Здравствуйте!
Помогите разобраться.
Есть КриптоПро CSP. Для его использования нужно получить сертификат у УЦ. Если необходимо обеспечить только конфиденциальность передаваемых данных (т.е. только шифрование), для этого тоже необходимо обеим сторонам информационного обмена получить сертификат в УЦ, или можно для этой цели их сгенерировать самому с помощью Windows CA?
Если можно, тогда можно ли использовать такую схему для безопасной передачи персональных данных?
И последний вопрос, если использовать КриптоПро CSP для обмена данными по протоколу TLS, для этого тоже необходимо получать сертификат в УЦ?

А почему, например, нельзя двум организациям, имеющим между собой договорные отношения по передаче информации, содержащей персональные данные, установить КриптоПро и выпустить по собственному сертификату, потом произвести обмен этими сертификатами и использовать их для шифрования передаваемых данных? Ведь разница между самоподписанным сертификатом и выпущенным УЦ только в том, что УЦ подтверждает, что данный сертификат с открытым ключом принадлежит именно этому лицу. Но можно ведь выпустить самоподписанный сертификат, передать его (лично) контрагенту и использовать только для шифрования.

Только зачем вам тогда вообще на КриптоПро тратить деньги, можно сделать это и на Windows сертификатах, то что там взломостойкость ниже вам будет не критично абсолютно в такой ситуации. (По большому счету можно и без сертификатов обойтись, если есть возможность обменяться некоторым паролем можно просто файлы защищать паролем известным отправителю и получателю в архиве, если пароль достаточно сложный взломостойкость более чем достаточная даже в обычном WinRar). Совсем другое дело если вы собираетесь закреплять этот обмен на бумаге и желаете иметь юр. значимость.

Ну если вы хотите соблюсти требования закона, то вам необходимо будет использовать сертификаты уполномоченного УЦ, хранить закрытые ключи на специальных носителях и т.п. Если я правильно понимаю, то без этого не обойтись, поскольку выпуская самоподписанные сертификаты вы не можете обеспечить необходимый уровень безопасности при выпуске ключей и т.п. которые обеспечивает аттестованный УЦ и т.д. и не сможете обеспечить юридическую значимость (пусть меня поправят если я не прав), вашего защищенного обмена. На такого рода деятельность (насколько я понимаю выпуск сертификатов уже подпадает под неё) необходима лицензия. Короче необходимы ключи от УЦ по ГОСТ алгоритмам, с соблюдением всех требований ФСБ, и утвержденный регламент обмена данными. Но одного того, что данные передаются в зашифрованном виде будет недостаточно, насколько я понимаю есть целый ряд требований к уровню безопасности на ваших рабочих местах, где эти данные хранятся в открытом виде и т.п.

Итого мой совет обратиться к специалистам в вашем регионе и попросить составить комплект мероприятий необходимый конкретно вашей организации.

Отредактировано пользователем 21 мая 2010 г. 12:59:14(UTC)  | Причина: Не указана

Выпуская сертификат у себя на компьютере вы тем самым уже имеете возможность компрометации закрытого ключа, таким образом не можете обеспечить необходимый уровень безопасности перс. данных. Используя в качестве хранилища закрытого ключа реестр вы так же не обеспечиваете достаточную безопасность закрытого ключа, таким образом НЕ обеспечиваете ПОЛНУЮ безопасность ваших перс. данных, насколько я понимаю.
То есть алгоритм шифрования будет конечно тот же самый и взломостойкость вашего ключа точно такая же как выпущенного в УЦ и записанного на ключевой носитель, но для вашего ключа вы не можете гарантировать безопасность вашего закрытого ключа (в случае шифрования, ключа получателя, но это детали).
Хотя это вопрос скорее к юристам, я больше по технической части, если юристы хорошо знающие данную область подтвердят, что можно использовать самовыпущенные сертификаты и хранить в реестре, то пожалуйста, но формальная уязвимость такой схемы существует.