Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline informnet  
#11 Оставлено : 8 февраля 2023 г. 22:43:20(UTC)
informnet

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2023(UTC)
Сообщений: 30

Сказал(а) «Спасибо»: 2 раз
1 Не хочется «уходить в сторону» от главного вопроса по №472, поэтому в части ПЭП дискутировать пока не стану.

2 Допустим разыскиваемое-разыскиваемое «согласование» где-то все же есть (если найдете, то не забудьте дать ссылку) и тогда приказ №472 определяет Обязательный формат ЭП для всех подписей, сделанных в соответствии с 63-ФЗ.
Тогда возникают вопросы:
А) как формировать ЭП в соответствие с №472? Видимо должны быть какие-то рекомендации разработчика СКЗИ, т.к. просто сказать, что нужно выбрать «gost3410 двенадцатого года» - недостаточно.
Б) как проверить, что имеющаяся «на руках» подпись соответствует №472 (читай «соответствует 63-ФЗ»). Какая методика проверки?
Как вариант, брать имеющиеся под рукой подписи, их смотреть в ASN.1 декодере, например, https://redkestrel.co.uk/products/decoder/
и:
а) проверять наличие в файле всех обязательных OID (фраза «должен быть» к этому обязывает)
б) сверять значения, указанные в №472

Какой может быть алгоритм экспресс-проверки?
Хотелось бы увидеть онлайн сервис, который проверял бы файл подписи на соответствие 63-ФЗ (читай формату №472) и выдавал отчет проверки с указанием (расшифровкой) конкретных несоответствий.
Пробовали проверить свои подписи на соответствие 63-ФЗ (формату №472)? Речь не про проверку «математика + сертификат», а именно на соответствие утвержденному Государственному формату. Наличие в файлике значений gost2012…256/512 (gostR3410/11) недостаточно, т.к. описание формата большое и нужно удовлетворить все его требования.

3 Еще есть: Р 1323565.1.025-2019
Информационная технология. Криптографическая защита информации. Форматы сообщений, защищенных криптографическими методами
https://www.tc26.ru/stan...ficheskimi-metodami.html
Как он соотносится с приказом №472?
Если ни из 63-ФЗ, ни из №472 нет ссылок на Рекомендации по стандартизации в части ЭП (не только на указанный Р 1323565.1.025-2019), то вроде как: лебедь (правительство\министерства\службы определяющие документооборот с ЭП в своей отрасли) - рак (МинЦифры) и щука (Фед. агентство по тех. регулированию и метрологии, т.е. ГОССТАНДАРТ).
Например, ФССП сама себе определила формат ЭП: "Об определении вида электронной подписи ..."
https://www.garant.ru/pr...ipo/prime/doc/400220620/
тем самым проигнорировав требование 63-ФЗ, что формат определяет МинЦифра (с обсуждаемым выше отлагательным условием).
Причем "не испугались" явно упомянуть PKCS#7, хотя в №472 о нем упоминаний нет (только ссылки на PKCS#6).

4 Пара вспомогательных документов по №472:
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ (ПРОЕКТ) ИСПОЛЬЗОВАНИЕ АЛГОРИТМОВ ГОСТ 28147-89, ГОСТ Р 34.11 И ГОСТ Р 34.10 В КРИПТОГРАФИЧЕСКИХ СООБЩЕНИЯХ ФОРМАТА CMS
https://www.cryptopro.ru...popov-cms-gost-00-re.pdf
RFC 5652 Cryptographic Message Syntax (CMS)
https://www.protokols.ru...oads/2009/09/rfc5652.pdf

и пара книжек классиков по ASN.1:
Юрий Строжевский http://rsdn.org/article/ASN/ASN.xml
Юрий Семенов http://book.itep.ru/4/44/asn44132.htm

Отредактировано пользователем 8 февраля 2023 г. 22:48:49(UTC)  | Причина: Не указана

Offline basid  
#12 Оставлено : 9 февраля 2023 г. 10:00:44(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
В приказе:
Цитата:
В соответствии с положениями пункта 5 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"
В законе:
Цитата:
Статья 8. Полномочия федеральных органов исполнительной власти в сфере использования электронной подписи
1. Уполномоченный федеральный орган определяется Правительством Российской Федерации.
2. Уполномоченный федеральный орган:
...
4. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, устанавливает:
...
5) формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
Вот этот обязательный формат уполномоченный орган и установил.
Но! "Обязательный для реализации формат" и "формат, обязательный для использования" - это два разных формата.
Даже если мы скромно забудем про необязательные для реализации форматы.
Offline informnet  
#13 Оставлено : 9 февраля 2023 г. 18:22:58(UTC)
informnet

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2023(UTC)
Сообщений: 30

Сказал(а) «Спасибо»: 2 раз
Цитата:
5) формат электронной подписи, обязательный для реализации всеми средствами электронной подписи, по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.

я читаю так:
МинЦифра (этот самый уполномоченный орган "в сфере информационных технологий") приказом №472 устанавливает формат электронной подписи, обязательный-обязательный для реализации всеми-всеми средствами электронной подписи (т.е. кнопочками "подписать", что в криптоАрм, что в контуреДиадок, что в другом интерфейсе) по согласованию с ФСБ.

Цитата:
Но! "Обязательный для реализации формат" и "формат, обязательный для использования" - это два разных формата.

Это откуда? Мы говорим про подпись, сделанную в соответствии с 63-ФЗ.
Offline basid  
#14 Оставлено : 10 февраля 2023 г. 13:22:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
Не надо быть настолько упёртым в свои собственные мысли и представления.
В том виде, как вы их озвучиваете - они внутренне противоречивы.
Offline informnet  
#15 Оставлено : 12 февраля 2023 г. 22:49:10(UTC)
informnet

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2023(UTC)
Сообщений: 30

Сказал(а) «Спасибо»: 2 раз
1
Цитата:
1. Все согласования там есть, в т.ч. и с ФСБ.

Повторно спрашиваю - где посмотреть?
На Минцифры по ID проекта: 01/02/10-17/00074234: https://regulation.gov.ru/projects#npa=74234
есть карточка проекта, но ссылки там кривые (просмотр урезанный).
Может кто-то участвовал в этом нелегком и небыстром согласовании и может рассказать детали.
Окончание независимой антикоррупционной экспертизы: аж октябрь 2017, и в проекте приказа подписантом значился еще Н.А. Никифоров.
Нашел замечания «Сигнал-КОМ»: https://www.e-notary.ru/news_14/
а КриптоПро и кто-либо еще давали замечания? Как могли такое «проспать»?

2 Если формат №472 – общегосударственный, то главное, что должно быть написано в описании к любому СКЗИ для ЭП – это большими буквами «поддержка формата №472» (читай поддержка 63-ФЗ). Тут же возникают вопросы к их сертификации, выполненной после 14.09.20.

Посмотрим на пару вещей, которые лежат на поверхности. Пункт №6 приказа №472 весь видимо с ошибками. На примере Content-type:
а) В №472: п. 6.1:
Цитата:
Тип содержимого (Content-type). Должен быть добавлен в атрибут id-contentType с объектным идентификатором вида "1.2.840.113549.1.3";

б) В RFC 5652 (п. 11.1):
Цитата:
Атрибут content-type должен быть подписанным (signed) или аутентифицированным (authenticated) атрибутом, для него недопустимо быть неподписанным (unsigned), неаутентифицированным (unauthenticated) или незащищённым (unprotected) атрибутом.
Ниже приведён идентификатор объекта для атрибута content-type.
id-contentType OBJECT IDENTIFIER ::= { iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs9(9) 3 }
Значения атрибута content-type имеют тип ASN.1 ContentType
ContentType ::= OBJECT IDENTIFIER

в) В файле sig «из-под пера» КриптоПро: OBJECT IDENTIFIER 1.2.840.113549.1.9.3 contentType (PKCS #9)
г) "1.2.840.113549.1.3" – это pkcs#3
https://oidref.com/1.2.840.113549.1.3
а нужен: https://oidref.com/1.2.840.113549.1.9.3

Второе. Хотя бы повторяющиеся замечания «Сигнал-КОМ» не игнорировали бы: «либо сослаться на RFC 5652», либо буквами прямо в №472 все детали изложить, желательно прямо с примерами. А то в 472 на 10 листах захотели «переплюнуть» RFC 5652, да еще в придачу с эллиптическими кривыми (gost). Понятно, что раз это не смогли, то и не стоило и начинать делать "по хорошему": в те времена "по хорошему" вместо RFC 5652 нужно было вводить формат CADES хотя бы (т.е. не "свежий") ETSI TS 101 733 V2.2.1 (2013-04):
https://www.etsi.org/del...60/ts_101733v020201p.pdf

Offline svyazist  
#16 Оставлено : 19 февраля 2023 г. 12:40:02(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 212
Мужчина

Сказал «Спасибо»: 32 раз
Поблагодарили: 59 раз в 36 постах
С таким длинным заголовком "Массовая незаконная электронная подпись или мина замедленного действия: Формат МинЦифры №472" и запутанным содержанием появилась статья на Хабре.

Автор задаётся непростым вопросом, как теория в лице приказа Минцифры России от 14.09.2020 № 472 "Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи" соотносится с практикой.

Насчет согласования приказа между регуляторами: МинЦифры должна его (приказ и формат ЭП) была согласовать с ФСБ (федеральный орган исполнительной власти в области обеспечения безопасности) .
Вопрос 3. Существует ли опубликованное или секретное согласование со стороны ФСБ формата, разработанного МинЦифрой (№472)?

Приказы ведомств согласуются с использованием соответствующего листа согласования. Нет никаких сомнений, что 472 приказ Минцифры был согласован со стороны ФСБ России. По-другому и быть не могло с документом, в котором идут ссылки на ПКЗ-2005 и 795 приказ. Для информации, например, в приказе ФСБ России от 20.04.2021 № 154 "Об утверждении Правил подтверждения владения ключом электронной подписи" 5 раз даётся ссылка на 472 приказ Минцифры России.

Смотрим 1 пункт Формата: В составе ЭП должна размещаться информация об исходном электронном сообщении, алгоритмах хэширования и ЭП, параметрах криптографических алгоритмов, времени создания ЭП, сертификат ключа проверки ЭП, иерархически обусловленная последовательность сертификатов, каждый последующий сертификат которой подписан ЭП, основанной на предшествующем сертификате, и иные сведения.

Что напоминает? Правильно, CMS, описывающий шесть типов данных:
- просто данные (data),
- данные с электронной подписью (signed data),
- упакованные данные (enveloped data),
- хешированные данные (digested data),
- зашифрованные данные (encrypted data),
- данные с проверкой подлинности (authenticated data).

Пункт 5:
SignedData ::= SEQUENCE {
version CMSVersion,
digestAlgorithms DigestAlgorithmldentifiers,
encapContentlnfo EncapsulatedContentlnfo,
certificates [0] IMPLICIT CertificateSet OPTIONAL,
crls [1] IMPLICIT RevocationlnfoChoices OPTIONAL,
signerlnfos Signerlnfos }

Один в один RFC 5652 Cryptographic Message Syntax (CMS),
Даже номер пункта, описывающий тип содержимого подписанных данных, практически одинаковый - 5.1
SignedData ::= SEQUENCE {
version CMSVersion,
digestAlgorithms DigestAlgorithmIdentifiers,
encapContentInfo EncapsulatedContentInfo,
certificates [0] IMPLICIT CertificateSet OPTIONAL,
crls [1] IMPLICIT RevocationInfoChoices OPTIONAL,
signerInfos SignerInfos }

Регулятор не мог издать приказ в котором бы написал - утвердить в качестве Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи, RFC 5652 Cryptographic Message Syntax (CMS). Это как многие наши ГОСТ по факту являются переводами международных стандартов ИСО и МЭК, так и 472 приказ - перевод RFC 5652.

Телеграм-канал "Об ЭП и УЦ" https://t.me/ep_uc/1577
Offline informnet  
#17 Оставлено : 19 февраля 2023 г. 16:48:54(UTC)
informnet

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2023(UTC)
Сообщений: 30

Сказал(а) «Спасибо»: 2 раз
1
Цитата:
Для информации, например, в приказе ФСБ России от 20.04.2021 № 154 "Об утверждении Правил подтверждения владения ключом электронной подписи" 5 раз даётся ссылка на 472 приказ Минцифры России.

https://base.garant.ru/400835999/
Как раз и ставится проблема, что каждый читатель приказа №472 не должен ломать голову "а действительно ли было согласование" и искать косвенные доказательства, включая ссылки из приказов ФСБ на приказ №472.
В 63-ФЗ явно сказано «должно быть согласование», а это значит из законов общей логики, что согласование должно быть опубликовано.
Аналог: обязательно используйте «наш алгоритм», который мы никому не показываем. Именно эта абсурдность и подчеркивается: «Я тоже уверен, что согласование есть, но раз в 63-ФЗ указали явно …», см. коммент:
https://habr.com/ru/post...mments/#comment_25245644

2
Цитата:
Регулятор не мог издать приказ в котором бы написал - утвердить в качестве Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи, RFC 5652 Cryptographic Message Syntax (CMS). Это как многие наши ГОСТ по факту являются переводами международных стандартов ИСО и МЭК, так и 472 приказ - перевод RFC 5652.

«472 приказ - перевод RFC 5652» ??
Передо мной оба документа, но назвать один из них переводом …
Достаточно посмотреть на объем документов.
Можно сравнить хотя бы описание поля SignerInfo \ sid
А) приказ №472 5.6.1. Поле sid (тип SignerIdentifier)
Цитата:
В структуре ЭП должен использоваться вариант определения сертификата путем задания значения issuerAndSerialNumber.

Б) RFC 5652 стр. 7, п. 5.3
В) Р 1323565.1.025-2019 стр., 6, п. 7.3
Последний по фрагменту «sid» с большой натяжкой еще можно назвать переводом второго. №472 скорее противоречит последнему и предпоследнему, т.к. определяет только один вариант.
По Вашему одного ТОЛЬКО текста приказа №472 достаточно, чтобы сформировать поле SignerInfo \ sid?
«472 приказ - перевод RFC 5652» ?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.