Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро УЦ 1.4
»
Выдача нескольких сертификатов на один открытый ключ
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow
|
Добрый день!
Скажите пожалуйста, как можно включить возможность выдачи нескольких сертификатов на один и тот же ключ в КриптоПро УЦ 1.4? Про статью 9 закона об ЭЦП и про требование "проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра" я в курсе, но юристы нашей компании считают, что для одного физического лица вполне допустимо выдавать несколько сертификатов на один и тот же ключ, поэтому эта возможность нам нужна.
Насколько я знаю, эта возможность включается где-то в политиках УЦ, тестовый УЦ КриптоПро во всяком случае позволяет получить несколько сертификатов на один и тот же открытый ключ.
В установленном у нас УЦ версии 1.4 при попытке обработать запрос на сертификат на уже ранее выданный открытый ключ выдается ошибка что-то вроде "PK CAPublicKey constraint, duplicate key".
С уважением,
Владимир.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Здравствуйте!
1. ПАК "КриптоПро УЦ" - это сертифицированный продукт и поэтому в нем нет возможности (декларированной или недекларированной) выдачи нескольких сертификатов на один и тот же открытый ключ.
2. Тестовый ЦС, который Вы видите на нашем сайте - это опубликованая служба сертификации из состава Windows Server.
3. Наша рекомендация: для решения Вашей задачи выдачи нескольких сертификатов на один и тот же ключ, т.к. в этом случае Вы выходите из правового поля 1-ФЗ "Об ЭЦП", рекомендуем на выделенном компьютере установить Windows Server и "КриптоПро CSP" (клиентская лицензия) и установить службу сертификации из состава Windows Server, используя для формирования ключей ГОСТ-алгоритмы, реализуемые "КриптоПро CSP". И выдавайте нескольких сертификатов на один и тот же ключ.
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2009(UTC)
Сообщений: 18
Откуда: Moscow
|
Добрый день! Спасибо за помощь! Но нам нужен именно сертифицированный продукт, поэтому просто Windows 2003 CA нам наверное не подойдет, нужен официальный документ на продукт. Наши юристы, насколько я понимаю, основывают логику выдачи нескольких сертификатов на один ключ для одного физического лица, таким образом, что нигде не сказано, как именно должен вестись реестр сертификатов и что понимать под уникальностью открытых ключей и, соответствено, что под уникальностью открытых ключей в реестре сертификатов можно понимать именно уникальность для одного физического лица, даже при условии, что серийные номера у сертификатов будут разные. Т.е. один и тот же открытый ключ в разных сертификатах для одного и того же физического лица можно считать уникальным в рамках реестра сертификатов. Например, есть реестр грамот, у каждой грамоты разные серийные номера, но выданы они на одного и того же человека, соответственно, человек то один получается, уникален в рамках реестра грамот. Вот такая, вроде бы, логика. Т.е. требование "проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов" нужно трактовать не буквально, а в духе закона, и понимать совокупность сертификатов, как некую сущность, привязанную к физическому лицу. Хотелось бы уточнить, какова была логика ваших юристов, когда вы реализовывали контроль уникальности публичных ключей, правильно ли я понимаю, что было буквально реализовано требование статьи 9, и также буквально это требование проверялось при прохождении сертификации в ФСБ? Заранее спасибо за любую дополнительную информацию. С уважением, Владимир. Отредактировано пользователем 2 февраля 2010 г. 17:19:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Логика Ваших юристов неоднозначна и сомнительна. Если читать 1-ФЗ "Об ЭЦП" буквально, то согласно части 1 статьи 9 1-ФЗ удостоверяющий центр "ведет реестр сертификатов ключей подписей". При этом не указано, что для каждого физического лица. Поэтому деятельность "проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра" нужно относить ко ВСЕМУ реестру сертификатов, а не к его отдельной части.
Поэтому при первой сертификации ПАК "КриптоПро УЦ" версии 1.2 в ФСБ (тогда в ФАПСИ), ещё в далеком 2003 году, нам было дано указание убрать возможность (которая была нами сделана в виде параметра настройки по отключению контроля уникальности) изготовления второго сертификата тот же открытый ключ.
Так что это не логика наших юристов, а требование ФСБ. Поэтому в сертифицированных продуктах не может быть 2-х и более сертификатов на один открытый ключ пользователя.
И ещё... Существует математическая атака (описана ещё в 2001 или около того году) на то, что если есть 2 сертификата на один открытый ключ. Поэтому в 1-ФЗ и появилась норма контроля уникальности открытых ключей! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро УЦ 1.4
»
Выдача нескольких сертификатов на один открытый ключ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
