Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
распространение дистрибутива СКЗИ
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.05.2008(UTC)
Сообщений: 66
Откуда: Санкт-Петербург
|
На странице "загрузка файлов" имеется предупреждение "Для штатной эксплуатации средств криптографической защиты информации (СКЗИ), к которым относятся КриптоПро CSP и КриптоПро JCP, эти средства должны быть установлены с дистрибутива, полученного у производителя или у официального дилера производителя на материальном носителе, а не через этот веб-сайт".
Почему для штатной работы нельзя использовать скаченный дистрибутив?
В случае, если клиент УЦ в другом городе, как ему передать дистрибутив, как не средствами Интернет: по электронной почте или через закачку файлов?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Mitiy написал:Почему для штатной работы нельзя использовать скаченный дистрибутив? Потому, что при передачи информации по сетям Интернет у получателя дистрибутива нет уверенности, что данный дистрибутив не претерпел изменений при передаче. И что это вообще тот дистрибутив, который ему нужен :-) Mitiy написал:В случае, если клиент УЦ в другом городе, как ему передать дистрибутив, как не средствами Интернет: по электронной почте или через закачку файлов? Передать ему дистрибутив по доверенным каналам связи: фельдъегерская служба, ГАРАНТПОСТ, DHL и т.д. Либо пусть клиент УЦ в своем городе найдет официального поставщика дистрибутивов (нашего дилера). Представьте, что у клиента УЦ возник спор/конфликт, в котором рассматривается ЭЦП или к клиенту УЦ пришел проверяющий и клиента справшивают: Вы используете сертифицированное средство ЭЦП? Клиент УЦ говорит: Да. А в ответ ему говорят: А покажите это средство! И что клиент УЦ покажет? Сайт в Интернете или набор файлов на своем компьютере? Сложно ему будет доказывать, что он использовал сертифицированное средствоЭЦП... |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.05.2008(UTC)
Сообщений: 66
Откуда: Санкт-Петербург
|
Если имеется сертификат, выпущенный одним из ведущих производителей, который установлен на сайт компании, и организуется SSL-канал, то этого не достаточно для организации надежного соединения?
Если после установки клиент проверит установленное СКЗИ на целостность и составит акт - этого будет не достаточно для гарантии, что установлено нужное СКЗИ?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Mitiy написал:Если имеется сертификат, выпущенный одним из ведущих производителей, который установлен на сайт компании, и организуется SSL-канал, то этого не достаточно для организации надежного соединения? А причем тут сертификат открытого ключа и целостность дистибутива СКЗИ? Mitiy написал:Если после установки клиент проверит установленное СКЗИ на целостность и составит акт - этого будет не достаточно для гарантии, что установлено нужное СКЗИ? Если механизм проверки целостности обеспечит надежную проверку и этот механизм будет принят (одобрен) лицом задающим вопросы о которых я писал в предыдущем посте - то нет проблем! :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.05.2008(UTC)
Сообщений: 66
Откуда: Санкт-Петербург
|
Наличие сертификата показывает, что:
- сайт принадлежит тому, кто указан в адресной строке (то есть нам)
- трафик между клиентом и сайтом защищен (то есть информация неизменяемая)
Я передаю дистрибутив по закрытому каналу, аналогично CD.
Утилита контроля целостности дистрибутивов cpverify.exe не обеспечивает надежную проверку? Или средство из состава СКАД "СИГНАТУРА" (используется для обмена с ЦБ)? Или это вопрос к лицу с вопросами?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 13
Откуда: Москва
|
Вопрос к Юрию Маслову. Юрий Маслов написал:Представьте, что у клиента УЦ возник спор/конфликт, в котором рассматривается ЭЦП или к клиенту УЦ пришел проверяющий и клиента справшивают: Вы используете сертифицированное средство ЭЦП? Клиент УЦ говорит: Да. А в ответ ему говорят: А покажите это средство! И что клиент УЦ покажет? Сайт в Интернете или набор файлов на своем компьютере? Сложно ему будет доказывать, что он использовал сертифицированное средствоЭЦП... Он покажет лицензию. А если пользователь купил дистрибутив и лицензию у ООО Крипто-Про. Установил. Дистрибутив потерял. Теперь он не докажет, что средство ЭЦП сертифицировано? Лицензии не достаточно? Например: наша организация оказывает услуги УЦ. В т.ч. мы распространяем продукты ООО Крипто-Про (по лицензионному договору с ООО Крипто-Про). Дистрибутивы мы изготавливаем сами (т.е. тиражируем диски для продажи), лицензии закупаем, и перепродаем. Разве мы не можем нашим партнёрам из дальних регионов предложить скачать дистрибутив с сайта Крипто-Про (или с нашего сайта), и продать им лицензию?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.04.2008(UTC) Сообщений: 62  Откуда: Рыбинск Поблагодарили: 1 раз в 1 постах
|
CryptoMan написал:Вопрос к Юрию Маслову.
Например: наша организация оказывает услуги УЦ. В т.ч. мы распространяем продукты ООО Крипто-Про (по лицензионному договору с ООО Крипто-Про). Дистрибутивы мы изготавливаем сами (т.е. тиражируем диски для продажи), лицензии закупаем, и перепродаем.
Разве мы не можем нашим партнёрам из дальних регионов предложить скачать дистрибутив с сайта Крипто-Про (или с нашего сайта), и продать им лицензию? Мне тоже было бы интересно узнать...
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Mitiy написал:Наличие сертификата показывает, что:
- сайт принадлежит тому, кто указан в адресной строке (то есть нам)
- трафик между клиентом и сайтом защищен (то есть информация неизменяемая)
Я передаю дистрибутив по закрытому каналу, аналогично CD.
Утилита контроля целостности дистрибутивов cpverify.exe не обеспечивает надежную проверку? Или средство из состава СКАД "СИГНАТУРА" (используется для обмена с ЦБ)? Или это вопрос к лицу с вопросами? Если Вы организовали аутентификацию и защиту по целостности трафика с сайтом, например односторонним TLS, то нет проблем! Клиент убедился что он попал на правильный сайт, доверенный канал связи есть. Тут и cpverify.exe не нужена. Только вот проблема. Что бы клиенту соединиться по сертифицирвоанному SSL/TLS, у него уже должен быть этот СКЗИ. Змея укусила себя за хвост. Утилита cpverify.exe применяется с другой целью. Вот клиент получил доверенным способом cpverify.exe и значения хэшов для файлов дистрибутива (например, в газете или в договоре пропечатаны). Вот тогда качайте с сайта дистрибутив и используйте cpverify.exe для проверки значений хэш-функций над файлами дистрибутива. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
CryptoMan написал:Вопрос к Юрию Маслову.
Он покажет лицензию.
А если пользователь купил дистрибутив и лицензию у ООО Крипто-Про. Установил. Дистрибутив потерял. Теперь он не докажет, что средство ЭЦП сертифицировано? Лицензии не достаточно?
Например: наша организация оказывает услуги УЦ. В т.ч. мы распространяем продукты ООО Крипто-Про (по лицензионному договору с ООО Крипто-Про). Дистрибутивы мы изготавливаем сами (т.е. тиражируем диски для продажи), лицензии закупаем, и перепродаем.
Разве мы не можем нашим партнёрам из дальних регионов предложить скачать дистрибутив с сайта Крипто-Про (или с нашего сайта), и продать им лицензию? Ну покажет лицензию. И что? Поймите, мы рассматриваем гипотетическую ситуацию, когда уж очень въедливый и умный этот человек, задающий вопросы к клиенту. Например, это адвокат в ходе рассмотрения спора или материалов дела в суде. И этот адвокат скажет "давайте обратимся к экспертам ФСБ". И пипец! Заключение будет такое "дистрибутив СКЗИ должен передаваться по доверенным каналам связи. Распространение дистрибутива СКЗИ через Интернет без обеспечения аутентификации ресурса и контроля целостности недопустимо." На основании этого заключения будет принято решение об использовании в нарушений условий эксплуатации и что средство ЭЦП несертифицировано. Поэтому ЭЦП была применена в нарушении действующего законодательства и соглашения сторон. На соновании этого электронный документ не будет принят в качестве доказательства. Кранты! Поэтому нужно оценить риски (например, "непринятие электронного документа, удостоверенного ЭЦП, в качестве письменного доказательства при отсутствии дистрибутива СКЗИ у клиента" и оценить затраты на устранение этого риска (затраты на обеспечение клиентов дистриубтивами). Если они несоразмерны и затраты слишком велики, то можно проигнорировать этот риск. Но это ближе к риск-менеджменту. А тут я не специалист в этой области :-( |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.04.2008(UTC) Сообщений: 62 Откуда: Рыбинск Поблагодарили: 1 раз в 1 постах
|
а копия диска с дистрибутивами КриптоПРО будет считаться "правильным" дистрибутивом?
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
распространение дистрибутива СКЗИ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
