Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Область использования сертификата
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Сергей! Не надо лукавить. В Польше и в Эстонии сделана целая инфраструктура на государственном и частном уровне, обеспечивающая такую схему применения ЭЦП: законы, подзаконные акты, предприятия, техническая и программная инфраструктура ведения реестров владельцев ID-card и поддержки ID-card на рабочих местах. Это десятки и десятки миллионов долларов было потрачено.
В России этой инфраструктуры нет. Действующее законодательство РФ не позволяет её применять. А Вы предлагаете уважаемому г-ну Ananda (Владимир Андреев) и его организации самостоятельно всё это построить и поднять? Да Вы садист и утопист! :-)
Для начала, Сергей, измените действующее законодательство, сложите бизнес-практику и судебную практику, практику рассмотрения электронных документов с "вашими ЭЦП" в налоговой, МВД, прокуратуре, а вот потом двигайте новые технологии :-))))))
Поэтому, Сергей, мы обсуждаем вопросы не теоретические "ах как было бы здорово если бы", а вопросы, как реализовать применение ЭЦП в действующем правовом поле и имеющейся (точнее отсутствующей) государственной инфраструктурой обеспечения применения ЭЦП.
Я не спорю, решения с атрибутными сертификатами или государственными реестрами держателей сертификатов и их правомочности, являются красивыми и грамотными. Но... мы имеем то, что мы имеем. Т.к. это государственная задача и решить её способно только государство или очень богатый (синоним - влиятельный) спонсор. А такого нет ни у Вас, ни у нас :-((( |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Я не очень понял ответ, но слов много, спасибо :-)
Какую инфраструктуру строить, какие реесты, что глобально поднимать ??? Вы о чем? Есть сертификат - идентифицирующий субъекта, выданный УЦ причем любым лишь бы ему адресат верил, есть технология как не переделывая тыщу раз сертификат и не бегая все время в УЦ платя деньги каждый раз указать оперативно полномочия, есть совершенно стандартное место в ЭЦП куда укладывается блок (атрибутник) заверенный ЭЦП отдела кадров содержащий текущие полномочия - считай электронная доверенность с подписью. Все это с подписью и запросто парсится и проверяется. Какие реесты, подзаконные акты и т.п. у нас что есть подзаконный акт на формат CMS/PKCS#7 ???
По поводу Польши и Эстонии - карты у меня на столе лежат (могу сертификаты выложить) - боевые, хоть налоги по ней в поляндии плати. Там нет никаких привилегий !!! И ничего я не лукавлю. К слову все эти карты имеют по два слота - в первом только сертификат квалифицированный для ЭЦП, а во втором слоте, как они называют - для "опознавания" - т.е. для TLS и шифрования, до понимания этой тонкости нам ещё предстоит дорасти !
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.01.2008(UTC) Сообщений: 40 Откуда: Москва Поблагодарили: 3 раз в 2 постах
|
Здравствуйте Владимир, Цитата:Sent: Thursday, June 18, 2009 9:11 PM
To: support
Subject: Нормативный документ с правилами формирования OID
...
(см.первое и второе сообщение участника Ananda).
В первом сообщении - вопрос №3, а во втором сообщении - текст после второй цитаты.
...
Помогите разобраться, каким документом (RFC xxxx или ISO yyyy) регулируется присвоение OID
Присвоение OID регулируется стандартом на ASN.1: ISO/IEC 8824-1 (X.680). Госстандарт России, как член ИСО/МЭК, принял его русский перевод ГОСТ Р ИСО/МЭК 8824-1-2001. Там описано управление корнем, а так же веток iso(1) и iso(1) member-body(2), и даны соответствующие ссылки. Цитата:типа iso(1) member-body(2) ru(643) Управляется уполномоченной членом ИСО/МЭК от РФ организацией. Честно говоря, мир не стоит на месте, сейчас я даже не знаю кто в РФ является членом ИСО/МЭК. "Дефакто" реестр OID iso(1) member-body(2) ru(643) ведёт Марина Игнатьева, по http://www.ctel.msk.ru/x500/OIDS/inform.htm доступен сам реестр и её почтовый адрес. В этом деле традиционно непросто разобраться, т.к. ИСО и МЭК слились, а Госстандарт (бывший член ИСО) и Минсвязи (бывший член МЭК), насколько мне известно, нет. Зато реорганизовались и переименовались. :) Цитата:например 1.2.643.2.2? А это наша ветка OID, смотри " Дополнительные услуги" Отредактировано пользователем 19 июня 2009 г. 16:57:02(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.01.2008(UTC) Сообщений: 40 Откуда: Москва Поблагодарили: 3 раз в 2 постах
|
Sergey M. Murugov написал:в первом только сертификат квалифицированный для ЭЦП, а во втором слоте, как они называют - для "опознавания" - т.е. для TLS и шифрования, до понимания этой тонкости нам ещё предстоит дорасти !  Только никому не говори. http://tools.ietf.org/html/rfc4491#section-3, это конечно не догма, но соответствующая рекомендация указана. Запамятовал наверное, а ты там в соавторах значишься, эх :( Отредактировано пользователем 19 июня 2009 г. 3:29:03(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.06.2009(UTC) Сообщений: 11 Откуда: г.Москва
|
Юрий Маслов написал:Документации "по EKU и CertificatePolicies" я не встречал. Есть RFC 3280 и есть эксплуатационная документация на ПАК "КриптоПро УЦ". Юрий, спасибо за наводку. Я заглянул в RFC 3280 и в разделе "Extended Key Usage" прочитал, что OID'ы для идентификации областей использования сертификатов регулируются документом ITU-R X.660. А уже в этом документе в приложении A доходчиво написано, как формируются OID'ы. К слову сказать, раз уж начал, для организации, которая желает создть свое пространство OID'ов существуют две альтернативные схемы: 1) через iso(1) member-body(2) rus(643); 2) через iso(1) org(3) dod(6) internet(1) private(4) enterprise(1). Если верить статье в Wiki, наиболее часто в природе встречаются OID'ы, присвоенные по второй схеме. Дерево OID'ов можно посмотреть здесь (OID Repository). Из него, в частности, можно легко увидеть, что по первой схеме регистрирующей организацией для России является Российский сегмент мирового пространства идентификаторов объектов(перечень зарегистрированных организаций). Интересно, что в OID-Repository невозможно найти многие организации, отраженные в реестре Российского сегмента мирового пространства идентификаторов объектов. С чем это связано - не разбирался. Также на сайте OID-Repository( здесь (OID Repository)) можно зарегистрировать (и т.о. опубликовать, если это нужно) OID'ы своей организации. Итак, если вы захотите зарегистрировать ветку своих OID'ов в глоблальном пространстве имен вы можете воспользоваться как первой схемой ( регистрирующая организация - Российский сегмент мирового пространства идентификаторов объектов), так и второй схемой ( регистрирующая организация - IANA). Вот так. |
С уважением,
Владимир Андреев. |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.01.2008(UTC) Сообщений: 40 Откуда: Москва Поблагодарили: 3 раз в 2 постах
|
Ananda написал:Если верить статье в Wiki, наиболее часто в природе встречаются OID'ы, присвоенные по второй схеме.
Насчёт чаще, не уверен, но, скажем так: их, вероятно, больше. Предполагаю, что им не требовалась эта публикация. Вероятно, им достаточно кросс-ссылки от 1.2.643. Ananda написал:Также на сайте OID-Repository( здесь (OID Repository)) можно зарегистрировать (и т.о. опубликовать, если это нужно) OID'ы своей организации. Не зарегистрировать, но опубликовать уже зарегистрированный в соответствии с X.680 OID. В частности, они же не отвечают даже за уникальность. iso(1) org(3) dod(6) - Минобороны США, эти ребята оторванные, некоторое время назад у них вообще была Web-морда для регистрации OID-а. :) Хотя можно понять, в ветке для SNMP уже зарегистрировано несколько десятков тысяч "пользователей". Но хоть за уникальность они отвечают, тут вопросов нет. Отредактировано пользователем 19 июня 2009 г. 3:26:58(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Владимир, а ещё в составе документации на "КриптоПро УЦ" есть документ "ЖТЯИ.00035-01 90 13. КриптоПро УЦ. Руководство по регистрации дополнительных идентификаторов областей применения сертификатов открытых ключей." :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.06.2009(UTC) Сообщений: 11 Откуда: г.Москва
|
Коллеги, спасибо всем за быстрые и точные ответы! |
С уважением,
Владимир Андреев. |
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Область использования сертификата
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
