Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Юридический и ИБ вопрос по терминальному серверу
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.05.2008(UTC)
Сообщений: 74
Откуда: Moscow
|
Как с точки зрения законодательства выглядит использования криптопровайдера для ЭЦП через терминальный сервер?
Клиент не имеет на свей машине СКЗИ КриптоПро, имеет только драйверы ключевого носителя и подключается прокидывая свой USB порт к терминальному серверу с СКЗИ, там происходит подписание документа ЭЦП.
Помимо этого, с ИБ выглядит прокидывание ключевого носителя?
Какую документацию и акты почитать на тему разделения СКЗИ и ключевого носителя? На что ссылаться?
Заранее спасибо.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Вы нечетко написали. Происходит передача ключей от клиента к серверу или нет?
Если судить по "имеет только драйверы ключевого носителя и подключается прокидывая свой USB порт к терминальному серверу с СКЗИ, там происходит подписание документа ЭЦП." т нет, ключи не передаются, закрытый ключ находится на сервере и ЭЦП формируется на сервере.
Если судить по "с ИБ выглядит прокидывание ключевого носителя" то получается что закрытый ключ передается на сервер (сам ключевой носитель как физическая сущность ну никак не может быть передан на сервер).
Ключи (закрытые) по незащищенным каналам связи передавать нельзя. Запрещается нормативными документами ФСБ России и требования по эксплуатации сертифицированных СКЗИ. Поэтому этот вариант сразу отметается и не рассматривается.
Если ключи пользователей лежат на сервере, то это не есть хорошо с юридической точки зрения. Ключ пользователя является личным и его владелец отвечает за его сохраннность и недоступность другим пользователям. А если ключ на сервере, то его владелец всегда может отказаться от своей ЭЦП аргументируя это тем, что он находится не у него и кто к нему имеет доступ - это не известно и значит ЭЦП не его т.к. ЭЦП сформировал посторонее лицо. В соответствии с презумцией невиновности, нужно будет доказывать, что посторонее лицо не могло получить доступ к ключу пользователя. А это сделать будет о-очень сложно.
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.05.2008(UTC)
Сообщений: 74
Откуда: Moscow
|
Уточняю:
1. Закрытый ключ находится на ключевом носителе пользователя, например дискете
2. Дискета подключена к компьютеру пользователя
3. Пользователь подключается к терминальному серверу и пробрасывает туда свой дисковод виртуальным устройством
4. Пользовательский ПК не имеет СКЗИ КриптоПро
5. СКЗИ КриптоПро на терминальном сервере считывает виртуальный дисковод и закрытый ключ оттуда
6. Канал связи защищенный (интранет), незащищенный протокол передачи данных (RDP)
7. Если вместо дискеты можно взять защищенный ключевой носитель, например eToken, разве что-то поменяется?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
1. Это не соответствует условиям эксплуатации сертифицированного СКЗИ, следовательно будут все последствия использования несертифицированного СКЗИ
2. Будут все последствия не исполнения требований пункта 25 приказа ФАПСИ от 13 июня 2001 года N 152. Это в первую очередь касается лицензиатов ФСБ.
2. Как уже писал ранее, все последствия того, что нельзя будет доказать отсутствие в искажении или подмене ключей подписи при их передачи по каналам связи. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.05.2008(UTC)
Сообщений: 74
Откуда: Moscow
|
Юрий Маслов написал:1. Это не соответствует условиям эксплуатации сертифицированного СКЗИ, следовательно будут все последствия использования несертифицированного СКЗИ
2. Будут все последствия не исполнения требований пункта 25 приказа ФАПСИ от 13 июня 2001 года N 152. Это в первую очередь касается лицензиатов ФСБ.
2. Как уже писал ранее, все последствия того, что нельзя будет доказать отсутствие в искажении или подмене ключей подписи при их передачи по каналам связи. Спасибо большое, а можно конретнее по-поводу 1: а какой пункте не соответствует??
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
В отличии от римского права, одним из постулатов которого является принцип "что не запрещено - то разрешено", к сертифицированным ФСБ средствам криптографической защиты информации применяется принцип "что не разрешено - то запрещено". Аргумент: для продукта проведены исследования в конкретной среде функционирования криптосредства (СФК) и для этой СФК установлена соответствие требованиям. Изменение СФК влечет необходимость проведения дополнительных исследований.
В эксплуатационной документации на СКЗИ "КриптоПро CSP" не изложено использование СКЗИ через термнальный сервер. Значит, данный режим работы не разрешен.
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.10.2008(UTC)
Сообщений: 54
Откуда: Kurgan
Сказал(а) «Спасибо»: 7 раз
|
А если рассмотреть случай, когда создавать ЭЦП на таком сервере не планируется.
Разрешено ли на удаленном сервере проверять ЭЦП, созданную кем-либо, при условии, что на сервере нет закрытых ключей.
Разрешено ли генерировать hash код документа?
Будет ли предоставление доступа к такому серверу считаться распространением СКЗИ? (т.е. нужны ли для этого лицензии ФСБ и т.п.)?
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Юридический и ИБ вопрос по терминальному серверу
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
