Форум ''Интернет и Право''
28 Марта 2024, 17:38:18 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Применение ЭЦП  (Прочитано 11088 раз)
zver
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 24


кто понял жизнь, тот не торопится


« : 06 Марта 2008, 11:15:36 »

Имеется программное обеспечение, одна из компонент которого реализует функции инфраструктуры открытых ключей. В качестве "криптоядра" применяется КриптоПро CSP 1.1. Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Вопрос:
Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"?
Записан
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #1 : 08 Марта 2008, 17:20:40 »

Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Требуется пояснить: секретный ключ хранится в реестре? Если да, то в реестре какой машины - ЦС или подписанта?
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
zver
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 24


кто понял жизнь, тот не торопится


« Ответ #2 : 12 Марта 2008, 09:05:07 »

Кривизна ПО требует использования реестра Windows в качестве считывателя ключевого носителя.
Требуется пояснить: секретный ключ хранится в реестре? Если да, то в реестре какой машины - ЦС или подписанта?
Секретный ключ ЦС хранится в реестре машины с ПО ЦС, секретный ключ подписанта в реестре машины подписанта.
В обоих случаях путь ветки вида:
HKLM\SOFTWARE\Crypto Pro\Settings\USERS\USER_NAME\Keys\MCSKEY_KEY_ID,
где USER_NAME - имя пользователя (в случае ЦС - USER_NAME == SecurityService), KEY_ID == ID ключа.

Еще присутсвует одна особенность реализации PKI:
При кодировании любого документа на открытом ключе адресата, параллельно осуществляется кодирование на открытом ключе специального системного пользователя (т.н. MasterKey). Таким образом получается 2 сессионных ключа для закодированного документа. Производитель такое решение преподносит как возможность перекодирования документа при утере секретных ключей отправителя и адресата.
Такой подход оправдан или имеет смысл каким-либо способом организовать backup секретных ключей пользователей на случай их утери/порчи?
Записан
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #3 : 12 Марта 2008, 18:29:47 »

Вопрос:
Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"?
Думаю, в описанной ситуации неотрекаемость может быть лишь чисто формальной. То есть, система реально не защищена, но хитро составленный договор может обеспечить принцип "клиент всегда виноват".
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
zver
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 24


кто понял жизнь, тот не торопится


« Ответ #4 : 13 Марта 2008, 09:03:45 »

Вопрос:
Какие основные организационно-технические меры следует принять для обеспечения "корпоративной неотрекаемости ЭЦП"?
Думаю, в описанной ситуации неотрекаемость может быть лишь чисто формальной. То есть, система реально не защищена, но хитро составленный договор может обеспечить принцип "клиент всегда виноват".
Имменно поэтому и написал "корпоративная неотрекаемость", о полноценной замене рукописной подписи говорить тут не приходится.
Система функционирует внтури одной организации и интересует какими внутрикорпоративными нормативными документами лучше всего отрегулировать применение ключей?
Следует ли писать полноценную Политику применения сертификатов (по RFC3647) или ограничится положением в Политике инф безопасности предприятия?
Записан
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #5 : 17 Марта 2008, 14:46:03 »

Система функционирует внтури одной организации и интересует какими внутрикорпоративными нормативными документами лучше всего отрегулировать применение ключей?
Можно использовать любые внутрикорпоративные документы. Но следует помнить, что, какие документы ни составляй, последнее слово не останется за владельцем ИС. Даже если в Политике, Процедуре и Приказе написано, что чёрное - это белое, на этом основании взыскать с работника убытки не получится.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Elemuss
Посетитель
*
Офлайн Офлайн

Сообщений: 1


С любовью к ближнему


« Ответ #6 : 27 Января 2009, 12:43:40 »

Пожалуйста помогите!!!!! Привидите пример полноценной политики применения ЭЦП в учреждении.
Записан
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines