Статус: Новичок
Группы: Участники
Зарегистрирован: 05.10.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Добрый день! На серверах используется КриптоПРО CSP 4. Так как Минкомсвязи продлили срок действия текущего ГОСТ Р 34.10-2001 еще на год, как будет работать csp с сертификатами по ГОСТ 2001 в 2019 году? не будет ли проблем с 1 января 2019? Потребуются ли ставить какие либо патчи? На сайте не нашел информации. Отредактировано пользователем 5 октября 2018 г. 15:01:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
Здесь уже отвечали - технически на сертифицированных на данный момент версиях потребуется отключить режим усиленного контроля ключей, если он у Вас включен. После этого CSP разрешит работу с ключами ГОСТ-2001 даже после 1 января 2019 года. Если для Вас важен данный режим усиленного контроля - предлагается переходить на ГОСТ-2012 до 1 января 2019 года либо надеяться на выход сертифицированной версии с измененной датой. Насчет сроков следующей сертифицированной версии ничего пока неизвестно.
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
Pufon1 оставлено 09.10.2018(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.10.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.10.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Возник другой вопрос. Версия CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3 При попытке выполнить /opt/cprocsp/sbin/amd64/cpconfig -policy -view ошибка /opt/cprocsp/sbin/amd64/cpconfig: unrecognized option `-policy' Так же /opt/cprocsp/sbin/amd64/cpconfig -policy -set StrengthenedKeyUsageControl -value 0 /opt/cprocsp/sbin/amd64/cpconfig: unrecognized option `-policy' /opt/cprocsp/sbin/amd64/cpconfig: unrecognized option `-value' Как узнать включен ли вообще этот режим?)) И как понимаю еще не известно выйдет ли в этом году версия вообще с возможностью использовать 2001? Отредактировано пользователем 8 октября 2018 г. 15:10:01(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,500  Сказал «Спасибо»: 53 раз
Поблагодарили: 808 раз в 745 постах
|
Автор: Pufon1  Возник другой вопрос.
Версия CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3
При попытке выполнить /opt/cprocsp/sbin/amd64/cpconfig -policy -view ошибка
/opt/cprocsp/sbin/amd64/cpconfig: unrecognized option `-policy'
Так же
/opt/cprocsp/sbin/amd64/cpconfig -policy -set StrengthenedKeyUsageControl -value 0
/opt/cprocsp/sbin/amd64/cpconfig: unrecognized option `-policy'
/opt/cprocsp/sbin/amd64/cpconfig: unrecognized option `-value'
Как узнать включен ли вообще этот режим?))
И как понимаю еще не известно выйдет ли в этом году версия вообще с возможностью использовать 2001? Добрый день. В документации на КриптоПро CSP 4.0.9944 есть подобная команда (необходимы права root) для отключения усиленного режима: /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long StrengthenedKeyUsageControl 1Из какой документации/инструкции эта команда: /opt/cprocsp/sbin/amd64/cpconfig -policy -set StrengthenedKeyUsageControl -value 0? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.10.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Автор: Александр Лавник
В документации на КриптоПро CSP 4.0.9944 есть подобная команда (необходимы права root) для отключения усиленного режима:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long StrengthenedKeyUsageControl 1
Да действительно, в ЖТЯИ.00087-01 91 03 на сайте именно эта команда. Извиняюсь) Та команда была взята из такого же документа, только не с официального сайта... Сейчас проверил в config64.ini параметр StrengthenedKeyUsageControl отсутствует. Правильно же я понимаю что по умолчанию этот режим отключен, и включается только в ручную? И раз так то и беспокоится мне не о чем, все будет и так работать?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
В том же документе должно быть расписано про режим контроля ключей, есть 3 варианта:
0 - контроль отключен (можно использовать любые ключи независимо от их срока истечения);
1 - контроль "нормальный" (разрешено использовать ключи после срока истечения, но только для расшифровки);
2 - контроль усиленный (нельзя использовать ключи после истечения).
Под Windows при установке есть чекбокс переключающий режим 1 в режим 2 и он отмечен по умолчанию, то есть без действий пользователя будет применен усиленный режим. Для других операционных систем скорее всего также по умолчанию установлен режим 2, лучше явно задать значение "1" перед 1 января 2019 года. Это также отражено в формуляре, в вольном пересказе: все требования сертификации выполняются только при включенном режиме 2, поэтому рекомендовано отключать режим 2 только для тестирования.
При этом использование режима 0 вообще не допускается для ключей ГОСТ-2001, так как при этом возможно использовать ключи сгенерированные более чем год и 3 месяца назад, а для давно сгенерированных ключей ГОСТ-2001 за прошедшее время уже "накопилась" некоторая вероятность компрометации закрытого ключа (подбор по открытому ключу в сертификате, например, требует определенного времени).
Однако режим 2 в числе прочих контролей запретит использование ГОСТ-2001 после 1 января 2019 года, поэтому как компромисс предлагается перевод контроля в режим 1, то есть вместо усиленного контроля ключей использовать "нормальный" контроль ключей.
|
1 пользователь поблагодарил two_oceans за этот пост.
|
Pufon1 оставлено 09.10.2018(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.10.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Автор: two_oceans В том же документе должно быть расписано про режим контроля ключей, есть 3 варианта:
Вот об этом как раз не слова нет) Спасибо! Но все же интересно, есть ли вообще в планах в этом году выпустить сертифицированную версию с возможностью использовать 2001? Отредактировано пользователем 9 октября 2018 г. 10:14:59(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
