Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287   Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Меня тут невзначай шеф озадачил таким вопросом - а почему бы нам не построить УЦ по такому принципу: выдавать клиенту технологический ключ с помощью которого он (клиент) будет генерировать себе на своем АРМе рабочий ключ и высылать нам зашифрованный и подписанный этим технологическим ключом запрос на сертификат.
Сел погуглить... вариантов кроме как использование технологических ключей в корпоративных ИС (типа банковских) не нашел (отсюда и идея, собственно). Поэтому возникло несколько вопросов:
1) Насколько такая схема работы "совместима" с российским законодательством?
2) Есть ли реальные плюсы (а заодно и минусы) использования такой схемы? Имеет ли она право "на жизнь" в деятельности коммерческого УЦ?
3) Позволяет ли ПАК КриптоПро УЦ 1.5 использовать такой режим?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,504 Сказал «Спасибо»: 554 раз
Поблагодарили: 2249 раз в 1755 постах
|
Laroux написал:Меня тут невзначай шеф озадачил таким вопросом - а почему бы нам не построить УЦ по такому принципу: выдавать клиенту технологический ключ с помощью которого он (клиент) будет генерировать себе на своем АРМе рабочий ключ и высылать нам зашифрованный и подписанный этим технологическим ключом запрос на сертификат.
Сел погуглить... вариантов кроме как использование технологических ключей в корпоративных ИС (типа банковских) не нашел (отсюда и идея, собственно). Поэтому возникло несколько вопросов:
1) Насколько такая схема работы "совместима" с российским законодательством?
2) Есть ли реальные плюсы (а заодно и минусы) использования такой схемы? Имеет ли она право "на жизнь" в деятельности коммерческого УЦ?
3) Позволяет ли ПАК КриптоПро УЦ 1.5 использовать такой режим? Достаточно на рабочем месте иметь открытый ключ получателя (сертификат). и зашифровать информацию (запрос и т.д.) используя сертификат получателя (администратора УЦ) ... или предлагаешь: передать ключевую пару ( закрытый ключ! ) для тех ключа на АРМ... потом - там его установить... сделать запрос... подписать запрос, зашифровать запрос... отправить в УЦ... так? сложности для конечного пользователя... Отредактировано пользователем 24 января 2012 г. 20:40:59(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:выдавать клиенту технологический ключ с помощью которого он (клиент) будет генерировать себе на своем АРМе рабочий ключ ключ будет общий для всех клиентов? каким образом он будет участвовать в создании рабочего ключа? Цитата:3) Позволяет ли ПАК КриптоПро УЦ 1.5 использовать такой режим? если ключи будут разные, то есть такое понятие как "временный сертификат", который не влияет на количество использованных лицензий, отсюда плюс по п.2. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Андрей * написал:сложности для конечного пользователя... если эти сложности во благо чему-то (чему только?), то может и стоит. Вот я и хочу понять Kirill Sobolev написал:есть такое понятие как "временный сертификат" Кирилл, а подскажите, пожалуйста, в каком ЖТЯИ про него почитать? Отредактировано пользователем 24 января 2012 г. 20:51:46(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
ЖТЯИ.00067 01 90 01 КриптоПро УЦ Общее описание поищите по фразе "Временный доступ к Центру Регистрации" она на протяжении почти всего документа встречается. В том же документе п. 5.1.1. Лицензия Центра Сертификации сказано: "При необходимости зарегистрировать нового пользователя и изготовить для него сертификат открытого ключа для проведения тестов (зарегистрировать тестового пользователя), в данный сертификат в расширение «Улучшенный ключ» (Extended Key Usage) потребуется занести область использования «Временный доступ к Центру Регистрации» (OID 1.2.643.2.2.34.2) в дополнение к необходимым для выполнения тестовых задач областям. Счетчик зарегистрированных пользователей в данном случае не увеличится." PS: Ими, например, пользователь может подписывать запрос на сертификат, если пришлет еще и зашифрованным им, то придется пересылать еще и закрытый ключ, что крайне плохо. ЦР вкладка "Web-интерфейс" параметр CertReqAutoAccept - Автоматическое принятие запросов на сертификат, поступающих от веб-приложения, реализующего АРМ зарегистрированного пользователя с маркерным доступом. Возможные значения: 0 – отключено, 1 – включено. Значение по умолчанию: 0, что бы сертификаты от пользователей с маркером временного доступа принимались автоматически (если понадобится). Также придется сделать доп. настройки что бы пользователи с маркером временного доступа могли запрашивать сертификат только с временным доступом, в политиках ЦР добавляете роль "Прошедший проверку" и разрешаете запрашивать для него сертификат только по шаблону "Временный доступ", и будете после этого получать, как минимум, запросы на сертификат подписанные сертификатами выданными Вашим УЦ. Отредактировано пользователем 25 января 2012 г. 13:03:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Laroux написал:Меня тут невзначай шеф озадачил таким вопросом - а почему бы нам не построить УЦ по такому принципу: выдавать клиенту технологический ключ с помощью которого он (клиент) будет генерировать себе на своем АРМе рабочий ключ и высылать нам зашифрованный и подписанный этим технологическим ключом запрос на сертификат.
Сел погуглить... вариантов кроме как использование технологических ключей в корпоративных ИС (типа банковских) не нашел (отсюда и идея, собственно). Поэтому возникло несколько вопросов:
1) Насколько такая схема работы "совместима" с российским законодательством? Данная схема законная и довольно часто используется. Только непонятно, зачем Вам запрос на сертификат шифровать? В запросе на сертификат содержится только та информация, которая попадёт в сертификат ключа подписи. А значит открытая информация. А значит не требуется обеспечивать её конфиденциальность путём шифрования. Laroux написал:2) Есть ли реальные плюсы (а заодно и минусы) использования такой схемы? Имеет ли она право "на жизнь" в деятельности коммерческого УЦ? Плюсы реальные и минусов не вижу. Эта схема очень часто используется в банковских системах типа ДБО. Я могу перечислить как минимум свыше 10 банков (из них пяток в ТОП-40), где так реализовано (с технологическими ключами и подписью с их помощью) запросов на сертификат. Это только которые нам известны т.к. мы участвовали в работах по внедрению. Но не буду перечислять наименования банков на страницах публичного форума :-) Laroux написал:3) Позволяет ли ПАК КриптоПро УЦ 1.5 использовать такой режим? Да, позволяет. "КриптоПро УЦ" - это конструктор, который позволяет реализовать практически любую схему работы, которая только придёт в голову :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Юрий Маслов написал:Плюсы реальные и минусов не вижу так а какие все-таки?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.05.2011(UTC)
Сообщений: 102
Сказал(а) «Спасибо»: 17 раз
Поблагодарили: 56 раз в 18 постах
|
А как Вы планируете передавать клиенту эти технологические ключи? Не проще ли тогда этим способом сразу передать "рабочие"?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
DVAckom написал:А как Вы планируете передавать клиенту эти технологические ключи? Не проще ли тогда этим способом сразу передать "рабочие"?  я про то же
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
DVAckom написал:А как Вы планируете передавать клиенту эти технологические ключи? Не проще ли тогда этим способом сразу передать "рабочие"? Иногда бывает не проще. Берём, например, банк. Что для него главное? Что бы клиент мог быстро и удобно подключиться к услуге! Желательно сделать за один приход в допофис. Что бы он и договор подписал и ключи получил. И всё это минут за 10-15. С рабочими ключами это тяжёло. Это значит допофис должен быть вписан в лицензии ФСБ России. В нём должен сидеть оператор УЦ, который умеет изготавливать ключи и выдавать сертификат. Плюс это занимает время достаточно существенное т.к. клиент не один, а оператор УЦ один. Для решения этой проблемы в головном офисе банка изготавливают 100 (например) комплектов технологических ключей и неперсонифицированных (в имени владельца стоит некий псевдоним/уникальный идентификатор) сертификатов. В этом же комплекте и дистрибутив СКЗИ и акты и проект договора с клиентом (без его реквизитов). Каждый комплект в своей упаковке, позволяющей контролировать несанкционированное вскрытие. Эти 100 комплектов передаются в допофис. Клиент приходит в допофис. Даёт свой паспорт. Сотрудник допофиса вскрывает комплект в присутствии клиента, заполняет в договоре и акты реквизиты клиента. Клиент подписывает бумаги. Теперь он стал владельцем технологического сертификата под псевдонимом. Клиент уходит к себе и производит смену ключей и сертификата на рабочие и сертификат уже будет пенсонифицированным, с его наименованием. Удобно! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
