Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Рад. Ион  
#1 Оставлено : 21 мая 2018 г. 17:45:31(UTC)
Рад. Ион

Статус: Участник

Группы: Участники
Зарегистрирован: 21.05.2018(UTC)
Сообщений: 16
Российская Федерация

Добрый день,

При совместном использования разных СКЗИ с Криптопро CSP необходимо ли проводить контроль встраивания или/и сертифицировать комплексное решение в ФСБ?
Offline basid  
#2 Оставлено : 21 мая 2018 г. 18:23:53(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Поскольку "разные СКЗИ" используют только собственное API и никак не встраиваются в чужое, то никаких исследований проводить не требуется.
Offline Рад. Ион  
#3 Оставлено : 21 мая 2018 г. 19:24:27(UTC)
Рад. Ион

Статус: Участник

Группы: Участники
Зарегистрирован: 21.05.2018(UTC)
Сообщений: 16
Российская Федерация

А можно чуть подробнее про "никак не встраивается в чужое"?

К примеру у Криптопро csp есть разные типы хранилищ ключей:пассивные,активные и ФКН.

Активные хранилища сертифицированы в фсб их производителями как самостоятельное СКЗИ.

В связке с Криптопро csp получается что одно СКЗИ встроено в другое?
Как минимум Ключи создает одно сертифицированное СКЗИ, а использует его другое сертифицированное СКЗИ.

Но тот же ФКН сертифицирован Фсб как отдельный продукт. Отдельные сертификаты для каждого активного хранилища.

Где эта грань совместного использования, с которой появляется необходимость сертификации решения?

Отредактировано пользователем 21 мая 2018 г. 19:25:09(UTC)  | Причина: Не указана

Offline basid  
#4 Оставлено : 21 мая 2018 г. 20:13:41(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
СКЗИ сертифицируется целиком. Использование различных носителей - часть процесса сертификации.
В случае КРИПТО-ПРО CSP криптографические возможности Рутокен/EToken/JaCarta или вообще не используются или на токен записывается специальный аплет, который разработан и сертифицирован "как положено".

P.S.
Я вот одного не могу понять ...
Есть загрузки, включающие дистрибутив (отдельно) и документацию (отдельно).
В чём проблема загрузить ещё и документацию и прочитать формуляр, где расписано - что, как и что читать дальше.
Почему обязательно взять, высосать проблему из пальца и задать вопрос на форуме?
Offline Рад. Ион  
#5 Оставлено : 21 мая 2018 г. 22:09:17(UTC)
Рад. Ион

Статус: Участник

Группы: Участники
Зарегистрирован: 21.05.2018(UTC)
Сообщений: 16
Российская Федерация

Ну проблема не совсем высосана из пальца.

Итак:
Есть Джакарта для ЕГАИС.

У клиента был ПК для работы с ЕГАИС.
Все работало. Через какое-то время на этот же ПК был установлен КриптоПро CSP нашим специалистом для отчетности 1С.
Вскоре после этого Джакарта для ЕГАИС была заблокирована.

Для восстановления работы с ЕГАИС потребовалось пару дней. Клиент требует у нас компенсацию простоя.
Оперирует всякими форумами о невозможности совместного использования (типа такого https://www.mista.ru/topic.php?id=779100 ) и рекомендациями ЦентрИнформ.
В 1С нам так же сказали, что использовать два СКЗИ совместно нежелательно и это может привести к проблемам.
В Аладдин сказали, что все тестируется, наши действия корректны, но "что-то пошло не так".

Я же не вижу нигде в документации к КриптоПро упоминание Джакарты для ЕГАИС. Она же JaCarta SE и такое наименование так же нигде не нашел.

На сегодня производитель JaCarta SE говорит, что совместимось гарантируется.В ЦентрИнформ и 1С говорят, что корректная работа КриптоПро и JaCarta SE не гарантируется, нужно заключение фсб о корректности встраивания.


Собственно отсюда и вопросы:
1. Использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ?
2. Возможно ли использовать два СКЗИ на одном ПК при совместной работе?
3. Если возможно, то есть ли заключение фсб о корректности встраивания двух СКЗИ?
4. Какие аргументы в свою пользу мы можем выдать клиенту?
Offline basid  
#6 Оставлено : 22 мая 2018 г. 16:03:11(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Лично я с JaCarta (JaCarta ЕГАИС) не сталкивался - только eToken Pro и разные Рутокены.
Из вашего описания понятно, что возник конфликт (какого-то) ПО, но вообще непонятно, при чём тут встраивание.
Например, КРИПТО-ПРО CSP может конфликтовать с ViPNet CSP (по разному с разными версиями), DrWeb может конфликтовать с VirtualBox (исправлено для актуальных версий) и так далее и тому подобное.
Почему вы уцепились за встраивание - непонятно.
Offline Рад. Ион  
#7 Оставлено : 22 мая 2018 г. 18:49:09(UTC)
Рад. Ион

Статус: Участник

Группы: Участники
Зарегистрирован: 21.05.2018(UTC)
Сообщений: 16
Российская Федерация

Так дело в том, что клиент говорит не "про какое-то ПО", а что именно установка Криптопро csp привела к отказу JaCarta ЕГАИС.

В Аладдин мне дали такую вот ссылку на документ о "бесконфликтности" совместной работы
https://old.aladdin-rd.r...t/downloads/get?ID=45846
с комментарием, что JaCarta ЕГАИС это JaCarta PKI/ГОСТ и он встроен в Криптопро csp.

Как вы понимаете ситуация с вашим примером, а именно то,что КРИПТО-ПРО CSP может конфликтовать с ViPNet CSP или DrWeb может конфликтовать с VirtualBox - абсолютно другая. Никто из производителей не заявляет, что эти два продукта встроены друг в друга.

ЦентрИнформ ответил, что так как JaCarta PKI/ГОСТ - СКЗИ, то использовать его совместно с СКЗИ КРИПТО-ПРО CSP нельзя без прохождения оценки влияния в фсб. И что совместная работа Криптопро csp и JaCarta ЕГАИС - не соответствует их рекомендациям.

Вы говорите что с JaCarta ЕГАИС не сталкивались. Но ведь про ЕГАИС то слышали? Алкоголь иногда употребляете? Так вот все это есть. И хочет есть.
Сертификат КЭП записывается на аппаратный крипто-ключ (Jacarata SE или Рутокен ЭЦП 2.0)
ЦентрИнформ это вот они - https://egais.center-inf...ect.php#ci-hidden-5-desc


В интернете очень много людей, кто столкнулся с выходом из строя JaCarta ЕГАИС. Возможно так же как случилось и у нас - после установки КриптоПро.

Собственно отсюда и вопросы:
1. Использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ?
2. Возможно ли использовать два этих СКЗИ на одном ПК при совместной работе?
3. Если возможно, то есть ли (нужно ли) заключение фсб о корректности встраивания двух СКЗИ?
4. Какие аргументы в свою пользу мы можем выдать клиенту?

Offline basid  
#8 Оставлено : 22 мая 2018 г. 19:01:52(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Я знаю, что такое ЕГАИС.
Но я не сталкивался с JaCarta-токенами - только читал общую техническую информацию.
В дистрибутив КРИПТО-ПРО CSP входят драйверы поддержки различных токенов (список зависит от версии), но, опять-таки, наличие поддержки не означает отсутствие конфликтов.

Сертификация это не про безглючность. Сертификация это про соответствие определённым требованиям.
Требований к работе в произвольных конфигурациях нет, и, надо полагать, не будет.
Вот из этого и надо исходить.

Ваша ситуация это "после того - не значит в следствие того".
Причиной конфликта могло быть и третье ПО и специфичная комбинация настроек и даже аппаратные проблемы токена.

P.S.
У меня вот, недавно сдох USB-DOM.
Сдох после того, как я запустил Seagate-овскую утилиту низкоуровневой работы с дисками, но само по себе это ещё не означает, что модуль был "убит" этой утилитой.
Offline Рад. Ион  
#9 Оставлено : 22 мая 2018 г. 21:10:12(UTC)
Рад. Ион

Статус: Участник

Группы: Участники
Зарегистрирован: 21.05.2018(UTC)
Сообщений: 16
Российская Федерация

Вы в КриптоПро работаете?

Сертификация это не про безглючность?
Еще раз посмотрите документ, скрепленный подписями и печатями
https://old.aladdin-rd.r...t/downloads/get?ID=45846
Цитирую
"Сертификат совместимости .. подтверждающий корректность совместного функционирования и работоспособность ... на основании результатов испытаний..."

Самый что ни на есть сертификат про безглючность. Цель документа - истребление глукавости. Прямо как сертификация Microsoft Ready или Citrix Ready.

А если в КриптоПро никто не сталкивался с JaCarta-токенами и не тестировал ничего, и фиг оно знает как оно все вместе работает - то вообще какой смысл этого сертификата? Зачем его подписывали то?
Что проверяли и что испытывали ?

Спрашиваю - JaCarta SE попадает под действие этого сертификата. В Аладдине говорят - да.
А стоит спросить - использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ?

Ответа нет. Только общие слова. Вопрос же конкретный.
Ответ либо 1) Да, возможно в случае.... 2) Нет, невозможно так как...

JaCarta SE только в ЕГАИС то и используется. КриптоПро тоже используется ЕГАИС. Неужели никто так и не тестировал совместную работу двух продуктов в Единой государственной автоматизированной информационной системе?
Система то глобальная - на всю нашу страну.
Offline basid  
#10 Оставлено : 22 мая 2018 г. 21:31:01(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Автор: Рад. Ион Перейти к цитате
Вы в КриптоПро работаете?
У сотрудников КРИПТО-ПРО есть отметка. У меня такой отметки нет.
Цитата:
Сертификация это не про безглючность?
Да, это не про безглючность.
Сертификация это про соответствие требованиям, которые изложены в формуляре и смежной документации.
Про безглючность там ничего нет. Я читал. Более одного раза и вполне внимательно.
Цитата:
Еще раз посмотрите документ, скрепленный подписями и печатями
Сначала - вы.
Абревиатуру "ЕГАИС" видите? А ведь это не суслик.
Цитата:
Спрашиваю - JaCarta SE попадает под действие этого сертификата. В Аладдине говорят - да.
Да, подпадает. Только что это вам даёт?
Я, например, время от времени провожу испытания разных интересных для меня программных продуктов и сред. Включая более-менее нетривиальные сочетания. Протоколов испытаний, правда не подписываю.
Но, при этом, одна из моих "фирменных" поговорок: "Могу только плечами пожать - у меня всё работает".
Просто потому, что я более-менее представляю, почему "у меня всё работает", но, одновременно, ничего не знаю о том, почему не работает у кого-то ещё.
Это вполне нормально.
Цитата:
А стоит спросить - использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ?
Ответа нет. Только общие слова. Вопрос же конкретный.
"Почему светит Солнце?" - тоже конкретный вопрос.
Вам как - начать ответ с гипотезы графитационного сжатия или сразу перейти к ядерной физике?
Рассказывая о ядерной физике - в квантовую механику углубляться или не надо?

Вот и в вашем случае нет конкретного ответа по одной простой причине: никто кроме вас не знает деталей.
Более того, даже если вы эти детали изложите на форуме - совершенно не факт, что появится возможность ответа.
Тем более, такого, который убедит пострадавшего клиента.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.