Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
Использование сертифицированного КриптоПро CSP 4.0 с несертифицированным средством наложения подписи
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline scorpio667  
#1 Оставлено : 13 мая 2019 г. 19:38:33(UTC)
scorpio667

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.06.2016(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Добрый день!

Помогите пожалуйста разобраться, мнения людей расходятся.

Насколько легитимно использовать сертифицированную версию КриптоПро CSP 4.0 с несертифицированным средством наложения подписи (Такском Криптолайн, просто подписать и т.д. и т.п.)?
Вопрос спорный, потому что любое данное ПО использует встроенные в CSP функции.
Вверх
Offline basid  
#2 Оставлено : 13 мая 2019 г. 19:55:36(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Вопрос некорректный.
Превратить "сертифицированный СКЗИ" в несертифицированный несложно - достаточно нарушить требования формуляра.
Использование СКЗИ в "стороннем" ПО возможно и, в некоторых случаях - без тематических исследований и оценки влияния.
Как именно используется СКЗИ в конкретном ПО - вопрос, который решается отдельно по каждому конкретному случаю.
Вверх
Offline scorpio667  
#3 Оставлено : 13 мая 2019 г. 20:05:25(UTC)
scorpio667

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.06.2016(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Автор: basid Перейти к цитате
Вопрос некорректный.
Превратить "сертифицированный СКЗИ" в несертифицированный несложно - достаточно нарушить требования формуляра.
Использование СКЗИ в "стороннем" ПО возможно и, в некоторых случаях - без тематических исследований и оценки влияния.
Как именно используется СКЗИ в конкретном ПО - вопрос, который решается отдельно по каждому конкретному случаю.


Правильно ли я понимаю, что под использованием данного ПО для наложения подписи, понимается процесс встраивания CSP в прикладные системы?

Заранее спасибо за ответ.
Вверх
Offline basid  
#4 Оставлено : 13 мая 2019 г. 20:10:55(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
"Встраивание" это использование (какого-то варианта) CryptoAPI в приложении.
Цели встраивания могут быть самые разнообразные и создание ЭП - одна из них.
Поэтому вопрос, опять-таки, не очень понятен.
Вверх
thanks 1 пользователь поблагодарил basid за этот пост.
scorpio667 оставлено 15.05.2019(UTC)
Offline scorpio667  
#5 Оставлено : 13 мая 2019 г. 20:15:01(UTC)
scorpio667

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.06.2016(UTC)
Сообщений: 4
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Автор: basid Перейти к цитате
"Встраивание" это использование (какого-то варианта) CryptoAPI в приложении.
Цели встраивания могут быть самые разнообразные и создание ЭП - одна из них.
Поэтому вопрос, опять-таки, не очень понятен.


Основной вопрос в том, что работникам организации помимо работы в системе электронного документооборота необходимо осуществлять подписание документов и передачу их в сторонние организации.
В связи с чем возникает вопрос о необходимости закупки дополнительного сертифицированного ПО для данных работников или же использование несертифицированных свободнораспространяемых аналогов.
Это по сути основной вопрос.

P.S. КриптоПро сертифицированный в наличии.
Вверх
Offline two_oceans  
#6 Оставлено : 15 мая 2019 г. 6:24:56(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
В общих чертах - это вопрос доверия.
Если Вы знаете, что аналог использует только те функции, которые разрешены в формуляре криптопровайдера для использования без тематических исследований и уверены, что в программе наложения подписи нет "закладок", подписывающих нужный разработчику документ Вашим сертификатом во время подписи Ваших документов, что созданную подпись смогут проверить Ваши контрагенты, то можете использовать аналог.

Если же есть "здоровая степень" паранойи, то Ваш выбор - сертифицированное средство наложения подписи, проверенное на закладки и перечень используемых функций компетентными органами или веб-интерфейс подписания удостоверяющего центра, выпустившего сертификат.

Если стенень еще больше - проще написать (либо найти исходники, проверить на закладки) и скомпилировать свой аналог программы наложения подписи. Также этот вариант рекомендуется для систем с автоматическим подписанием без участия пользователя (так как все равно придется писать некую обертку вокруг API сертифицированного аналога).
Вверх
thanks 1 пользователь поблагодарил two_oceans за этот пост.
scorpio667 оставлено 15.05.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET