Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Добрый день! Предположим, некая организация планирует до конца 2018г. внедрить программно-аппаратный комплекс КриптоПро DSS для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи с использованием ПАКМ КриптоПро HSM. В спецификациях решения указано следующее: Поддерживаемые форматы электронной подписи
Необработанная электронная подпись ГОСТ 34.10 – 2001Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается. В связи с этим вопросы: 1. Какие риски несет организация при внедрении указанного программно-аппаратного комплекса (с имеющимися на данный момент спецификациями) на базе КриптоПро HSM 1.0 (поддерживает только ГОСТ Р 34.10-2001) до конца 2018 года? Каким образом будет осуществляться переход с КриптоПро HSM 1.0 на КриптоПро HSM 2.0 ? Может быть не стоит спешить и подождать КриптоПро HSM 2.0? 2. Когда будет реализована поддержка ГОСТ Р 34.10-2012? Насколько я понимаю, поддержка ГОСТ-2012 будет реализована только в КриптоПро HSM 2.0? 3. В какие сроки будет получен сертификат соответствия требованиям ГОСТ Р 34.10-2012? 4. Что с законодательной базой использования такого решения? Отредактировано пользователем 5 июля 2018 г. 13:30:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 15  Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 2 раз
|
На мой плебейский взгляд, пока нет сертификата разговаривать вообще не о чем. Ну, т.е. если даже завтра будет сертификат, то раньше осени/зимы это все равно не внедриться, а там ГОСТ-2012.
Плюс в процессе сертификации явно будут меняться условия эксплуатации и требования к СКЗИ, что проще учитывать еще при проектировании. Ну и пока не определен класс (КС2 или КС3) разговаривать вообще не о чем.
Я верю,ч то это получится, но когда и в каком виде непонятно. Как максимум можно пока сочинить красивую сказку и по осени выбить финансирование на 2019 год под это дело. |
Цена свободы - вечная бдительность! Каждая подпись - шаг к тюрьме. |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Автор: nikolkas_spb  На мой плебейский взгляд, пока нет сертификата разговаривать вообще не о чем. Ну, т.е. если даже завтра будет сертификат, то раньше осени/зимы это все равно не внедриться, а там ГОСТ-2012.
Плюс в процессе сертификации явно будут меняться условия эксплуатации и требования к СКЗИ, что проще учитывать еще при проектировании. Ну и пока не определен класс (КС2 или КС3) разговаривать вообще не о чем.
Я верю,ч то это получится, но когда и в каком виде непонятно. Как максимум можно пока сочинить красивую сказку и по осени выбить финансирование на 2019 год под это дело. Спасибо за мнение. Жду ответа официальных лиц. Отредактировано пользователем 5 июля 2018 г. 13:53:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
Добрый день.
Рекомендуем внедрять сразу DSS/HSM 2.0 с поддержкой ГОСТ-2012 – цена та же.
Получение заключения ФСБ на эту версию ожидаем в сентябре.
Или же приобрести DSS/HSM 1.0 с расширенной техподдержкой – в ее рамках бесплатно проведем обновление до версии 2.0 по мере необходимости.
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Когда новая версия будет доступна для покупки (ориентировочная дата)?
И что с соответствием требованиям законодательства? Ведь, по сути, ЭП находится в "облаке
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Коллеги,
Есть какая-либо информация?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
Точную дату подсказать не сможем, т.к. всё зависит от ФСБ. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Автор: Грибанов Антон Точную дату подсказать не сможем, т.к. всё зависит от ФСБ. А на счет законодательства что скажете?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
До 2019 года использование Крипто-Про HSM 1.0 и Крипто-Про DSS допускается, в соответствии с действующими сертификатами соответствия. С 1 января 2019 года, если сертификаты не продлят, такое исполнение уже будет недопустимо. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
В Вашем случае, оптимальным решением будет внедрение сразу HSM 2.0 + DSS с поддержкой ГОСТ 2012 |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Спасибо. Какие последствия ожидают организацию в случае использования HSM 1.0 (читай ГОСТ Р 32.10-2001) после 31 декабря 2018 года? Отредактировано пользователем 10 июля 2018 г. 11:30:10(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
На данный момент, единого мнения на этот счёт нет. Но можно всё свести к двум вариантам: 1.Если с 1 января 2019 года использование ГОСТ 2001 прекращается, ГУЦ окончательно переходит на ГОСТ 2012, а соответственно и все аккредитованные УЦ, поддержка ГОСТ 2001 не продлевается (сертификаты соответствия истекают 31 декабря 2018 г.). В этом случае, если Вы продолжите осуществлять выпуск сертификатов на ГОСТ 2001, то это может привести к негативным последствиям - штраф со стороны проверяющих органов, в случае возникновения конфликтной ситуации - подпись признается судом как недействительная и т.д. 2.Если будет продлено использование ГОСТ 2001 еще на год (что вполне возможно). Соответственно, мы, в свою очередь, так же продлим сертификаты соответствия, и у Вас будет еще год для перехода на ГОСТ 2012. Отредактировано пользователем 11 июля 2018 г. 10:50:04(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
Сертификат на HSM 1.0 продлеваться не будет в любом случае |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
В Порядке использования комплектаций ПАКМ «КриптоПро HSM» с компонентой «КриптоПро DSS» для работы с квалифицированной электронной подписью, помимо прочего, написано следующее: Цитата:Ответственный сотрудник Оператора DSS с использованием штатных средств компонент «КриптоПро DSS» после аутентификации по своему личному ключу осуществляет следующие действия:
...
с использованием СКЗИ, установленного на рабочем месте ответственного сотрудника Оператора DSS, создаёт ключ аутентификации на личном ключевом носителе Пользователя, регистрирует данный ключ
в DSS как личный ключ аутентификации данного Пользователя, передаёт носитель с ключом аутентификации Пользователю;
1. Что представляет из себя ключ аутентификации? Какую роль он играет в цепочке? 2. На какой вид носителей он может быть записан? 3. Какие возникают последствия в случае потери данного носителя? 4. И какой профит приобретает клиент, если у него все равно должен быть носитель, вместо eToken? Если я что-то не так понял, прошу поправить меня и пояснить. Спасибо. Отредактировано пользователем 12 июля 2018 г. 12:28:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Предъявляются какие-либо требования к среде, где установлен HSM (аттестация помещения, выделенный сегмент и т.д )?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
Автор: alexcpro В Порядке использования комплектаций ПАКМ «КриптоПро HSM» с компонентой «КриптоПро DSS» для работы с квалифицированной электронной подписью, помимо прочего, написано следующее: Цитата:Ответственный сотрудник Оператора DSS с использованием штатных средств компонент «КриптоПро DSS» после аутентификации по своему личному ключу осуществляет следующие действия:
...
с использованием СКЗИ, установленного на рабочем месте ответственного сотрудника Оператора DSS, создаёт ключ аутентификации на личном ключевом носителе Пользователя, регистрирует данный ключ
в DSS как личный ключ аутентификации данного Пользователя, передаёт носитель с ключом аутентификации Пользователю;
1. Что представляет из себя ключ аутентификации? Какую роль он играет в цепочке? 2. На какой вид носителей он может быть записан? 3. Какие возникают последствия в случае потери данного носителя? 4. И какой профит приобретает клиент, если у него все равно должен быть носитель, вместо eToken? Если я что-то не так понял, прошу поправить меня и пояснить. Спасибо. Добрый день. 1.Под операторским понимается ключ администратора DSS, т.е. с помощью него ответственный сотрудник может осуществлять полный контроль за пользователями. 2.Строгих требований к носителям нет. В качестве рекомендованного ключевого носителя выступает - защищенный ключевой носитель (Рутокен, eToken, и т.д.) 3.Ключ администратора - по сути, этот обычная ЭЦП, и соответственно, при её утери процедура такая же - отзыв, перевыпуск 4.>И какой профит приобретает клиент, если у него все равно должен быть носитель, вместо eToken? Не совсем понятен вопрос. В организации, как правило, администратор DSS - это один человек (или несколько). Ключ выпускается не через DSS, а через УЦ. И он записывается на токен. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 241
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 24 раз в 24 постах
|
Автор: alexcpro А на счет требований что скажете (вопрос размещен выше в ленте)?  ZhTJaI.00046-02 95 01 KriptoPro HSM. Pravila pol'zovanija.rar (1,291kb) загружен 2 раз(а).ЖТЯИ.00046-02 95 01 КриптоПро HSM. Правила пользования, пункт 6 |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.05.2018(UTC)
Сообщений: 12
Откуда: Russia
|
Автор: Грибанов Антон Автор: alexcpro А на счет требований что скажете (вопрос размещен выше в ленте)? ZhTJaI.00046-02 95 01 KriptoPro HSM. Pravila pol'zovanija.rar (1,291kb) загружен 2 раз(а).ЖТЯИ.00046-02 95 01 КриптоПро HSM. Правила пользования, пункт 6 Коллеги, спасибо. Данные требования читал. Имел ввиду с точки зрения законодательства.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
