Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проект приказа Минкомсвязи России
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
11 апреля был опубликован проект приказа Минкомсвязи http://minsvyaz.ru/ru/di...s/projects_doc/?id_4=236В пункте 1 сказано: 1. Установить, что в рамках осуществления Министерством связи и массовых коммуникаций Российской Федерации, как уполномоченным федеральным органом исполнительной власти в сфере использования электронной подписи, функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров осуществляются следующие мероприятия: 1) создание квалифицированных сертификатов ключей проверки электронных подписей удостоверяющим центрам, получившим аккредитацию в соответствии с действующим законодательством Российской Федерации; ............... Подскажите, не значит ли это, что ГУЦ непосредственно будет выдавать аккрекдитованным УЦ промежуточные сертификаты ЦС, а сам будет корневым (иерархическая структура)? Или же все-таки будет проводиться процедура кросс-сертификации аккредитованных УЦ?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Проект приказа основывается на 63-ФЗ, и не должен ему противоречить, так что в этой части ничего нового в проекте не сказано.
А теперь смотрим, что говорится об иерархии в самом 63-ФЗ.
Статья 8. Полномочия федеральных органов исполнительной власти в сфере использования электронной подписи
2) осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров.
Давайте посмотрим что такое головной УЦ
Статья 13. Удостоверяющий центр
5. Удостоверяющий центр, указанный в части 4 настоящей статьи, по отношению к доверенным лицам является головным удостоверяющим центром …
Смотрим что написано в части 4.
4. Удостоверяющий центр вправе наделить третьих лиц (далее - доверенные лица) полномочиями по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.
Ключевые слова тут такие – «, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.»
Вопросы ещё есть? Это настоящая иерархия и ни каких тут кроссов нет. Т.е. для аккредитованных УЦ единственная модель доверия – иерархия.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Вопросы есть.
Смотрим, что написано в 63-ФЗ:
ст.13:
1. Удостоверяющий центр:
1) СОЗДАТ сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);
4) ВЫДАЕТ по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
ст. 2: 7) удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по СОЗДАНИЮ и ВЫДАЧЕ сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом
ст. 11: 1) квалифицированный сертификат СОЗДАН и ВЫДАН аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата
Думаю достаточно ссылок, что бы любые люди или любые лица однозначно поняли поняли, что, что в части 4 статье 12 говорится ТОЛЬКо о ВЫДАННОМ сертификате: "... основанной на сертификате ключа проверки электронной подписи, ВЫДАННОМ доверенному лицу этим удостоверяющим центром.". И не говорится, что этот сертификат СОЗДАН головным удостоверяющим центром.
О какой иерархии идёт речь?!? Где Вы её увидели?!?! Давайте не будем вводить людей в заблуждение!!! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Юрий, вы о чём, в какое заблуждение я ввожу окружающих ?!
Я высказал свою мнение, и привёл логическую цепочку норм закона, то что вы процитировали из ст. 13 к обсуждаемой теме вообще не относится.
Приведите хоть один нормальный довод в чём не верны мои заключения?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125 Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
|
На http://smev.gosuslugi.ru/portal/ опубликована Статья по проблематике Единого пространства доверия электронным подписямПонятно, что статья - не НПА и ни к чему не обязывает, но все же... Цитата:Вариант “a”. “Жесткая” иерархия. Для подчиненного УЦ корневой сертификат выдается головным УЦ. Достоинство – хорошая управляемость системы, но плохая устойчивость.
...
Вариант “б”. Построение иерархии удостоверяющих центров на основе выпуска кроссертификатов, т.е. сертификатов связывающих два удостоверяющих центра с корневыми самоподписанными сертификатами.
...
В связи с тем, что ФЗ № 63 не определил в явном виде модель взаимодействия удостоверяющих центров, то для межведомственного взаимодействия при предоставлении государственных и муниципальных услуг предлагается использовать модель однонаправленной кроссертификации от ГУЦ к любому аккредитованному УЦ. Это позволит организовать взаимодействие ГУЦ с уже существующими удостоверяющими центрами России без существенных финансовых издержек и перевыпуска большого количества ранее выпущенных сертификатов. Данная модель также позволяет организовать проверку пользовательских сертификатов с определенной степенью зависимости от актуальности кроссертиифката и наличия количества звеньев в цепи кроссертификации.
Возможен также и вариант “а” при желании удостоверяющего центра. В соответствии с ФЗ № 63 этот УЦ будет выступать как доверенное лицо ГУЦ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Алексей, да это всё понятно, и какие модели доверия бывают все знают и что формулировки 63-ФЗ крайне неудобны в простой жизни, вот и пытаются исполнители как то их трактовать как им удобнее, но с другой стороны чтоб было чуть похоже и не бросалось в глаза разница.
Напомню, что самые плохие слова касающиеся кроссов написаны в части 4 статьи 13, " ... по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.", т.е. что мы имеем:
1. аккредитованному УЦ выдан головным УЦ сертификат.
2. аккредитованный УЦ "от имени ..." т.е. имеется ввиду в рамках одного домена доверия которым управляет головной УЦ создает и выпускает сертификаты энд-юзерам
3. на созданных и выданных сертификатах энд-юзеров аккредитованным УЦ выработана подпись, "основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром"
Хочу напомнить, что сертификат одностороннего кросса НЕ участвует в выработке подписей на сертификате, а может участвовать ТОЛЬКО в проверке подписей энд-юзеров, точнее ТОЛЬКО при построении цепочки сертификации.
Ну что тут добавить, ну вот так вот Х509 сертификаты устроены и видимо депутаты принимая формулировки 63-ФЗ просто об этом не знали.
И ещё мне что то кажется, что подправить формулировки уровня ФЗ можно только НПА уровня равным или выше чем уровень федерального закона, т.е. ни какими приказами ведомств формулировку легитимно и с правовыми последствиями не исправить.
Вот моё мнение, попробуйте, спокойно, не тряся воинственно харизмой опровергнуть мои слова.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125 Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
|
Сергей, ну не вижу я что в 63-ФЗ определена только модель "жесткой" иерархии. Sergey M. Murugov написал:самые плохие слова касающиеся кроссов написаны в части 4 статьи 13, " ... по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром." Мое мнение: "от имени удостоверяющего центра" следует читать как "от имени юр.лица, которым является УЦ". Данный УЦ, как юр.лицо, имеет доверенное (уполномоченное) лицо у которого есть СКП ЭП (по сути корневой сертификат УЦ), создаваемые сертификаты пользователей подписываются ЭП вышеуказанного доверенного лица. Данный УЦ может иметь свою иерархию УЦ и подчиненные (либо имеющие кросс-сертификацию) УЦ будут в свою очередь третьими лицами, тоже доверенными, со своими СКП и головным УЦ. Таким образом, imho, в 63-ФЗ есть различающиеся понятия между ГУЦ уполномоченного федерального органа (УФО) и головными УЦ, имеющими свою иерархию (например модели построения УЦ СКБ Контур, либо ДУЦ ГНИВЦ, ФСС и т.п.), т.е. термин "головной УЦ" больше технологическое понятие, а ГУЦ УФО выполняет доп. функции в соответствии с 63-ФЗ. Вот и всё! Иерархия и доверие к СКП ЭП пользователей УЦ может проверяться пользователями других УЦ например через сервис Минкомсвязи по наличию кросс-сертификата ГУЦ (вероятно будет автоматически проверяться в таких системах как smev.gosuslugi). Не исключается конечно и "жесткая" иерархия УЦ, но наш УЦ в далеком 2005 году побыл подчиненным к головному УЦ Росинформтехнологии - неудобно, если СОС у головного УЦ не обновляется (как-то более недели не обновлялся), появлялись проблемы в работе нашего УЦ :)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Про "от имени УЦ" вы всё правильно пишете, т.е да подчинённый УЦ может иметь собственную иерархию опирающуюся на тот же п. 4, если ему это разрешит ГУЦ, точнее не запретит через компонент pathLenConstraint расширения
BasicConstraints ::= SEQUENCE {
cA BOOLEAN DEFAULT FALSE,
pathLenConstraint INTEGER (0..MAX) OPTIONAL }
А вот далее я не очень понял - это про "imho, в 63-ФЗ есть различающиеся понятия между ГУЦ уполномоченного федерального органа (УФО) и головными УЦ, имеющими свою иерархию" - как только вы получили сертификат изданный в ГУЦ с новыми ключами, всё , можно забыть про то что у вас было, а всё строить заново - это и называется иерархия :-)
Следующий ваш тезис я тоже не понял "Иерархия и доверие к СКП ЭП пользователей УЦ может проверяться пользователями других УЦ например через сервис ...." - вообще то иерархия тем и интересна что имея доверие к единственной точке - руту можно построить действительную цепочку сертификации до любого энд-юзера.
Итак я в целом не понял о чем вы написали. На всякий случай повторю что хотел до общественности донести я - это то что сертификаты конечных пользователей должны подписываться в аккредитованном УЦ с ИСПОЛЬЗОВАНИЕМ сертификата которые ему ВЫДАЛ ГУЦ а не который он (аккредитованный УЦ) сам себе родил как самоподписанный. Именно это написано в 63-ФЗ. т.е. настоящая иерархия. Мысль понятна?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125 Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
|
Сергей, давайте будем различать ГУЦы :) В п.2 ст.8 63-ФЗ Цитата:Уполномоченный федеральный орган осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров. Это ГУЦ УФО. В ст.13 Цитата:4. Удостоверяющий центр вправе наделить третьих лиц (далее - доверенные лица) полномочиями по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.
5. Удостоверяющий центр, указанный в части 4 настоящей статьи, по отношению к доверенным лицам является головным удостоверяющим центром и выполняет следующие функции: Это ГУЦ какого-то юр. лица (назовем ГУЦ ЮЛ) (не ГУЦ УФО), этот ГУЦ является головным для своих подчиненных УЦ. ГУЦ ЮЛ может быть аккредитирован и иметь кросс-сертификат ГУЦ УФО или порушить свою иерархию и стать подчиненным к ГУЦ УФО... но 63-ФЗ не обязывает последнее совершать. Подчиненные УЦ от ГУЦ ЮЛ действительно имеют сертификаты, выданные этим ГУЦ ЮЛ и этими сертификатами (подчиненных УЦ) подписываются сертификаты конечных пользователей (не сертификатами ГУЦ УФО). Цепочка проверки сертификатов может построиться так: СКП Пользователя - подчиненный УЦ - ГУЦ ЮЛ - и далее, если ГУЦ ЮЛ аккредитирован и имеет кросс-сертификат - ГУЦ УФО, ну и соответственно, если сторонние пользователи проверяют на сервисе проверки СКП Минкомсвязи и кросс-сертификат действующий, цепочка должна построится и в таком случае не важно какая модель используется. По длине пути кросс-сертификата вопрос технический (хотя решается организационно ;) ), либо длина пути прописывается, либо ГУЦ УФО придется выпускать кросс-сертификаты отдельно для каждого подчиненного УЦ в иерархии ГУЦ ЮЛ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Sergey M. Murugov написал:Юрий, вы о чём, в какое заблуждение я ввожу окружающих ?!
Я высказал свою мнение, и привёл логическую цепочку норм закона, то что вы процитировали из ст. 13 к обсуждаемой теме вообще не относится.
Приведите хоть один нормальный довод в чём не верны мои заключения? Не верны в том, что из утверждения «, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром.» не следует единственный и однозначный вывод "для аккредитованных УЦ единственная модель доверия – иерархия". Я привёл свой довод, который показывает несостоятельность этого вывода. Но если учесть Приказ ФСБ 795 о форме квалифицированного сертификата, а именно пункт 24, который, в том числе, гласит "В квалифицированном сертификате следует использовать дополнение authorityKeyIdentifier с занесением в поле authorityCertSerialNumber номера соответствующего квалифицированного сертификата аккредитованного УЦ или доверенного лица аккредитованного УЦ либо уполномоченного федерального органа, создавшего исходный квалифицированный сертификат.", то тогда ВОЗМОЖНО подойдёт только иерархия . Но это обдумать нужно... |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проект приказа Минкомсвязи России
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
