Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Организация выдачи сертификатов - как выдать ЭП?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline 64534234  
#1 Оставлено : 25 февраля 2013 г. 16:53:56(UTC)
64534234

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.02.2013(UTC)
Сообщений: 3
Откуда: MSK

Сказал(а) «Спасибо»: 1 раз
Добрый день, уважаемые коллеги.

На данный момент стоит задача, организовать выдачу сертификатов пользователям. ЭП выдаваться будет исключительно сотрудникам организации.
Насколько я понимаю, что бы соблюсти все требования законодательства и что бы ЭП была аналогом подписи, нужно выдавать закрытый ключ руками и получатель должен расписаться в журнале, но проблема в том, что на данный момент в компании много, филиалов и звать, что бы выдать, всех в один пункт выдачи нереально.

Я уже рассматривал и такой вариант, что бы скажем ключ генерировался на стороне клиента, через тот же веб-сервер ЦР или УЦ, но проблема вся в том, что по идее все равно нужна живая подпись, или я не прав?

Вопрос существует ли какая либо альтернатива? У кого как устроено? Нужна ли живая подпись в журнале выдачи?
Вверх
Offline Юрий Маслов  
#2 Оставлено : 26 февраля 2013 г. 9:52:56(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Живая подпись в журнале выдачи не нужна.

Я бы работу по изготовлению и выдаче сертификатов организовал следующим образом:
1. От каждого структурного подразделения в УЦ поступает заявка на изготовление ключей и сертификатов. Заявка содержит идентификационные данные по каждому владельцу сертификата. Заявка подписывается руководителем подразделения организации.
2. УЦ по заявке готовит комплекты ключей (обязательно ключи должны быть на токене, помеченными как неэкспортируемыми) и сертификаты. Каждый комплект снабжается так же 2-мя экземплярами копии сертификата на бумажном носителе, подписанных уполномоченным сотрудником УЦ. И запечатанным конвертом с ПИН-кодом к токену.
3. После подготовки комплектов, УЦ оповещает структурное подразделение о готовности к выдаче.
4. В УЦ прибывает представитель структурного подразделения с доверенностью на получение комплектов. Доверенность указывает идентификационные данные владельце сертификатов, чьи комплекты получаются.
5. Представитель структурного подразделения раздаёт комплекты владельцам, собирает с них по одному экземпляру копии сертификата с подписью владельца сертификата и эти копии пересылаются в УЦ.

Вот как-то так лучше организовать работу УЦ.
С уважением,
КРИПТО-ПРО
Вверх
WWW
thanks 2 пользователей поблагодарили Юрий Маслов за этот пост.
Executer оставлено 26.02.2013(UTC), 64534234 оставлено 28.02.2013(UTC)
Offline Amo_vivery  
#3 Оставлено : 28 февраля 2013 г. 9:41:09(UTC)
Amo_vivery

Статус: Участник

Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Автор: Юрий Маслов Перейти к цитате

(обязательно ключи должны быть на токене, помеченными как неэкспортируемыми)


Пожалуйста, поясните подробнее это требование. Явные требования по неэкспортируемости почти нигде не прописаны...
Вверх
Offline 64534234  
#4 Оставлено : 28 февраля 2013 г. 16:12:18(UTC)
64534234

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.02.2013(UTC)
Сообщений: 3
Откуда: MSK

Сказал(а) «Спасибо»: 1 раз
Автор: Юрий Маслов Перейти к цитате
Здравствуйте!

Живая подпись в журнале выдачи не нужна.

Я бы работу по изготовлению и выдаче сертификатов организовал следующим образом:
1. От каждого структурного подразделения в УЦ поступает заявка на изготовление ключей и сертификатов. Заявка содержит идентификационные данные по каждому владельцу сертификата. Заявка подписывается руководителем подразделения организации.
2. УЦ по заявке готовит комплекты ключей (обязательно ключи должны быть на токене, помеченными как неэкспортируемыми) и сертификаты. Каждый комплект снабжается так же 2-мя экземплярами копии сертификата на бумажном носителе, подписанных уполномоченным сотрудником УЦ. И запечатанным конвертом с ПИН-кодом к токену.
3. После подготовки комплектов, УЦ оповещает структурное подразделение о готовности к выдаче.
4. В УЦ прибывает представитель структурного подразделения с доверенностью на получение комплектов. Доверенность указывает идентификационные данные владельце сертификатов, чьи комплекты получаются.
5. Представитель структурного подразделения раздаёт комплекты владельцам, собирает с них по одному экземпляру копии сертификата с подписью владельца сертификата и эти копии пересылаются в УЦ.

Вот как-то так лучше организовать работу УЦ.


Спасибо за развернутый ответ.
Я подумал можно ли сделать так?

1. Пользователь делает запрос на сертификат и одновременно генерит секретный ключ у себя.
2. Высылает заявку в УЦ с подписью.
3. В УЦ проверяют заявку и выпускают сертификат.
4. УЦ печатает сертификат и подписывает со своей стороны и присылает пользователю 2 экземпляра.
5. Пользователь подписывает бумажный сертификат и возвращает в УЦ экземпляр.

Еще такие моменты. Если скажем используется токен в удаленном филиале другого города, то при увольнении токен останется в филиале. Получается в любом случае кто-то должен их там учитывать и получать.

Отредактировано пользователем 28 февраля 2013 г. 16:14:00(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET