Добрый день.
Существует две задачи организации удаленного взаимодействия клиента и сервера в рамках организации, соответственно, двух ИСПДн.
Одна ИСПДн, локальная, развернутая на сервере, - далее, ИСПДн-1, - работает по принципу удаленного портала (хранилища ПДн), клиентами которого являются соответственно субъекты ПДн. Соответственно, клиентов (субъектов ПДн) может быть произвольное количество, входить они могут с нефиксированных ПЭВМ.
Вторая ИСПДн, распределенная, - ИСПДн-2, - имеет развернутые на сервере компоненты и АРМ удаленных пользователей (операторов ИСПДн), на которых обрабатываются ПДн субъектов. Количество АРМ и их задачи фиксированы в рамках организации, они территориально удалены от системы, доступ организован через сеть Интернет.
Соответственно, в рамках ИСПДн-2 имеется возможность установить на АРМ операторов любое ПО, в том числе - платное. Компьютеры клиентов ИСПДн-1 необходимо подготовить к защищенному взаимодействию максимально просто и бесплатно, т.к. это может быть абсолютно любой пользователь сети Интернет.
Насколько я понимаю, в случае ИСПДн-1 (да и в случае ИСПДн-2, мне кажется) может быть применен подход, описанный здесь -
http://www.cryptopro.ru/....aspx?g=posts&t=3136 . То есть бесплатное использование криптопровайдера с модулем TLS возможно при условии, что клиент аутентифицирует сервер, а не на наоборот. Однако, здесь -
http://cryptopro.ru/foru....aspx?g=posts&t=3831 - говорится о том, что использование криптопровайдера CSP бесплатно возможно только для проверки ЭЦП. О защите канала (т.е. об односторонней аутентификации и шифровании канала https) нет ни слова. В официальном описании КриптоПро CSP также нет информации о свободном использовании. Не могли бы вы разъяснить этот вопрос?
Также, не могли бы вы дать информацию о том, что должно быть установленно на сервере, к которому будут обращаться клиенты (субъекты ПДн) ИСПДн-1? Согласно ссылке на FAQ, для этого достаточно серверной версии криптопровайдера, но здесь -
http://www.cryptopro.ru/....aspx?g=posts&t=3133 - описывается похожая задача и приводится информация о необходимости приобретения дополнительно одной лицензии для клиента. Не могли бы вы разъяснить эту коллизию?
Также интересуют вопросы ключевого распределения. Я правильно понимаю, что если мы устанавливаем КриптоПро на каждый АРМ клиента ИСПДн-2, мы будем иметь разные ключи для каждого пользователя, а в случае ИСПДн-1 все клиенты портала будут работать на одном ключе, который будут получать у сервера?
Итак, резюме:
- можно ли использовать КриптоПро без ввода серийного номера (скачиваемую с офф. сайта версию) для работы https с ГОСТ-шифрованием с удаленным сервером?
- какие продукты КриптоПро должны быть приобретены для сервера, чтобы организовать бесплатную работу клиентов?
- какие особенности ключевого распределения в случае установки оплаченного клиента и бесплатного использования?
Заранее благодарю за ответ.
