Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Обоснование контроля срока действия ключа электронной подписи
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675   Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: ssm_2005  Автор: pharaon http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=11636#post11636 Неужели фраза Юрия Геннадьевича "...нам неизвестен этот документ и существует ли он вообще. :-)" до сих пор актуальна? Печально. С такими аргументами в суд не пойдешь. Чего-то здесь недоговаривают разработчики. А в чём проблема? Поставщик софта создали по-сути ТУ (технические условия) на свой продукт: через 1 год сгенерированный ключ может быть скомпрометирован и подлежит смене. Все сертификаты используют CSP и неявно их ключи (как минимум пользовательские) должны соответствовать ТУ от CSP. И что должны договорить разработчики? Просто им большие дяди, которые знают этот алгоритм гораздо глубже, сказали что срок компрометации ключа будет 1 год. Может большие дяди и схитрили и сильно приуменьшили сроки, но это уже вопрос к большим дядям, разработчики тут ни при чем. Кстати можете сами провести эксперимент по взлому ключа ГОСТ. Как закончите - будет у нас экспериментальное обоснование возможности взлома ключа за 1 год :) Отредактировано пользователем 9 июля 2013 г. 17:24:35(UTC)
| Причина: Не указана |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,074 Сказал «Спасибо»: 612 раз
Поблагодарили: 2371 раз в 1866 постах
|
Автор: Юрий
Кстати можете сами провести эксперимент по взлому ключа ГОСТ. Как закончите - будет у нас экспериментальное обоснование возможности взлома ключа за 1 год :) И если начинать эксперимент, тогда уж с ГОСТ Р 34.10-2012 |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: Андрей * Автор: Юрий
Кстати можете сами провести эксперимент по взлому ключа ГОСТ. Как закончите - будет у нас экспериментальное обоснование возможности взлома ключа за 1 год :) И если начинать эксперимент, тогда уж с ГОСТ Р 34.10-2012 А разве этот алгоритм уже реализован в Крипто-ПРО CSP? |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,074 Сказал «Спасибо»: 612 раз
Поблагодарили: 2371 раз в 1866 постах
|
Автор: Юрий Автор: Андрей * Автор: Юрий
Кстати можете сами провести эксперимент по взлому ключа ГОСТ. Как закончите - будет у нас экспериментальное обоснование возможности взлома ключа за 1 год :) И если начинать эксперимент, тогда уж с ГОСТ Р 34.10-2012 А разве этот алгоритм уже реализован в Крипто-ПРО CSP? в CSP 4.0 .. как и у "другого разработчика" криптопровайдера и с той же версией CSP (который, кстати, уже доступен для скачивания) Отредактировано пользователем 9 июля 2013 г. 17:41:16(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Кстати вот хорошая статья по поводу анализа стойкости алгоритма ГОСТ и анализа за сколько его можно сломать. И приведо время там в величине "MIPS-лет" (Million Instructions Per Second), так что очень удобно считать через сколько лет при текущей мощности компьютера ключ можно подобрать. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Юрий А в чём проблема? Поставщик софта создали по-сути ТУ (технические условия) на свой продукт: через 1 год сгенерированный ключ может быть скомпрометирован и подлежит смене. Все сертификаты используют CSP и неявно их ключи (как минимум пользовательские) должны соответствовать ТУ от CSP.
И что должны договорить разработчики? Просто им большие дяди, которые знают этот алгоритм гораздо глубже, сказали что срок компрометации ключа будет 1 год. Может большие дяди и схитрили и сильно приуменьшили сроки, но это уже вопрос к большим дядям, разработчики тут ни при чем.
Кстати можете сами провести эксперимент по взлому ключа ГОСТ. Как закончите - будет у нас экспериментальное обоснование возможности взлома ключа за 1 год :) Проблема как раз в том и состоит - где эти найти пресловутые технические условия в виде хоть какого-нибудь документа? Слова "больших дядей" к делу не пришьешь. |
С уважением,
Сергей |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: ssm_2005 Автор: Юрий А в чём проблема? Поставщик софта создали по-сути ТУ (технические условия) на свой продукт: через 1 год сгенерированный ключ может быть скомпрометирован и подлежит смене. Все сертификаты используют CSP и неявно их ключи (как минимум пользовательские) должны соответствовать ТУ от CSP.
И что должны договорить разработчики? Просто им большие дяди, которые знают этот алгоритм гораздо глубже, сказали что срок компрометации ключа будет 1 год. Может большие дяди и схитрили и сильно приуменьшили сроки, но это уже вопрос к большим дядям, разработчики тут ни при чем.
Кстати можете сами провести эксперимент по взлому ключа ГОСТ. Как закончите - будет у нас экспериментальное обоснование возможности взлома ключа за 1 год :) Проблема как раз в том и состоит - где эти найти пресловутые технические условия в виде хоть какого-нибудь документа? Слова "больших дядей" к делу не пришьешь. Поискал за вас: "ЖТЯИ.00050-03 90 02. КриптоПро CSP. Руководство администратора безопасности. Общая часть.", пункт 7.8. "Сроки действия пользовательских ключей" Цитата:При эксплуатации СКЗИ ЖТЯИ.00050-03 должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов:
максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет;
максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. Возможно где-то ещё есть указания на сроки действия ключей. Например в "ЖТЯИ.00050-03 30 01. КриптоПро CSP. Формуляр", пункт 2. "ТРЕБОВАНИЯ К ЭКСПЛУАТАЦИИ СКЗИ" Цитата:3. Срок действия ключа проверки ЭП – не более 15 лет после окончания срока действия соответствующего ключа ЭП. Отредактировано пользователем 10 июля 2013 г. 9:32:39(UTC)
| Причина: Не указана |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Вот ещё выдержка из "ЖТЯИ.00050-03 90 02. КриптоПро CSP. Руководство администратора безопасности. Общая часть", пункт 9.2. "Формирование ключей Центра Сертификации": Цитата:Закрытый ключ и сертификат ЦС
Срок действия закрытого ключа ЦС (точнее, ключа Уполномоченного лица УЦ) составляет 3 года. В течение 1 года 3 месяцев закрытый ключ Уполномоченного лица УЦ используется для изготовления сертификатов пользователей и формирования списков отозванных сертификатов.
По истечении 1 года 3 месяцев и до окончания срока действия закрытого ключа Уполномоченного лица УЦ данный закрытый ключ используется исключительно для формирования списков отозванных сертификатов УЦ. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
В начале дискуссии я упоминал Руководство администратора. Юристы принимают этот документ только с оговорками, так как это руководство для конкретного должностного лица. В руководстве пользователя таких требований нет. Вот если бы это было указано в требованиях к эксплуатации - другое дело. Но в требованиях ничего не говорится о сроке действия ключа ЭП. О сроках действия ключей УЦ вопрос тоже не стоит. Необходимо обосновать требования к пользователям или прикладному ПО. Отредактировано пользователем 10 июля 2013 г. 9:36:08(UTC)
| Причина: Не указана |
С уважением,
Сергей |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: ssm_2005 В начале дискуссии я упоминал Руководство администратора. Юристы принимают этот документ только с оговорками, так как это руководство для конкретного должностного лица. В руководстве пользователя таких требований нет. Вот если бы это было указано в требованиях к эксплуатации - другое дело. Но в требованиях ничего не говорится о сроке действия ключа ЭП. О сроках действия ключей УЦ вопрос тоже не стоит. Необходимо обосновать требования к пользователям или прикладному ПО. Основным (базовым) документом, определяющим работу с Крипто-ПРО CSP является "ЖТЯИ.00050-03 30 01. КриптоПро CSP. Формуляр". В этом документе говорится, что Цитата:1.2 Эксплуатация СКЗИ ЖТЯИ.00050-03 должна проводиться в соответствии с эксплуатационной документацией, предусмотренной настоящим Формуляром, и в соответствии с разделом V "Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств зашиты информации (Положение-2005)". Документ "ЖТЯИ.00050-03 90 02. КриптоПро CSP. Руководство администратора безопасности. Общая часть" в свою очередь входит в перечень документов, определённых в составе "экспуатационной документации". Следовательно все требования из него обязательны к применению. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Обоснование контроля срока действия ключа электронной подписи
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
