Неявная компрометация - это не только статистическая наработка на ключ, но это и накопленная вероятность компрометации ключа при его хранении и использования вследствии человеческого фактора.
Но РД ФСТЭК никак не относятся к защите ключа. Ключ -это СКЗИ в соответствии с ПКЗ-2005. А согласно Положения о ФСТЭК в компетенции данного ведомства относится защита информации некриптографическими методами. Поэтому систему защиты от НСД ключей определяет исключительно ФСБ в соответствии со своим законом.

И еще:
Я так понимаю, для отсутствия проблем архивного использования ЭД, подписанных УЭЦП, необходимо делать сроки действия сертификатов операторов OCSP/TSP (для успешной проверки ответов OCSP и штампов времени TSP в УЭЦП) и сертификатов ЦС (для успешного построения цепочки доверия) максимально большими?

Отредактировано пользователем 21 ноября 2011 г. 18:45:02(UTC)  | Причина: Не указана

Второе число - выведено эмпирическим путём. 36 месяцев минус 15 месяцев получается 21 месяц. Где 36 месяцев - предел срока жизни ЗК, 15 месяцев - срок действия ЗК для подписи издаваемых сертификатов и СОС.

На Центре Сертификации ПАК "КриптоПро УЦ" после смены ключа и сертификата Центра Сертификации (службы сертификатов на ЦС) технически реализовано, что старый ключ будет использоваться ТОЛЬКО для подписи СОС.

Об этом написано в документации на "КриптоПро УЦ"...

Конечно хочется сделать всё как можно дольше по времени, но надо не забывать и вот про такие случаи (http://blogs.norman.com/2011/malware-detection-team/invisible-ynk-a-code-signing-conundrum) когда компрометация ключей и в конечном счёте в переложении на исходный пример ключа таймстемпа, может поставить под сомнение действительность огромного количества подписей у которых сертификат автора закончил своё действие.

Простите за тупой вопрос, при сетапе MSCS задается только срок действия открытого ключа. А закрытого?