Поясните, пожалуйста, выделенные фрагменты. Вы считаете, что при шифровании закрытый ключ критичен, а при подписи - нет?

Закрытый ключ одинаково важен как для подписи, так и для шифрования. В случае если "байтики потерлись" действительно бОльший урон понесёт зашифрованная информация, однако гораздо бОльшую опасность для подписи представляет компрометация закрытого ключа. В этом случае зашифрованные данные и подпись будут "на одном уровне".

И ещё раз: математически создание зашифрованных данных и создание подписи практически идентичны. То, в чём вы видите разницу в применении различных сертификатов является искусственным: сертификат, который по политикам применения должен применяться только для подписи, может успешно быть применён и для шифрования. И наоборот. Ограничения это только некое обязательство УЦ и/или пользователя применять данный сертификат только так и никак иначе. Однако формально это "обязательство" может быть успешно нарушено.

Отредактировано пользователем 12 декабря 2014 г. 13:02:00(UTC)  | Причина: Не указана

Математика даже в Эстонии будет одинаковая с нашей страной :) Я говорю про чистую математику - там подпись и шифрование практически равнозначны и имеют крайне сходные алгоритмы. Я говорю, что принципиально любая пара ключей может быть применена как для шифрования, так и для подписи. И, возвращаясь к начальному моему утверждению, один сертификат может быть использован как для идентификации его владельца, так и для процедур авторизации. Идентификация будет подтверждена через цепочку доверия, а с применением шифрования/подписи возможно реализовать корректные процедуры авторизации. Всё с помощью одного сертификата.

Для того чтобы согласовать термины:
"выдача СКП" - по законопроекту "вручение". Выдает только УЦ - см. по тексту ст. 11, 13, 18 63-ФЗ и определение квалифицированного сертификата.
"центры регистрации" - кто это? Юрлицо имеющее ЦР от ПАК "КриптоПро" и договор с УЦ, или это филиал УЦ без образования юрлица?
"получение начальных данных от клиента" - что имеется ввиду? Кто занимается обработкой персональны данных (ПДн) клиента и на основании чего? Например ст.18

Если "пункт вручения" это юрлицо, отдельное от УЦ, то ПДн обрабатываются не по 63-ФЗ, а в соответствии с соглашением (договором), а значит получается много проблем.
Кто несет ответственность за выполнение ряда требований к УЦ в части регистрации пользователей, например: конфиденциальность ключей ЭП, выдача средств ЭП, ведение журналов учета, ведение реестра выданных СКП, регистрацию пользователей в ЕСИА, хранение докуменов клиента (ст. 15 63-ФЗ) и т.д. Соглашеним нельзя "переложить" многое из этого на третье лицо, т.к. обязанность прописана 63-ФЗ и 152-ФЗ.

В итоге, имхо, изменение словосочетания "полномочиями по созданию и выдаче сертификатов" на "вручение" ставит развитие инфратруктуры ЭП в такие условия, что будут только филиалы, входящие в состав УЦ без образования юрлиц, иначе невозможно выполнить требования 152-ФЗ, 63-ФЗ и подзаконных актов (ведение реестров СКП, 152 приказа ФАПСИ, 796 приказа ФСБ, и т.д. )
В свою очередь это приведет к проблемам в реализации от многих проектов. связанных с массовым применением ЭП (госуслуги, УЭК, отчетность, торогвые площадки и т.д.)


Нет такого в законопроекте, фактически

означает, что может проводится процедура одностороней кросс-сертификации (так же как и сейчас). Вводима норма не исключает создания иерархии подчиненных УЦ.


Технически да, можно прописывать и полиси и ОID, но это для разрешенияна использование сертификата в конкретной ИС, а не ограничение (т.е. нельзя использовать для этой ИС), законодательство говорит именно об ограничении (т.е. "нельзя..."). Сейчас в области применения сертификата (улучшенный ключ) прописываются именно разрешения.

Так вот, по законопроекту ограничения в СКП
1. указывает сам заявитель (как и сейчас в 63-ФЗ)
2. операторы ИС не вправе указывать ограничения применения СКП для иных ИС. Для своих ИС ограничение (т.е. такие то СКП нельзя использвоать в такой-то ИС) видимо уставанвливать можно, но бессмыслено, особенно учитывая, что
после внесения изменений часть 1 статьи 6 будет звучать так:

В пояснительной записке к законопроекту говорится о "правовых ограничениях".
В действующей норме есть

Непонятно как это соотносится с "может применяться в любых правоотношениях" и "операторы ИС не вправе указывать ограничения применения СКП для иных ИС".

В итоге получим ли мы "универсальный" СКП без ограничений для любых правоотношений ещё неизвестно.
У владельцев (операторов) ИС ещё остается возможность прописывать не требования к СКП, а к порядку работы в ИС (регламент), где указать требования к учатникам взаимодействи (если иное не прописано в НПА)

В этом обсуждении умиляет то обстоятельство, что все участники как-то совершенно естественным образом воспринимают планируемые нововведения по условиям <стоимости чистых активов> и <финансового обеспечения ответственности>, как, условиям, имеющим целью вывод «удостоверяющей мелочи» с рынка!
Но ведь это же не цель. (Во всяком случае, слов таких нет). Это наиболее вероятный «побочный» эффект.
Наличие слов про активы и ответственность никак не вытекает из предшествующего текста и не связано с последующим.
Никоим образом не только не обоснованы приведенные величины, но и использование этих показателей весьма сомнительно:
- как на основании показателя имущественного положения предприятия можно судить о его способности осуществлять деятельность УЦ? Есть какие-то зависимости?
- не определены ни условия возникновения убытков, третьим лицам, ни какая-нить внятная модель финансовой ответственности …
Необоснованность критериев предполагает их произвольное использование. Что и есть произвол!
Или все согласны, что с тем, что профильное ведомство, преследуя свои (вполне может быть и «непрозрачные» цели) имеет право на подобную подмену (цели и побочного эффекта) ?

Отредактировано пользователем 15 декабря 2014 г. 17:22:38(UTC)  | Причина: Не указана