Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Victor3509  
#1 Оставлено : 12 января 2022 г. 12:19:06(UTC)
Victor3509

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2022(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Здравствуйте.
При генерации запроса на сертификат УЦ в форме заявки просит указать класс используемого средства электронной подписи "Выберите только одно значение КС1, КС2, КС3".
Если рассматривать в качестве средства ЭП например КриптоПро CSP 5.0 - оно имеет сертификацию как по КС1, так и по КС2 и КС3. Собственно вопросы:
1. Будут ли работать сгенерированные ключи и сертификат со всеми средствами ЭП (КС1, КС2, КС3) одинаково технически?
2. Как это будет выглядеть с точки зрения соблюдения НПА, если ключ генерировался для КС1, а фактически использовался для работы со средствами ЭП например КС3?
3. Где-то в сертификате прописываются эти классы?
Offline basid  
#2 Оставлено : 13 января 2022 г. 8:37:40(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
КС1 "и не выёживайтесь": всё остальное - дополнительные требования, которые проблематично выполнить "в домашних условиях".

P.S.
Если, вдруг, вам действительно нужен KC2, то вы бы не задавали свой вопрос.
Offline two_oceans  
#3 Оставлено : 19 января 2022 г. 8:24:54(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: Victor3509 Перейти к цитате
Здравствуйте.
При генерации запроса на сертификат УЦ в форме заявки просит указать класс используемого средства электронной подписи "Выберите только одно значение КС1, КС2, КС3".
Если рассматривать в качестве средства ЭП например КриптоПро CSP 5.0 - оно имеет сертификацию как по КС1, так и по КС2 и КС3. Собственно вопросы:
1. Будут ли работать сгенерированные ключи и сертификат со всеми средствами ЭП (КС1, КС2, КС3) одинаково технически?
2. Как это будет выглядеть с точки зрения соблюдения НПА, если ключ генерировался для КС1, а фактически использовался для работы со средствами ЭП например КС3?
3. Где-то в сертификате прописываются эти классы?
Соглашусь с предыдущим ответом. Если чуть полнее ответить:
1) сам по себе дистрибутив КриптоПро одинаков. При установке Вы можете выбрать КС1/КС2/КС3 - в зависимости от этого будут распакованы разные MSI файлы (на Windows). Если не выбирали, то ставится КС1, в том числе при обновлении версии без удаления предыдущей. Основное отличие - в выбранных по умолчанию опциях - так, для КС2 отключены по умолчанию реестр и биологический датчик случайных чисел (ДСЧ), включен датчик от Соболя. Легко понять, что если аппаратного ДСЧ нет, а биологический отключен, то сгенерировать хоть какой-то ключ по параметрам КС2 Вы не сможете.

Если по правилам, то КС1 по идее должен включать меры "недопущения" посторонних к компьютеру, регулярную смену сложных паролей, блокировку при засыпании, режим постоянного закрывания дверей, хранения ключей от кабинета в опечатанном футляре и т.д. Меры по большей части организационные "вокруг компьютера".
КС2 должен использоваться со средствами запрета загрузки компьютера с других источников (флешки и т.д.), опечатывание корпуса компьютеров. КС3 дополнительно к КС2 - со средствами обеспечения замкнутой программной среды (то есть как минимум без подключения Интернета и левых флешек) и, как правило, на таких компьютерах достаточно серьезная информация, СКЗИ устанавливаются под контролем ФСБ. Другими словами, добавляются меры программные и аппаратные "с самим компьютером". Это не отменяет меры "вокруг компьютера".
2) с точки зрения НПА сертификат должен использоваться с таким же либо меньшим по номеру классом КС. Другими словами, сертификат с КС3 включает КС2 и КС1.
3) Да, в политиках сертификата.

Отредактировано пользователем 19 января 2022 г. 8:26:47(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Victor3509 оставлено 24.01.2022(UTC)
Offline Victor3509  
#4 Оставлено : 24 января 2022 г. 16:11:29(UTC)
Victor3509

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.01.2022(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: two_oceans Перейти к цитате
Автор: Victor3509 Перейти к цитате
Здравствуйте.
При генерации запроса на сертификат УЦ в форме заявки просит указать класс используемого средства электронной подписи "Выберите только одно значение КС1, КС2, КС3".
Если рассматривать в качестве средства ЭП например КриптоПро CSP 5.0 - оно имеет сертификацию как по КС1, так и по КС2 и КС3. Собственно вопросы:
1. Будут ли работать сгенерированные ключи и сертификат со всеми средствами ЭП (КС1, КС2, КС3) одинаково технически?
2. Как это будет выглядеть с точки зрения соблюдения НПА, если ключ генерировался для КС1, а фактически использовался для работы со средствами ЭП например КС3?
3. Где-то в сертификате прописываются эти классы?
Соглашусь с предыдущим ответом. Если чуть полнее ответить:
1) сам по себе дистрибутив КриптоПро одинаков. При установке Вы можете выбрать КС1/КС2/КС3 - в зависимости от этого будут распакованы разные MSI файлы (на Windows). Если не выбирали, то ставится КС1, в том числе при обновлении версии без удаления предыдущей. Основное отличие - в выбранных по умолчанию опциях - так, для КС2 отключены по умолчанию реестр и биологический датчик случайных чисел (ДСЧ), включен датчик от Соболя. Легко понять, что если аппаратного ДСЧ нет, а биологический отключен, то сгенерировать хоть какой-то ключ по параметрам КС2 Вы не сможете.

Если по правилам, то КС1 по идее должен включать меры "недопущения" посторонних к компьютеру, регулярную смену сложных паролей, блокировку при засыпании, режим постоянного закрывания дверей, хранения ключей от кабинета в опечатанном футляре и т.д. Меры по большей части организационные "вокруг компьютера".
КС2 должен использоваться со средствами запрета загрузки компьютера с других источников (флешки и т.д.), опечатывание корпуса компьютеров. КС3 дополнительно к КС2 - со средствами обеспечения замкнутой программной среды (то есть как минимум без подключения Интернета и левых флешек) и, как правило, на таких компьютерах достаточно серьезная информация, СКЗИ устанавливаются под контролем ФСБ. Другими словами, добавляются меры программные и аппаратные "с самим компьютером". Это не отменяет меры "вокруг компьютера".
2) с точки зрения НПА сертификат должен использоваться с таким же либо меньшим по номеру классом КС. Другими словами, сертификат с КС3 включает КС2 и КС1.
3) Да, в политиках сертификата.


Спасибо за развернутый ответ
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.