Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 109
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
|
Добрый день,коллеги! Хотелось бы услышать ваше мнение по поводу трактовки ст. 27.3 Приложения 2 к Приказу ФСБ от 27.12.2011 № 796 Цитата:27.3. Требования для средств УЦ класса КС1:
- не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями, без ее предварительного шифрования (которое должно осуществляться встроенной функцией используемого СКЗИ). Копирование ключевых документов должно осуществляться только в соответствии с эксплуатационной документацией на используемое СКЗИ;
- ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП и списков уникальных номеров сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения срока их действия (далее - список аннулированных сертификатов), не должны использоваться ни для каких иных целей;
1. Предусмотрена ли встроенная функция шифрования в Крипто про CSP при копировании контейнера? 2. Если данная функция отсутствует в Крипто про CSP, то копировать контейнер ключа я имею право только на ключевые носители. (попутный вопрос USB-флеш или дискета является ключевым носителем?). 3.Генерить же ключи я могу как носители являющиеся ключевыми носителями так и на не являющимися ключевыми носителями (например реестр)?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 05.12.2013(UTC) Сообщений: 17  Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 109
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
|
Спасибо нашел ответ на первый вопрос встроенная функция шифрования контейнера есть только необходимо задать пароль на контейнер. Все еще тревожит вопрос о генерации. Копирование и генерация как мне кажется кажется в контексте этого приказа это разные вещи, т. е. сгенерить ключ можно и без пароля на контейнер, а вот уже скопировать контейнер на носитель не являющимся ключевым можно только задав пароль. Прошу поправить если неверный ход мысли
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022  Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Реестр\HDD - носитель.
И скопировать контейнер на носитель (реестр\HDD) без пароля - можно. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: Dmitriy8808  Добрый день,коллеги!
2. Если данная функция отсутствует в Крипто про CSP, то копировать контейнер ключа я имею право только на ключевые носители. (попутный вопрос USB-флеш или дискета является ключевым носителем?).
3.Генерить же ключи я могу как носители являющиеся ключевыми носителями так и на не являющимися ключевыми носителями (например реестр)? Контейнер\Носители\Считыватели |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 109
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
|
Цитата:Реестр\HDD - носитель.
И скопировать контейнер на носитель (реестр\HDD) без пароля - можно. А как же быть со сторчкой 796 Цитата:не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями в моем понимании здесь сказано, что жесткий диск не ключевой носитель. Или может быть вы имете в виду что просто жестки диск не ключевой носитель, а реестр жесткого диска да?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: Dmitriy8808 Цитата:Реестр\HDD - носитель.
И скопировать контейнер на носитель (реестр\HDD) без пароля - можно. А как же быть со сторчкой 796 Цитата:не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями в моем понимании здесь сказано, что жесткий диск не ключевой носитель. Или может быть вы имете в виду что просто жестки диск не ключевой носитель, а реестр жесткого диска да? А где самое важное? Цитата:
- не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями, без ее предварительного шифрования (которое должно осуществляться встроенной функцией используемого СКЗИ). Копирование ключевых документов должно осуществляться только в соответствии с эксплуатационной документацией на используемое СКЗИ;
Открываем эту самую документацию и видим информацию про HDD. Еще вопросы есть? |
|
 8 пользователей поблагодарили Андрей * за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз
Поблагодарили: 2365 раз в 1860 постах
|
Автор: Dmitriy8808 скопировать контейнер на носитель не являющимся ключевым можно только задав пароль.
Прошу поправить если неверный ход мысли Технически - можно без пароля. С учетом 796 - пароль необходим. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 109
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
|
Цитата:Технически - можно без пароля.
С учетом 796 - пароль необходим. С этим вопросом все ясно. Спасибо! У меня остался еще один вопрос: Раз копирование и генерация в контексте 796 приказа это разные понятия. Вывод об этом я делаю исходя из пункта 27.6 Цитата:27.6. Требования для средств УЦ класса КВ2:
- ключ ЭП, используемый для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, должен генерироваться, храниться, использоваться и уничтожаться в средстве ЭП. Допускается использование только средств ЭП, получивших подтверждение соответствия требованиям, предъявляемым к средствам ЭП в соответствии с Федеральным законом;
т.е. в приказе фигурирует слово генерация и копирование и это 2 разных понятия. Следовательно делаю вывод о том что генерить ключи можно на HDD, USB флеш не задавая пароля и это не будет противоречить 796 приказу
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Dmitriy8808, немного неправильно сделали вывод. Если внимательно почитать приказ 796, то в п.2. прочитаем: "В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона (прим. 63-ФЗ):
..............
5) средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;"
Таким образом, указанные в вашем выводе "HDD, USB флеш" не реализуют не одной из перечисленных в цитируемом мною пункте приказа и следовательно не являлются средствами ЭП.
Полагаю что в п.27.6 Приказа № 796 идет речь о программно-аппаратных средствах ЭП (типа eTokenГост), которые обеспечивают помимо неизвлекаемого хранение ключей ЭП еще и их создание, использование, и уничтожение.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
