Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline _alexander  
#1 Оставлено : 6 сентября 2012 г. 17:21:21(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Подскажите, ПАК «КриптоПро OCSP» из состава ПАК «Службы УЦ», сертификат соответствия на который появится в ближайшее время, допускается подключать к сетям общего пользования?
В формуляре сказано: "Подключение ПАК «Службы УЦ» к сетям общего пользования для обеспечения транспортного канала должно осуществляться с использованием устройств, обеспечивающих уровень криптографической защиты не ниже KB2, либо посредством реализации дополнительных технических и организационных мер, адекватных конкретизированной модели нарушителя, разработанной на основе типовой модели нарушителя ФСБ России к удостоверяющим центрам;"
OCSP работает по протоколу http без шифрования передаваемой информации.
Получается OCSP можно использовать только в корпоративной сети, не имеющей выхода в интернет?
Offline stamp-online  
#2 Оставлено : 6 сентября 2012 г. 17:51:32(UTC)
stamp-online

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.05.2011(UTC)
Сообщений: 58
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 7 раз в 6 постах
На мой взгляд тут только несколько вариантов:
1) Использовать сервер только в корпоративной сети
2) Обеспечить канал уровня КВ2
3) Разработать модель нарушителя в которой указать, что нарушитель не может быть выше какого-либо уровня (например, КС2)

Самый простой - 1 вариант
Offline _alexander  
#3 Оставлено : 6 сентября 2012 г. 18:48:45(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
1) А возможен ли такой вариант: размещаем в корпоративной сети сервер, опубликованный в интернет (например, через NAT), который пересылает все запросы на OCSP-сервер, подключенный к корпоративной сети через сертифицированный МЭ ?
2) То есть каждого клиента OCSP обеспечить устройством уровня КВ2. Слишком дороговато и неудобно будет...
3) При использовании http без шифрования, полагаю, нельзя указывать какой-либо уровень криптографической защиты.
Offline avm  
#4 Оставлено : 11 сентября 2012 г. 18:52:09(UTC)
avm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
Я, как говорится, только учусь, но вариант видится только один - "внешний" (в ДМЗ) OCSP-сервер, работающий по СОС. Ну и к нему, если средства позволяют - однонаправленный шлюз, иначе - ручками/ножками переносим СОС...
Модель нарушителя - решение неплохое, как мне думается - только при условии получения положительного согласования ФСБ, иначе есть ненулевая вероятность несовпадения мнения проверяющих с вашим мнением, закреплённым в МН, со всеми вытекающими рисками...
Offline Юрий Маслов  
#5 Оставлено : 17 сентября 2012 г. 13:12:08(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Для доступа к OCSP-серверу использовать https несколько бессмыслено. Ибо для https клиенту необходимо установить статус сертификата OCSP-сервера. А я и ибу к OCSP-серверу, что бы установить статус сертификата :-) К тому же между OCSP-сервером и клиентом не передаётся никакая конфиденциальная информация. Только открытая! Зачем тогда http с шифрованием?!

Самое простое: Разработать модель нарушителя в которой указать, что нарушитель не может быть выше какого-либо уровня (например, КС2). Её не нужно согласовывать с ФСБ. Если будет несовпадение мнения проверяющих с Вашим мнением, то это повод для дискуссии, а не для оргвыводов и наказания.
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.