The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Хранят ли УЦ закрытые ключи?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Разное)
Изначальное сообщение [ Отслеживать ]

"Хранят ли УЦ закрытые ключи?"  +2 +/
Сообщение от ООО Вектор (?), 27-Дек-19, 01:13 
Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый ключ, делаю csr и получаю открытый ключ.
А как обстоит дело с этим в нашем ЭЦП?
По телефону дали понять что все делается в УЦ на их оборудовании. На вопрос о закрытом ключе толком ответить не могут.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Аноним (1), 27-Дек-19, 08:42 
> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
> ключ, делаю csr и получаю открытый ключ.
> А как обстоит дело с этим в нашем ЭЦП?
> По телефону дали понять что все делается в УЦ на их оборудовании.
> На вопрос о закрытом ключе толком ответить не могут.

Закрытй ключ остаётся у них. Могут сказать, что нет, но это ложь.

Ответить | Правка | Наверх | Cообщить модератору

2. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от izyk (ok), 27-Дек-19, 17:28 
> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
> ключ, делаю csr и получаю открытый ключ.
> А как обстоит дело с этим в нашем ЭЦП?
> По телефону дали понять что все делается в УЦ на их оборудовании.
> На вопрос о закрытом ключе толком ответить не могут.

Делал через Taxcom. Через браузер csr. Возможно нужен CrypToPro.

Ответить | Правка | Наверх | Cообщить модератору

3. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Kasey00 (ok), 04-Май-20, 19:51 
>> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
>> ключ, делаю csr и получаю открытый ключ.
>> А как обстоит дело с этим в нашем ЭЦП?
>> По телефону дали понять что все делается в УЦ на их оборудовании.
>> На вопрос о закрытом ключе толком ответить не могут.
> Делал через Taxcom. Через браузер csr. Возможно нужен CrypToPro.

Время тоже улучшится.


Ответить | Правка | Наверх | Cообщить модератору

4. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Аноним (4), 07-Май-20, 10:19 
> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
> ключ, делаю csr и получаю открытый ключ.
> А как обстоит дело с этим в нашем ЭЦП?
> По телефону дали понять что все делается в УЦ на их оборудовании.
> На вопрос о закрытом ключе толком ответить не могут.

Ты и только ты, всегда сам, должен создавать приватный ключ. Публичную часть ключа, с распечаткой, подписью и печатью несеш им лично для удостоверения что это ты. Удостоверяющий центр подписывает только публичную часть ключа.

Если удостоверяющий центр скажет давайте мы за вас создадим приватный ключ не соглашайтесь - это развод лохов.

Для РФ генерил в КриптоПро которое завилось только под виндой, версия под GNU/Linux не работала (8 лет назад).

Ответить | Правка | Наверх | Cообщить модератору

5. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Licha Morada (ok), 07-Май-20, 21:02 

> Если удостоверяющий центр скажет давайте мы за вас создадим приватный ключ не
> соглашайтесь - это развод лохов.

Ещё может быть ущербена бюрократическая процедуры, или сам норматив.
Вы делаете правильное замечание, но, к сожалению, законодатели и дизайнеры услуг веремя от времени косячат на фундаментальном уровне. Объехать это трудно или невозможно, так что приходится оценивать риски. Или отказываться связываться вообще, отдавая преимущество конкурентам которые решили рискнуть.

Ответить | Правка | Наверх | Cообщить модератору

6. "Хранят ли УЦ закрытые ключи?"  +1 +/
Сообщение от Аноним (6), 11-Май-20, 17:42 
> Ещё может быть ущербена бюрократическая процедуры, или сам норматив.
> Вы делаете правильное замечание, но, к сожалению, законодатели и дизайнеры услуг веремя от времени косячат на фундаментальном уровне.

Я лично 8 лет назад получал ключи. Еще раз, пару открытый/приватный ключ создает лично владелец подписи. Мы для этого покупали комп и КрыптоПро, под виндой, для GNU/Linux не работало. Владелец создавал пару, публичный с запросом отдавал мне, а секретный хранил на своей спец флешке.

Я не подписывал обязаности инженера по ИБ, был самым обычным сысадмином.

Если они не захотят с паспортами лично перется в удостоверяющий центр, а они ВСЕ не захотели, то каждый пишет и надлежащим образом заверяет на твое имя доверенность. Потом со всеми этими доверенностям, распечатками публичных ключей и их отпечатков с мокрыми печатями и личными подписями, а также флешкой с публичными ключами и их запросами шел лично в удостоверяющий центр. Предъявлял свой паспорт с рук, они проверяли все доверенности, все распечатки ключей потом меня отпустили. Если будут косяки в доверенностям или распечатка ключей то конечно откажут! Через день два они перезвонили я к ним опять подошло и мне отдали флешку с уже подписанными публичными ключами.

Хоть инженером по ИБ официально не был, мозгоебщиком не являюсь по натуре, но если видел, что секретный ключ валяется не в надлежащем месте сразу отзывал серт! Файлы для отзыва всех сертификатов у меня были с публичными ключами. Потом заставлял создать новый сертификат и нес его публичную часть со всеми бумагами в удостоверяющий центр. У нас с ними был договор, на внезапные отзывы смотрели косо, но свою работу делали, новые серты подписывали без проблем.

Ответить | Правка | Наверх | Cообщить модератору

8. "Хранят ли УЦ закрытые ключи?"  +1 +/
Сообщение от Аноним (8), 16-Июл-20, 18:41 
>  к сожалению, законодатели и дизайнеры услуг веремя от времени косячат на фундаментальном уровне.

Ты мне пальцем в косяк ткни 63 ФЗ, написанный кажется более-мение нормально.

> Объехать это трудно или невозможно

Иск в суд на УЦ за нарушение ФЗ 63 с требованием лишить их лицензии и выплатить компенсацию морального вреда.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Берегитесь мошеннических УЦ."  +3 +/
Сообщение от Аноним (8), 16-Июл-20, 18:34 
> На вопрос о закрытом ключе толком ответить не могут.

Такие удостоверяющие центры, которые требуют отдать им приватный ключ, или сами создают приватный ключ и отдают клиенту надо лишать лицензии!

http://www.consultant.ru/document/cons_doc_LAW_112701/c50517.../

Приватный ключ:
5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

Публичный ключ:
6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

Результат деятельности Российского УЦ (сертификат на ваш публичный ключ):
2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
14) вручение сертификата ключа проверки электронной подписи - передача доверенным лицом удостоверяющего центра созданного этим удостоверяющим центром сертификата ключа проверки электронной подписи его владельцу;

Русский УЦ:
7) удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

Проверки Российского УЦ (подписать своим приватным ключом заявку на получение сертификата):
15) подтверждение владения ключом электронной подписи - получение удостоверяющим центром, уполномоченным федеральным органом доказательств того, что лицо, обратившееся за получением сертификата ключа проверки электронной подписи, владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному таким лицом для получения сертификата;

Ответить | Правка | Наверх | Cообщить модератору

9. "Ограничение проверок"  +/
Сообщение от Аноним (9), 19-Июл-20, 16:29 
Возможные проверки при выдачи сертификата усилений электронной подписи строго ограничены ст.10 ФЗ#63

http://www.consultant.ru/document/cons_doc_LAW_112701/e13bdc.../

Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей

1. При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:

1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;

3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

4) использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

2. Участники электронного взаимодействия не вправе устанавливать иные, за исключением предусмотренных настоящим Федеральным законом, ограничения признания усиленной квалифицированной электронной подписи. Нарушение запрета на ограничение ........ по любым причинам, кроме предусмотренных настоящим Федеральным законом, не допускается.

Ответить | Правка | Наверх | Cообщить модератору

10. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Аноним (10), 03-Авг-20, 14:48 
Пару приватный-публичный ключ вы создаете САМИ ЛИЧНО НА СВОЕМ ОБОРУДОВАГИИ.

Законодатель дает право создать приватный ключ по вашему обращению:

http://www.consultant.ru/document/cons_doc_LAW_112701/

ст. 13, п.1, пп. 7:
7) создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

Он обязан соблюдать конфиденциальность приватных ключей:
ст. 13, п.2, пп. 4:
4) обеспечивать конфиденциальность созданных удостоверяющим центром ключей электронных подписей;

Сертификаты ключей проверки электронных подписей УЦ создайте всегда сам и на своем оборудовании:

ст.13, п.1, пп.1:
1) создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям)...

ст.14, п.1:
1. Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем.

ст.17, п.1:
1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.

Ответить | Правка | Наверх | Cообщить модератору

11. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Аноним (10), 03-Авг-20, 15:00 
Прочел ФЕДЕРАЛЬНЫЙ ЗАКОН N 63 ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

Отбило охоту получать квалифицированную ЭП следующие два пункта:

ст. 18
п. 1, пп. 4
4) предложить использовать шифровальные (криптографические) средства, указанные в части 19 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", физическим лицам, обратившимся к нему в целях проведения идентификации без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы (для предоставления биометрических персональных данных физического лица в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством сети "Интернет"), и указать страницу сайта в информационно-телекоммуникационной сети "Интернет", с которой безвозмездно предоставляются эти средства. При этом в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством информационно-телекоммуникационной сети "Интернет" при выдаче сертификата ключа проверки электронной подписи отказывается от использования шифровальных (криптографических) средств, аккредитованный удостоверяющий центр обязан отказать такому лицу в проведении идентификации и выдаче сертификата ключа проверки электронной подписи.

Комент: А почему не предложить сразу вшить чип в *опу, а если не захотят то отказывать такому лицу.

п. 3
3. При получении квалифицированного сертификата заявителем он должен быть ознакомлен аккредитованным удостоверяющим центром с информацией, содержащейся в квалифицированном сертификате. Подтверждение ознакомления с информацией, содержащейся в квалифицированном сертификате, осуществляется под расписку посредством использования заявителем квалифицированной электронной подписи при наличии у него действующего квалифицированного сертификата либо посредством простой электронной подписи заявителя - физического лица, ключ которой получен им при личном обращении в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации, при условии идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы. Указанное согласие, подписанное электронной подписью, в том числе простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица. Удостоверяющий центр обязан хранить информацию, подтверждающую ознакомление заявителя с информацией, содержащейся в квалифицированном сертификате, в течение всего срока осуществления своей деятельности.

Комент: Почему не предусмотрена личная подпись на бумаге? Зачем мне еще надо получать простую ЭЦП?

Ответить | Правка | Наверх | Cообщить модератору

12. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Аноним (12), 10-Сен-20, 19:04 
> Прочел ФЕДЕРАЛЬНЫЙ ЗАКОН N 63 ОБ ЭЛЕКТРОННОЙ ПОДПИСИ
> Комент: А почему не предложить сразу вшить чип в *опу, а если
> не захотят то отказывать такому лицу.

Плохо прочитал ФЗ, попробуй ещё. Обязан предложить != Обязан аутентифицировать посредством ЕБС.

> Комент: Почему не предусмотрена личная подпись на бумаге? Зачем мне еще надо
> получать простую ЭЦП?

Ещё одно доказательство что читал плохо. Посмотри определение простой ЭП в том же ФЗ.
А подпись ты поставишь после выпуска ЭП на сведениях о сертификате, что "негласно" считается актом приемки-педерачи. Но это зависит от УЦ.

Ответить | Правка | Наверх | Cообщить модератору

13. "Хранят ли УЦ закрытые ключи?"  +/
Сообщение от Аноним (13), 11-Сен-20, 13:15 
> Плохо прочитал ФЗ, попробуй ещё. Обязан предложить != Обязан аутентифицировать посредством ЕБС.

"При этом в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством информационно-телекоммуникационной сети "Интернет" при выдаче сертификата ключа проверки электронной подписи отказывается от использования шифровальных (криптографических) средств, аккредитованный удостоверяющий центр ОБЯЗАН ОТКАЗАТЬ такому лицу в проведении идентификации и выдаче сертификата ключа проверки электронной подписи."

> Ещё одно доказательство что читал плохо. Посмотри определение простой ЭП в том же ФЗ.
> А подпись ты поставишь после выпуска ЭП на сведениях о сертификате, что "негласно" считается актом приемки-педерачи. Но это зависит от УЦ.

"Подтверждение ознакомления с информацией, содержащейся в квалифицированном сертификате, осуществляется под расписку посредством использования заявителем КВАЛИФИЦИРОВАННОЙ  ЭЛЕКТРОННОЙ ПОДПИСИ при наличии у него действующего квалифицированного сертификата либо посредством ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСИ заявителя - физического лица, ключ которой получен им при личном обращении в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации, при условии идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы. Указанное согласие, подписанное ЭЛЕКТРОННОЙ ПОДПИСЬЮ, в том числе ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСЬЮ, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица."

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру