Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Приказ ФСБ 795 и новые расширения сертификата
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Wissenkrieger  
#1 Оставлено : 15 июня 2012 г. 19:51:44(UTC)
Wissenkrieger

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2010(UTC)
Сообщений: 11
Доброго времени суток.
В приказе ФСБ 795 с новыми требованиями к сертификатам есть ряд интересных пунктов, которые вызывают вопросы. Прошу подсказать, как же их разрешить.
Ситуация: на стороне клиента (изолированного от сети) создаём ключевую пару и PKCS10-файл запроса. Затем на стороне УЦ обрабатываем этот запрос. Задача: создать квалифицированный сертификат.

Итак, согласно приказу в сертификате должны присутствовать:

1. Certificate Policies
Туда нужно загнать OID(ы), соответствующий(ие) классу защиты СКЗИ на клиенте (КС1, КС2 и т.п). Отлично, с удовольствием впишем их в запрос сертификата, но как узнать этот класс программным способом? Есть ли какая-нибудь API-функция? Не спрашивать же об этом пользователя, он может просто не знать. Или этот OID должен вписываться не на стороне клиента в PKCS10, а на стороне УЦ при выпуске сертификата? Но откуда сам УЦ узнает класс защиты на клиентской стороне?

2. Новое расширение SubjectSignTool.
Цитата:

Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111.

То есть нужно вписать название СКЗИ, используемого клиентом. Это прекрасно, но в каком виде его писать? Стандартная API-функция возвращает вот такое имя: "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider" - прямо вот это в запрос и писать? В примерах квалифицированных сертификатов написано гораздо более доброе: "КриптоПро CSP" (версия 3.6). Регламентировано ли название всех СКЗИ и их версий для этого расширения? И опять-таки нужно ли это делать на стороне клиента в PKCS10 или сам УЦ должен "угадать" название использованного СКЗИ? Хотя слово "Subject" в слове SubjectSignTool намекает, что всё же на стороне клиента оно должно заполняться. А если клиент в будущем поставит себе новое СКЗИ, какой-нибудь КриптоПро 4.0, то упс, в сертификате окажется ложь? :)

3. Новое расширение IssuerSignTool.
Из названия следует, что это расширение должно добавляться на стороне УЦ, то есть в файле PKCS10 ему не место. Но давайте посмотрим, что там есть внутри.

3.1 signTool
Цитата:

В строковом поле signTool должно содержаться полное наименование средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.

То есть в моём случае это то же самое СКЗИ у клиента. Тут все вопросы те же, что и в пункте 2

3.2 signToolCert
Цитата:

В строковом поле signToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП, требованиям, установленным в соответствии с Федеральным законом (далее - заключение о подтверждении соответствия средства электронной подписи).

Вот это самое интересное! Сюда нужно написать реквизиты лицензии ФСБ на СКЗИ у клиента. Разрази меня Брюс Шнайер, где же их взять? Если я должен вписать их на стороне клиента в PKCS10-файл, то как я их программно могу спросить, какое API мне их даст? А если это должен делать УЦ, то как он угадает эти реквизиты?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Писарев  
#2 Оставлено : 15 июня 2012 г. 20:01:23(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,518
Мужчина
Российская Федерация

Сказал «Спасибо»: 555 раз
Поблагодарили: 2252 раз в 1757 постах
Цитата:
классу защиты СКЗИ на клиенте (КС1, КС2 и т.п). ..
..
как узнать этот класс программным способом? Есть ли какая-нибудь API-функция?


может это чем-то поможет?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider\
CP Service Name = CryptoPro CSP KC1 ...

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Provider\ Crypto-Pro %s KC1 CSP


HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\ Version = будет сертифицированная версия (? или ... ) ... может так определять?

Отредактировано пользователем 15 июня 2012 г. 20:06:29(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Андрей Писарев  
#3 Оставлено : 15 июня 2012 г. 20:06:12(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,518
Мужчина
Российская Федерация

Сказал «Спасибо»: 555 раз
Поблагодарили: 2252 раз в 1757 постах
http://www.cryptopro.ru/...posts&t=2383&p=2
Femi написал:
Цитата:
В связи с получением сертификатов, подскажите, что мы должны указать в файле CAPolicy.inf в расширениях 1.2.643.100.111 и 1.2.643.100.112 соответственно?

Пока ничего.
Сертификат на КриптоПро CSP как средство ЭП ждем.



Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline iLyAzZz  
#4 Оставлено : 18 июня 2012 г. 15:48:21(UTC)
iLyAzZz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.05.2011(UTC)
Сообщений: 79
Откуда: Архангельск
Здраствуйте, чтоб не создавать лишнего топика..пишу тут: РосКомНадзор просит указать класс информационной системы (к1, к2, к3 или к4 или система не классифицирована), подскажите пожалуйста какой класс указать?
Вверх
WWW
Offline Wissenkrieger  
#5 Оставлено : 18 июня 2012 г. 15:50:12(UTC)
Wissenkrieger

Статус: Участник

Группы: Участники
Зарегистрирован: 25.11.2010(UTC)
Сообщений: 11
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Provider\ Crypto-Pro %s KC1 CSP

Что ж, на самый худой вариант можно попробовать в реестр за этой строкой слазить и её распарсить, но это по-моему чудовищный изврат. Наверняка должен быть более простой и удобный способ. Хотя ситуация осложняется ещё и тем, что для создания ключей не всегда можно использовать Windows API. В комнатах ОКЗ, изолированных от внешнего мира, для создания ключей используется простая веб-форма, работающая на стандартных ActiveX-компонентах CertEnroll/XEnroll. Можно ли с их помощью выяснить класс защиты СКЗИ?.. едва ли.

Цитата:
Сертификат на КриптоПро CSP как средство ЭП ждем.

Я нисколько не сомневаюсь в том, что рано или поздно эта лицензия от ФСБ будет получена. Мой вопрос в другом: когда лицензия уже будет существовать, как извлечь её реквизиты? Допустим вначале будет всего один лицензированный дистрибутив, тогда реквизиты можно грубо зашить как константу, но когда таких дистрибутивов станет несколько, с разными реквизитами лицензий, как их вычислять? И чья сторона должна это делать: клиента или УЦ?
Вверх
Offline Fenix  
#6 Оставлено : 10 декабря 2012 г. 20:26:20(UTC)
Fenix

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.12.2012(UTC)
Сообщений: 2
Присоединяюсь к вопросам Wissenkrieger из первого поста. Абсолютно непонятно, каким образом заполнять расширения SubjectSignTool и IssuerSignTool в случае генерации ключевой пары и формирования запроса на сертификат на клиенте с дальнейшей отправкой последнего в УЦ:

1. На стороне клиента отсутствует какая-либо информация о средствах ЭП УЦ.
2. С информацией о средствах ЭП владельца сертификата также не все очевидно (в системе может быть реализована поддержка более одного криптопровайдера, и как в runtime получить данные о том, какой именно криптопровайдер был использован при генерации ключей, насколько я понимаю, также однозначно сказать нельзя - на машине может быть установлено более одного криптопровайдера).
3. Также не до конца понятно, какой смысл вкладывается в SubjectSignTool как в используемое средство ЭП. Стоит ли расценивать эти данные как ограничение на использование сертификата с конкретным указанным криптосредством? Значит ли эта информация, что ключи и сертификаты, полученные с помощью одного (пускай сертифицированного) криптосредства, не могут (с сохранением юридической значимости при прочих равных условиях) использоваться с другими (тоже сертифицированными) криптосредствами? Обязан ли я использовать только те средства, которые прописаны в сертификате как используемые? Должен ли я делать полный перевыпуск всех сертификатов при переходе на средство (сертифицированное), не указанное в сертификатах как используемое?

Коллеги, если у кого-то есть соображения на этот счет, огромная просьба поделиться. То, что данная ветка не получила развития, а заданные автором темы вопросы остались без ответов, наводит на безрадостные мысли(
Вверх
Offline Андрей Писарев  
#7 Оставлено : 10 декабря 2012 г. 20:44:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,518
Мужчина
Российская Федерация

Сказал «Спасибо»: 555 раз
Поблагодарили: 2252 раз в 1757 постах
Fenix написал:
Присоединяюсь к вопросам Wissenkrieger из первого поста. Абсолютно непонятно, каким образом заполнять расширения SubjectSignTool и IssuerSignTool в случае генерации ключевой пары и формирования запроса на сертификат на клиенте с дальнейшей отправкой последнего в УЦ:

1. На стороне клиента отсутствует какая-либо информация о средствах ЭП УЦ.

А как насчет информации в сертификате УЦ?
Заранее же известно, в какой УЦ будет отправлен запрос на сертификат
+ сам УЦ при издании сертификата заполнит сведения о своих средствах ЭП.

Например, в УЦ КриптоПРО
Цитата:

Наименование средства электронной подписи="КриптоПро CSP" (версия 3.6)
Наименование средства Удостоверяющего центра="Удостоверяющий центр "КриптоПро УЦ" версии 1.5
Реквизиты соответствия средства электронной подписи=Сертификат соответствия № СФ/121-1859 от 17.06.2012
Реквизиты соответствия средства Удостоверяющего центра=Сертификат соответствия № СФ/128-1822 от 01.06.2012



Fenix написал:

2. С информацией о средствах ЭП владельца сертификата также не все очевидно (в системе может быть реализована поддержка более одного криптопровайдера, и как в runtime получить данные о том, какой именно криптопровайдер был использован при генерации ключей, насколько я понимаю, также однозначно сказать нельзя - на машине может быть установлено более одного криптопровайдера).

В каком ПО создается запрос? В своем?
Известен же выбранный криптопровайдер\контейнер и т.д.
+ в самом запросе (от КриптоПРО CSP) есть OID enrolmentCSP - т.е. явно можно узнать, что это не ViPNet или другой CSP

Пример:
Код:

273 283:       SEQUENCE {
277  10:         OBJECT IDENTIFIER enrolmentCSP (1 3 6 1 4 1 311 13 2 2)
289 267:         SET {
293 263:           SEQUENCE {
297   1:             INTEGER 1
300 118:             BMPString
       :                 Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider


Отредактировано пользователем 10 декабря 2012 г. 21:09:28(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Mayshev Vadim  
#8 Оставлено : 10 декабря 2012 г. 23:58:36(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
Fenix написал:
3. Также не до конца понятно, какой смысл вкладывается в SubjectSignTool как в используемое средство ЭП. Стоит ли расценивать эти данные как ограничение на использование сертификата с конкретным указанным криптосредством? Значит ли эта информация, что ключи и сертификаты, полученные с помощью одного (пускай сертифицированного) криптосредства, не могут (с сохранением юридической значимости при прочих равных условиях) использоваться с другими (тоже сертифицированными) криптосредствами? Обязан ли я использовать только те средства, которые прописаны в сертификате как используемые? Должен ли я делать полный перевыпуск всех сертификатов при переходе на средство (сертифицированное), не указанное в сертификатах как используемое?

Вероятно, только автор документа может дать ответ на эти вопросы. По-видимому, он (автор) такой ход событий не предусмотрел...
Как и ограниченность полей DN сертификата по количеству символов.
Вверх
Offline Fenix  
#9 Оставлено : 11 декабря 2012 г. 14:41:39(UTC)
Fenix

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.12.2012(UTC)
Сообщений: 2
Андрей, Вадим, спасибо за ответы.

Согласен, что технически вероятно можно найти способы по включению упомянутой информации. Гораздо интересней, как ее истолковать и как интерпретировать сами требования ФСБ.

Читаем:

"29. Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111."

Используемого где? когда? При наложении электронной подписи? Но я могу использовать свой ключ и сертификат при работе в нескольких информационных системах или средах, никто мне этого не запрещает (если не прописано в сертификате). С использованием одного и того же ключа и сертификата я, как физическое лицо, могу подписывать документы и в профильной корпоративной информационной системе, и в системе электронного документооборота внутри организации, и в открытой информационной системе госуслуг, если это позволяет область использования сертификата, а как известно, ограничения на использование носят необязательный характер, следовательно, могут отсутствовать, и тогда никто не может запретить или ограничить свободу использования сертификата в нескольких системах и возможность формирования подписи на разных компьютерах. И во всех перечисленных системах, как и на разных компьютерах, может быть установлена и поддерживаться абсолютно разная криптография. Каков тогда смысл указанного дополнения? Не бессмысленен ли он? Откуда издатель, да хоть и составить запроса, может знать, какими средствами ЭП будет пользоваться владелец сертификата в течении всего срока его действия. А даже если бы и знал, неужели включать в сертификат все возможные средства, которые он будет использовать? И что делать, если эти средства не совпадают? Как расценивать такую ситуацию? Будет ли считаться квалифицированной подпись (при соблюдении прочих условий квалифицированности), сформированная с использованием сертификата, в котором указанный subjectSignTool не совпадает с криптосредством, использованным при формировании данной конкретной подписи? Это очень важный вопрос. Если нет, то subjectSignTool носит критичный, ограничивающий характер. Однако в самих Требованиях лично я такой трактовки не вижу.

"30. Для указания в квалифицированном сертификате наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством РФ, должно использоваться некритичное дополнение issuerSignTool типа IssuerSignTool"

При генерации ключевой пары и формировании запроса на сертификат на стороне клиента для создания ключа ЭП и ключа проверки ЭП используется средство ЭП владельца сертификата, а не средство ЭП УЦ. С какой стати его наименование должно включаться в issuerSignTool, по одному наименованию которого ясно, что речь идет о средствах ЭП УЦ. Логичнее было бы включать его в subjectSignTool. Но там уже находится средство ЭП, "используемое владельцем квалифицированного сертификата" (см. первую часть оды). А вот средство ЭП, "которое было использовано для создания ключа ЭП, ключа проверки ЭП", должно быть включено в issuerSignTool, хотя в УЦ может быть установлено совершенно другое средство ЭП, нежели у владельца сертификата. Сюда же относятся все остальные вопросы по поводу IssuerSignTool из самого первого поста данной ветки.

Я конечно повторяюсь. Wissenkrieger в начале беседы уже все это озвучил. Но чем больше я пытаюсь найти ответы, тем больше понимаю, что ответов, по всей видимости, нет. Отсюда традиционный русский вопрос: "Что делать?". С двумя другими традиционными русскими вопросами более менее ясно.
Вверх
Offline Mayshev Vadim  
#10 Оставлено : 11 декабря 2012 г. 15:54:43(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
Fenix написал:
"30. Для указания в квалифицированном сертификате наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством РФ, должно использоваться некритичное дополнение issuerSignTool типа IssuerSignTool"
При генерации ключевой пары и формировании запроса на сертификат на стороне клиента для создания ключа ЭП и ключа проверки ЭП используется средство ЭП владельца сертификата, а не средство ЭП УЦ. С какой стати его наименование должно включаться в issuerSignTool, по одному наименованию которого ясно, что речь идет о средствах ЭП УЦ. Логичнее было бы включать его в subjectSignTool. Но там уже находится средство ЭП, "используемое владельцем квалифицированного сертификата" (см. первую часть оды). А вот средство ЭП, "которое было использовано для создания ключа ЭП, ключа проверки ЭП", должно быть включено в issuerSignTool, хотя в УЦ может быть установлено совершенно другое средство ЭП, нежели у владельца сертификата. Сюда же относятся все остальные вопросы по поводу IssuerSignTool из самого первого поста данной ветки.

Из этого можно сделать вывод, что автор в этом случае ПРЕДУСМОТРЕЛ для квалифицированного сертификата создание ключа ЭП и ключа проверки ЭП ТОЛЬКО в аккредитованном УЦ, а не на стороне пользователя (как многие УЦ делают).
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET