Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#11 Оставлено : 14 декабря 2009 г. 16:57:33(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Sukhov написал:
1. я слаб в юридических вопросах, но на сколько знаю на распространение СКЗИ требуется лицензия ФСБ. Если мы будем распространять RTE шарпея он не будет рассматриваться как составная часть СКЗИ, и как следствие требование наличия лицензии на деятельность "по распространению шифровальных (криптографических) средств"? Или я подменяю какие-то понятия.


Шарпей - это не СКЗИ, соответственно деятельность по его распространению не подлежит обязательному распространению. Но сам Шарпей без СКЗИ "КриптоПро CSP" не работает! Вы не будете распространять СКЗИ "КриптоПро CSP"? Если нет, то и лицензию ФСБ на распространение не получайте.

Sukhov написал:
2. так намудрил :) забыл про лицензирование на деятельность по разработке и встраиванию СКЗИ :(. нужно переосмыслить.

А вот на встраивание Вам лицензия ФСБ нужна!
С уважением,
КРИПТО-ПРО
Offline Sukhov  
#12 Оставлено : 14 декабря 2009 г. 17:55:41(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Откуда: Москва

Юрий Маслов написал:
Sukhov написал:
1. я слаб в юридических вопросах, но на сколько знаю на распространение СКЗИ требуется лицензия ФСБ. Если мы будем распространять RTE шарпея он не будет рассматриваться как составная часть СКЗИ, и как следствие требование наличия лицензии на деятельность "по распространению шифровальных (криптографических) средств"? Или я подменяю какие-то понятия.


Шарпей - это не СКЗИ, соответственно деятельность по его распространению не подлежит обязательному распространению. Но сам Шарпей без СКЗИ "КриптоПро CSP" не работает! Вы не будете распространять СКЗИ "КриптоПро CSP"? Если нет, то и лицензию ФСБ на распространение не получайте.

Sukhov написал:
2. так намудрил :) забыл про лицензирование на деятельность по разработке и встраиванию СКЗИ :(. нужно переосмыслить.

А вот на встраивание Вам лицензия ФСБ нужна!


1. СКЗИ "КриптоПро CSP" распространять конечно не будем, клиентов к вам отправим :)

2. Пока подвисли... Попробую с другой стороны подойти к вопросу. Вот мы заказали софт, скоро он у нас будет, в частности в софте есть авторизация по сертификату (WCF) и добавление ЭЦП к документу, никакой специфики для работы с ключами нет, у девелоперов есть соответствующие лицензии ФСБ. Я так думал что достаточно иметь установленный на машине шарпей RTE, и в случае если мы программе написаной на C# даем сертификат по ГОСТ то .NET сам определит необходимый криптопровайдер из имеющихся в системе!?, или нужно перекомпилировать софт, и указывать какие-то специальные параметры что-бы он начал понимать ГОСТ сертификаты, например явно добавлять ссылку в программе на сборку шарпея. сори за сумбур, просто не доконца понимаю о чём сейчас пытаюсь объяснить.
Offline Челпанов А.  
#13 Оставлено : 14 декабря 2009 г. 18:10:54(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
2. Если программа написана без привязки к алгоритму (использует только "стандартные" решения), то достаточно установить RTE и указать ГОСТ сертификаты, и, возможно, еще изменить конфигурацию и там изменить/добавить алгоритм (suite) ГОСТ. На практике же все зависит от программы: если в программе написано
Код:
{ if (RSA) ...; if (DSA) ... }
, то придется программу менять и писать
Код:
{ if (RSA) ...; if (DSA) ...; if (GOST)... }
Для microsoft библиотек мы это делаем прозрачно для Вас, а вот об остальных мы не знаем
С уважением, Александр.
Offline Sukhov  
#14 Оставлено : 14 декабря 2009 г. 18:53:36(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Откуда: Москва

Челпанов А. написал:
2. Если программа написана без привязки к алгоритму (использует только "стандартные" решения), то достаточно установить RTE и указать ГОСТ сертификаты, и, возможно, еще изменить конфигурацию и там изменить/добавить алгоритм (suite) ГОСТ. На практике же все зависит от программы: если в программе написано
Код:
{ if (RSA) ...; if (DSA) ... }
, то придется программу менять и писать
Код:
{ if (RSA) ...; if (DSA) ...; if (GOST)... }
Для microsoft библиотек мы это делаем прозрачно для Вас, а вот об остальных мы не знаем



Вот теперь понятней :) и проще задать вопрос.

1. Т.е. если ничего подобного { if (RSA) ...; if (DSA) ...; if (GOST)... } в коде нет, то SDK как-таковой и не нужен?

Ситуация: нам передают софт, мы пробуем его с демонстрационные RTE и все работает, у производителя лицензии на SDK нет.
2. Мы можем до момента коммерческой эксплуатации использовать демонстрационные версии RTE?
3. А потом все равно должны купить SDK только для того чтобы распространять RTE?
4. Мы можем купить SDK на свою компанию, а не на компанию девелоперов, это будет законно?
Offline Челпанов А.  
#15 Оставлено : 15 декабря 2009 г. 10:13:14(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
1. Да.
2. Да.
3. Да.
4. Не знаю. Коммерческий отдел поможет с ответом.
С уважением, Александр.
Offline Юрий Маслов  
#16 Оставлено : 15 декабря 2009 г. 11:05:33(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Sukhov написал:
4. Мы можем купить SDK на свою компанию, а не на компанию девелоперов, это будет законно?

Да, это будет законно. Купить можно на свою компанию, а потом передать другому лицу.
С уважением,
КРИПТО-ПРО
Offline Sukhov  
#17 Оставлено : 15 декабря 2009 г. 11:20:35(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Откуда: Москва

Спасибо большое за ответы, вчера проанализировали вопрос 4 и пока пришли к выводу что да это нормально, купим на себя. Тем более что фактически передавать SDK никому не будем, т.к. он нужен только из-за RTE.

Лирика: В случае когда пригодиться только RTE помоему начинаются какие-то пробелы в лицензировании. Например все наши клиенты от другой фирмы уже получили RTE, т.е. нам и покупать ничего не надо, другие за нас все купили. Можно переформулировать схему лицензирования: для того что-бы доехать до питера нужно купить аккумулятор иначе не дадут бесплатный бензин :), а такие формулировки заставляют инвесторов подозревать ИТ в нехороших схемах :). Но эт так лирика.
Offline Челпанов А.  
#18 Оставлено : 15 декабря 2009 г. 12:32:03(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Проблема с зависанием окна демо версии присутствует. Ошибку правим...
С уважением, Александр.
Offline Sukhov  
#19 Оставлено : 15 декабря 2009 г. 18:13:52(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Откуда: Москва

Спасибо, за исправление.

Прошу помощи, если это возможно.
Пытаюсь развернуть софт который получили.
Там есть клиент-серверное соединение по SSL.
Сгенерировал RSA сертификаты: корневой, сервера и клиента.
Удалось подключиться, все работает.

1. Поставил криптопро csp
2. Поставил демо шарпея RTE.
3. У Вас http://www.cryptopro.ru/certsrv/ сгенерировал сертификат сервера и клиента.
4. поставил корневой тестового УЦ, поставил оба сертификата.
И на сервере получаю ошибку "Не удается установить связь с локальным администратором безопасности".

Пробую по другому, на сервере ставлю сертфикат RSA, на клиенте оставляю ГОСТ.
Получаю ошибку на клиенте "Указан недопустимый дескриптор"

Уже давненько я сам изучал подобный вопрос, но тогда это был просто интерес и получал подобную ошибку
http://www.cryptopro.ru/...t.aspx?g=posts&t=741
разработчики сказали что использовали стандартный TcpClient и TcpListener, так что я подозреваю
что это та же самая ошибка и кроеться просто в неправильно установке или генераци сертификатов.
Вот только что проверить пока не пойму.
Подскажите в какую сторону свернуть?

Offline Челпанов А.  
#20 Оставлено : 15 декабря 2009 г. 18:28:25(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Все сильно зависит от приложения. Что за приложение и чем оно пользуется? SSL, Https, WCF?
Могу только общие рекомендации...
1. Клиент ГОСТ сервер RSA и наоборот работать не будет, только RSA-RSA, ГОСТ-ГОСТ.
2. Проверьте что сертификат сервера сгенерирован и установлен в LocalMachine а не в current user,
3. Аналогично, что Root сертификат на сервре установлен в LocalMachine, а не в current user,
4. Проверьте, что на клиенте (и при двух сторонней аутентификации и на сервере то же) установлен CRL или есть доступ к CDP.
5. Некоторые приложения любят проверять, что CN сертификата сервера соответствует имени сервера.
6. Проверьте, что в серверном сертификате KeyUsage - "Проверка подлинности сертификата сервера".
С уважением, Александр.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.