Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Ananda  
#1 Оставлено : 4 августа 2009 г. 20:46:37(UTC)
Ananda

Статус: Участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 11
Мужчина
Откуда: г.Москва

Здравствуйте, коллеги!

Скажите, а можно ли для утилиты командной строки CryptoCP добавить ключ (например, -eku), который позволил бы в критериях поиска сертификата (КПС) указывать область использования сертификата?

Синтаксис этого ключа мог бы выглядеть примерно так:
-eku "1.2.643.3.81.2"
или
-eku "1.2.643.3.81.2,1.2.643.3.81.1"

При этом, если этот ключ задан, то из всего набора сертификатов выбирались бы те, у которых в EKU указаны все области использования сертификатами, заданные в ключе -eku. Для указанного выше примера во втором случае (-eku "1.2.643.3.81.2,1.2.643.3.81.1") должны быть выбраны сертификаты, для каждого из которых в EKU есть OID'ы "1.2.643.3.81.1" и "1.2.643.3.81.2".

Такой инструмент дал бы возможность при осуществлении электронного документооборота контролировать сведения об отношениях (области использования сертификатов) и тем самым соответствовать Закону 1-ФЗ "Об ЭЦП". Это ОЧЕНЬ помогло бы в работе!
С уважением,
Владимир Андреев.
Offline Sergey M. Murugov  
#2 Оставлено : 4 августа 2009 г. 23:33:16(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Краткая справка:
ЕКУ - это область использования КЛЮЧА (а не сертификата), т.е. чисто техническая ниша, например, ЭЦП, шифрование, почта .... а вот "сведения об отношениях ..." - т.е. организационно-правовая ниша, должны указываться в политиках сертификата. См. RFC 5280 + 41 приказ Минкомсвязи. Вокруг политик полно стандартных описаний: ограничения политик, маппинги политик и т.п.
Из того что вам нужно, как я понял - это проверка сертификата на соответствие данной политики, если это так, то эта процедура есть штатная в RFC 3029. А методики тестирования таких механизмов (да и вообще неплохо ознакомится с тем что может и как должно делаться штатными средствами) можно подглядеть в тестах НИСТа (Национальный институт стандартизации и технологии США) там этих тестов (соответственно и способов) вокруг построении цепочки сертификации более двух сотен.

Отредактировано пользователем 4 августа 2009 г. 23:42:33(UTC)  | Причина: Не указана

Offline Kure  
#3 Оставлено : 5 августа 2009 г. 12:00:46(UTC)
Kure

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 111
Откуда: Крипто-Про

Поблагодарили: 33 раз в 10 постах
Справка на краткую справку
RFC 5280
4.2.1.12. Extended Key Usage

This extension indicates one or more purposes for which the certified
public key may be used, in addition to or in place of the basic
purposes indicated in the key usage extension. In general, this
extension will appear only in end entity certificates. This
extension is defined as follows:

id-ce-extKeyUsage OBJECT IDENTIFIER ::= { id-ce 37 }

ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId

KeyPurposeId ::= OBJECT IDENTIFIER

Key purposes may be defined by any organization with a need. Object
identifiers used to identify key purposes MUST be assigned in
accordance with IANA or ITU-T Recommendation X.660 [X.660].

Offline Ananda  
#4 Оставлено : 6 августа 2009 г. 13:23:42(UTC)
Ananda

Статус: Участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 11
Мужчина
Откуда: г.Москва

Sergey M. Murugov написал:
Краткая справка:
ЕКУ - это область использования КЛЮЧА (а не сертификата), т.е. чисто техническая ниша, например, ЭЦП, шифрование, почта .... а вот "сведения об отношениях ..." - т.е. организационно-правовая ниша, должны указываться в политиках сертификата.


Ваша точка зрения понятна.

Не так давно мы обсуждали этот вопрос с Юрием Масловым, по его словам EKU также можно использовать для указания сведения об отношениях. Можете уточнить этот вопрос (как я понимаю, вы из одной организации)?

Sergey M. Murugov написал:
См. RFC 5280 + 41 приказ Минкомсвязи.

RFC я прочитал, а вот "41 приказ Минкомсвязи" что-то найти не могу. Не дадите ссылку? Или хотя бы уточните реквизиты.

Sergey M. Murugov написал:
Вокруг политик полно стандартных описаний: ограничения политик, маппинги политик и т.п.
Из того что вам нужно, как я понял - это проверка сертификата на соответствие данной политики, если это так, то эта процедура есть штатная в RFC 3029. А методики тестирования таких механизмов (да и вообще неплохо ознакомится с тем что может и как должно делаться штатными средствами) можно подглядеть в тестах НИСТа (Национальный институт стандартизации и технологии США) там этих тестов (соответственно и способов) вокруг построении цепочки сертификации более двух сотен.


У меня есть прикладная проблема, прямо вытекающая из Закона "Об ЭЦП" 1-ФЗ: необходимо контролировать для ЭД, содержащего ЭЦП, сведения об отношениях, указанных в соответствующем СКП. Я хочу понять: 1) в рамках ПО КриптоПро УЦ можно ли указывать эти сведения об отношениях и как это следует делать, и 2) можно ли используя утилиту CryptoCP контролировать сведения об отношениях.

К сожалению, я не нашел целостного изложения этого вопроса в материалах сайта КриптоПро или в документации, доступной с продуктами CryptoCP, и CryptoCSP и КриптоПро УЦ.

Если можете - помогите, пожалуйста.
С уважением,
Владимир Андреев.
Offline FAV  
#5 Оставлено : 6 августа 2009 г. 18:40:09(UTC)
FAV

Статус: Участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 16
Откуда: г. Москва

Поблагодарили: 1 раз в 1 постах
ФЗ "Об ЭЦП" глубоко безразлична информация, содержащаяся в RFC и т.д. Для участников информационной системы, использующих ЭЦП, необходимо соблюсти соответвующие нормы указанного закона (в частности п. 1 Статьи 4 ФЗ "Об ЭЦП"). По большому счету не имеет разницы какое поле (расширение) сертификата будет содержать сведения об отношениях, важно - что бы указанная норма была соблюдена. Если участники системы в соглашении (договоре, регламенте) укажут, что сведения об отношениях содержатся в EKU, а также закрепят соответвтие конкретных оидов конкретным отношениям - проблем никаких нет.
Offline Ananda  
#6 Оставлено : 10 августа 2009 г. 13:15:47(UTC)
Ananda

Статус: Участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 11
Мужчина
Откуда: г.Москва

FAV написал:
ФЗ "Об ЭЦП" глубоко безразлична информация, содержащаяся в RFC и т.д. Для участников информационной системы, использующих ЭЦП, необходимо соблюсти соответвующие нормы указанного закона (в частности п. 1 Статьи 4 ФЗ "Об ЭЦП"). По большому счету не имеет разницы какое поле (расширение) сертификата будет содержать сведения об отношениях, важно - что бы указанная норма была соблюдена. Если участники системы в соглашении (договоре, регламенте) укажут, что сведения об отношениях содержатся в EKU, а также закрепят соответвтие конкретных оидов конкретным отношениям - проблем никаких нет.

У меня такое же понимание вопроса.

Просто хотелось бы услышать от людей, которые занимаются технологиями ЭЦП профессионально, почему такой важный вопрос, как контроль сведений об отношениях не нашел своего отражения в такой утилите, как CryptoCP.
С уважением,
Владимир Андреев.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.