|
Название: Применение ЭЦП Отправлено: zver от 06 Марта 2008, 11:15:36 Имеется программное обеспечение, одна из компонент которого реализует функции инфраструктуры открытых ключей. В качестве "криптоядра" применяется КриптоПро CSP 1.1. Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Вопрос: Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"? Название: Re:Применение ЭЦП Отправлено: Николай Николаевич Федотов от 08 Марта 2008, 17:20:40 Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя. Требуется пояснить: секретный ключ хранится в реестре? Если да, то в реестре какой машины - ЦС или подписанта?Название: Re:Применение ЭЦП Отправлено: zver от 12 Марта 2008, 09:05:07 Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя. Требуется пояснить: секретный ключ хранится в реестре? Если да, то в реестре какой машины - ЦС или подписанта?В обоих случаях путь ветки вида: HKLM\SOFTWARE\Crypto Pro\Settings\USERS\USER_NAME\Keys\MCSKEY_KEY_ID, где USER_NAME - имя пользователя (в случае ЦС - USER_NAME == SecurityService), KEY_ID == ID ключа. Еще присутсвует одна особенность реализации PKI: При кодировании любого документа на открытом ключе адресата, параллельно осуществляется кодирование на открытом ключе специального системного пользователя (т.н. MasterKey). Таким образом получается 2 сессионных ключа для закодированного документа. Производитель такое решение преподносит как возможность перекодирования документа при утере секретных ключей отправителя и адресата. Такой подход оправдан или имеет смысл каким-либо способом организовать backup секретных ключей пользователей на случай их утери/порчи? Название: Re:Применение ЭЦП Отправлено: Николай Николаевич Федотов от 12 Марта 2008, 18:29:47 Вопрос: Думаю, в описанной ситуации неотрекаемость может быть лишь чисто формальной. То есть, система реально не защищена, но хитро составленный договор может обеспечить принцип "клиент всегда виноват". Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"? Название: Re:Применение ЭЦП Отправлено: zver от 13 Марта 2008, 09:03:45 Вопрос: Думаю, в описанной ситуации неотрекаемость может быть лишь чисто формальной. То есть, система реально не защищена, но хитро составленный договор может обеспечить принцип "клиент всегда виноват". Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"? Система функционирует внтури одной организации и интересует какими внутрикорпоративными нормативными документами лучше всего отрегулировать применение ключей? Следует ли писать полноценную Политику применения сертификатов (по RFC3647) или ограничится положением в Политике инф безопасности предприятия? Название: Re:Применение ЭЦП Отправлено: Николай Николаевич Федотов от 17 Марта 2008, 14:46:03 Система функционирует внтури одной организации и интересует какими внутрикорпоративными нормативными документами лучше всего отрегулировать применение ключей? Можно использовать любые внутрикорпоративные документы. Но следует помнить, что, какие документы ни составляй, последнее слово не останется за владельцем ИС. Даже если в Политике, Процедуре и Приказе написано, что чёрное - это белое, на этом основании взыскать с работника убытки не получится.Название: Re:Применение ЭЦП Отправлено: Elemuss от 27 Января 2009, 12:43:40 Пожалуйста помогите!!!!! Привидите пример полноценной политики применения ЭЦП в учреждении.
|