Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Подскажите, ПАК «КриптоПро OCSP» из состава ПАК «Службы УЦ», сертификат соответствия на который появится в ближайшее время, допускается подключать к сетям общего пользования?
В формуляре сказано: "Подключение ПАК «Службы УЦ» к сетям общего пользования для обеспечения транспортного канала должно осуществляться с использованием устройств, обеспечивающих уровень криптографической защиты не ниже KB2, либо посредством реализации дополнительных технических и организационных мер, адекватных конкретизированной модели нарушителя, разработанной на основе типовой модели нарушителя ФСБ России к удостоверяющим центрам;"
OCSP работает по протоколу http без шифрования передаваемой информации.
Получается OCSP можно использовать только в корпоративной сети, не имеющей выхода в интернет?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.05.2011(UTC) Сообщений: 58  Откуда: Москва Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 7 раз в 6 постах
|
На мой взгляд тут только несколько вариантов:
1) Использовать сервер только в корпоративной сети
2) Обеспечить канал уровня КВ2
3) Разработать модель нарушителя в которой указать, что нарушитель не может быть выше какого-либо уровня (например, КС2)
Самый простой - 1 вариант
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
1) А возможен ли такой вариант: размещаем в корпоративной сети сервер, опубликованный в интернет (например, через NAT), который пересылает все запросы на OCSP-сервер, подключенный к корпоративной сети через сертифицированный МЭ ?
2) То есть каждого клиента OCSP обеспечить устройством уровня КВ2. Слишком дороговато и неудобно будет...
3) При использовании http без шифрования, полагаю, нельзя указывать какой-либо уровень криптографической защиты.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
|
Я, как говорится, только учусь, но вариант видится только один - "внешний" (в ДМЗ) OCSP-сервер, работающий по СОС. Ну и к нему, если средства позволяют - однонаправленный шлюз, иначе - ручками/ножками переносим СОС...
Модель нарушителя - решение неплохое, как мне думается - только при условии получения положительного согласования ФСБ, иначе есть ненулевая вероятность несовпадения мнения проверяющих с вашим мнением, закреплённым в МН, со всеми вытекающими рисками...
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Для доступа к OCSP-серверу использовать https несколько бессмыслено. Ибо для https клиенту необходимо установить статус сертификата OCSP-сервера. А я и ибу к OCSP-серверу, что бы установить статус сертификата :-) К тому же между OCSP-сервером и клиентом не передаётся никакая конфиденциальная информация. Только открытая! Зачем тогда http с шифрованием?!
Самое простое: Разработать модель нарушителя в которой указать, что нарушитель не может быть выше какого-либо уровня (например, КС2). Её не нужно согласовывать с ФСБ. Если будет несовпадение мнения проверяющих с Вашим мнением, то это повод для дискуссии, а не для оргвыводов и наказания. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
