Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сроки действия закрытых ключей и СКП
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.12.2011(UTC)
Сообщений: 1
Откуда: Москва
|
Прочитав тему, не нашел для себя ответ на наверное простой вопрос.
Допустим:
Срок действия закрытого ключа составляет 1 год. Этот срок прописан в сертификате открытого ключа. Некое ПО, посмотрев в сертификат, не позволит мне использовать закрытый ключ поистечение срока действия. Так?
Срок действия открытого ключа составляет 30 лет. Откуда он берется и как контролируется (кроме требований прописанных в паспорте к СКЗИ)? Что мне должно помешать проверить подпись допустим через 35 лет.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
sergey73 написал:Прочитав тему, не нашел для себя ответ на наверное простой вопрос.
Допустим:
Срок действия закрытого ключа составляет 1 год. Этот срок прописан в сертификате открытого ключа. Некое ПО, посмотрев в сертификат, не позволит мне использовать закрытый ключ поистечение срока действия. Так? Не так. Нужно вводить много допущений. Если срок действия закрытого ключа прописан в сертификате открытого ключа и если ПО умеет "непозволять" использовать закрытый ключ, если в сертификате открытого ключа прописан срок действия закрытого ключа , то это ПО не позволит Вам использовать закрытый ключ по истечение срока его действия. Например, "КриптоПро CSP" не умеет ограничивать использование закрытого ключа по истечение срока его действия, если в сертификате открытого ключа прописан срок действия закрытого ключа. А, например, "КриптоПро Рутокен CSP" умеет ограничивать использование закрытого ключа по истечение срока его действия, если в сертификате открытого ключа прописан срок действия закрытого ключа и этот сертификат содержится в ключевом контейнере. sergey73 написал:Срок действия открытого ключа составляет 30 лет. Откуда он берется и как контролируется (кроме требований прописанных в паспорте к СКЗИ)? Что мне должно помешать проверить подпись допустим через 35 лет. С 2009 года максимальный срок действия открытого ключа - 15 лет. Он установлен ФСБ и прописан в документации на сертифицированное СКЗИ. Технически Вам ничего не помешает проверить подпись после истечения срока действия открытого ключа. Но проверка уже будет осуществлена несертифицированным СКЗИ т.к. нарушено условие его эксплуатации. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.02.2008(UTC)
Сообщений: 45
Откуда: Санкт-Петербург
|
В начале дискуссии упоминался ФКН на на базе Магистры. По состоянию на сегодняшний день нет сведений о сертификации криптомодулей ни Магистры на eToken ни ruToken, есть только предварительные версии. Это все к тому же вопросу о желании как можно реже менять корневой сертификат.
Планируется ли сертификация криптомодулей для работы с этими носителями?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
SergSPb написал:В начале дискуссии упоминался ФКН на на базе Магистры. По состоянию на сегодняшний день нет сведений о сертификации криптомодулей ни Магистры на eToken ни ruToken, есть только предварительные версии. Это все к тому же вопросу о желании как можно реже менять корневой сертификат.
Планируется ли сертификация криптомодулей для работы с этими носителями? ФКН трудно будет использовать на Центре Сертификации УЦ для хранения и использования закрытого ключа корневого сертификата. Как правило, ЦС стоит в серверном помещении. Для ФКН требуется ввод пароля. Получается уполномоченное лицо будет стоять круглосуточно около сервера ЦС и вводить пин-код. Думаю, что это не реально. Для решения задачи "реже менять корневой сертификат" и обеспечения невозможности компрометации закрытого ключа корневого сертификата при смене уполномоченных лиц, как правило, применяют ПАКМ "Атликс HSM" http://cryptopro.ru/products/hsm/atlix-hsm Раз в 5 лет будете менять! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.02.2008(UTC)
Сообщений: 45
Откуда: Санкт-Петербург
|
Тогда еще вопрос по Атликс HSM - текущий сертификат на него действует чуть больше года, будет ли проводиться его регулярная сертификация в дальнейшем? Отредактировано пользователем 3 февраля 2012 г. 15:25:15(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
SergSPb написал:Тогда еще вопрос по Атликс HSM - текущий сертификат на него действует чуть больше года, будет ли проводиться его регулярная сертификация в дальнейшем? ПАКМ "Атликс HSM" на продлить не удастся т.к. в этой аппаратно-программной конфигурации через год его делать уже не представляется возможным. Сейчас у нас создан и находится в процессе сертификации ПАКМ "КриптоПро HSM", который сделан на современной аппаратно-программной платформе. Он идёт на замену ПАКМ "Атликс HSM". |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Прошу прощения, на основании вышесказанного можно сделать 2 вывода, подскажите, какой из них правильный: 1. Срок действия ЗК корневого (изолированного) УЦ - 3 года, в течении которых он может подписывать и сертификаты, и СОС. Срок действия ЗК подчиненного (не изолированного) УЦ - 3 года, из которых: 1 год 3 месяца на работу, оставшееся только на подпись СОС. 2. Срок действия ЗК корневого (изолированного) УЦ - 3 года, из которых: 1 год 3 месяца на работу, оставшееся только на подпись СОС. Срок действия ЗК подчиненного (не изолированного) УЦ - так же (3 года, из которых:1 год 3 месяца на выпуск, оставшееся только на подпись СОС) Тогда вопрос: зачем в документации (Руководство по эксплуатации ЦС) отдельно написано про срок действия ЗК автономных УЦ? Отредактировано пользователем 9 июня 2012 г. 15:34:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Нашелся ответ, может кому будет полезно. Получены разъяснения от Юрия Маслова, что срок действия ключа (зк) изолированного УЦ 3 года, в течении которых можно подписывать и сертификаты и СОС. Также необходимо учитывать: IvanZzz написал:Изоляция УЦ не сильно продлевает срок действия закрытого ключа УЛУЦ, т.к. во время действия з.к. УЛУЦ вам все равно нужно будет рассчитать дату, когда вы прекратите выпускать сертификаты пользователей и перейдете только на выпуск СОС. Т.к. СОС должен выпускаться пока закрытые ключи от сертификатов выданных на вашем УЦ еще действуют. Звучит труднопонимаемо попробую привести Примеры:
По умолчанию срок действия закрытых ключей пользователей УЦ 1 год. Значит, максимум закрытый ключ УЛ изолированного от сети УЦ на выпуск сертификатов может действовать 2 года и соответственно 1 год остается на выпуск СОС.
Если установить сроки действия ключей пользователей максимальными для СКЗИ 1 год и 3 месяца, тогда закрытый ключ УЛ изолированного от сети УЦ будет действовать 1 год 9 месяцев на выпуск сертификатов и 1 год и 3 месяца на выпуск СОС.
Изложенные идеи будут понятны, если вы осознаете отличия сроков сертификат и закрытого ключа этого сертификата. Обсуждалось в данной ветке: http://www.cryptopro.ru/....aspx?g=posts&t=2707
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Eserten написал:Прошу прощения, на основании вышесказанного можно сделать 2 вывода, подскажите, какой из них правильный:
1. Срок действия ЗК корневого (изолированного) УЦ - 3 года, в течении которых он может подписывать и сертификаты, и СОС.
Срок действия ЗК подчиненного (не изолированного) УЦ - 3 года, из которых: 1 год 3 месяца на работу, оставшееся только на подпись СОС.
2. Срок действия ЗК корневого (изолированного) УЦ - 3 года, из которых: 1 год 3 месяца на работу, оставшееся только на подпись СОС.
Срок действия ЗК подчиненного (не изолированного) УЦ - так же (3 года, из которых:1 год 3 месяца на выпуск, оставшееся только на подпись СОС)
Тогда вопрос: зачем в документации (Руководство по эксплуатации ЦС) отдельно написано про срок действия ЗК автономных УЦ? Правильно вот это: 1. Срок действия ЗК корневого (изолированного) УЦ - 3 года, в течении которых он может подписывать и сертификаты, и СОС. Срок действия ЗК подчиненного (не изолированного) УЦ - 3 года, из которых: 1 год 3 месяца на работу, оставшееся только на подпись СОС. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Интересная ситуация получается с ограничением срока действия ключа электронной подписи (ибн закрытого ключа). 63-ФЗ в отношении квалифицированной подписи требует контролировать ТОЛЬКО срок действия сертификата (ст. 11). То есть федеральное законодательство не запрещает использовать просроченные ключи для подписания. Не запрещает - значит разрешает. На каком основании может быть отказано в признании юридической силы ЭД, подписанного квалифицированной ЭП с использованием просроченного ключа ЭП? |
С уважением,
Сергей |
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сроки действия закрытых ключей и СКП
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
