Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

15 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline NUCvibor  
#21 Оставлено : 11 октября 2017 г. 15:47:38(UTC)
NUCvibor

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск

Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
Слышал от сотрудника МКС, что выпустить им новый корневой сертификат ГУЦ мешает отсутствие сертификации программных средств ГУЦ с ГОСТом-2012. Они рассчитывают на получение такого сертификата (дословно) в первом квартале 2018. Первый квартал = 01.01.2018 -- 31.03.2018. Правда, где-то выше были приведены слова "в первом полугодии" (конец -- 30.06.2018). Исходя из всего тут написанного, нужно, чтобы новый корневой серт УЦ для соответствия ГОСТ-2012 был подписан новым корневым серт-ом ГУЦ, соответствующим ГОСТ-2012. Т.е. теоретически от месячного (раньше они не успеют) до полугодового количества выпущенных удостоверяющими центрами в 2018 году сертификатов УЦ должны будут "списать в утиль"? Выше написанное кем-то "смешное" предположение типа "проблемы индейцев шерифа не волнуют" - и не смешное, и не конструктивное (даже с точки зрения интересов МКС). Весь негатив за такой бардак неизбежно падёт на них, хоть и через посредство УЦ. ГОСТ, конечно, штука серьёзная, и сроки его ввода тоже директивные. Но в законах я что-то не припомню фраз об этом.
В своё время (без подробностей) было что-то про внедрение квал. сертификатов к какой-то дате, в 63-м законе давался на это целый год. За этот год (естественно) никто ничего не успел сделать, и тогда было решено продлить процесс ещё на год. Помню, тогда ещё все УЦ метали икру: 1-е число (кажется, июля) наступило, закон прошёл Думу и лежит в Москве, Путиным не подписан, Путин сидит в Сочи, и в телевизоре это видно, ему там хорошо. Дней через 10 Путин вернулся, и (о! чудо) закон оказался подписан нужным (30-м) числом.
Думаю, что и в данном случае МКС найдёт вариант по формуле "овцы - сыты, волки - целы, зайцы - смеются".
Не удержусь, чтобы не привести здесь один документ, до сих пор не отменённый.
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ И ТОРГОВЛИ РОССИЙСКОЙ ФЕДЕРАЦИИ = ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ПРИКАЗ от 7 августа 2012 г. № 215-ст ОБ УТВЕРЖДЕНИИ НАЦИОНАЛЬНОГО СТАНДАРТА
В соответствии с Федеральным законом от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" приказываю:
1. Утвердить для добровольного (??) применения национальный стандарт Российской Федерации ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" с датой введения в действие 1 января 2013 г. взамен ГОСТ Р 34.10-2001.
Отменить ГОСТ Р 34.10-2001 с 1 января 2013 г.
2. Закрепить утвержденный стандарт за Управлением технического регулирования и стандартизации.
Руководитель Федерального агентства Г.И.ЭЛЬКИН
====
Не знаю, где работает сейчас Г.И.ЭЛЬКИН, но приказ он выдал славный, но невыполнимый (как оказалось). Почему-то в 2017 году ещё все пользуются ГОСТом-2001, и те, кому это жизненно важно (например, аккредитованные УЦ) ни ухом, ни рылом не ведают, как с него перескочить на ГОСТ-2012. Это такой показательный пример воплощения в жизнь решений, принятых на государственном уровне (ФА).
Dancing Обращаю внимание, что ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ позорно употребило в названии документа старый (отменённый на тот день 63-м законом) термин: электронной цифровой подписи, вместо электронной подписи. Ибо не ведают, что творят! Applause

Отредактировано пользователем 11 октября 2017 г. 15:51:16(UTC)  | Причина: Не указана

Offline Ткаченко Александр Борисович  
#22 Оставлено : 12 октября 2017 г. 14:01:46(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
У них что, с HSM от Крипто ПРО проблемы?
Но вроде как у ВиПНЕТ есть сертифицированный по ГОСТ-2012 HSM.
https://infotecs.ru/product/vipnet-hsm-1-0.html
https://infotecs.ru/incl...D=11068&IBLOCK_ID=14

Что мешает?
Offline svyazist  
#23 Оставлено : 15 октября 2017 г. 22:05:17(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 204
Мужчина

Сказал «Спасибо»: 29 раз
Поблагодарили: 55 раз в 34 постах
В настоящее время проводятся тематические исследования ПАК ГУЦ ГОСТ-2012, после которых должна быть ещё аттестация ИС ГУЦ ГОСТ-2012, а это дополнительное время.
ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации: запрещено при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2001 использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2012 и наоборот, при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2012 запрещено использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2001.
Offline Ткаченко Александр Борисович  
#24 Оставлено : 16 октября 2017 г. 6:33:37(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: svyazist Перейти к цитате
В настоящее время проводятся тематические исследования ПАК ГУЦ ГОСТ-2012, после которых должна быть ещё аттестация ИС ГУЦ ГОСТ-2012, а это дополнительное время.
ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации: запрещено при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2001 использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2012 и наоборот, при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2012 запрещено использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2001.


Не понял - опять планируется выпуск корневых с цепочкой из 3-х сертификатов вместо действующей цепочки из 2-х?
Offline Захар Тихонов  
#25 Оставлено : 16 октября 2017 г. 8:45:29(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: Ткаченко Александр Борисович Перейти к цитате

Не понял - опять планируется выпуск корневых с цепочкой из 3-х сертификатов вместо действующей цепочки из 2-х?


Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка серитфикатов состоит из 3-х?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Ткаченко Александр Борисович  
#26 Оставлено : 16 октября 2017 г. 8:55:19(UTC)
Ткаченко Александр Борисович

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.03.2017(UTC)
Сообщений: 6
Российская Федерация
Откуда: Владивосток

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: tikhonov Перейти к цитате

Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка серитфикатов состоит из 3-х?

Да ни в чем трудностей нет, хоть из десяти.
Кроме суеты и вскипания мозгов - сначала с июля прошлого года выдаем корневые подчинных в цепочке из трех, потом с третьего марта этого года в цепочке из двух, потом опять начнем выдавать в цепочке из трех, но при этом ссылаясь на новые алгоритмы.

Но при этом бы хотелось понять, что за собой имеет формулировка в законе о ГУЦ, какой с точки зрения закона и установленных на нем правил должна быть цепочка и так далее, далее, далее...
Но это чисто для удовлетворения линого любопытства.
Offline NUCvibor  
#27 Оставлено : 16 октября 2017 г. 11:59:08(UTC)
NUCvibor

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.02.2012(UTC)
Сообщений: 121
Откуда: Смоленск

Сказал(а) «Спасибо»: 104 раз
Поблагодарили: 27 раз в 16 постах
Автор: tikhonov Перейти к цитате
Автор: Ткаченко Александр Борисович Перейти к цитате

Не понял - опять планируется выпуск корневых с цепочкой из 3-х сертификатов вместо действующей цепочки из 2-х?


Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка сертификатов состоит из 3-х?


Трудностей с цепочками для УЦ, действительно, никаких. Гипотетически они могут быть (незначительными) для обычных владельцев сертификатов, которые иногда могут забывать устанавливать себе какой-то сертификат из цепочки, обращаются с жалобами, но это быстро решается.
Ну, вот предположим, что все необходимые сертификации и аттестации ГУЦ и его "дочки" в цепочке получили, и даже успели это сделать до 31.12.2017. ГУЦ на радостях выпускает свои корневые на ГОСТ-2012, следом аккредитованные УЦ тоже получают от ГУЦ свои сертификаты уполномоченных лиц УЦ на ГОСТ-2012. И?? Наступает всеобщее счастье?Boo hoo!
УЦ начинают выдавать клиентуре сертификаты, соответствующие ГОСТ-2012, и соответствующие ключам ЭП, выпущенным в соответствии с ГОСТ-2012. Клиенты (счастливые) начинают подписывать (а то и шифровать) какие-то файлы во множестве информационных систем (ИС). А дальше возможны варианты.
1) Информационным системам по всей стране всё равно, каким ГОСТом были подписаны (зашифрованы) файлы, они автоматически проверяют и старые, и новые виды ЭП. Поэтому пользователи плавно переходят и на новое ПО СКЗИ (с ГОСТом-2012) по мере того, как у них заканчивается срок действия их предыдущего сертификата. Ну, кому-то надо будет подкупить КриптоПро версии 4.0 при смене сертификата.
2) Выясняется, что не все ИС могут работать с обоими видами ключей и сертификатов к ним. И либо не принимают ЭП нового вида (2012), либо (вдруг для всей массы пользователей) старого вида (2001). Объясняют: а) нам пофигу; б) мы не успели вообще что-то сделать; в) мы технически не можем работать с обоими видами ключей. Минкомсвязь стоит в сторонке, злорадно хихикает, но на официальные вопросы УЦ неофициально отвечает: а мы тут причём? разбирайтесь с ИС (которых много), они не успели, а мы их всех (якобы) предупреждали. А на вопросы обманутых пользователей пусть отвечают УЦ.
3) Допустим, что все ИС с 1 января "перестроились" на новый ГОСТ, готовы с ним (и только с ним) работать. И тут дело за малым (за малыми мира сего) - за УЦ. Они должны быстренько (за день? за неделю? за месяц?) Brick wall перевыпустить сертификаты со старого ГОСТа на новый всем своим клиентам, которым до этого выдавали их целый год. Решение изящное (для МКС и примкнувших к нему ИС). Разумеется, для УЦ это дело плёвое, раз-два и перевыпустили. А не могут? значит, они - враги народа, к позорному столбу их и лишить аккредитации.

Возможно, я что-то не понимаю, и существует какой-то совсем иной вариант развития событий, или сбудется-таки мой первый вариант. Мне плевать, как долго будет возиться ГУЦ с сертификацией от ФСБ, какую цепочку он построит и т.д. Мне очень интересно, что должны будут сделать УЦ после "наступления счастья". Интересно не только мне, но МКС ограничилось глухим обещанием: ждите, скоро мы вам всем напишем бумажку, там будет написано, что всем делать. Пока и бумажки нет, нет даже сплетен Drool , более или менее чётко разъясняющих вышеописанные вопросы (или проблемы?). Такое впечатление, что вся проблематика сводится к получению ГУЦем каких-то сертификатов и пр. Это - проблематика ГУЦ (МКС), а у УЦ совсем иные заботы.
Offline lab  
#28 Оставлено : 16 октября 2017 г. 17:42:22(UTC)
lab

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2010(UTC)
Сообщений: 69

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
Для аккредитованных УЦ алгоритм ключа пользователя должен совпадать с алгоритмом ключа ЦС.

можете пояснить, откуда это требование ?


Offline Андрей Писарев  
#29 Оставлено : 16 октября 2017 г. 22:40:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: lab Перейти к цитате
Автор: tikhonov Перейти к цитате
Для аккредитованных УЦ алгоритм ключа пользователя должен совпадать с алгоритмом ключа ЦС.

можете пояснить, откуда это требование ?




Из документации на ПАК, а туда попало - по требованию ФСБ.

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
lab оставлено 17.10.2017(UTC)
Offline Андрей Писарев  
#30 Оставлено : 16 октября 2017 г. 22:52:19(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.pdf
Цитата:

раздел 13.3 - Контроль соответствия алгоритмов ключей ЦС и выпускаемых сертификатов
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
15 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.