Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.02.2008(UTC)
Сообщений: 45
Откуда: Санкт-Петербург
|
Из документации Крипто Про на CSP следует, что максимальный срок действия закрытых ключей - 1 год 3 месяца. Из документации УЦ Крипто Про следует что можно ключи ЦС делать на 3 года, но все равно выдавать сертификаты пользователям всего 1 год, дальше только подписывать CRL. Из практики - сроки действия ключей некоторых зарегистриованных в УФО ЦС 5, 6 или даже 30 лет! Как это можно объяснить? Все поголовно нарушают условия использования продуктов Крипто Про? Или используют HSM ? Отредактировано пользователем 9 апреля 2010 г. 19:26:46(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.03.2009(UTC) Сообщений: 31  Откуда: Russia
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.02.2008(UTC)
Сообщений: 45
Откуда: Санкт-Петербург
|
Спасибо за наводку, значит большинство нарушают :), или забывают регистрироваться в реестре УФО.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142  Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
|
SergSPb написал:Из практики - сроки действия ключей некоторых зарегистриованных в УФО ЦС 5, 6 или даже 30 лет! В ЕГР включают сертификаты ключей подписи УЛ УЦ. Вы про какие ключи говорите?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.02.2008(UTC)
Сообщений: 45
Откуда: Санкт-Петербург
|
Именно ключи уполномоченных лиц УЦ, как правило они по совместительству и ключи ЦС.
Хотя в общем какая разница? Все равно нарушение сроков использования закрытых ключей что уполномоченных лиц, что ключей центров сертификации в большинстве случаев есть.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
|
SergSPb написал:Именно ключи уполномоченных лиц УЦ, как правило они по совместительству и ключи ЦС.
Хотя в общем какая разница? Все равно нарушение сроков использования закрытых ключей что уполномоченных лиц, что ключей центров сертификации в большинстве случаев есть. Разница есть - есть закрытый ключ, открытый ключ и сертификат ключа подписи, и у всех свои сроки. А где Вы увидели сроки действия закрытых ключей?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.02.2008(UTC)
Сообщений: 45
Откуда: Санкт-Петербург
|
Mayshev Vadim, а зачем видеть сроки действия закрытых ключей?
В реестре УФО сертификаты уполномоченных лиц действуют как правило 5-6 лет и не обновлялись более 1 года. Значит либо УЦ используют HSM, либо забывают перерегистрироваться в УФО, либо нарушают правила эксплуатации СКЗИ Крипто Про.
Забывчивость уполномоченных лиц мне кажется маловероятной, использование HSM не исключено, но не в массовом порядке.... значит имеют место нарушения.
Хотя естественно точными данными не обладаю.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
|
SergSPb написал:... либо забывают перерегистрироваться в УФО, либо нарушают правила эксплуатации СКЗИ Крипто Про. Никто же не контролирует, таких даже в сети ФНС/ПФР/ФСС пускают...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.12.2009(UTC) Сообщений: 33 Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
Юрий Анатольевич написал:http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=1532&p=2 Прошу прощения за вторжение, но в соседней ветке (http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=2291) я от одного вопроса перершел почти к тому же, который обсуждается здесь. Хотелось бы раз вопрос поставлен послушать людей (особенно Маслова Юрия) вот в какой части: А когда ФСБ сертифицировало CSP и устанавливало срок действия ключей 1 год он сказало для каких ключей? Ведь согласно 1-ФЗ ЭЦП - это реквизит электронного документа и замена собственноручной подписи... А если ключи используются для других целей? Я думаю все понимают, что я о WinLogone в первую очередь. И вообще есть ли нужда следовать сертификату соответствия и эксплуатационной документации при использовании CSP для генерации ключей вне рамках 1-ФЗ? И в дополнение: может быть после ответа на этот вопрос кто-то возьмет на заметку при доработке следующих версий Крипто Про УЦ проблему описанную в моей ветке? А то IvanZzz уперся в 1 год 3 месяца и не хочет понимать, что уж меньше срок действия точно можно делать!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Не выполняя свою смену ключей с послующим уведомлением в УФО, уполномоченные лица УЦ, как правило, нарушают правила эксплуатации вследствии своей забывчивости. А УФО не контролирует... HSM есть, но, как правильно заметили, их немного. Kirillius написал:Прошу прощения за вторжение, но в соседней ветке (http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=2291) я от одного вопроса перершел почти к тому же, который обсуждается здесь. Хотелось бы раз вопрос поставлен послушать людей (особенно Маслова Юрия) вот в какой части:
А когда ФСБ сертифицировало CSP и устанавливало срок действия ключей 1 год он сказало для каких ключей? Ведь согласно 1-ФЗ ЭЦП - это реквизит электронного документа и замена собственноручной подписи... А если ключи используются для других целей? Я думаю все понимают, что я о WinLogone в первую очередь.
И вообще есть ли нужда следовать сертификату соответствия и эксплуатационной документации при использовании CSP для генерации ключей вне рамках 1-ФЗ? И в дополнение: может быть после ответа на этот вопрос кто-то возьмет на заметку при доработке следующих версий Крипто Про УЦ проблему описанную в моей ветке? А то IvanZzz уперся в 1 год 3 месяца и не хочет понимать, что уж меньше срок действия точно можно делать! ФСБ установило МАКСИМАЛЬНЫЕ сроки действия ключей. Эти сроки не зависят от целей использования. Эти сроки зависят от СКЗИ. ДЛя "КриптоПро CSP" установлен максимальный срок в 1 год и 3 месяца. Для наших перспективных СКЗИ (http://www.cryptopro.ru/cryptopro/products/fkc/products.htm) мы подали срок действия закрытых ключей до 3 лет и надеемся на данный срок сертифицировать в ФСБ. Следовать сертификату соответствия и эксплуатационной документации при использовании CSP и соблюдать максимальные сроки ключей нужно тогда, когда требуется использовать сертифицированные СКЗИ. А это требуется в следующих случаях: - при использовании СКЗИ в качестве средства ЭЦП в рамках 1-ФЗ "Об ЭЦП" - при использовании СКЗИ в государственных информационных системах органов власти (федеральные органы власти и органы васти субъектов федерации) - при использовании СКЗИ для защиты персональных данных - в иных случаях, если это (сертифицированновсть) установлено требованиями закона или нормативными правовыми актами. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
