Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы«<2345>
Опции
К последнему сообщению К первому непрочитанному
Offline ssm_2005  
#31 Оставлено : 16 октября 2014 г. 12:31:11(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Ну вот спецы из КриптоПРО как раз и утверждают, что OCSP-ответ должен быть получен от издателя. Этот ответ меня интерсует с точки зрения предъявления его в суде. И еще я считаю, что сертификат OCSP-службы должен иметь срок действия не меньше, чем корневой.
С уважением,
Сергей
Offline Юрий  
#32 Оставлено : 16 октября 2014 г. 12:35:19(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Андрей * Перейти к цитате
Юрий,

Надеюсь поднял настроение. Anxious

Ну тестовых сертификатов можно и набрать. Вот только для получения реального необходимо достаточно много денег заплатить + лично засвидетельствовать свою персону. А выполнить это 78 раз достаточно проблематично :)
С уважением,
Юрий Строжевский
Offline Sergey M. Murugov  
#33 Оставлено : 16 октября 2014 г. 12:43:09(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Автор: Юрий Перейти к цитате
Автор: Sergey M. Murugov Перейти к цитате
1. Чтобы сделать хэшь нужно то от чего этот хэшь считать. И это что то надо откуда то взять (причём доверенным образом) и этих чего то может быть в РФ в общем случае более 340.
2. Слово "обычно" это эфимерно, повторяюсь, технология должна ложится на конкретику, через Регламент опираясь на техспецификации. Если в вашем кокнретном случает ЭЦП респондеоа выпускает СА проверяемого юзера - да свала богу, но это частный случай.
3. "Здравый смысл" мы не обсуждаем.
4. Я говорил про случай когда квиток подписывает сам СА (что допустимо по стандарту), видимо неправильно вашу ситуацию понял. Кстати если в сертификат подписателя квитка вставлен флан "но чек" то у вас явное прямое доверие и сертификат подписателя вообще не проверяется на стороне пользователя, поэтому пользователь даже не узнает что ему надо что то переоборачивать повторно на новых ключах. Если вы не ставите флаг "но чек" то смысл OCSP вообще сводится к нулю, поскольку потребует проверки сертификата подписателя квитка, я об этом в письме писал.

1) Вопросы корректности сертификата издателя находятся за гранью стандарта OCSP. При желании достаточно просто обеспечить такую корректность;
2) Как я уже сказал - если Вам известны случаи, когда у одного пользователя более 10-ти личных сертификатов, то приводите примеры, тут все посмеются;
4) Смысл OCSP - получение мгновенного ответа о "валидности" определённого сертификата. Так что в общем случае валидность сертификата самого OCSP сервера должна быть обеспечена на достаточно маленький промежуток времени: пока дойдёт ответ к пользователю + пока пользователь запросит на этот ответ "квитанцию" TSP сервера. Никто не гарантирует, что ответ OCSP сервера будет корректен в течение длительного промежутка времени - этот ответ относится к данному, очень маленькому интервалу. Кстати проверить сертификат OCSP сервера клиентскому приложению никто не запрещает. Например я в своей реализации данную проверку применяю, по-крайней мере в момент полной проверки подписи CAdES;

1. Я говорил (точнее вы сами говорили) не про корректность сертификата а про хэш от него. Чтобы вычислить этот хэшь , на вашем рабочем месте доверенным образом должно находится (в общем случае) более 340 самоподписанных сертификатов из разных городов и частей РФ, причем этот список должен быть актуальным - это фактически не решаемая задача для обычного юзера.
2. Мы говорим о разном, какой вы рассматриваете случай я не понял, я лишь сказал, что пользователь (опять же в общем случае) должен иметь возможность проверять ЭЦП из-под ВСЕХ аккредитованных УЦ, которых явно больше 10. Т.е. OCSP протокол как таковой не для себя любимого.
4. Возвращаемся к исходному вопросу, каким образом вы обеспечите "валидность сертификата самого OCSP сервера" все равно за какой промежуток времени если у вас вставлен в сертификат флаг "но-чек"? Т.е. вы его не проверяете, не строите к нему цепочку сертификации от самоподписанного? Единственное что остается - это доверенное получение (ровно как распространяются самоподписанные сертификаты , которые то же не проверяются локально). Проверять локально можно всё что угодно, но если стоит "но чек" то вы НЕОБЯЗАНЫ это делать. И ещё, мое личное мнение, у меня большие сомнения что OCSP формально подкладывается под 63-ФЗ, закон говорит про обязанность "доступа к реестру" УЦ, а не к выписке из этого реестра, которой является OCSP-квиток, такую форму придется по-любому оборачивать Регламентом и Соглашением, т.е. это не общий способ по умолчанию. Тем не менее ровно тех же результатов "получение мгновенного ответа о "валидности" определённого сертификата" можно получить связкой CRL+deltaCRL, процедура работы с которыми явно прописана и лишина множества недостаказнностей и ограничений в случае работы через OCSP. Но в очередной раз повторю, каждая конкретная задачка имеет кокретное решение, как у себя сделаете, как пропишите в регламентах, как пропишите в стандарте предприятия, так оно и будет, только про безопасность не забудте.
Offline Sergey M. Murugov  
#34 Оставлено : 16 октября 2014 г. 12:57:24(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Автор: ssm_2005 Перейти к цитате
Ну вот спецы из КриптоПРО как раз и утверждают, что OCSP-ответ должен быть получен от издателя. Этот ответ меня интерсует с точки зрения предъявления его в суде. И еще я считаю, что сертификат OCSP-службы должен иметь срок действия не меньше, чем корневой.


1. Сотрудники из КП совершенно правы в том смысле, что выпускать сертификат респондера из-под УЦ вполне можно. Вот что дословно написано в стандарте:
All definitive response messages SHALL be digitally signed. The key
used to sign the response MUST belong to one of the following:
- the CA who issued the certificate in question
- a Trusted Responder whose public key is trusted by the requestor
- a CA Designated Responder (Authorized Responder, defined in
Section 4.2.2.2) who holds a specially marked certificate issued
directly by the CA, indicating that the responder may issue OCSP
responses for that CA
https://tools.ietf.org/html/rfc6960#section-2.2

2. Разумнее (но зависит от модели) конечно его (сертификат респондера) делать короче.
3. С предъявлением в суд - это весьма "тонкая" отдельно стоящая задача, если инетерсно почитайте вот тут свеженькое обсуждение: http://www.itsec.ru/forum.php?sub=10428 Не так все просто, типа ЭЦП поставил и наступило счастье. На мой взгяд (только мое мнение), более устойчивая конструкция для суда, когда существует Соглашение сторон на бумаге, где все прописано до мелочей, со ссылками на техстандарты, спецификации, ответственность, риски и т.д. а вот уже в рамках этого соглашения можно и начинать реально работать в электричестве. Если чуть шире ответить, то у нас существует публично-правовые отношения, работающие по-умолчанию но это не наш случай, и гражданско-правовые, которые предполагают соглашения сторон, договора и т.д. где как раз все и прописывается вплоть до "разбора полётов", а вот это как раз наш случай.
thanks 1 пользователь поблагодарил Sergey M. Murugov за этот пост.
ssm_2005 оставлено 16.10.2014(UTC)
Offline Юрий  
#35 Оставлено : 16 октября 2014 г. 13:12:32(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Sergey M. Murugov Перейти к цитате

1. Я говорил (точнее вы сами говорили) не про корректность сертификата а про хэш от него. Чтобы вычислить этот хэшь , на вашем рабочем месте доверенным образом должно находится (в общем случае) более 340 самоподписанных сертификатов из разных городов и частей РФ, причем этот список должен быть актуальным - это фактически не решаемая задача для обычного юзера.
2. Мы говорим о разном, какой вы рассматриваете случай я не понял, я лишь сказал, что пользователь (опять же в общем случае) должен иметь возможность проверять ЭЦП из-под ВСЕХ аккредитованных УЦ, которых явно больше 10. Т.е. OCSP протокол как таковой не для себя любимого.
4. Возвращаемся к исходному вопросу, каким образом вы обеспечите "валидность сертификата самого OCSP сервера" все равно за какой промежуток времени если у вас вставлен в сертификат флаг "но-чек"? Т.е. вы его не проверяете, не строите к нему цепочку сертификации от самоподписанного? Единственное что остается - это доверенное получение (ровно как распространяются самоподписанные сертификаты , которые то же не проверяются локально). Проверять локально можно всё что угодно, но если стоит "но чек" то вы НЕОБЯЗАНЫ это делать. И ещё, мое личное мнение, у меня большие сомнения что OCSP формально подкладывается под 63-ФЗ, закон говорит про обязанность "доступа к реестру" УЦ, а не к выписке из этого реестра, которой является OCSP-квиток, такую форму придется по-любому оборачивать Регламентом и Соглашением, т.е. это не общий способ по умолчанию. Тем не менее ровно тех же результатов "получение мгновенного ответа о "валидности" определённого сертификата" можно получить связкой CRL+deltaCRL, процедура работы с которыми явно прописана и лишина множества недостаказнностей и ограничений в случае работы через OCSP. Но в очередной раз повторю, каждая конкретная задачка имеет кокретное решение, как у себя сделаете, как пропишите в регламентах, как пропишите в стандарте предприятия, так оно и будет, только про безопасность не забудте.

1) Я же сказал "при желании это достаточно просто обеспечить". Если задача в принципе решаема (а она решаема), то любой "обычный юзер" при желании сможет её решить;
2) Если уж говорить про проверку ЭЦП, то подписи CAdES при желании можно создать таким образом, что её можно будет проверить после аннигиляции всех этих 340 УЦ, без наличия их сертификатов;
3) В теории возможно применение нового сертификата OCSP сервера на каждый OCSP ответ - работа сервиса будет корректной даже в этом случае. То есть OCSP сервер гарантирует, что его ответ (вместе с сертификатом OCSP сервера) будет валиден только в определённый промежуток времени. Доверять этому или нет - ваше дело. Насчет использования CRL - сервис OCSP кроме проверки статуса сертификата также возвращает и корректное время проведения проверки, что в случае работы с CRL будет затруднительно обеспечить;
С уважением,
Юрий Строжевский
Offline Sergey M. Murugov  
#36 Оставлено : 16 октября 2014 г. 13:18:41(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Юрий, не буду тут с вами сильно спорить на грани троллинга :-) но мы сильно уползли в сторону от исходного вопроса. Делайте как считаете нужным. Я свои соображения в широком смысле на проблематику OCSP высказал.
Offline Юрий  
#37 Оставлено : 16 октября 2014 г. 13:23:46(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Sergey M. Murugov Перейти к цитате
Юрий, не буду тут с вами сильно спорить на грани троллинга :-) но мы сильно уползли в сторону от исходного вопроса. Делайте как считаете нужным. Я свои соображения в широком смысле на проблематику OCSP высказал.

Я считаю, что вы пытаетесь "очернить" идею использования CAdES в угоду своим бизнес-интересам. Однако я считаю, что использование CAdES перспективно и поэтому привожу аргументы в пользу применения именно CAdES и всех используемых в CAdES сервисов. Надеюсь, что я полно обозначил свою позицию.
С уважением,
Юрий Строжевский
Offline Новожилова Елена  
#38 Оставлено : 16 октября 2014 г. 15:53:23(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
По сути вопроса:

RFC 6960 требует, чтобы OCSP-ответ был подписан либо издателем проверяемого сертификата напрямую, либо сертификатом оператора службы OCSP, выпущенным издателем проверяемого сертификата, на том же самом ключе.
В целях обратной совместимости (с предыдущей версией RFC) не запрещается выпускать сертификат оператора на другом ключе того же издателя.
Кроме того, как и в предыдущей версии RFC, допускается некая "локальная настройка безопасности", которая позволяет объявить доверенными в общем-то любые службы OCSP, чем и пользуются те, кто работает по "CRL + delta-CRL".

С практической точки зрения, локальная настройка безопасности потому и называется локальной, что может быть разной в разных приложениях (единого стандарта нет) и должна быть сделана на каждом компьютере, на котором будет производиться проверка OCSP-ответа.
То есть, в случае разбирательства в суде вам придется дополнительно объяснять, какое ПО нужно использовать для проверки и какие дополнительные настройки нужно сделать, чтобы OCSP-ответ был признан действительным. Соответственно у противоположной стороны будут дополнительные возможности это оспорить.

В случае, если OCSP-ответ подписан либо издателем проверяемого сертификата, либо сертификатом оператора службы OCSP, выпущенным издателем проверяемого сертификата - описанных выше проблем не возникает.
thanks 1 пользователь поблагодарил Новожилова Елена за этот пост.
ssm_2005 оставлено 16.10.2014(UTC)
Offline ssm_2005  
#39 Оставлено : 16 октября 2014 г. 16:35:11(UTC)
ssm_2005

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.09.2011(UTC)
Сообщений: 239
Мужчина
Откуда: Москва

Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
Елена, спасибо за исчерпывающий профессиональный ответ.
С уважением,
Сергей
Offline pa  
#40 Оставлено : 14 ноября 2014 г. 8:43:41(UTC)
pa

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.02.2009(UTC)
Сообщений: 4

Автор: Новожилова Елена Перейти к цитате
RFC 6960 требует, чтобы OCSP-ответ был подписан либо издателем проверяемого сертификата напрямую, либо сертификатом оператора службы OCSP, выпущенным издателем проверяемого сертификата, на том же самом ключе.В целях обратной совместимости (с предыдущей версией RFC) не запрещается выпускать сертификат оператора на другом ключе того же издателя
...топик интересный.

Елена, здравстуйте!
Не подскажете, УЦ КриптоПро+OCSPСервер можно настроить, чтобы отдавался OCSP-ответ, подписанный одним из двух действующих сертификатов ocsp-оператора (в зависимости от того, каким ключом подписан проверяемый сертификат) - они выпущены на разных действующих ключах одного и того же издателя- нашего УЦ.

Спасибо! Пробуем решить поднятием второго сервиса.

Отредактировано пользователем 14 ноября 2014 г. 15:37:11(UTC)  | Причина: решаем

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
5 Страницы«<2345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.