Форум ''Интернет и Право''

Основной раздел => Средства защиты информации => Тема начата: zver от 06 Март 2008, 11:15:36



Название: Применение ЭЦП
Отправлено: zver от 06 Март 2008, 11:15:36
Имеется программное обеспечение, одна из компонент которого реализует функции инфраструктуры открытых ключей. В качестве "криптоядра" применяется КриптоПро CSP 1.1. Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Вопрос:
Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"?


Название: Re:Применение ЭЦП
Отправлено: Николай Николаевич Федотов от 08 Март 2008, 17:20:40
Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Требуется пояснить: секретный ключ хранится в реестре? Если да, то в реестре какой машины - ЦС или подписанта?


Название: Re:Применение ЭЦП
Отправлено: zver от 12 Март 2008, 09:05:07
Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Требуется пояснить: секретный ключ хранится в реестре? Если да, то в реестре какой машины - ЦС или подписанта?
Секретный ключ ЦС хранится в реестре машины с ПО ЦС, секретный ключ подписанта в реестре машины подписанта.
В обоих случаях путь ветки вида:
HKLM\SOFTWARE\Crypto Pro\Settings\USERS\USER_NAME\Keys\MCSKEY_KEY_ID,
где USER_NAME - имя пользователя (в случае ЦС - USER_NAME == SecurityService), KEY_ID == ID ключа.

Еще присутсвует одна особенность реализации PKI:
При кодировании любого документа на открытом ключе адресата, параллельно осуществляется кодирование на открытом ключе специального системного пользователя (т.н. MasterKey). Таким образом получается 2 сессионных ключа для закодированного документа. Производитель такое решение преподносит как возможность перекодирования документа при утере секретных ключей отправителя и адресата.
Такой подход оправдан или имеет смысл каким-либо способом организовать backup секретных ключей пользователей на случай их утери/порчи?


Название: Re:Применение ЭЦП
Отправлено: Николай Николаевич Федотов от 12 Март 2008, 18:29:47
Вопрос:
Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"?
Думаю, в описанной ситуации неотрекаемость может быть лишь чисто формальной. То есть, система реально не защищена, но хитро составленный договор может обеспечить принцип "клиент всегда виноват".


Название: Re:Применение ЭЦП
Отправлено: zver от 13 Март 2008, 09:03:45
Вопрос:
Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"?
Думаю, в описанной ситуации неотрекаемость может быть лишь чисто формальной. То есть, система реально не защищена, но хитро составленный договор может обеспечить принцип "клиент всегда виноват".
Имменно поэтому и написал "корпоративная неотрекаемость", о полноценной замене рукописной подписи говорить тут не приходится.
Система функционирует внтури одной организации и интересует какими внутрикорпоративными нормативными документами лучше всего отрегулировать применение ключей?
Следует ли писать полноценную Политику применения сертификатов (по RFC3647) или ограничится положением в Политике инф безопасности предприятия?


Название: Re:Применение ЭЦП
Отправлено: Николай Николаевич Федотов от 17 Март 2008, 14:46:03
Система функционирует внтури одной организации и интересует какими внутрикорпоративными нормативными документами лучше всего отрегулировать применение ключей?
Можно использовать любые внутрикорпоративные документы. Но следует помнить, что, какие документы ни составляй, последнее слово не останется за владельцем ИС. Даже если в Политике, Процедуре и Приказе написано, что чёрное - это белое, на этом основании взыскать с работника убытки не получится.


Название: Re:Применение ЭЦП
Отправлено: Elemuss от 27 Январь 2009, 12:43:40
Пожалуйста помогите!!!!! Привидите пример полноценной политики применения ЭЦП в учреждении.