Автор: Елена | 53557 | 15.09.2014 12:12 |
Товарищи, помогите, пожалуйста разобраться в вопросе.
В общем, на e-mail организации от нашего Удостоверяющего центра пришло письмо такого содержания: Информируем Вас о том, что в соответствии с Приказом ФСБ от 27.12.2011 № 796 ключи электронной подписи должны быть записаны на носители со встроенной функцией шифрования (токены), такие как Рутокен или eToken. Эти устройства обладают физической надежностью и высокой степенью защиты информации. Записывать ключи на незащищенные носители ( дискеты, флэшки) ЗАПРЕЩЕНО! ------------------------ Я посмотрела этот приказ. Конечно читала его не настолько детально, поэтому возможно и пропустила, но, в общем не нашла где там сказано, что нельзя записывать закрытые ключи ЭП на обычные флешки. Ткните носом, пожалуйста, или может быть УЦ просто хочет денег содрать с нас, а на самом деле допускает запись ключей на флешки? Спасибо! |
Автор: Артем | 53559 | 15.09.2014 13:28 |
Так Вы попросите УЦ дать разъяснение на основании какого пункта и какого абзаца вышеупомянутого приказа они делают заключение, что "Записывать ключи на незащищенные носители ( дискеты, флэшки) ЗАПРЕЩЕНО!". Желательно в письменном виде письмо от вас и ответ от них, чтобы не полемизировать с ними.
Но нам с Вами можно :) Возможно, они опираются на требования из "Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии (версия 4.3)" ( ==Начало цитаты== 12. При выборе программно-аппаратных средств для хранения ключевой информации следует учитывать, что данное средство должно иметь сертификат ФСТЭК России, подтверждающий, что:  данное устройство является программно-аппаратным средством аутентификации и хранения ключевой информации пользователей в автоматизированных системах до класса защищенности 1Г включительно;  может использоваться при создании информационных систем персональных данных до 1 класса включительно. При выборе в качестве программно-аппаратных средств для хранения ключевой информации устройств, реализующих криптографические алгоритмы и протоколы, указанные средства должны соответствовать требованиям приказа ФСБ России № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» в соответствии с утвержденной для информационной системы ОГВ моделью угроз. ==Конец цитаты== Однако, стоит отметить, что этот документ распространяется на применение в рамках "...межведомственном электронном взаимодействии при предоставлении государственных услуг (исполнении государственных функций) с использованием Единой системы межведомственного электронного взаимодействия (далее – СМЭВ) и региональных систем межведомственного электронного взаимодействия (далее – РСМЭВ).". А дальше уже можно развить полемику в части относится оно к Вам или нет. А еще этот документ носит характер рекомендаций. Также на форуме КриптоПро ( К тому же, в соответствии с тем же 63-ФЗ (и скорее всего в соответствии с регламентом УЦ), решение о компрометации (нарушении конфиденциальности) криптоключей владелец сертификата принимает самостоятельно "при наличии оснований полагать" это. А Вы, как владелец сертификата, можете всецело доверять вашему УЦ и не считать, что криптоключи, записанные на флешку, были скомпрометированы в момент их изготовления, тем более если Вы присутствовали лично. А при дальнейшем жизненном цикле Ваших криптоключей Вы сами должны обеспечить их конфиденциальность и никому не давать их использовать. А для этого можно использовать не только сертифицированный ключевой носитель, а например хранить флешку в сейфе, соблюдать "чистоту" Вашего компьютера, используя лицензионные антивирусные средства, системы защиты от несанкционированного доступа и т.п. |
Автор: Петр | 53560 | 15.09.2014 17:03 |
Елена, отпишитесь тут пожалуйста по итогам "полемики" с УЦ. очень интересно узнать на какой именно пункт вышеназванного вами приказа ваш УЦ ссылается и насколько это обоснованно
|
Автор: Елена | 53563 | 15.09.2014 18:49 |
Артем
Спасибо за мнение и выдержки из НПА. Петр В ближайшее время свяжусь с УЦ и попытаюсь выяснить детали, хотя бы на словах. |
Автор: Елена | 53649 | 23.09.2014 09:26 |
В общем по результатам получается следующее:
Представители УЦ несколько дней выясняли. а сегодня позвонили и начали мямлить, что это мол нужно, это обязательно, т.к. ЭП нужно защищать и т.п. Я говорю, что конечно нужно, но только почему ЭП ОБЯЗАТЕЛЬНО хранить ТОЛЬКО на носителях. с определенным техническими характеристиками, мол в каком НПА это сказано. Минут на 30 пропали, потом опять звоня и опять начинаю мямлить. В итоге я сама им сказал, что получается это установлено регламентом УЦ и больше мне ничего внятного не сказали. Но человек, который со мной разговаривал - менеджер. Консультировался он с кем или нет - не знаю, но в его компетенции я совсем не уверена. Вот так вот в общем. Поэтому я в серьезном раздумье.( |
Автор: Пессимист | 53676 | 25.09.2014 10:00 |
ИМХО:
Получив документ от контрагента со ссылкой на приказом ФСБ от 27.12.2011 № 796 следует: 1. Ознакомиться с приказом. 2. Понять относится ли этот приказ к вам. 3. Понять чем вам этот приказ грозит (в случае если к вам относится, если не относится то дальше можно ничего не делать). 4. Неофициально согласовать с контрагентом дальнейшие действия. 5. Закрепить неофициальные договоренности обменявшись официальными письмами. Подозреваю что УЦ нарывается на неприятности. И судя по тому что письмо по электронке а не через официальный документооборот понимает это. И они и вы скорее всего не сможете быстро задействовать встроенные функции шифрования токена. Сама по себе идея хранить закрытый ключ на токене хорошая а идея использовать токен с неизвлекаемым ключом очень хорошая. Только это не всегда можно реализовать на практике. |
Автор: Артем | 53687 | 26.09.2014 13:04 |
2Пессимист:
Ну, про неизвлекаемый (неэкспортируемый) ключ из токена вообще речи не шло. Само по себе это просто отлично, с т.з. безопасности, но плохо с т.з. надежности и доступности. К тому же нигде нет требования делать ключ неэкспортируемым. Если же смотреть глубже, то с т.з. безопасности надо использовать ФКН (функциональный ключевой носитель), который стоит в несколько раз дороже обычного токена (около 2000 руб.), не говоря уже о флешке. 2Елена: Токен - дело хорошее и не всегда сильно дороже обычной флешки (в пределах 300-400 руб. можно найти). Я знаю несколько УЦ, которые клиентам выдают токены бесплатно. |
Автор: Пессимист | 53721 | 30.09.2014 10:38 |
2Артём:
Фразу "ключи электронной подписи должны быть записаны на носители со встроенной функцией шифрования" я понял как требование использовать токен осуществляющий криптографические операции внутри, это фактически указание использовать ФКН. Но в тексте приказа ничего подобного напрямую нет, как я понимаю. |
Автор: Елена | 53853 | 08.10.2014 07:11 |
Добрый день!
Токены в любом случае будем покупать т.к. в скором будущем будет СМЭВ. Помогите, пожалуйста, разобраться еще в нескольких вопросах: 1) Если покупать токен, то RuToken или eToken? 2) Можно ли будет с токена самостоятельно с помощью криптопро сделать копию закрытого ключа (в реестр или на флешку), как это делается с обычной флешки или это будет сложнее? А на другой токен? 3) Токен, с точки зрения, использования работает так же как ключ в реестре (на флешке, дискете) или нужно еще дополнительные манипуляции совершать при подписании документа? Спасибо! |
Автор: Ученик, ООО | 53854 | 08.10.2014 09:55 |
Здравствуйте.
Если необходимо выполнение условия 2), то покупайте РуТокен S или Lite. У еТокенов и руТокен ЭЦП контейнер с ключевой информацией неизвлекаемый, т.е. скопировать закрытый ключ на другой носитель (в реестр) средствами КриптоПро CSP не сможете. 3) работа с токеном аналогичная работе с перечисленными Вами носителями. Есть ограничения по количеству контейнеров (читай закрытых криптоключей), которые можно записать на токен. Зависит от объема памяти токена. |
Просмотров темы: 17822