14 декабря, пятница 00:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

УЦ для внутреннего пользования. Поделитесь опытом

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • УЦ для внутреннего пользования. Поделитесь опытом

    Здравствуйте, коллеги!

    В общем встал вопрос запуска внутреннего удостоверяющего центра, для выпуска сертификатов эп своим сотрудникам. Какие решения посоветуете использовать? Какие документы нужно выпустить, чтобы УЦ работал де-юре и в случае чего, можно было привлечь к ответственности?

    Надеюсь на ваше содействие, спасибо!

  • #2
    Сообщение от DjirX Посмотреть сообщение
    Какие решения посоветуете использовать?
    У нас был ЦС от микрософт. Крутился на 2003 винде. Вполне хватало.

    Комментарий


    • #3
      Сообщение от DjirX Посмотреть сообщение
      чтобы УЦ работал де-юре и в случае чего, можно было привлечь к ответственности?
      Если де юре, то только аккредитация. Не проще (и дешевле) приобретать подпись у стороннего УЦ? Если не проще разварачивайте на на Российских разработках (Випнет, Крипто про), остальные не советую - малая распространённость.
      [OFF]Красим белим, иногда защищаем[/OFF]

      Комментарий


      • #4
        Сообщение от akitukitua Посмотреть сообщение
        Если де юре, то только аккредитация.
        С чего бы?

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          С чего бы?
          Из правоприменительной практики, я знаю только один такой случай (в гаранте и консультанте вообще ничего не нашёл), там рассматривался вопрос в арбитраже, использовалась усиленная подпись, но Уц был не аккредитованный, не смотря на соглашение, судья не признала подпись, там были некоторые нарушения (нарушен порядок выдачи, ещё что то) и в резюме было указано, что для таких вещей надо использовать квалифицированную подпись. Отсюда и отталкиваюсь, если нужна юридическая значимость лучше подпись акредитованного УЦ.
          Хотя не ясно что TC понимает под юридическими вещами, может там просто вход выход в домен и внутренний документооборот, тогда там и простой хватит.
          [OFF]Красим белим, иногда защищаем[/OFF]

          Комментарий


          • #6
            Сообщение от DjirX Посмотреть сообщение
            Какие документы нужно выпустить, чтобы УЦ работал де-юре и в случае чего, можно было привлечь к ответственности
            как минимум регламент работы УЦ. На каждый выданный ключ придется подписывать акт признания(хотя бы первый раз). В общем - навалом бумаги.
            И, коллеги меня поправят, если что, криптопровайдер понадобится отечественный. Юридически какой-нибудь AES - не крипта.
            Сам УЦ можно поднять и от MS - простой и легкий. Но сразу в проект посчитайте стоимость лицензий на крипту на каждое рабочее место (тот-же КриптоПро что-то около 1000р. за место) + лицензию на крипту на сервер.
            Я словно лист на ветру, посмотри как я лечу...

            Комментарий


            • #7
              Сообщение от akitukitua Посмотреть сообщение
              Из правоприменительной практики, я знаю только один такой случай (в гаранте и консультанте вообще ничего не нашёл), там рассматривался вопрос в арбитраже, использовалась усиленная подпись, но Уц был не аккредитованный, не смотря на соглашение, судья не признала подпись, там были некоторые нарушения (нарушен порядок выдачи, ещё что то) и в резюме было указано, что для таких вещей надо использовать квалифицированную подпись. Отсюда и отталкиваюсь, если нужна юридическая значимость лучше подпись акредитованного УЦ.
              Хотя не ясно что TC понимает под юридическими вещами, может там просто вход выход в домен и внутренний документооборот, тогда там и простой хватит.
              Не, ерунда получается.
              Возьмём к примеру банковские гарантии, по которым информация на сайте госзакупок должна размещаться. В законодательства прямо прописывается, что должна использоваться неквалицифрованная ЭП. Мы из-за этого долго с казначейством бодались и пытались им объяснить, что если использовать квалифицированную ЭП, то нарушения законодательства не будет - не смогли доказать. Отдельно генерили новые ключи и получали новые неквалицированные сертификаты

              Комментарий


              • #8
                Сообщение от akitukitua Посмотреть сообщение
                Из правоприменительной практики, я знаю только один такой случай (в гаранте и консультанте вообще ничего не нашёл), там рассматривался вопрос в арбитраже, использовалась усиленная подпись, но Уц был не аккредитованный, не смотря на соглашение, судья не признала подпись, там были некоторые нарушения (нарушен порядок выдачи, ещё что то) и в резюме было указано, что для таких вещей надо использовать квалифицированную подпись. Отсюда и отталкиваюсь, если нужна юридическая значимость лучше подпись акредитованного УЦ.
                Хотя не ясно что TC понимает под юридическими вещами, может там просто вход выход в домен и внутренний документооборот, тогда там и простой хватит.
                Я поэтому и удивился
                Согласен, что квалифицированная ЭП создает меньше правовых рисков, но не настолько, чтобы рассматривать ее как безальтернативную.

                Комментарий


                • #9
                  А я вообще понимаю что нужен УЦ для внутренних нужд. Может хотят организовать внутренний документооборот. Или документы в архиве хранить в электронном виде. Чтобы было видно что подписывал тот-то сотрудник, а значит и с него спрос в случае чего.

                  DjirX , так?

                  Комментарий


                  • #10
                    Сообщение от Berckut Посмотреть сообщение
                    В законодательства прямо прописывается, что должна использоваться неквалицифрованная ЭП
                    А это пошло с того момента как главным по подписям для гос закупок назначили казначейство, ребята несколько прибалдели от этого и выторговали себе право на выдачу неквалифицированной подписи, что самое смешное, поставщики зачастую подисывают квалифицированной. Что позволено Юпитеру...
                    [OFF]Красим белим, иногда защищаем[/OFF]

                    Комментарий


                    • #11
                      Всем спасибо за ответы! Крипто-Про на каждого сотрудника лицензию покупать, выйдет неплохая сумма...

                      Сообщение от Sat_Kelman Посмотреть сообщение
                      А я вообще понимаю что нужен УЦ для внутренних нужд. Может хотят организовать внутренний документооборот. Или документы в архиве хранить в электронном виде. Чтобы было видно что подписывал тот-то сотрудник, а значит и с него спрос в случае чего.

                      DjirX , так?
                      Совершенно верно! Для внутреннего документооборота и архив электронных документов. А потом уже возможно и для авторизации на АРМ.

                      Комментарий


                      • #12
                        Сообщение от akitukitua Посмотреть сообщение
                        Из правоприменительной практики, я знаю только один такой случай (в гаранте и консультанте вообще ничего не нашёл), там рассматривался вопрос в арбитраже, использовалась усиленная подпись, но Уц был не аккредитованный, не смотря на соглашение, судья не признала подпись, там были некоторые нарушения (нарушен порядок выдачи, ещё что то) и в резюме было указано, что для таких вещей надо использовать квалифицированную подпись. Отсюда и отталкиваюсь, если нужна юридическая значимость лучше подпись акредитованного УЦ.
                        А можно точнее? Есть, например, система ДБО iBank2. Там у всех банков (сотни банков) используется неквалифицированная усиленная ЭП и не аккредитованные УЦ. Правоприменительная практика говорит, что суды признают электронные документы в данном случае без проблем. Насколько понимаю в примере проблема не в аккредитации, а в том, что был "нарушен порядок выдачи, ещё что то".

                        Сообщение от Mc`Sim Посмотреть сообщение
                        И, коллеги меня поправят, если что, криптопровайдер понадобится отечественный. Юридически какой-нибудь AES - не крипта.
                        Какие Ваши доказательства? ))) Что же нам Cisco или Check Point не дают с сильной криптой ввезти просто так, да даже телефон новый не ввести (если не получена нотификация на него ещё), людей судят за это, а вы горите не крипта.

                        2 All: Что касается темы топика для внутренних нужд достаточно Windows 2008 R2+ (и встроенный УЦ). Сейчас делайте задел на будущее используйте сразу SHA-2 в сертификатах и при подписи документов. Внимательно прочтите все условия признания неквалифицированной ЭП в 63-ФЗ и выполните их. Создайте формальный не аккредитованный УЦ, внимательно посмотрите 63-ФЗ и реализуйте всё, что требуется в данном случае для таких УЦ.
                        Если будут вопросы почему можно использовать такие криптографические средства мотивируйте, что они подпадают под исключение в ПП 313 и можно их использовать без лицензирования такой деятельности, т.к. эти средства поставляются в составе программных ОС.
                        Последний раз редактировалось Zuz; 27.11.2014, 08:40.

                        Комментарий


                        • #13
                          Сообщение от Zuz Посмотреть сообщение
                          Какие Ваши доказательства? ))) Что же нам Cisco или Check Point не дают с сильной криптой ввезти просто так, да даже телефон новый не ввести (если не получена нотификация на него ещё), людей судят за это, а вы горите не крипта.
                          ок, переформулирую. В случае использования того-же AES, если дело дойдет до нашего (самого справедливого в мире) суда, доказывать что реализация алгоритма и сам алгоритм не имеют закладок/НДВ и т.д. будет кто?
                          А что до затруднений на ввоз с сильной криптографией - так это (IMHO) скорее в рамках "борьбы с терроризмом".
                          Последний раз редактировалось Mc`Sim; 27.11.2014, 10:45.
                          Я словно лист на ветру, посмотри как я лечу...

                          Комментарий


                          • #14
                            Сообщение от Mc`Sim Посмотреть сообщение
                            ок, переформулирую. В случае использования того-же AES, если дело дойдет до нашего (самого справедливого в мире) суда, доказывать что реализация алгоритма и сам алгоритм не имеют закладок/НДВ и т.д. будет кто?
                            А, с этой точки зрения ... - это же международный стандарт. Мы же в рамках 63-ФЗ принимаем документы, "подписанные за границей" (Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами). Тут аналогично. Ну, и, доказывать будет экспертиза, если это потребуется.

                            Сообщение от Mc`Sim Посмотреть сообщение
                            А что до затруднений на ввоз с сильной криптографией - так это (IMHO) скорее в рамках "борьбы с терроризмом".
                            Я тут тактично умолчу. Связи с терроризмом не вижу в принципе.

                            Комментарий


                            • #15
                              Сообщение от Zuz Посмотреть сообщение
                              А можно точнее? Есть, например, система ДБО iBank2.
                              Дело было с год назад, так что особо подробностей не ждите, на вскидку:
                              Две организации (не банки) использовали между собой эл. расчёты (один продавал строй материалы, другой строил). Был заключён договор о взаимном признании подписей (подпись вырабатывал один из УЦ в регионе), В один момент потерялась? заявка на большую партию строй материалов, как и что не знаю, резюме, застройщик перечислил кучу денег продавану в счёт предоплаты строй материалов, а тот в срок не привёз их мотивируя тем, что не получал? (список был не подписан? а может ещё что?) списка заказанных строй материалов и соответственно у застройщика ушли сроки, обьект был важным, неустойки потеря репутации и прочее. Далее суд и в ходе заседания, несмотря на договор (к нему кстати тоже было масса претензий) и подписи (потом ФСБ по судебному приказу имело этот УЦ за несоблюдение законодательства) отклонило иск к продаванам, предоплату конечно вернули, но застройщику от этого не лучше. По поводу подписи, хранилась использовалась не пойми как и не пойми кем, что продаваны легко и доказали в суде а суд согласился.
                              [OFF]Красим белим, иногда защищаем[/OFF]

                              Комментарий


                              • #16
                                Сообщение от Mc`Sim Посмотреть сообщение
                                ок, переформулирую. В случае использования того-же AES, если дело дойдет до нашего (самого справедливого в мире) суда, доказывать что реализация алгоритма и сам алгоритм не имеют закладок/НДВ и т.д. будет кто?
                                А это не имеет значения.

                                Отсутствия закладок и НДВ, а также стойкости криптоалгоритма закон требуют только от средств квалифицированной ЭП, и то неявно (через требование об подтверждении соовтетствия). К неквалифицировпанной ЭП предъявляется только требование о формировании ЭП с помощью криптографического преобразования. Если бы речь шла о XORе данных с ключем, может быть и имело бы смысл беспокоиться, а уж в случае стандартизованных международными организациями (а международный стандарт у нас юридически равнозначен национаотному) криптоалгоритмов - не вижу проблемы.

                                Комментарий


                                • #17
                                  Сообщение от akitukitua Посмотреть сообщение
                                  В один момент потерялась? заявка на большую партию строй материалов, как и что не знаю, резюме, застройщик перечислил кучу денег продавану в счёт предоплаты строй материалов, а тот в срок не привёз их мотивируя тем, что не получал? (список был не подписан? а может ещё что?) списка заказанных строй материалов и соответственно у застройщика ушли сроки, обьект был важным, неустойки потеря репутации и прочее.
                                  Ой, какой бардак, даже если есть электронный документооборот, то в таких случаях звонят каждый день и ни по разу.

                                  Комментарий


                                  • #18
                                    Сообщение от Zuz Посмотреть сообщение
                                    Ой, какой бардак, даже если есть электронный документооборот, то в таких случаях звонят каждый день и ни по разу.
                                    ВЫ обьёмы представляете при большом строительстве? Если каждый раз звлнить зачем документооборот, они для етого всё и мутили, так как звонки уже не вариант был.
                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                    Комментарий


                                    • #19
                                      Сообщение от akitukitua Посмотреть сообщение
                                      ВЫ обьёмы представляете при большом строительстве? Если каждый раз звлнить зачем документооборот, они для етого всё и мутили, так как звонки уже не вариант был.
                                      Представляю. Видел как заводы проектируют и строят. Если тебе нужны материалы, всё равно звонят, хотя бы сверить какие заявки получили, есть ли какие проблемы, как оплачивать и т.п.

                                      Комментарий


                                      • #20
                                        Сообщение от Zuz Посмотреть сообщение
                                        Представляю. Видел как заводы проектируют и строят. Если тебе нужны материалы, всё равно звонят, хотя бы сверить какие заявки получили, есть ли какие проблемы, как оплачивать и т.п.
                                        Я так понимаю, что может и звонили, а манагер в запарке сказал что получили, контора крупная заказов вал, для этого и была придумана цепочка с электронной заявкой, но как всегда "человеческий фактор" победил.
                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                        Комментарий


                                        • #21
                                          Очевидно, я так понимаю, универсального подхода нет. УЦ MS - проще, дешевле, но неудобно администрировать и не будет сертификации регуляторов. УЦ Крипто Про и иже с ними - дорого, удобно администрировать и есть сертификации регуляторов. В целом так?

                                          Судя по ветке в основном все используют УЦ MS.

                                          Комментарий


                                          • #22
                                            Сообщение от DjirX Посмотреть сообщение
                                            Судя по ветке в основном все используют УЦ MS.
                                            У M$ нет УЦ. В составе ОС поставляется компонент, который называется Certification Authority. Удостоверяющий центр - это несколько иное. В 63-ФЗ есть определение. Все используют центр сертификации M$, т.к. любая более менее сложная инфраструктура требует сертификаты, для этого собственно этот компонент и есть составе ОС. Что касается сертификации регуляторов, то не понял о чём речь, УЦ - аккредитуются. Это требуется только в некоторых случаях, например, для выпуска квалифицированных сертификатов проверки ЭП.

                                            Потому вы скажите зачем вам УЦ, а какой он должен быть может и посоветуют.

                                            Комментарий


                                            • #23
                                              Сообщение от Zuz Посмотреть сообщение
                                              У M$ нет УЦ. В составе ОС поставляется компонент, который называется Certification Authority. Удостоверяющий центр - это несколько иное. В 63-ФЗ есть определение. Все используют центр сертификации M$, т.к. любая более менее сложная инфраструктура требует сертификаты, для этого собственно этот компонент и есть составе ОС. Что касается сертификации регуляторов, то не понял о чём речь, УЦ - аккредитуются. Это требуется только в некоторых случаях, например, для выпуска квалифицированных сертификатов проверки ЭП.

                                              Потому вы скажите зачем вам УЦ, а какой он должен быть может и посоветуют.
                                              В-первую очередь для выпуска сертификатов к ключам для внутреннего документооборота и для хранения документов с подписями в электронном виде в архиве.

                                              Комментарий


                                              • #24
                                                Сообщение от DjirX Посмотреть сообщение
                                                В-первую очередь для выпуска сертификатов к ключам для внутреннего документооборота и для хранения документов с подписями в электронном виде в архиве.
                                                Для внутреннего документооборота достаточно CA от M$. Если вы банк, то желательно использовать сертифицированные средства электронной подписи (см. СТО БР ИББС в части СКЗИ). Интересно, а о каких сроках хранения документов идёт речь?

                                                Комментарий


                                                • #25
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  Для внутреннего документооборота достаточно CA от M$. Если вы банк, то желательно использовать сертифицированные средства электронной подписи (см. СТО БР ИББС в части СКЗИ). Интересно, а о каких сроках хранения документов идёт речь?
                                                  Т.е. используем допустим СКЗИ от Signal-COM, а на запросы созданные с его помощью выпускаем через CA от M$? Будет ли это корректно согласно СТО БР ИББС...

                                                  Документы перечисленные в 2346-У.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от DjirX Посмотреть сообщение
                                                    Т.е. используем допустим СКЗИ от Signal-COM, а на запросы созданные с его помощью выпускаем через CA от M$? Будет ли это корректно согласно СТО БР ИББС...
                                                    Для целей внутреннего документооборота и даже для ДБО - да. А зачем Signal-COM? Есть же фактически бесплатный ViPNet CSP.

                                                    Сообщение от DjirX Посмотреть сообщение
                                                    Документы перечисленные в 2346-У.
                                                    А зачем тут УЦ? В 2346-У только хэш считать по ГОСТУ уметь надо. А сертификаты тут только вредят, подумайте о долгосрочном хранении.

                                                    Комментарий


                                                    • #27
                                                      Да кстати, такой же вопрос, только кто-то может поделиться примером регламента УЦ и отдельно формой соглашения с сотрудниками?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Zuz Посмотреть сообщение
                                                        А зачем тут УЦ? В 2346-У только хэш считать по ГОСТУ уметь надо. А сертификаты тут только вредят, подумайте о долгосрочном хранении.
                                                        А почему вредят, из-за того что они только год действуют? Какие альтернативные решения предложите?

                                                        По 2346-У не совсем понял про хэш, значит ли это что ЭП можно вообще не использовать?

                                                        Комментарий


                                                        • #29
                                                          Сообщение от DjirX Посмотреть сообщение
                                                          По 2346-У не совсем понял про хэш, значит ли это что ЭП можно вообще не использовать?
                                                          А вы точно 2346-У читали? ))) Когда я читал там было только про ярлыки для единиц хранения и расчет хэша по ГОСТу для каждого файла и собственноручные подписи...

                                                          Комментарий


                                                          • #30
                                                            Коллеги немного апну тему.
                                                            Кто-нибудь пытался использовать СА от MS (2008R2\2012R2) при попытках получения лицензии ФСБ по шифрованию?
                                                            По идее в 313ПП так и написано, что несертифицированные средства предоставляйте регулятору и так далее.
                                                            Схема при которой рассматривалось бы использование это: ЭП как в почте так и в документообороте, у тентификация сервера для шлюзов. Лиензия нужна для дочек.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 0. Участников: 0, гостей: 0.

                                                            Обработка...
                                                            X