Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Автор: bsi Спасибо. Еще вопрос по 1 пункту про ЦС - а если я хочу развернуть на 1 сервере 2 ЦС - один Квалифицированный, второй неквалийицированный ( в этом то и есть вся прелесть 2.0) - запрета на это, как я понимаю, пока не существует?
Да, вы можете это сделать "( в этом то и есть вся прелесть 2.0)". Запрета нет. Но если вы захотите "Квалифицированный" аккредитовать, то это будет нарушение, аккредитованный должен быть отдельно от неаккредитованного. Но технически работать будет. В конечном счете – на усмотрение эксплуатирующей УЦ организации (т.е. готова она слегка нарушить требования и сэкономить на серверах, или нет). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз Поблагодарили: 26 раз в 18 постах
|
В 63-ФЗ нет понятия квалифицированный ЦС, есть - квалифицированный сертификат, который Статья 17. Квалифицированный сертификат 1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз Поблагодарили: 26 раз в 18 постах
|
Автор: tikhonov Автор: bsi Спасибо. Еще вопрос по 1 пункту про ЦС - а если я хочу развернуть на 1 сервере 2 ЦС - один Квалифицированный, второй неквалийицированный ( в этом то и есть вся прелесть 2.0) - запрета на это, как я понимаю, пока не существует?
Да, вы можете это сделать "( в этом то и есть вся прелесть 2.0)". Запрета нет. Но если вы захотите "Квалифицированный" аккредитовать, то это будет нарушение, аккредитованный должен быть отдельно от неаккредитованного. Но технически работать будет. В конечном счете – на усмотрение эксплуатирующей УЦ организации (т.е. готова она слегка нарушить требования и сэкономить на серверах, или нет). Разве это нарушение? На разных ЦС используются разные сертификаты ЦС, запрет касается выпуска неквалифицированных сертификатов 2.1. Аккредитованный удостоверяющий центр для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган. Аккредитованному удостоверяющему центру запрещается использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган, для подписания сертификатов, не являющихся квалифицированными сертификатами. На версии 1.5 это реализовать нельзя, а на 2.0 - можно.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2045 раз в 1586 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.04.2012(UTC) Сообщений: 186
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 14 раз в 9 постах
|
Автор: tikhonov Автор: bsi Спасибо. Еще вопрос по 1 пункту про ЦС - а если я хочу развернуть на 1 сервере 2 ЦС - один Квалифицированный, второй неквалийицированный ( в этом то и есть вся прелесть 2.0) - запрета на это, как я понимаю, пока не существует?
Да, вы можете это сделать "( в этом то и есть вся прелесть 2.0)". Запрета нет. Но если вы захотите "Квалифицированный" аккредитовать, то это будет нарушение, аккредитованный должен быть отдельно от неаккредитованного. Но технически работать будет. В конечном счете – на усмотрение эксплуатирующей УЦ организации (т.е. готова она слегка нарушить требования и сэкономить на серверах, или нет). Сэкономить конечно хотелось,не столько на серверах, а скорее на лицензии на 2й ПАК. Желания нарушать конечно нет, но и осознания наличия таких требований тоже нет. А у Вас оно откуда " аккредитованный должен быть отдельно от неаккредитованного " ? и что понимать под "отдельностью"?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.12.2010(UTC) Сообщений: 32 Откуда: СПб
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * Но ведь там обсуждение другого вопроса - там обсуждалась возможность выпуска неквалифицированных сертификатов на квалифицированном УЦ - с корневым, на который получен кросс от минсвязи. Сейчас же обсуждается возможность установки 2-х СА (квал, не квал) на одной машине, с одним ПАК - корневые сертификаты будут различаться. Собственно, на момент обсуждения по ссылке (3 года назад) такой возможности, вроде как, не было технически.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2045 раз в 1586 постах
|
Автор: turik Автор: Андрей * Но ведь там обсуждение другого вопроса - там обсуждалась возможность выпуска неквалифицированных сертификатов на квалифицированном УЦ - с корневым, на который получен кросс от минсвязи. Сейчас же обсуждается возможность установки 2-х СА (квал, не квал) на одной машине, с одним ПАК - корневые сертификаты будут различаться. Собственно, на момент обсуждения по ссылке (3 года назад) такой возможности, вроде как, не было технически. Ключевое слово: ПАК. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.04.2012(UTC) Сообщений: 186
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 14 раз в 9 постах
|
Исходя из вышеизложенного - будет 2 сертификата соответствия на ПАК 2.0 - в одном будет прописано использование только для "квалифицированных сертификатов", в другом только "неквалифицированных"?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз Поблагодарили: 26 раз в 18 постах
|
Автор: Андрей * Автор: turik Автор: Андрей * Но ведь там обсуждение другого вопроса - там обсуждалась возможность выпуска неквалифицированных сертификатов на квалифицированном УЦ - с корневым, на который получен кросс от минсвязи. Сейчас же обсуждается возможность установки 2-х СА (квал, не квал) на одной машине, с одним ПАК - корневые сертификаты будут различаться. Собственно, на момент обсуждения по ссылке (3 года назад) такой возможности, вроде как, не было технически. Ключевое слово: ПАК. Обсуждалось, но 3 года назад. Аббревиатура ПАК использовалась потому что на момент обсуждения она была эквивалентом аббревиатуре ЦС (1 ПАК - 1 ЦС). Плюс 63-ФЗ не уточнял возможность-запрет выпуска неквал. сертификатов аккредитованным УЦ. Шли годы Теперь на 1 ПАК можно сделать несколько ЦС, чтобы НЕ использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган, для подписания сертификатов, не являющихся квалифицированными сертификатами.В формуляре на УЦ 2.0 есть одна только фраза касающаяся выпуска квал. сертификатов: 2.10. Для обеспечения выполнения «Требований к форме квалифицированного сертификата ключа проверки электронной подписи» ПАК «КриптоПро УЦ 2.0» должен быть настроен в соответствии с документом [ЖТЯИ.00078-01 90 03 «КриптоПро УЦ. Руководство по эксплуатации»]. А в этом документе настройки согласно требованиям Приказ 795 ФСБ касаются только настроек ЦС.
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах
|
Автор: bsi Исходя из вышеизложенного - будет 2 сертификата соответствия на ПАК 2.0 - в одном будет прописано использование только для "квалифицированных сертификатов", в другом только "неквалифицированных"? Нет, будет один сертификат, который говорит, что ПАК УЦ 2.0 соответствует и требованиям по ИБ УЦ и требованиям к средствам УЦ согласно 796 приказа. В документации будет отражено обеспечение изготовление НКСКПЭП и КСКПЭП на разных ветках ЦС. При сертификации будет исследовано система программно-технических средств разграничения доступа веток ЦС и отсутствие их влияния друг на друга. |
|
6 пользователей поблагодарили Наталья Мовчан за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close