Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671   Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Sergey M. Murugov  Чисто теоретически:
OCSP хоть и привлекателен для некоторых нужд, но имеет и ряд неприятных технических моментов, а также про него нет ни строчки ни в 63-ФЗ ни в подзаконных НПА, Более того везде в них говорится про Реестр УЦ (т.е. формально про списки CRL (как реестр анулированных сертификатов) или deltaCRL (кстати использование дельт по времени приближает реакцию ИС к изменению статуса сертификата к работе через OCSP). Поэтому использование OCSP на сейчас будет законным только в рамках Регламента т.е. соглашения сторон, в котором к слову можно и расписать всю технику применения грэйс-периода. Кстати это касается и штампов времени, поскольку законодательно сия сущность ни как не определена, к ней нет ни каких требований и определений и т.д. На самом деле в настоящий момент я пишу статью по CAdES и технологиям, связанным с этим видом подписей. Статья также будет затрагивать другие возможности обеспечения долговременного хранения подписей и вопросы предоставления вторичных сервисов. Буду рад по окончанию написания получить критические отзывы :) |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177
Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
|
Автор: Юрий Автор: MCR Автор: Юрий
Российских нормативов по CAdES сейчас не существует. На самом деле в настоящее время реализация от "Крипто-Про" не поддерживает создание подписей CAdES с использованием CRL, только с использованием OCSP. Я написал свою собственную реализацию CAdES - там и "обкатал" эту возможность.
Юрий, расскажите, пожалуйста, подробнее о вашей реализации CAdES с использованием CRL. Если правильно вас понимаю, то сервер цс должен уметь штамповать CRL-ки каждую секунду. Теоритически, если использовать ЦС от МС с 10000000 сертификатов, и внушительным списком отзыва, то создание такого вида подписи может быть достаточно продолжительным процессом во времени. Не говоря про то, что не все аккредитованные УЦ раз в день CRL выпускают. Вызывают интерес и нагрузочные испытания тестирования разработанного функционала. Нет, CRL как-раз используются совершенно стандартные, с периодом действия в день (тестировалось также на CRL с периодом действия в 2 часа). Я еще раз повторю, что для корректного "доказательства подлинности" достаточно в подписи иметь два CRL, где время выпуска первого CRL меньше (или равно) времени создания подписи, а время выпуска второго CRL - больше времени создания подписи. Плюс лучше будет если эти CRL будут идущими по-подряд. В этом случае гарантированно (почти) будет доказано, что в момент создания подписи сертификат не был отозван. Нагрузочные испытания моей системы в настоящий момент проводятся на "боевых" серверах заказчика (система была сделана под заказ). Юрий, иными словами, заказчик ждет 1 день или два часа до выпуска нового CRL, чтобы сформировать 1 подпись?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177
Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
|
Автор: Андрей * Автор: Sergey M. Murugov Автор: Андрей * Кстати, Реестр УЦ, это не CRL, как многие понимают
и мало-мало кто реализовал почти на 99% на текущий день...
Андрей: А вот это тогда что такое как не CRL? 63-ФЗ Статья 13 1. Удостоверяющий центр: 5) ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов) Кстати из приведённого вами Приказа ВСЕ позиции из: Раздел «квалифицированные сертификаты ключей проверки электронной
подписи, выданные юридическим лицам, прекратившие свое действие» должен содержать
следующие обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) наименование, место нахождения и основной государственный регистрационный
номер владельца квалифицированного сертификата;
4) дата прекращения действия квалифицированного сертификата;
5) основание прекращения действия квалифицированного сертификата.
11. Раздел «аннулированные квалифицированные сертификаты ключей проверки
электронной подписи, выданные физическим лицам» должен содержать следующие
обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) фамилия, имя и отчество (если имеется) владельца квалифицированного
сертификата;
4) дата аннулирования квалифицированного сертификата;
5) основание аннулирования квалифицированного сертификата. Вся эта информация содержится в CRL + содержание самого сертификата. А как же самое интересное? Почему не все скопировали? 
6) сведения о наименованиях, номерах и датах выдачи документов, подтверждающих
полномочия владельца квалифицированного сертификата действовать по поручению
третьих лиц, если информация о таких полномочиях владельца квалифицированного
сертификата включена в квалифицированный сертификат;
1) Не вся информация есть в сертификате и CRL. 2) Как реализовать "Раздел «аннулированные квалифицированные сертификаты" не храня дополнительные данные в базе? Сергей и Андрей, никто (и даже МКС) пока не знает что же это за загадочные реестры и какой у них формат ведения. Вот когда нам всем ясно скажут, то тогда можно будет подискутировать.  Отредактировано пользователем 13 февраля 2014 г. 18:21:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,340 Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
|
Offtop:
На данный момент разные УЦ (почти 80 из .. 3хх аккредитованных) реализовали это по своему...
От выкладывания p7b, xls (иногда даже пустых шаблонов) до реализации поиска по нескольким реквизитам + скачивание сертификата (да.. у многих реестр так и не работает или ссылка не действительна).
Отсюда и вопрос...
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
В Приказе ФСБ 795 про формат сертификатов есть отсылочная норма на RFC 5280, в том смысле что если что не написано в Приказе, то смотри там. Так вот в этой RFC (с названием: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile) есть целый раздел про CRL, так что думаю не стоит уж слишком сильно выдумывать и ожидать, что кто то будет расписывать всё в деталях, что и так очевидно и упоминается в НПА. К слову, в Приказе нет отсылки на RFC 2560 (OCSP), к сожалению :-( А вот то что при аккредитации не сильно углубляются в технические детали - это очень плохо :-( Отредактировано пользователем 13 февраля 2014 г. 20:03:38(UTC)
| Причина: Не указана
|
 1 пользователь поблагодарил Sergey M. Murugov за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: MCR Автор: Юрий Автор: MCR Автор: Юрий
Российских нормативов по CAdES сейчас не существует. На самом деле в настоящее время реализация от "Крипто-Про" не поддерживает создание подписей CAdES с использованием CRL, только с использованием OCSP. Я написал свою собственную реализацию CAdES - там и "обкатал" эту возможность.
Юрий, расскажите, пожалуйста, подробнее о вашей реализации CAdES с использованием CRL. Если правильно вас понимаю, то сервер цс должен уметь штамповать CRL-ки каждую секунду. Теоритически, если использовать ЦС от МС с 10000000 сертификатов, и внушительным списком отзыва, то создание такого вида подписи может быть достаточно продолжительным процессом во времени. Не говоря про то, что не все аккредитованные УЦ раз в день CRL выпускают. Вызывают интерес и нагрузочные испытания тестирования разработанного функционала. Нет, CRL как-раз используются совершенно стандартные, с периодом действия в день (тестировалось также на CRL с периодом действия в 2 часа). Я еще раз повторю, что для корректного "доказательства подлинности" достаточно в подписи иметь два CRL, где время выпуска первого CRL меньше (или равно) времени создания подписи, а время выпуска второго CRL - больше времени создания подписи. Плюс лучше будет если эти CRL будут идущими по-подряд. В этом случае гарантированно (почти) будет доказано, что в момент создания подписи сертификат не был отозван. Нагрузочные испытания моей системы в настоящий момент проводятся на "боевых" серверах заказчика (система была сделана под заказ). Юрий, иными словами, заказчик ждет 1 день или два часа до выпуска нового CRL, чтобы сформировать 1 подпись? Да. То есть "да" в случае использования CRL в качества доказательств подлинности. В случае использования OCSP время создания подписи CAdES практически равно времени создания обычной подписи. P.S.: Кстати это и есть тот самый "grace period". Отредактировано пользователем 14 февраля 2014 г. 7:19:49(UTC)
| Причина: Не указана |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Хотелось бы более внятно, вернувшись к самому первому посту, понять, что у нас есть в части «Грейс-периода» и когда же все таки подпись можно считать действительной.
По сути «Грейс-период» в отношении к исходной задачке - это ни что иное, как реакция некой системы на изменение статуса сертификата. Которая распадается на два направления: организационное и техническое. В организационном плане для нашей задачи существенным будет время на выполнения комплекса процедур (принятие заявки на отзыв от клиента, внутренние согласования и тайм-ауты и т.д. и финалом будет изменение статуса сертификата в базе, Реестре и т.д.). В техническом – процедура опубликования и обеспечение беспрепятственного доступа к информации о статусах.
На сейчас существует единственный НПА нормативно ограничивающий временной предел на эти процедуры – это 63-ФЗ, говорящий о НЕ более 24 часах.
Так вот, работать с временем реакции на изменение статуса менее 24 часов – это добрая воля конкретного УЦ и к технической реализации (использования специальных протоколов статусов – OCSP, VPKC …. или списков CRL, возможно с публикацией дельт) мало относится. Поясню, что проку в «моментальности» OCSP, VPKC или дельт, если в базе информация изменяется по факту только раз в сутки! А отсюда вывод, чтобы работать «по-умолчанию» в режиме публичных систем, следует (чтобы избежать рисков) ориентироваться на 24 часа из 63-ФЗ как максимально допустимое время, если во главу угла ставиться приближение реакции с реал-тайму, то следует изучать Регламент конкретного УЦ, в котором он обязан документально зафиксировать взятые на себя «повышенные обязательства» и время реакции брать оттуда, а сам Регламент сохранять в системе, таким образом, чтобы была возможность на него сослаться при разборе полётов как на юридически значимый документ. Всё остальное, штампы времени, квитки OCSP и ниже с ним, дельты – это всё вторичное.
|
1 пользователь поблагодарил Sergey M. Murugov за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Sergey M. Murugov Хотелось бы более внятно, вернувшись к самому первому посту, понять, что у нас есть в части «Грейс-периода» и когда же все таки подпись можно считать действительной.
По сути «Грейс-период» в отношении к исходной задачке - это ни что иное, как реакция некой системы на изменение статуса сертификата. Которая распадается на два направления: организационное и техническое. В организационном плане для нашей задачи существенным будет время на выполнения комплекса процедур (принятие заявки на отзыв от клиента, внутренние согласования и тайм-ауты и т.д. и финалом будет изменение статуса сертификата в базе, Реестре и т.д.). В техническом – процедура опубликования и обеспечение беспрепятственного доступа к информации о статусах.
На сейчас существует единственный НПА нормативно ограничивающий временной предел на эти процедуры – это 63-ФЗ, говорящий о НЕ более 24 часах.
Так вот, работать с временем реакции на изменение статуса менее 24 часов – это добрая воля конкретного УЦ и к технической реализации (использования специальных протоколов статусов – OCSP, VPKC …. или списков CRL, возможно с публикацией дельт) мало относится. Поясню, что проку в «моментальности» OCSP, VPKC или дельт, если в базе информация изменяется по факту только раз в сутки! А отсюда вывод, чтобы работать «по-умолчанию» в режиме публичных систем, следует (чтобы избежать рисков) ориентироваться на 24 часа из 63-ФЗ как максимально допустимое время, если во главу угла ставиться приближение реакции с реал-тайму, то следует изучать Регламент конкретного УЦ, в котором он обязан документально зафиксировать взятые на себя «повышенные обязательства» и время реакции брать оттуда, а сам Регламент сохранять в системе, таким образом, чтобы была возможность на него сослаться при разборе полётов как на юридически значимый документ. Всё остальное, штампы времени, квитки OCSP и ниже с ним, дельты – это всё вторичное.
"Grace period" можно перевести как "период готовности". Это чисто техническое понятие, которое используется в стандарте CAdES исключительно по отношению к использованию CRL в качестве доказательств подлинности и обозначающее период времени, в течение которого подпись не считается окончательно "валидной". Никаких других применений данного понятия придумывать не надо. Насчет использования OCSP: я критически отношусь к данному протоколу, но он естественным образом лучше использования CRL (при наличии постоянного соединения с сервером OCSP). И информация для ответов OCSP сервере может обновляться существенно чаще, чем раз в сутки. В идеале OCSP и был придуман для случая использования специализированной базы статусов сертификатов, в которую информация заносится практически мгновенно и также получается. Если же говорить об организационных мерах, то, естественно, вопросы применения любых подписией (в том числе и CAdES) связаны с составлением регламентов использования ИС. Так что это общие требования ко всем защищённым системам. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
