Несколько разовью вашу мысль, если уж говорить о задаче пускать или не пускать на ресурс, то совершенно необязательно это связывать с составом сертификата и тем паче разделять на квалифицированные и не квалифицированные. Достаточно приподняться над конкретной техреализацией и осознать, что идентификация (т.е. связь субъекта с данными о нём) и привилегии-полномочия-роли ранее идентифицированного субъекта - это разные бизнес-процессы и даже с разными требованиями. Чтобы долго тут не писать, вот простым языком можно прочитать в Х842 или вот тут, где расписана одна из возможных реализаций PMI http://ru.wikipedia.org/...%D0%B8%D1%8F%D0%BC%D0%B8
Следует также упомянуть, что продвигая квалифицированные сертификаты МКС по любому придёт к мысли о создании такой внешний PMI либо (что скорее всего) наделит её функциями уже существующую систему , ну например, ЕСИА.
Возвращаясь к деньгам и ЭТП, на самом деле ни кто не мешает тем же ЭТП или их содружествам завести себе такую тематическую PMI и связывать через неё ролевые признаки любого вида сертификатов для работы на конкретной ЭТП. Т.е. использование кв. сертификатов ни коем образом не ставит крест на возможности зарабатывать на организации доступа.

Я понял Вашу мысль.

Тогда почему такое свойство как класс ЭП, которое имхо скорее техническое и относится к открытому ключу, нежели к сертификату, включается в политики сертификата, а не области использования ключа?

Про маппинги политик вообще молчу - это не для наших реалий :) Если сейчас при выпуске кросса от МКС принудительно ставят ограничение на длину пути 0, то и при использовании маппингов будет так же - в mapping contraints принудительно будет запрещено использование маппингов :)

Про тезис, вызвавший удивление, имелось ввиду отсутствие oid'ов в eku, т.к. слово "extended" имеет смысл "расширенное", т.е. использовать можно только там, где указано, но не больше, а если там пусто, то значит нигде нельзя.

Про включение oid'ов в политики соглашусь, что в этом случае они имеют смысл ограничений.

Вот если бы в 795 или где-то еще было написано, что означают эти самые ограничения, а пока в 795 есть только одна фраза:



и понимай как хочешь.

В любом случае, я считаю, что модель, при которой сертификат обладает рядом атрибутов, позволяющих использовать его только в определенных ИС и добавляя эти атрибуты в него мы расширяем его область использования, а не наоборот ограничиваем, более жизнеспособна с т.з. коммерческого применения. Эта модель не требует наличия PMI, упомянутого Вами в следующем посте. Она работает без внешних компонентов. К примеру, возьмите тот же КриптоПро УЦ - есть обычный сертификат, а есть такой же, но с дополнительным oid в eku, позволяющим получить доступ как администратору к УЦ. И это работает как было задумано.

А модель с политиками сертификата не работает сама по себе. Для ее работоспособности необходимы и маппинги и PMI, которые сами по себе развернуть в масштабах страны очень проблематично. А потом еще и отладить, чтобы работало как надо.

Письмо Сбербанка про разъяснения ФСБ и МКС(про выпуск неквалифицированных ЭП на аккредитованном ПАК) как то не очень вяжется с предыдущей точкой зрения криптопро, что это является грубым нарушением эксплуатации ПАК и может повлечь лишения аккредитации.

Вы о письме и тексте на стр.№ 3?

Коллеги приветствую!
Судя по всему НПА по составу неквала до сих пор нет, разъяснений от МЭР и ФАС тоже. Поправьте если не прав.
Кто какие серты с утра выпускает?