Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва
Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
To Sergey M. Murugov: Да, я читал указанный документ от ФСБ. Что касается сравнения дат - а к чему это? Как соотносятся информационное письмо и сертификат на конкретный программный продукт? Что, эта бумага позволяет вносить изменения в сертифицированный продукт? Если да, то отлично, но я то хотел получить ОФИЦИАЛЬНЫЙ ответ от производителя программного продукта, который (продукт) в штатном виде не позволяет выполнить требования регулятора.
Помимо указанных в вышеупомянутой бумаге международных документов, НЕ накладывающих ограничение на длину спорного и др. полей, есть другие, не менее солидные международные документы, а также рекомендации компании "Майкрософт" (а в основе УЦ КриптоПро ведь лежит УЦ от Майкрософт, не так ли?), которые такие ограничения накладывают, ведь КриптоПро не с потолка же взял эту цифру - 16 символов?
Очевидно, что имеет место юридическая (?) коллизия - расхождение или противоречие между нормативно-правовыми актами, регулирующими одни и те же или смежные правоотношения. Крайними в этом бардаке получаются удостоверяющие центры. Авторитетные специалисты КриптоПро в форуме (!!!) высказывают мнение о недопустимости корректировок, но вместе с тем в том же форуме приводятся сведения о том, как эту корректировку выполнить. Но что при этом будет с сертификацией - продукт останется сертифицированным? Знаете, как в анекдоте - "Юридически грамотный пенсионер задолбает любую организацию за умеренную плату" - мне бы не хотелось отбиваться от умников, которые смогут обвинить нас в том, что мы используем несертифицированный УЦ...
Видимо, придётся сейчас писать официальные письма на бумаге с печатями с запросами в КриптоПро и ФСБ...
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
И ещё немного о юридических коллизиях... Имеем три документа - приказ ФСБ, Регламент АЭТП и Методические рекомендации Минкомсвязи. Да, я понимаю, что они имеют разный статус, и приказ "главнее", но пока речь не об этом... Так вот, как всем известно, по приказу в СN - наименование организации, по регламенту и методичке - ФИО. Как говорил один политический деятель, "совершенно понятно", что после выхода приказа ФСБ остальные документы по этой тематике должны были быть приведены в соответствие с ним. То же относится к программным продуктам. Однако, по факту - забили... Теперь одна(!) из ФТП начинает модифицировать свой софт, ссылаясь на этот приказ, типа, они - Д'Артаньян, а все остальные ...- ну, вы знаете... И при этом получается, что сертификаты, выпущенные в соответствии с регламентом АЭТП - недействительны. Это ли не бред? Нет, ну меняете требования, приводите их в соответствие с требованиями регулятора - хорошо, но почему это делается внезапно, в одностороннем порядке, без уведомления и согласования с АЭТП и остальными "участниками процесса" и с блокировкой выпущенных по ещё не отменённым правилам сертификатов? Не могут ничего сделать иначе, чем через задницу, по славной российской традиции?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
О развитии ситуации... Как говориться, полный ахтунг-алярм... Площадка пошла на принцип, намертво упёршись рогом. Я не знаю, это у них там продуманная официальная позиция или просто чьё-то персональное сезонное обострение, но они отказываются принимать сертификаты, выпущенные в соответствии с регламентом АЭТП, прошедшие валидацию и зарегистрированные в информационной системе АЭТП и (та-да-да-дамм!!!) - принимаемые всеми остальными федеральными (и не очень)площадками. Вот две с небольшим недели назад мы выпускали сертификаты, с которыми люди нормально аккредитовывались на РТС-Тендере, но потом у них там что-то где-то щёлкнуло, и они перестали принимать такие сертификаты. Никто не сталкивался с подобной ситуацией? Я некоторое время не смогу заниматься этим вопросом - ухожу в отпуск. С понедельника выходит директор, вот ему будет чем заняться... Ну и отдельная тема - самостоятельная модификация УЦ КриптоПро под требования приказа ФСБ... В приватной беседе авторитетные специалисты говорили, что официальных комментариев от КриптоПро мы не дождёмся, поскольку вопросы сертификации не входят в их компетенцию. Ну и в качестве пятничного анекдота-фантазии: а не подаст ли кто-нибудь в суд на КриптоПро, иск по закону о защите прав потребителей - ведь они продают продукт, не позволяющий потребителям выполнять требования регулятора? Шутка..... И ещё, пятничные мысли вслух - насколько всё изменилось за последние пару десятков лет: можно ли было представить, чтобы в СССР какая-либо коммерческая организация (хотя коммерческих организаций тогда не было, скажем - просто организация) явно "положила" на требования приказа КГБ? Если в стародавние времена на вопрос и том, что делается в России отвечали одним словом - "Воруют...", то теперь ситуация несколько изменилась: "Бардак. И воруют..."© (на правах оценочного суждения, если что) Отредактировано пользователем 18 октября 2013 г. 9:10:58(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
Кстати, о шутках - на днях в беседе со специалистом одной из ассоциаций прозвучала фраза - "Ну не можете выполнить требования приказа ФСБ на продукте от КриптоПро - переходите на другой продукт..."
Уверен, Юрию Геннадьевичу эта шутка понравится...
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва
Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах
|
To avm: я понимаю вы проблему обозначили и не можете найти разумного решения, но проблема то имеет более глубинный характер, если очень коротко - это полнейшая некомпетентность людей принимающих технические решения. Тут наверное к месту будет напомнить, что УЦ ждут ещё большие потрясения, поскольку наметилась некая тенденция развернуть ситуацию в лоно того же Приказа, технических стандартов и здравого смысла, например, осенью на PKI-форуме, Кузьмин в слух сказал что цепочка сертификации должна строится от ЕЕ-сертификата до корня ГУЦ, следом появилась публикация в журнале от группы экспертов ФСБ (если интересно вот несколько слов про неё https://www.facebook.com...ov/posts/583494438378614 ) в итоге конечно крайними станут УЦ, в этом предчувствие вас не обманывает. Что касается исходного вопроса-вопросов, то: 1. Если оставить за скобками вопрос во многом бестолковости профиля сертификата и следом, кому вообще нужно поле G и поговорить о размерности, то длина в 16 символов насколько помню выплыла из RFC более длинная размерность для того же самого поля есть в ISO. В этом смысле есть некое противоречие даже внутри самого Приказа (внутри которого есть ссылка на RFC). 2. В части потери сертификата на изделие при исправлении кода, как вам правильно посоветовали, лучше обратиться от имени лицензиата в восьмёрку и обрисовать проблему, по любому эту лучше, хоть этим ответом будите отбиваться от последующих вопросов. 3. В части е-торговли, ничего посоветовать вам не могу - это несколько не наша компетенция.
|
1 пользователь поблагодарил Sergey M. Murugov за этот пост.
|
avm оставлено 18.10.2013(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
Сергей, большое спасибо за ответ и очень интересную ссылку.
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Уважаемые коллеги, особенно AVM! Позвольте мне встрянуть и высказать свою позицию и позицию КРИПТО-ПРО по данному вопросу. Позиция ФСБ России по вопросу использования атрибутов имени CN и G имени владельца сертификата изложена тут http://www.fsb.ru/files/...sait_po_trebovaniyam.pdfМоя позиция и позиция КРИПТО-ПРО, с учётом будет выражаться в следующем: 1. Меняйте длину атрибута givenName так, что бы имя отчество туда влазило. 2. Для этого модифицируйте соответствующее поле базы данных Центра Регистрации ПАК "КриптоПро УЦ". При необходимости воспользуйтесь помощью нашей службы техподдержки. Для информации: куча УЦ, работающих на "КриптоПро УЦ" так уже давно сделала, с нашей помощью и без :-) |
С уважением, КРИПТО-ПРО |
2 пользователей поблагодарили Юрий Маслов за этот пост.
|
avm оставлено 18.10.2013(UTC), spaceman78 оставлено 18.09.2015(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз Поблагодарили: 45 раз в 28 постах
|
Коллеги, мне кажется или методические рекомендации(v1.9) убрали из всех источников, где они лежали ранее?! Отредактировано пользователем 31 октября 2013 г. 15:32:59(UTC)
| Причина: правка
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,731 Сказал «Спасибо»: 502 раз Поблагодарили: 2060 раз в 1599 постах
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close