18 октября, четверг 20:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

MS CA как Удостоверяющий Центр для клиент-банка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • MS CA как Удостоверяющий Центр для клиент-банка

    Добрый день.

    Задумали перейти на CSP версии СКЗИ.

    Скажите, кто-нибудь использует MS CA
    как удостоверяющий центр для российских СКЗИ.

    Спасибо.
    IK Soft

  • #2
    IKSoft Насколько я знаю очень многие. MS CA - качественный лицензированный продукт. А в чем Вы видите проблему?
    С уважением,
    Каленбет Денис

    Комментарий


    • #3
      Сообщение от kalenbet Посмотреть сообщение
      IKSoft Насколько я знаю очень многие. MS CA - качественный лицензированный продукт. А в чем Вы видите проблему?
      Я просто ищу подходы.
      Либо покупать УЦ у производителя криптопровайдера (дороговато).
      Либо использовать MS CA. Но будет ли чисто с ФСБ? Почитал, похоже, запретов нет.
      Либо самому писать УЦ на CryptoAPI.
      IK Soft

      Комментарий


      • #4
        IKSoft
        Либо покупать УЦ у производителя криптопровайдера (дороговато).
        Обычно да, но бывают и недорогие варианты, здесь лучше всего поговорить с представителями компании разработчика клиент-банка и узнать, что они могут предложить.
        Либо использовать MS CA. Но будет ли чисто с ФСБ? Почитал, похоже, запретов нет.
        Запретов на тот или иной вид ПО, которое будет представлять услуги CA нет и быть не может. Есть определенные ограничения по сертифицированности того или иного CSP и регистрации CA в ФСБ, но последнее, насколько я знаю мало кто делает.
        Либо самому писать УЦ на CryptoAPI.
        А вот это напрямую зависит от Ваших способностей, кому то так действительно проще
        С уважением,
        Каленбет Денис

        Комментарий


        • #5
          Сообщение от kalenbet Посмотреть сообщение
          IKSoft
          Либо самому писать УЦ на CryptoAPI.
          А вот это напрямую зависит от Ваших способностей, кому то так действительно проще
          Спасибо за ответ.
          Я склоняюсь к тому, чтоб самому написать УЦ.
          Уже первые шаги сделал.

          Странно, Вы говорите, что многие банки используют MS CA, но
          никто не написал.
          IK Soft

          Комментарий


          • #6
            Уважаемые господа извините что вмешиваюсь.
            Но требуется уточнить некоторые слова:
            1. УЦ чтобы он зажил по ФЗ Об ЭЦП (именно этого видимо вы добиваетесь) должен быть зарегистрирован в ФАИТе (оно выполняет функции УФО) а не в ФСБ как кто ранее писал. Процедура вполне простая. Точнее даже не регистрация самого УЦ, а сертификата издателя.
            2. Опять же если собираетесь жить по закону (ФЗ Об ЭЦП) лучше использовать сертифицированные в ФСБ СКЗИ (что за собой тут же потянет необходимость наличия лицензий ФСБ).
            3. Сертификация самого УЦ в ФСБ – весч необязательная и кроме как создания вам неудобств ничего не гарантирует (поверьте моему опыту)


            Что касается написать УЦ самому, пишу это потому что наша компания является разработчиком PKI решений, опять же поверьте, создать продукт уровня УЦ, его сопровождать очень и очень не просто. Подумайте тысячу раз, прежде чем в это ввязываться. PKI – это собственная жизнь, со своими стандартами рекомендациями и т.п. которые (опять же поверьте моему опыту) придуманы совсем не зря.

            Комментарий


            • #7
              Сообщение от Sergey_Murugov Посмотреть сообщение
              1. УЦ чтобы он зажил по ФЗ Об ЭЦП (именно этого видимо вы добиваетесь) должен быть зарегистрирован в ФАИТе (оно выполняет функции УФО) а не в ФСБ как кто ранее писал. Процедура вполне простая. Точнее даже не регистрация самого УЦ, а сертификата издателя.
              Спасибо, учту.



              Сообщение от Sergey_Murugov Посмотреть сообщение
              2. Опять же если собираетесь жить по закону (ФЗ Об ЭЦП) лучше использовать сертифицированные в ФСБ СКЗИ (что за собой тут же потянет необходимость наличия лицензий ФСБ).
              Это да, естественно.

              Сообщение от Sergey_Murugov Посмотреть сообщение
              3. Сертификация самого УЦ в ФСБ – весч необязательная и кроме как создания вам неудобств ничего не гарантирует (поверьте моему опыту)
              Тогда отпадает.

              Сообщение от Sergey_Murugov Посмотреть сообщение
              Подумайте тысячу раз, прежде чем в это ввязываться.
              Ух, а мне с первого взгляда показалось не так это сложно.
              В MSDN примеры просмотрел, на форуме КриптоПрома почитал,
              статьи разные. Генерацию ключей, запрос на сертификат закодировал уже...
              Да и УЦ по Агаве кто-то ж сделал. Я читал доку по ней и прямь все функции CryptoAPI узнавал.
              Ладно, подумаю еще раз.
              IK Soft

              Комментарий


              • #8
                Добрый вечер.
                Хорошо что слова пригодились :-)
                В УЦ самая большая засада не в генерации ключей , а в обеспечении жизненного цикла этих самых ключей. CRL, deltaCRL, обеспечение многосменности (у нас ведь по законодательству издатель - это физлицо, а ему и по спать надо и в отпуск сходить и т.п.), что писать в сертификте (не дай бог вляпаться можно в опубликование персональных данных), как обеспечить связь сертификата (идентифицированного субъекта) и банковскую инфу, как обеспечить целостность этой связки и т.д. и т.п.
                Встречный вопрос "УЦ по Агаве" - это что?

                Комментарий


                • #9
                  Сообщение от Sergey_Murugov Посмотреть сообщение
                  В УЦ самая большая засада не в генерации ключей , а в обеспечении жизненного цикла этих самых ключей.
                  Да судя по тому, как мы сами получали сертификаты в НБКИ
                  Они там особо не утруждают себя круглосуточным бдением.

                  Сообщение от Sergey_Murugov Посмотреть сообщение
                  Встречный вопрос "УЦ по Агаве" - это что?

                  Вообще-то он у них называется Центр сертификации. По-моему, это одно и то же, что и УЦ. Если не прав, поправьте.
                  R-Style SoftLab для InterBank
                  IK Soft

                  Комментарий


                  • #10
                    Sergey_Murugov 1. УЦ чтобы он зажил по ФЗ Об ЭЦП (именно этого видимо вы добиваетесь) должен быть зарегистрирован в ФАИТе (оно выполняет функции УФО) а не в ФСБ как кто ранее писал.

                    А можете дать чуть более полную информацию о ФАИТе, что за организация, на основании каких нормативных документов она действует. Ну очень интересно
                    С уважением,
                    Каленбет Денис

                    Комментарий


                    • #11
                      Это ФАИТ:
                      http://www.minsvyaz.ru/departments/r...bmSessionCheck
                      А это тот самый Реестр УФО (по ФЗ Об ЭЦП) где лежат сертификаты издателей.
                      http://www.reestr-pki.ru/
                      По поводу , кто кого не сильно утруждает - все это делается исключительно для подкладывания соломки при разборе полетов или проверок. Считаете свои риски незначительными - можно и не соблюдать формальности - дело ваше :-)

                      Комментарий


                      • #12
                        УЦ чтобы он зажил по ФЗ Об ЭЦП (именно этого видимо вы добиваетесь) должен быть зарегистрирован в ФАИТе
                        Неправда ваша. Согласно тому же закону ЭЦП регистрируется только сертификат УЦ общего пользования. Клиент-банковский УЦ - это копроративная информационная система, соотв. регистрация не нужна.

                        Комментарий


                        • #13
                          См. ФЗ-1 Статья 10 пункт 1 !!!
                          В каком месте этой Статьи вы нашли слова "общего пользования" или "корпоративный" УЦ?

                          Комментарий


                          • #14
                            ФЗ-1, ст.10, п.2
                            Уполномоченный федеральный орган исполнительной власти ведет единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров.

                            Хотя Вы правы, если участники корпоративной ИС в утвердят в договоре в части "Разрешение конфликтных ситуаций" участие третьей стороны, либо стороннее рассмотрение споров в том же ФАИТ (это мои предположения, практики подобного рода не имею, короче IMHO).

                            Не забываем и о Ст.17:
                            3. Содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.

                            Комментарий


                            • #15
                              Э... Кхм.
                              А, собственно, почему всё упирается в УЦ?
                              Для клиент-банка УЦ не нужен, поскольку оный клиентбанк - по сути своей корпоративная система. Т.е. пользователю нужно знать только открытый ключ банка, открытые ключи других пользователей ему без надобности (единственный, кто должен знать все открытые ключи - это банковский криптосервер). Следовательно, никакой такой публикации персональных данных не должно быть в принципе. В частности.
                              То, что стало модно делать криптографию x509-совместимой и городить систему, технически позволяющую реализовывать УЦ, это всё от лукавого.
                              Мы используем MS CA (насчёт бесплатности не сказал бы - это полноценная лицензия на Windows 2003, т.е. больше 15 тыр на текущий момент времени), отрезанный нафиг от сети вообще, а запросы на сертификаты таскаем к нему на дискетке. В качестве крипографии - сигналком. Интерфейсом к MS CA - стандартный MSIE (через loopback adapter, иначе IIS не стартует).

                              Неудобно, но притерпеться можно. В частности (если вдруг будете выставлять MS CA в сеть для саморегистрации) - в интерфейсе "просмотр запросов на сертификаты" невозможно увидеть открытый ключ, соответственно выдавать/отвергать будете вслепую. Есть повод задуматься.
                              /kiv

                              Комментарий


                              • #16
                                Для Kess: п1 – касается обязанностей УЦ, п2 – обязанности УФО. Да, пункты не однозначно коррелируются, но если вы внимательно почитаете закон, то там таких моментов масса !!! Поэтому все отдается вам на откуп, и в данном случае лучше перебдеть, там паче это не так сложно, опять же как вы правильно заметили, дает вам возможность использовать (ссылаться) на TTP – некоего третьего при разборе полетов.


                                Для Илюха: В УЦ упирается только потому (как мне видится) что поручение банку распоряжаться счетом удаленно должно опираться на электронный документообмен, влекущий за собой юридически значимые действия. Соответственно для этого надо подложить какой либо законодательный базис под задницу. Проще всего это сделать на основе ЭЦП по ФЗ-1, а из этого следует УЦ. Все остальное тоже вполне возможно, но влечет за собой более сложные схемы договоров и регламентов разбора полетов. По поводу вашего замечания об отсутствии публичного Реестра – этого для корпоративных систем ФЗ-1 и не требует (насколько я помню). Далее у вас какая то каша:Х509, УЦ, лукавый, вы определитесь что хотите и какой кровью, хоть на каменных табличках высекайте платежки – не проблема, только риски учитывайте, как что потом доказывать.

                                Комментарий


                                • #17
                                  отсутствии публичного Реестра – этого для корпоративных систем ФЗ-1 и не требует (насколько я помню)

                                  Плохо помните. Вот указывать в нём фамилию - действительно не требуется, достаточно псевдонима.

                                  какой либо законодательный базис под задницу

                                  Гражданского кодекса стало недостаточно? Удивительное рядом.

                                  Далее у вас какая то каша: Х509, УЦ, лукавый, вы определитесь что хотите и какой кровью, хоть на каменных табличках высекайте платежки – не проблема, только риски учитывайте, как что потом доказывать

                                  См. свой договор ****-ОЭС со своим отделением. Очень хороший пример, "как что доказывать", не обязуясь предоставлять открытый ключ любого пользователя и список отзыва любому пользователю системы по его запросу, не требуя предварительное заявление о выпуске сертификата с указанием паспортных данных заявителя, не требуя подписей участника под сертификатом и заявлением отдельно (а только под открытым ключом один раз), не обязуясь уведомлять участника о приостановлении действия его ключа и пр.

                                  Собственно, Вы сами только что тут всем собравшимся рассказывали про ещё некоторые формальности, которые должен выполнять владелец УЦ. Ну, про госреестр ещё можно подискутировать, а вот про аттестацию системы по какому-нибудь не самому хреновому классу дискуссий быть, к сожалению, не может, и тут гораздо больше грабель, чем можно заранее предположить: см, например, документацию на свой CSP.

                                  Вот мне и кажется, что нафиг. Пусть УЦ и высокие идеи будут сами по себе, а банкклиенты сами по себе. Тем более, что даже 1-ФЗ предусматривает "иные АСП".
                                  /kiv

                                  Комментарий


                                  • #18
                                    К сожалению, у вас опять путаница: Реестр – это хранилище выпущенных сертификатов, то место откуда можно взять сертификат с ключом если он отсутствует в ЭЦП и проверить эту самую ЭЦП. А вот ФИО или псевдоним – это то что пишется в сабжекте самого сертификата. Соответственно публичность Реестра для систем общего пользования очевидна – неизвестно кто кому что написал и возможно сертификатик и не подложил, для корпоративных систем – этого не требуется (я так и написал – сейчас заглянул в ФЗ-1 Ст. 17 п.3 и убедился что я помню хорошо  ), поскольку регулятор в такой системе есть корпорация и она определяет и правила и направления информационных потоков внутри себя.
                                    Удивительное не рядом, Гражданского кодекса вполне достаточно  Но предлагается более изящное и стандартная решение – реализация.
                                    У меня нет такого договора с банком, лично у меня и карточки нет, не верю я в эти технологии и ЭЦП  А если серьезно, нужды не было.
                                    А ваша уверенность про аттестацию системы меня настораживает, повторюсь, даже сертификация УЦ как технического решения есть весч необязательная и на практике мешающая даже исправить простенькую ошибку или изменить функционал в системе. Интересно, на основании чего и каких требований вы собираетесь аттестацию проводить, причем безаппеляционно, и в какой конторе: ФСБ, ФСТЭК? Кстати мне и посмотреть не куда, у меня нет «документации на свой CSP» Мы с Виндусней стараемся вообще делов не иметь, работаем на крипте с АПИ PKCS#11, а там про аттестацию ну точно не написано.

                                    Комментарий

                                    Пользователи, просматривающие эту тему

                                    Свернуть

                                    Присутствует 1. Участников: 0, гостей: 1.

                                    Обработка...
                                    X