Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий  
#11 Оставлено : 13 февраля 2014 г. 18:11:51(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Sergey M. Murugov Перейти к цитате
Чисто теоретически:
OCSP хоть и привлекателен для некоторых нужд, но имеет и ряд неприятных технических моментов, а также про него нет ни строчки ни в 63-ФЗ ни в подзаконных НПА, Более того везде в них говорится про Реестр УЦ (т.е. формально про списки CRL (как реестр анулированных сертификатов) или deltaCRL (кстати использование дельт по времени приближает реакцию ИС к изменению статуса сертификата к работе через OCSP). Поэтому использование OCSP на сейчас будет законным только в рамках Регламента т.е. соглашения сторон, в котором к слову можно и расписать всю технику применения грэйс-периода. Кстати это касается и штампов времени, поскольку законодательно сия сущность ни как не определена, к ней нет ни каких требований и определений и т.д.

На самом деле в настоящий момент я пишу статью по CAdES и технологиям, связанным с этим видом подписей. Статья также будет затрагивать другие возможности обеспечения долговременного хранения подписей и вопросы предоставления вторичных сервисов. Буду рад по окончанию написания получить критические отзывы :)
С уважением,
Юрий Строжевский
Offline MCR  
#12 Оставлено : 13 февраля 2014 г. 18:13:02(UTC)
MCR

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177

Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
Автор: Юрий Перейти к цитате
Автор: MCR Перейти к цитате
Автор: Юрий Перейти к цитате

Российских нормативов по CAdES сейчас не существует. На самом деле в настоящее время реализация от "Крипто-Про" не поддерживает создание подписей CAdES с использованием CRL, только с использованием OCSP. Я написал свою собственную реализацию CAdES - там и "обкатал" эту возможность.


Юрий, расскажите, пожалуйста, подробнее о вашей реализации CAdES с использованием CRL. Если правильно вас понимаю, то сервер цс должен уметь штамповать CRL-ки каждую секунду. Теоритически, если использовать ЦС от МС с 10000000 сертификатов, и внушительным списком отзыва, то создание такого вида подписи может быть достаточно продолжительным процессом во времени. Не говоря про то, что не все аккредитованные УЦ раз в день CRL выпускают.
Вызывают интерес и нагрузочные испытания тестирования разработанного функционала.

Нет, CRL как-раз используются совершенно стандартные, с периодом действия в день (тестировалось также на CRL с периодом действия в 2 часа).
Я еще раз повторю, что для корректного "доказательства подлинности" достаточно в подписи иметь два CRL, где время выпуска первого CRL меньше (или равно) времени создания подписи, а время выпуска второго CRL - больше времени создания подписи. Плюс лучше будет если эти CRL будут идущими по-подряд. В этом случае гарантированно (почти) будет доказано, что в момент создания подписи сертификат не был отозван.

Нагрузочные испытания моей системы в настоящий момент проводятся на "боевых" серверах заказчика (система была сделана под заказ).

Юрий, иными словами, заказчик ждет 1 день или два часа до выпуска нового CRL, чтобы сформировать 1 подпись?

Offline MCR  
#13 Оставлено : 13 февраля 2014 г. 18:16:55(UTC)
MCR

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177

Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
Автор: Андрей * Перейти к цитате
Автор: Sergey M. Murugov Перейти к цитате
Автор: Андрей * Перейти к цитате


Кстати, Реестр УЦ, это не CRL, как многие понимают


Андрей: А вот это тогда что такое как не CRL?
63-ФЗ Статья 13
1. Удостоверяющий центр:
5) ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов)

Кстати из приведённого вами Приказа ВСЕ позиции из:
Раздел «квалифицированные сертификаты ключей проверки электронной
подписи, выданные юридическим лицам, прекратившие свое действие» должен содержать
следующие обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) наименование, место нахождения и основной государственный регистрационный
номер владельца квалифицированного сертификата;
4) дата прекращения действия квалифицированного сертификата;
5) основание прекращения действия квалифицированного сертификата.
11. Раздел «аннулированные квалифицированные сертификаты ключей проверки
электронной подписи, выданные физическим лицам» должен содержать следующие
обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) фамилия, имя и отчество (если имеется) владельца квалифицированного
сертификата;
4) дата аннулирования квалифицированного сертификата;
5) основание аннулирования квалифицированного сертификата.


Вся эта информация содержится в CRL + содержание самого сертификата.


А как же самое интересное?
Почему не все скопировали? Dancing


1) Не вся информация есть в сертификате и CRL.
2) Как реализовать "Раздел «аннулированные квалифицированные сертификаты" не храня дополнительные данные в базе?



Сергей и Андрей, никто (и даже МКС) пока не знает что же это за загадочные реестры и какой у них формат ведения. Вот когда нам всем ясно скажут, то тогда можно будет подискутировать. Boo hoo!

Отредактировано пользователем 13 февраля 2014 г. 18:21:02(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#14 Оставлено : 13 февраля 2014 г. 18:38:06(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Offtop:

Техническую поддержку оказываем тут
Наша база знаний
Offline Sergey M. Murugov  
#15 Оставлено : 13 февраля 2014 г. 19:42:37(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
В Приказе ФСБ 795 про формат сертификатов есть отсылочная норма на RFC 5280, в том смысле что если что не написано в Приказе, то смотри там. Так вот в этой RFC (с названием: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile) есть целый раздел про CRL, так что думаю не стоит уж слишком сильно выдумывать и ожидать, что кто то будет расписывать всё в деталях, что и так очевидно и упоминается в НПА. К слову, в Приказе нет отсылки на RFC 2560 (OCSP), к сожалению :-(
А вот то что при аккредитации не сильно углубляются в технические детали - это очень плохо :-(

Отредактировано пользователем 13 февраля 2014 г. 20:03:38(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Sergey M. Murugov за этот пост.
Андрей * оставлено 13.02.2014(UTC)
Offline Юрий  
#16 Оставлено : 13 февраля 2014 г. 21:26:57(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: MCR Перейти к цитате
Автор: Юрий Перейти к цитате
Автор: MCR Перейти к цитате
Автор: Юрий Перейти к цитате

Российских нормативов по CAdES сейчас не существует. На самом деле в настоящее время реализация от "Крипто-Про" не поддерживает создание подписей CAdES с использованием CRL, только с использованием OCSP. Я написал свою собственную реализацию CAdES - там и "обкатал" эту возможность.


Юрий, расскажите, пожалуйста, подробнее о вашей реализации CAdES с использованием CRL. Если правильно вас понимаю, то сервер цс должен уметь штамповать CRL-ки каждую секунду. Теоритически, если использовать ЦС от МС с 10000000 сертификатов, и внушительным списком отзыва, то создание такого вида подписи может быть достаточно продолжительным процессом во времени. Не говоря про то, что не все аккредитованные УЦ раз в день CRL выпускают.
Вызывают интерес и нагрузочные испытания тестирования разработанного функционала.

Нет, CRL как-раз используются совершенно стандартные, с периодом действия в день (тестировалось также на CRL с периодом действия в 2 часа).
Я еще раз повторю, что для корректного "доказательства подлинности" достаточно в подписи иметь два CRL, где время выпуска первого CRL меньше (или равно) времени создания подписи, а время выпуска второго CRL - больше времени создания подписи. Плюс лучше будет если эти CRL будут идущими по-подряд. В этом случае гарантированно (почти) будет доказано, что в момент создания подписи сертификат не был отозван.

Нагрузочные испытания моей системы в настоящий момент проводятся на "боевых" серверах заказчика (система была сделана под заказ).

Юрий, иными словами, заказчик ждет 1 день или два часа до выпуска нового CRL, чтобы сформировать 1 подпись?


Да.
То есть "да" в случае использования CRL в качества доказательств подлинности. В случае использования OCSP время создания подписи CAdES практически равно времени создания обычной подписи.

P.S.: Кстати это и есть тот самый "grace period".

Отредактировано пользователем 14 февраля 2014 г. 7:19:49(UTC)  | Причина: Не указана

С уважением,
Юрий Строжевский
Offline Sergey M. Murugov  
#17 Оставлено : 14 февраля 2014 г. 11:21:01(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Хотелось бы более внятно, вернувшись к самому первому посту, понять, что у нас есть в части «Грейс-периода» и когда же все таки подпись можно считать действительной.
По сути «Грейс-период» в отношении к исходной задачке - это ни что иное, как реакция некой системы на изменение статуса сертификата. Которая распадается на два направления: организационное и техническое. В организационном плане для нашей задачи существенным будет время на выполнения комплекса процедур (принятие заявки на отзыв от клиента, внутренние согласования и тайм-ауты и т.д. и финалом будет изменение статуса сертификата в базе, Реестре и т.д.). В техническом – процедура опубликования и обеспечение беспрепятственного доступа к информации о статусах.
На сейчас существует единственный НПА нормативно ограничивающий временной предел на эти процедуры – это 63-ФЗ, говорящий о НЕ более 24 часах.
Так вот, работать с временем реакции на изменение статуса менее 24 часов – это добрая воля конкретного УЦ и к технической реализации (использования специальных протоколов статусов – OCSP, VPKC …. или списков CRL, возможно с публикацией дельт) мало относится. Поясню, что проку в «моментальности» OCSP, VPKC или дельт, если в базе информация изменяется по факту только раз в сутки! А отсюда вывод, чтобы работать «по-умолчанию» в режиме публичных систем, следует (чтобы избежать рисков) ориентироваться на 24 часа из 63-ФЗ как максимально допустимое время, если во главу угла ставиться приближение реакции с реал-тайму, то следует изучать Регламент конкретного УЦ, в котором он обязан документально зафиксировать взятые на себя «повышенные обязательства» и время реакции брать оттуда, а сам Регламент сохранять в системе, таким образом, чтобы была возможность на него сослаться при разборе полётов как на юридически значимый документ. Всё остальное, штампы времени, квитки OCSP и ниже с ним, дельты – это всё вторичное.
thanks 1 пользователь поблагодарил Sergey M. Murugov за этот пост.
Андрей * оставлено 14.02.2014(UTC)
Offline Юрий  
#18 Оставлено : 14 февраля 2014 г. 11:50:03(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Sergey M. Murugov Перейти к цитате
Хотелось бы более внятно, вернувшись к самому первому посту, понять, что у нас есть в части «Грейс-периода» и когда же все таки подпись можно считать действительной.
По сути «Грейс-период» в отношении к исходной задачке - это ни что иное, как реакция некой системы на изменение статуса сертификата. Которая распадается на два направления: организационное и техническое. В организационном плане для нашей задачи существенным будет время на выполнения комплекса процедур (принятие заявки на отзыв от клиента, внутренние согласования и тайм-ауты и т.д. и финалом будет изменение статуса сертификата в базе, Реестре и т.д.). В техническом – процедура опубликования и обеспечение беспрепятственного доступа к информации о статусах.
На сейчас существует единственный НПА нормативно ограничивающий временной предел на эти процедуры – это 63-ФЗ, говорящий о НЕ более 24 часах.
Так вот, работать с временем реакции на изменение статуса менее 24 часов – это добрая воля конкретного УЦ и к технической реализации (использования специальных протоколов статусов – OCSP, VPKC …. или списков CRL, возможно с публикацией дельт) мало относится. Поясню, что проку в «моментальности» OCSP, VPKC или дельт, если в базе информация изменяется по факту только раз в сутки! А отсюда вывод, чтобы работать «по-умолчанию» в режиме публичных систем, следует (чтобы избежать рисков) ориентироваться на 24 часа из 63-ФЗ как максимально допустимое время, если во главу угла ставиться приближение реакции с реал-тайму, то следует изучать Регламент конкретного УЦ, в котором он обязан документально зафиксировать взятые на себя «повышенные обязательства» и время реакции брать оттуда, а сам Регламент сохранять в системе, таким образом, чтобы была возможность на него сослаться при разборе полётов как на юридически значимый документ. Всё остальное, штампы времени, квитки OCSP и ниже с ним, дельты – это всё вторичное.

"Grace period" можно перевести как "период готовности". Это чисто техническое понятие, которое используется в стандарте CAdES исключительно по отношению к использованию CRL в качестве доказательств подлинности и обозначающее период времени, в течение которого подпись не считается окончательно "валидной". Никаких других применений данного понятия придумывать не надо.

Насчет использования OCSP: я критически отношусь к данному протоколу, но он естественным образом лучше использования CRL (при наличии постоянного соединения с сервером OCSP). И информация для ответов OCSP сервере может обновляться существенно чаще, чем раз в сутки. В идеале OCSP и был придуман для случая использования специализированной базы статусов сертификатов, в которую информация заносится практически мгновенно и также получается.

Если же говорить об организационных мерах, то, естественно, вопросы применения любых подписией (в том числе и CAdES) связаны с составлением регламентов использования ИС. Так что это общие требования ко всем защищённым системам.
С уважением,
Юрий Строжевский
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.