий субъекта, выданный УЦ причем любым лишь бы ему адресат верил, есть технология как не переделывая тыщу раз сертификат и не бегая все время в УЦ платя деньги каждый раз указать оперативно полномочия, есть совершенно стандартное место в ЭЦП куда укладывается блок (атрибутник) заверенный ЭЦП отдела кадров содержащий текущие полномочия - считай электронная доверенность с подписью. Все это с подписью и запросто парсится и проверяется. Какие реесты, подзаконные акты и т.п. у нас что есть подзаконный акт на формат CMS/PKCS#7 ???
По поводу Польши и Эстонии - карты у меня на столе лежат (могу сертификаты выложить) - боевые, хоть налоги по ней в поляндии плати. Там нет никаких привилегий !!! И ничего я не лукавлю. К слову все эти карты имеют по два слота - в первом только сертификат квалифицированный для ЭЦП, а во втором слоте, как они называют - для "опознавания" - т.е. для TLS и шифрования, до понимания этой тонкости нам ещё предстоит дорасти !
Offline Serge3leo  
#13 Оставлено : 19 июня 2009 г. 2:06:02(UTC)
Serge3leo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Поблагодарили: 3 раз в 2 постах
Здравствуйте Владимир,
Цитата:
Sent: Thursday, June 18, 2009 9:11 PM
To: support
Subject: Нормативный документ с правилами формирования OID
...
(см.первое и второе сообщение участника Ananda).
В первом сообщении - вопрос №3, а во втором сообщении - текст после второй цитаты.
...
Помогите разобраться, каким документом (RFC xxxx или ISO yyyy) регулируется присвоение OID

Присвоение OID регулируется стандартом на ASN.1: ISO/IEC 8824-1 (X.680).
Госстандарт России, как член ИСО/МЭК, принял его русский перевод ГОСТ Р ИСО/МЭК 8824-1-2001.

Там описано управление корнем, а так же веток iso(1) и iso(1) member-body(2), и даны соответствующие ссылки.

Цитата:
типа iso(1) member-body(2) ru(643)

Управляется уполномоченной членом ИСО/МЭК от РФ организацией. Честно говоря, мир не стоит на месте, сейчас я даже не знаю кто в РФ является членом ИСО/МЭК. "Дефакто" реестр OID iso(1) member-body(2) ru(643) ведёт Марина Игнатьева, по http://www.ctel.msk.ru/x500/OIDS/inform.htm доступен сам реестр и её почтовый адрес.

В этом деле традиционно непросто разобраться, т.к. ИСО и МЭК слились, а Госстандарт (бывший член ИСО) и Минсвязи (бывший член МЭК), насколько мне известно, нет. Зато реорганизовались и переименовались. :)
Цитата:
например 1.2.643.2.2?

А это наша ветка OID, смотри "Дополнительные услуги"

Отредактировано пользователем 19 июня 2009 г. 16:57:02(UTC)  | Причина: Не указана

Offline Serge3leo  
#14 Оставлено : 19 июня 2009 г. 2:30:26(UTC)
Serge3leo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Поблагодарили: 3 раз в 2 постах
Sergey M. Murugov написал:
в первом только сертификат квалифицированный для ЭЦП, а во втором слоте, как они называют - для "опознавания" - т.е. для TLS и шифрования, до понимания этой тонкости нам ещё предстоит дорасти !

Shhh
Только никому не говори.
http://tools.ietf.org/html/rfc4491#section-3, это конечно не догма, но соответствующая рекомендация указана.
Запамятовал наверное, а ты там в соавторах значишься, эх :(
Shhh

Отредактировано пользователем 19 июня 2009 г. 3:29:03(UTC)  | Причина: Не указана

Offline Ananda  
#15 Оставлено : 19 июня 2009 г. 2:34:02(UTC)
Ananda

Статус: Участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 11
Мужчина
Откуда: г.Москва

Юрий Маслов написал:
Документации "по EKU и CertificatePolicies" я не встречал. Есть RFC 3280 и есть эксплуатационная документация на ПАК "КриптоПро УЦ".

Юрий, спасибо за наводку. Я заглянул в RFC 3280 и в разделе "Extended Key Usage" прочитал, что OID'ы для идентификации областей использования сертификатов регулируются документом ITU-R X.660. А уже в этом документе в приложении A доходчиво написано, как формируются OID'ы.

К слову сказать, раз уж начал, для организации, которая желает создть свое пространство OID'ов существуют две альтернативные схемы:
1) через iso(1) member-body(2) rus(643);
2) через iso(1) org(3) dod(6) internet(1) private(4) enterprise(1).

Если верить статье в Wiki, наиболее часто в природе встречаются OID'ы, присвоенные по второй схеме.

Дерево OID'ов можно посмотреть здесь (OID Repository). Из него, в частности, можно легко увидеть, что по первой схеме регистрирующей организацией для России является Российский сегмент мирового пространства идентификаторов объектов(перечень зарегистрированных организаций). Интересно, что в OID-Repository невозможно найти многие организации, отраженные в реестре Российского сегмента мирового пространства идентификаторов объектов. С чем это связано - не разбирался.

Также на сайте OID-Repository(здесь (OID Repository)) можно зарегистрировать (и т.о. опубликовать, если это нужно) OID'ы своей организации.

Итак, если вы захотите зарегистрировать ветку своих OID'ов в глоблальном пространстве имен вы можете воспользоваться как первой схемой (регистрирующая организация - Российский сегмент мирового пространства идентификаторов объектов), так и второй схемой (регистрирующая организация - IANA).

Вот так.
С уважением,
Владимир Андреев.
Offline Serge3leo  
#16 Оставлено : 19 июня 2009 г. 3:04:54(UTC)
Serge3leo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Поблагодарили: 3 раз в 2 постах
Ananda написал:
Если верить статье в Wiki, наиболее часто в природе встречаются OID'ы, присвоенные по второй схеме.

Насчёт чаще, не уверен, но, скажем так: их, вероятно, больше.

Ananda написал:
Интересно, что в OID-Repository невозможно найти многие организации, отраженные в реестре Российского сегмента мирового пространства идентификаторов объектов. С чем это связано - не разбирался.

Предполагаю, что им не требовалась эта публикация. Вероятно, им достаточно кросс-ссылки от 1.2.643.

Ananda написал:
Также на сайте OID-Repository(здесь (OID Repository)) можно зарегистрировать (и т.о. опубликовать, если это нужно) OID'ы своей организации.

Не зарегистрировать, но опубликовать уже зарегистрированный в соответствии с X.680 OID. В частности, они же не отвечают даже за уникальность.


iso(1) org(3) dod(6) - Минобороны США, эти ребята оторванные, некоторое время назад у них вообще была Web-морда для регистрации OID-а. :)

Хотя можно понять, в ветке для SNMP уже зарегистрировано несколько десятков тысяч "пользователей". Но хоть за уникальность они отвечают, тут вопросов нет.

Отредактировано пользователем 19 июня 2009 г. 3:26:58(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#17 Оставлено : 19 июня 2009 г. 11:55:15(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Ananda написал:
Итак, если вы захотите зарегистрировать ветку своих OID'ов в глоблальном пространстве имен вы можете воспользоваться как первой схемой (регистрирующая организация - Российский сегмент мирового пространства идентификаторов объектов), так и второй схемой (регистрирующая организация - IANA).

Вот так.

Владимир, а ещё в составе документации на "КриптоПро УЦ" есть документ "ЖТЯИ.00035-01 90 13. КриптоПро УЦ. Руководство по регистрации дополнительных идентификаторов областей применения сертификатов открытых ключей." :-)
С уважением,
КРИПТО-ПРО
Offline Ananda  
#18 Оставлено : 22 июня 2009 г. 16:31:14(UTC)
Ananda

Статус: Участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 11
Мужчина
Откуда: г.Москва

Коллеги, спасибо всем за быстрые и точные ответы!
С уважением,
Владимир Андреев.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.