Слышал от сотрудника МКС, что выпустить им новый корневой сертификат ГУЦ мешает отсутствие сертификации программных средств ГУЦ с ГОСТом-2012. Они рассчитывают на получение такого сертификата (дословно) в первом квартале 2018. Первый квартал = 01.01.2018 -- 31.03.2018. Правда, где-то выше были приведены слова "в первом полугодии" (конец -- 30.06.2018). Исходя из всего тут написанного, нужно, чтобы новый корневой серт УЦ для соответствия ГОСТ-2012 был подписан новым корневым серт-ом ГУЦ, соответствующим ГОСТ-2012. Т.е. теоретически от месячного (раньше они не успеют) до полугодового количества выпущенных удостоверяющими центрами в 2018 году сертификатов УЦ должны будут "списать в утиль"? Выше написанное кем-то "смешное" предположение типа "проблемы индейцев шерифа не волнуют" - и не смешное, и не конструктивное (даже с точки зрения интересов МКС). Весь негатив за такой бардак неизбежно падёт на них, хоть и через посредство УЦ. ГОСТ, конечно, штука серьёзная, и сроки его ввода тоже директивные. Но в законах я что-то не припомню фраз об этом.
В своё время (без подробностей) было что-то про внедрение квал. сертификатов к какой-то дате, в 63-м законе давался на это целый год. За этот год (естественно) никто ничего не успел сделать, и тогда было решено продлить процесс ещё на год. Помню, тогда ещё все УЦ метали икру: 1-е число (кажется, июля) наступило, закон прошёл Думу и лежит в Москве, Путиным не подписан, Путин сидит в Сочи, и в телевизоре это видно, ему там хорошо. Дней через 10 Путин вернулся, и (о! чудо) закон оказался подписан нужным (30-м) числом.
Думаю, что и в данном случае МКС найдёт вариант по формуле "овцы - сыты, волки - целы, зайцы - смеются".
Не удержусь, чтобы не привести здесь один документ, до сих пор не отменённый.
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ И ТОРГОВЛИ РОССИЙСКОЙ ФЕДЕРАЦИИ = ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ПРИКАЗ от 7 августа 2012 г. № 215-ст ОБ УТВЕРЖДЕНИИ НАЦИОНАЛЬНОГО СТАНДАРТА
В соответствии с Федеральным законом от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" приказываю:
1. Утвердить для добровольного (??) применения национальный стандарт Российской Федерации ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" с датой введения в действие 1 января 2013 г. взамен ГОСТ Р 34.10-2001.
Отменить ГОСТ Р 34.10-2001 с 1 января 2013 г.
2. Закрепить утвержденный стандарт за Управлением технического регулирования и стандартизации.
Руководитель Федерального агентства Г.И.ЭЛЬКИН
====
Не знаю, где работает сейчас Г.И.ЭЛЬКИН, но приказ он выдал славный, но невыполнимый (как оказалось). Почему-то в 2017 году ещё все пользуются ГОСТом-2001, и те, кому это жизненно важно (например, аккредитованные УЦ) ни ухом, ни рылом не ведают, как с него перескочить на ГОСТ-2012. Это такой показательный пример воплощения в жизнь решений, принятых на государственном уровне (ФА).
Обращаю внимание, что ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ позорно употребило в названии документа старый (отменённый на тот день 63-м законом) термин: электронной цифровой подписи, вместо электронной подписи. Ибо не ведают, что творят!

Отредактировано пользователем 11 октября 2017 г. 15:51:16(UTC)  | Причина: Не указана

В настоящее время проводятся тематические исследования ПАК ГУЦ ГОСТ-2012, после которых должна быть ещё аттестация ИС ГУЦ ГОСТ-2012, а это дополнительное время.
ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации: запрещено при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2001 использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2012 и наоборот, при выпуске сертификатов с алгоритмом ключа проверки подписи ГОСТ Р 34.10-2012 запрещено использовать алгоритм создания подписи на основе ГОСТ Р 34.10-2001.

Головной УЦ выпустит новый корень на новых алгоритмах.
В чем возникают трудности, если цепочка серитфикатов состоит из 3-х?

Трудностей с цепочками для УЦ, действительно, никаких. Гипотетически они могут быть (незначительными) для обычных владельцев сертификатов, которые иногда могут забывать устанавливать себе какой-то сертификат из цепочки, обращаются с жалобами, но это быстро решается.
Ну, вот предположим, что все необходимые сертификации и аттестации ГУЦ и его "дочки" в цепочке получили, и даже успели это сделать до 31.12.2017. ГУЦ на радостях выпускает свои корневые на ГОСТ-2012, следом аккредитованные УЦ тоже получают от ГУЦ свои сертификаты уполномоченных лиц УЦ на ГОСТ-2012. И?? Наступает всеобщее счастье?
УЦ начинают выдавать клиентуре сертификаты, соответствующие ГОСТ-2012, и соответствующие ключам ЭП, выпущенным в соответствии с ГОСТ-2012. Клиенты (счастливые) начинают подписывать (а то и шифровать) какие-то файлы во множестве информационных систем (ИС). А дальше возможны варианты.
1) Информационным системам по всей стране всё равно, каким ГОСТом были подписаны (зашифрованы) файлы, они автоматически проверяют и старые, и новые виды ЭП. Поэтому пользователи плавно переходят и на новое ПО СКЗИ (с ГОСТом-2012) по мере того, как у них заканчивается срок действия их предыдущего сертификата. Ну, кому-то надо будет подкупить КриптоПро версии 4.0 при смене сертификата.
2) Выясняется, что не все ИС могут работать с обоими видами ключей и сертификатов к ним. И либо не принимают ЭП нового вида (2012), либо (вдруг для всей массы пользователей) старого вида (2001). Объясняют: а) нам пофигу; б) мы не успели вообще что-то сделать; в) мы технически не можем работать с обоими видами ключей. Минкомсвязь стоит в сторонке, злорадно хихикает, но на официальные вопросы УЦ неофициально отвечает: а мы тут причём? разбирайтесь с ИС (которых много), они не успели, а мы их всех (якобы) предупреждали. А на вопросы обманутых пользователей пусть отвечают УЦ.
3) Допустим, что все ИС с 1 января "перестроились" на новый ГОСТ, готовы с ним (и только с ним) работать. И тут дело за малым (за малыми мира сего) - за УЦ. Они должны быстренько (за день? за неделю? за месяц?) перевыпустить сертификаты со старого ГОСТа на новый всем своим клиентам, которым до этого выдавали их целый год. Решение изящное (для МКС и примкнувших к нему ИС). Разумеется, для УЦ это дело плёвое, раз-два и перевыпустили. А не могут? значит, они - враги народа, к позорному столбу их и лишить аккредитации.

Возможно, я что-то не понимаю, и существует какой-то совсем иной вариант развития событий, или сбудется-таки мой первый вариант. Мне плевать, как долго будет возиться ГУЦ с сертификацией от ФСБ, какую цепочку он построит и т.д. Мне очень интересно, что должны будут сделать УЦ после "наступления счастья". Интересно не только мне, но МКС ограничилось глухим обещанием: ждите, скоро мы вам всем напишем бумажку, там будет написано, что всем делать. Пока и бумажки нет, нет даже сплетен , более или менее чётко разъясняющих вышеописанные вопросы (или проблемы?). Такое впечатление, что вся проблематика сводится к получению ГУЦем каких-то сертификатов и пр. Это - проблематика ГУЦ (МКС), а у УЦ совсем иные заботы.

Из документации на ПАК, а туда попало - по требованию ФСБ.