Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91  Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Коллеги, в связи с тем, что КриптоПро умеет работать с аппаратными ключносителями, возник такой вопрос. Когда я генерирую ключ удаленно (не в УЦ), то УЦ не знает собственно чем сгенерирована пара и сертификат всё равно выдает с полем СКЗИ равным "Крипто Про", даже если по факту применялось набортное СКЗИ токена (ФКН или PKCS#1).
Какое у вас понимание на этот счёт? Нет ли тут противоречия? И какие последствия могут быть от того, что тут возможно неверно указано СКЗИ?
P.S.: Сертификат с ключем на аппаратной части Рутокен ЭЦП 2.0, созданный с помощью КриптоПро 5, успешно опробован для входа в ЛК ЮЛ на сайте ФНС через Рутокен.Коннект. То есть вроде как не проверяется этот факт.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216   Откуда: Helsinki Сказал «Спасибо»: 2 раз
Поблагодарили: 139 раз в 51 постах
|
Автор: neigel  И какие последствия могут быть от того, что тут возможно неверно указано СКЗИ? Согласно Федеральному закону 63-ФЗ в квалифицированном сертификате должно быть указано наименование средства ЭП владельца, которое было использовано для создания ключа и ключа проверки ЭП, однако данное расширение не проверяется на актуальность ни одной известной ИС. Последствием может быть аннулирование и оно зависит от решения суда, который может установить, что сертификат содержит недостоверную информацию по иску, скажем, ИС, где этой ЭП что-то подписывалось. Подобных судебных практик нет и вероятность их появления слишком мала. Так что, полагаю, можно не переживать на этот счёт. |
D2/CB-4+BF2/A-DASH-4+BF2 |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: roflanVikared Автор: neigel И какие последствия могут быть от того, что тут возможно неверно указано СКЗИ? Согласно Федеральному закону 63-ФЗ в квалифицированном сертификате должно быть указано наименование средства ЭП владельца, которое было использовано для создания ключа и ключа проверки ЭП Это я в курсе, меня практика интересует. Потому что УЦ задался вопросом, а что им писать в это поле, когда я заявил о намерении использовать ФКН ) Автор: roflanVikared
Последствием может быть аннулирование и оно зависит от решения суда, который может установить, что сертификат содержит недостоверную информацию по иску, скажем, ИС, где этой ЭП что-то подписывалось. Подобных судебных практик нет и вероятность их появления слишком мала.
Так это же наоборот мина не тому, кто нарушил, а тот, кто получил подписанный документ. Это же нарушает неотрекаемость, если я умышленно использую иной СКЗИ )
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: roflanVikared Автор: neigel И какие последствия могут быть от того, что тут возможно неверно указано СКЗИ? однако данное расширение не проверяется на актуальность ни одной известной ИС Кстати, говоря, ваша не правда! Как раз я игрался с личным кабинетом ФЛ в налоговой, там можно выпустить себе неквалифицированный сертификат. Если выбрать вариант не облачной подписи, а хранимого ключа, то работать надо через ViPNET CSP. Так вот ViPNET CSP уже тогда умел работать с хардварными ключами, и когда я подсунул ему Рутокен ЭЦП 2.0, то ключевую пару сгенерил и запрос отправил, но ФНС сертификат не выпустила как раз ругнувшись на то, что СКЗИ не поддерживается.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
|
При выпуске сертификата для некоторых расширений можно настроить Крипто-Про УЦ 2.0 следующим образом: - брать расширение из запроса - всегда заменять расширение - брать из запроса, если значение допустимо (совпадает со значением из списка) Отредактировано пользователем 28 декабря 2019 г. 3:01:25(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
|
С точки зрения владельца подписи, всегда можно прикинуться дурачком. В плане - я не обязан знать свое криптосредство и помнить чем я там генерил. Я мог поменять его на следующий день. Мне говорили, например, тех.поддержка, я тыкал кнопки. Умысла нет, ответственности нет.
|
Цена свободы - вечная бдительность! |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
|
Автор: roflanVikared Согласно Федеральному закону 63-ФЗ в квалифицированном сертификате должно быть указано наименование средства ЭП владельца, Там как раз сказано: "5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра,". именно УЦ. А это прописывается намертво и не меняется. так что там проблем не будет. Что касается проблемы в целом, то думаю, что скоро эту порнографию запретят на корню. Т.к. я всегда могу сказать, что мой компьютер не аттестован, что он не защищен, что был взломан и кто там генерил закрытые ключи и выпускал сертификаты - я не знаю. То, что УЦ дал серт - его проблемы, а я бухал с друзьями в это время за границей, комп был включен. Просто у нас нет пока судебной практики и разборок хозяйствующих субъектов. Только когда квартиры уходить начали - стали что-то подозревать. |
Цена свободы - вечная бдительность! |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз
Поблагодарили: 2045 раз в 1586 постах
|
Здравствуйте. Автор: nikolkas_spb Автор: roflanVikared
Согласно Федеральному закону 63-ФЗ в квалифицированном сертификате должно быть указано наименование средства ЭП владельца,
Там как раз сказано: "5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра,". именно УЦ. А это прописывается намертво и не меняется. так что там проблем не будет. Приложение к приказу ФСБ РФ от 27 декабря 2011 г. N 795 Цитата:
II. Требования к совокупности полей квалифицированного сертификата
...
- ключ проверки ЭП;
- наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;
- наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216 Откуда: Helsinki Сказал «Спасибо»: 2 раз
Поблагодарили: 139 раз в 51 постах
|
Автор: neigel ...неквалифицированный сертификат,.. то работать надо через ViPNET CSP,.. подсунул ему Рутокен ЭЦП 2.0,.. СКЗИ не поддерживается. Само собой, т.к. ЭП неквалифицированная, то тут дополнительные требования могут устанавливаться соглашением между участниками документооборота. Выше речь шла о квалифицированной. Автор: neigel Потому что УЦ задался вопросом, а что им писать в это поле, когда я заявил о намерении использовать ФКН Наименование СКЗИ. В данном случае - "Рутокен ЭЦП 2.0". Запрос будет содержать наименование средства ЭП, а АУЦ уже стоит рекомендовать варианты из поста. Автор: neigel Так это же наоборот мина не тому, кто нарушил, а тот, кто получил подписанный документ. Это же нарушает неотрекаемость, если я умышленно использую иной СКЗИ Неважно. Использование аннулированного сертификата не влечет юридических последствий. |
D2/CB-4+BF2/A-DASH-4+BF2 |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: roflanVikared Автор: neigel Потому что УЦ задался вопросом, а что им писать в это поле, когда я заявил о намерении использовать ФКН Наименование СКЗИ. В данном случае - "Рутокен ЭЦП 2.0". Запрос будет содержать наименование средства ЭП, а АУЦ уже стоит рекомендовать варианты из поста. Я вот совсем не уверен, что запрос, сгенерированный через Крипто Про будет содержать "Рутокен ЭЦП 2.0". Это поле в запросе проставляет софт УЦ, который генерирует запрос. Узнать о том, что они обратились через MS Crypto API к криптопровайдеру Крипто Про, а тот хитрым образом заюзал набортное СКЗИ Рутокена, они не могут, скорее всего. Автор: roflanVikared Автор: neigel Так это же наоборот мина не тому, кто нарушил, а тот, кто получил подписанный документ. Это же нарушает неотрекаемость, если я умышленно использую иной СКЗИ Неважно. Использование аннулированного сертификата не влечет юридических последствий. Офигеть, вы красавчик! Это неважно только до тех пор, пока вы - владелец анулированного сертификата. А вот когда вы станете контрагентом такого чувачка и окажете ему услугу или перечислите ему денег, а потом вам скажут "сорри, но мы тут анулировали сертификат, потому что СКЗИ не совпадали", вы запоёте фальцетом.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
