07.12.2005 18:33:03Сроки действия закрытых ключей и сертификатов Ответов: 1
Дима
Здравствуйте.
Как рассчитать сроки действия сертификата и закрытого ключа пользователя УЦ, сертификата и закрытого ключа уполномоченного лица УЦ?
Изучив документацию по УЦ КриптоПро и форум, пришел к следующим выводам:
1. Сроки действия закрытых ключей и сертификатов ограничены используемыми СКЗИ.
Согласно документу "ЖТЯИ.00005-01 90 07. КриптоПро CSP. Правила пользования" срок действия закрытого ключа до 1 года 3 месяцев; срок действия сертификата открытого ключа не больше 6 лет.
Поэтому сразу определяем срок действия закрытого ключа пользователя, например 1 год.
2. Сроки действия сертификатов и ключей рассчитываются исходя из времени жизни подписанного документа.
Например, подписанный документ должен жить 5 лет. В течение 5 лет со дня подписания должна быть возможность проверить ЭЦП документа.
3. Для проверки ЭЦП документа:
- должен быть действителен сертификат пользователя, подписавшего документ,
- сертификат пользователя, подписавшего документ не должен быть в списке отозванных сертификатов,
- должен быть действителен сертификат уполномоченного лица УЦ.
Поэтому, определяем:
- срок действия сертификата пользователя - 6 лет. 6 лет = 5 лет (время жизни документа) + 1 год (если пользователь подписал документ в последний день действия своего закрытого ключа).
- срок действия сертификата уполномоченного лица УЦ - 7 лет. 7 лет = 6 лет (срок действия сертификата пользователя) + 1 год (если сертификат пользователя был выдан в последний день действия закрытого ключа уполномоченного лица УЦ).
- срок действия закрытого ключа уполномоченного лица УЦ - 7 лет. 7 лет = 1 год (подпись пользовательских сертификатов) + 6 лет (для подписи списка отозванных сертификатов).
---------------------------------------------------------------------------------
Вопроса 2:
1. Правильны ли мои расчеты?
2. Может ли сертификат попасть в список отозванных сертификатов уже после окончания действия соответствующего закрытого ключа? Например, пользователь узнал только после окончания действия своего закрытого ключа, что его также использовал другой человек.
Получается, что если сертификат пользователя не может попасть в список отозванных сертификатов уже после окончания действия соответствующего закрытого ключа, тогда СОС после окончания действия последнего закрытого ключа пользователя меняться не будет. В этом случае срок действия закрытого ключ уполномоченного лица УЦ можно ограничить 2 годами, при этом в конце выпустить список отозванных сертификатов со сроком действия 5 лет.
 
Ответы:
07.02.2007 16:13:20Иван
Интересно было бы услышаль комментарии КриптоПро по поводу вышенаписанного + еще один вопрос:
как расчитать сроки действия сертификатов и ключей при использовании усовершествованной ЭЦП, когда вся информация для проверки хранится в самой ЭЦП и не требуется CRL?