пока нет.. ... но несколько человек проверили - работает у них.. заходит.. ... если че-нидь придумаю - напишу..других мыслей нет?
Электронная цифровая подписьКто нибудь получал?
#27
Отправлено 20.05.2009, 20:52:25
да просто как-то просили меня поставить ЭЦП, я все что там есть на диске ПО установил кроме 7 IE (там винда была не лиц. - лень было возится), так вот при установке ЭЦП - там 2 файла - один установился, а на второй заругался что-то вроде не найден чего то там (вроде поставщик криптографии - не помню уже)шестой пойдет..надо обязательно IE 7 ставить?
в чем кстати смысл этих двух файлов ЭЦП - нужны оба?
#28
Отправлено 20.05.2009, 22:14:24
Не нужно сразу так категорично, унижать незнакомого Вам собеседника...читаем закон об ЭЦП РК... учим матчастьИм что денег не хватило хотя бы, получить валидный сертификат на свой сайт, я уже не говорю о подписи ихнего корневого сертификата
Ну по ЭЦП и инфо безу матчасть я наверное получше Вашего знаю...
Как Вы наверное знаете, все системы ЭЦП строятся на доверии к корневому УЦ (удостоверяющему центру).
И в популярные ОС (операционные системы) уже изготовителем "вшиты" корневые сертификаты основных международных УЦ. И используется алгоритм RSA.
В Казахстане и России в качестве стандарта принят другой алгоритм цифровой подписи - основанный на эллиптических кривых ГОСТ Р 34.10-2001. Он не встроен в ОС Windows, поэтому и приходится ставить криптопровайдера ТУМАР, с реализацией этого алгоритма. И руками добавлять сертификат по алгоритму ГОСТ нашего корневого УЦ.
В этом нет ничего страшного, кроме одного: Я НЕ МОГУ ПРОВЕРИТЬ ДОСТОВЕРНОСТЬ САЙТА, с которого предлагают скачать КОРНЕВОЙ СЕРТИФИКАТ... Сайт можно клонировать, и при помощи атаки на DNS сервера, заставить пользователя обратится к клонировнанному сайту, а не к настоящему, и выдать ему ложный сертификат.
Самое простое решение этой проблемы, получить SSL сертификат на WEB сайт нашего УЦ, у какого нибудь международного УЦ. Тогда можно будет быть увереным, что это сайт УЦ, а не его подделка...
Или выдавать корневой сертификат нашего УЦ в ЦОНе, на CD носителе с защитой от подделки (голограмма на носителе)...
ОСНОВНАЯ ПРОБЛЕМА В ДОВЕРИИ...
Далее по поводу сертификатов RSA, выдаваемых нашим УЦ... - они будут валидны лишь только в случае помещения в ОС его корневого УЦ... Что опять нужно делать ручками... И я не думаю что мой партнер по переписке или клиент моего интернет магазина из-за бугра, будет это делать... С чего бы ему доверять нашему УЦ, чей сертификат самоподписной...
Так зачем мне этот сертификат от нашего УЦ? Проще получить нормальный серификат от зарубежного УЦ, чей сертификат подписан или входит в цепочку сертификации (доверия) одного из основных международных корневых УЦ... И не испытывать головной боли...
В итоге получается, наш корневой УЦ не может выдавать валидные в остальном мире RSA сертификаты... т.е. для получения валидного во всем мире сертификата, к примеру на WEB сайт мне нужно получать его у зарубежного УЦ, включенного в международные "цепочки" сертификации... И платить денюжку ему, а не нашему УЦ...
Что мешает нашему УЦ, кроме амбиций, подписать свой корневой RSA сертификат у Verisign, к примеру?
Тогда бы не возникало никаких проблем в международной валидности RSA сертификатов, выданных нашим УЦ...
P.S.
ПАРАНОЙЯ - это мое профессиональное заболевание...
Если вы ничего не замечаете, это еще не значит, что за Вами не следят...
Сообщение отредактировал Den_KZ: 20.05.2009, 22:22:57
#29
Отправлено 21.05.2009, 10:05:12
не стоит так категоричноНу по ЭЦП и инфо безу матчасть я наверное получше Вашего знаю...
оно не "вшито"..... оно просто установлено.. и очень легко удаляется.. ..И в популярные ОС (операционные системы) уже изготовителем "вшиты" корневые сертификаты основных международных УЦ. И используется алгоритм RSA.
ага... так же как и любой сертификат любого другого УЦ...И руками добавлять сертификат по алгоритму ГОСТ нашего корневого УЦ.
в соответстии с иерархической архитектурой PKI самоподписанный сертификат корневого УЦ является таким элементом, подлинность которого никем не заверяется... ..кста такой вопрос: где взять ложный ГОСТОВЫЙ сертификат коневого УЦ? Вы можете его выпустить?а не к настоящему, и выдать ему ложный сертификат.
Еще вопрос: ок.. допустим выпустили ложный сертификат.. что потом? пользовательские ключи будут выпущены ДЕЙСТВИТЕЛЬНЫМ УЦ... .. нафик вообще ложный если подпись на пользовательских сертификатах не проверится?
любой(!) самоподписанный сертификат (а сертификат любого корневого УЦ - самоподписанный) должен быт помещен в хранилище доверенных УЦ Windows.. к сертификатам RSA других УЦ это тоже относится..Далее по поводу сертификатов RSA, выдаваемых нашим УЦ... - они будут валидны лишь только в случае помещения в ОС его корневого
для получения юридически значимой ЭЦП в Казахстане..Так зачем мне этот сертификат от нашего УЦ?
законодательство...что вам мешает, кроме ваших амбиций, прочитать внимательно таки Закон об ЭЦП?Что мешает нашему УЦ, кроме амбиций, подписать свой корневой RSA сертификат у Verisign, к примеру?
Вот еще вопрос: почему вы доверяете тому же Verisign? У них тот же самый самоподписанный сертификат в итоге? ...Просто потому что ПРИНЯТО доверять Verisign... и все... isn`t?
По поводу забугорных контактов: если оно вам надо - то покупайте сертификат у забугорных УЦ... Чоуш....Вот только подпись эта будет юридически значима за бугром...Если заверите ее ГОСТовой дополнительно - будет значима и у нас.. Воот...
Я так поняла: ваша основная претензия, что в КЗ закон о подписи устанавливает ГОСТ, а не RSA...
Сообщение отредактировал topcraze: 21.05.2009, 10:06:51
#30
Отправлено 21.05.2009, 10:18:50
если не найден поставщик криптографии, значит не установлен Tumar CSP, ну или лицензия к нему..да просто как-то просили меня поставить ЭЦП, я все что там есть на диске ПО установил кроме 7 IE (там винда была не лиц. - лень было возится), так вот при установке ЭЦП - там 2 файла - один установился, а на второй заругался что-то вроде не найден чего то там (вроде поставщик криптографии - не помню уже)
в чем кстати смысл этих двух файлов ЭЦП - нужны оба?
2 ЭЦП: один сертификат ГОСТовый, другой RSAшный... Один нужен для SSL соединения к Web-интерфейсу, другой для проверки подписи пользовательского сертификата..
#31
Отправлено 21.05.2009, 10:48:57
Кроме амбиций мешает то что это будет уже УЦ не наш а Verisign.Что мешает нашему УЦ, кроме амбиций, подписать свой корневой RSA сертификат у Verisign, к примеру?
Если бы компания Verisign давала возможность делать это она бы уже давно разорилась бы, из-за того что у нее бы покупали только 1 ключ (сертификат) для подписи своего УЦ (к примеру построенного на УЦ от Microsoft) и все дальше я выпускаю сертификаты для других (и они так же будут проверяться). При этом их ценовая политика у них не совсем привлекательная. Это касается всех коммерческих УЦ.
#32
Отправлено 21.05.2009, 12:26:29
Вы наверное меня не правильно поняли...
Давайте по порядку:
1. По ЭЦП ГОСТ:
У меня нет никаких претензий к реализации и использованию ГОСТ...
есть небольшие замечания по СХЕМЕ РАСПРОСТРАНЕНИЯ КОРНЕВОГО СЕРТИФИКАТА УЦ...
Вся работа ЭЦП построена на ДОВЕРИИ к корневому УЦ... Это Вы не отрицаете ?
Следовательно КОРНЕВОЙ СЕРТИФИКАТ ДОЛЖЕН БЫТЬ ПОЛУЧЕН ПО КАНАЛАМ ЗАСЛУЖИВАЮЩИМ ДОВЕРИЕ.
Например в ЦОНе... на носителе не поддающимся подделке... Это не удобно, но безопасно...
Можно и через ВЕБ-сайт, но Веб сайт нашего УЦ, защищен своим самоподписным сертификатом... Почему я ему должен Доверять ? Откуда мне известно, что я действительно зашел на него, а не на фэйк ?
Вы согласитесь предоставить данные своей кредитки, в Интернет магазине, защищенном самоподписным сертификатом ?
Раз сертификаты SSL RSA выданные, примеру Verisign, по умолчанию проходят проверку в ОС, почему бы не получить такой сертификат на ВЕБ-сайт нашего УЦ ? что мешает ? Какой закон ?
Либо поскорее выполнить условия, см п. 2
Вот все мои претензии к WEB-сайту нашего УЦ...
2. По RSA:
Что бы нормально пользоватся (по всему миру) выданными нашим УЦ RSA сертификатом нужно добавить сертификат нашего корневого УЦ в список корневых сертификатов, поставляемых с ОС... (К примеру, Латвийский, Корейский, Турецкий корневой УЦ, там уже есть), а мы чем хуже или "мы пойдем свои путем"? В чем я здесь неправ ?
Пока этого не сделано, для тех кому нужен RSA сертификат, валидный по всему миру, будут получать его за рубежом...
Вот и все...
#33
Отправлено 21.05.2009, 13:56:55
не отрицаю..Вся работа ЭЦП построена на ДОВЕРИИ к корневому УЦ... Это Вы не отрицаете ?
Далее...
Сертификат, который удостоверяет личность обладателя вообще не может быть самоподписанным.. А сертификат корневого УЦ не может использоваться для удостоверения личности.. Так что вопрос:
сам по себе некорректен.. .. В интернет-магазине может быть только пользовательский сертификат от корневого УЦ.. ..Вы согласитесь предоставить данные своей кредитки, в Интернет магазине, защищенном самоподписным сертификатом ?
что значит проходят проверку в ОС? ... не поняла...Раз сертификаты SSL RSA выданные, примеру Verisign, по умолчанию проходят проверку в ОС
Еще раз спрошу: нафик делать фейк? ...Откуда мне известно, что я действительно зашел на него, а не на фэйк ?
*вся инфраструктура завязана на один УЦ.. замена корневого сертификата приведет к неработоспособности всех элементов... след. ни одна транзакция не будет осуществлена.. либо необходим первыпуск ВСЕХ сертификатов пользователей.. в нашем случае такого типа атака неосуществима... масштабы системы слишком большие
Ок.. можете написать в Microsoft просьбу об этом...Что бы нормально пользоватся (по всему миру) выданными нашим УЦ RSA сертификатом нужно добавить сертификат нашего корневого УЦ в список корневых сертификатов, поставляемых с ОС
#34
Отправлено 21.05.2009, 15:34:34
Государство с частности Казахстан должен иметь точку доверия(корневой УЦ РК)
для пользователей есть НУЦ который выпускает сертификаты для конечных пользователей, в том числе и SSL для серверов.
могут так же появиться и др УЦ, кстати они есть, в основном у банков, для подключения к корневому УЦ РК им необходимо пройти аккредитацию.
получается что в Казахстане будет древовидная структура удостоверяющих центров с единой точкой доверия.
по поводу истечения срока действия УЦ и перевыпуска всех сертификатов пользователей, то от этого никуда не дется, данная процедура плавная и она не приведет к останову информационных систем.
для взаимодействия с другими странами планируется использовать технологию ДТС(доверенная третья сторона), которая будет отвечать за проверку иностранных ЭЦП.
по поводу самоподписанного SSL сертификата, то это не правильно! SSL сертификат нужно получать в доверенном УЦ.
По поводу включения в дистрибутив Windows самоподписанных сертификатов УЦ, то в дальнейшем планируется такая практика, но не все сразу. НУЦ начал выдавать сертификаты только с этого года и требовать чтобы сразу добавить самодписанные сертификаты НУЦ в доверенное хранилище ОС не совсем корректно.
по поводу Verisign то могу сказать что, доверять безопасность функционирования информационных систем уровня государства иностранному УЦ никто не будет, пусть даже это будет Verisign! поэтому нужно опираться на доверенный УЦ в нашем государстве, тем более это юридически закреплено в Законе.
кстате може поднять эти вопросы на форуме НУЦ
http://www.pki.gov.k...orums/list.page
#38
Отправлено 21.05.2009, 16:39:35
Спасибо за исчерпывающий ответ...
Надеюсь, что в скором времени корневой сертификат УЦ РК будет включен в список корневых сертификатов, распространяемый производителями ОС, и регулярно обновляемый, Микрософт в частности.
Это решит проблему "международной" валидности наших сертификатов. И даст возможность использовать наши, полученные у Казахстанский УЦ, сертификаты в сети Интернет.
То topcraze
сам по себе некорректен... В интернет-магазине может быть только пользовательский сертификат от корневого УЦ.. ..Вы согласитесь предоставить данные своей кредитки, в Интернет магазине, защищенном самоподписным сертификатом ?
Да ну? С чего это? Кто мешает сгенерить самоподписной SSL сертификат для ВЕБ-сайта?
Мне не нужна система банк-клиент, мне только нужно, чтобы пользователь ввел данные своей кредитки в мою ВЕБ-форму... А для пущей убедительности доступ к этой ВЕБ форме сделать по https...
Еще раз спрошу: нафик делать фейк? ...
*вся инфраструктура завязана на один УЦ.. замена корневого сертификата приведет к неработоспособности всех элементов... след. ни одна транзакция не будет осуществлена.. либо необходим первыпуск ВСЕХ сертификатов пользователей.. в нашем случае такого типа атака неосуществима... масштабы системы слишком большие
Зачем атаковать всю систему? Атакуют конкретные группы пользователей...
Нам нужно только чтобы наш "липовый" сертификат УЦ, попал в хранилище доверенных сертификатов на компьютере пользователя... Настоящий там тоже будет находится и переписка с пользователями системы не пострадает... В реквизитах будут различия не бросающиеся в глаза...
К примеру слово: Национальный УЦ и Нациoнальный УЦ вы видите разницу ? Наверное нет - а во втором слове буква "о" - английская...
Т.е. системе будет два сертификата от разных УЦ...
Дальше не нужно рассказывать как этим можно воспользоватся... ?
что значит проходят проверку в ОС? ... не поняла...
Это означает что корневой сертификат Verisign, уже присутствует в хранилище (списке) доверенных сертификатов при поставке ОС... И это список, регулярно обновляется производителями ОС.
Ок.. можете написать в Microsoft просьбу об этом...
Это не я должен писать, а наше государство должно об этом позаботится...
Если хочет что бы наши RSA сертификаты признавались во все мире...
Иначе ими будут пользоватся только при необходимости контактировать с гос. органами...
А для ведения бизнеса в Интернет будут брать сертификаты у зарубежных УЦ...
С Уважением, DenKZ
#40
Отправлено 21.05.2009, 16:51:39
политика... .. любой мало-мальски понимающий пользователь заметит некое несоответсвие..Да ну? С чего это? Кто мешает сгенерить самоподписной SSL сертификат для ВЕБ-сайта?
или же придется выпускать пользовательские ключи от ЭТОГО ЖЕ УЦ... чтоб SSL работал.. так?..и их распространять... тогда какое отношение вся эта пляска имеет к НУЦ? .. это ж личное дело интернет-магазина..
причем тут имя УЦ? есть такая вещь как открытый ключ.....подпись сертификата отправителя у получаетеля математически не проверится... .. либо нужно ставить сертификат липового УЦ и у отправителя...Настоящий там тоже будет находится и переписка с пользователями системы не пострадает
Количество пользователей, читающих эту тему: 2
пользователей: 0, неизвестных прохожих: 2, скрытых пользователей: 0