Сообщений в теме: 158

[topcraze]

других мыслей нет?

пока нет.. ... но несколько человек проверили - работает у них.. заходит.. ... если че-нидь придумаю - напишу..

[gosh]

MODERATORIAL [gosh]

чат заканчиваем плз, 2.2.8 никто не отменял

[traps]

на диске помимо самой ЭЦП столько всякой лабуды - оно все действительно нужно?
и сейчас на дисках еще стали записывать IE 7, раньше вроде его не было... надо обязательно IE 7 ставить?

[KoMoL]

А я так диск и в глаза не видел все скачал с их сайта... там есть у них инсталлер по моему... ну и инструкция в подробностях с картинками...

[Den_KZ]

А Вы уверены, что это их сайт ? И Вы скачали именно их корневой сертификат ?
Я только пока про RSA рассуждаю...
Им что денег не хватило хотя бы, получить валидный сертификат на свой сайт, я уже не говорю о подписи ихнего корневого сертификата ?

[topcraze]

надо обязательно IE 7 ставить?

шестой пойдет..

Им что денег не хватило хотя бы, получить валидный сертификат на свой сайт, я уже не говорю о подписи ихнего корневого сертификата

читаем закон об ЭЦП РК... учим матчасть

[traps]

надо обязательно IE 7 ставить?

шестой пойдет..

да просто как-то просили меня поставить ЭЦП, я все что там есть на диске ПО установил кроме 7 IE (там винда была не лиц. - лень было возится), так вот при установке ЭЦП - там 2 файла - один установился, а на второй заругался что-то вроде не найден чего то там (вроде поставщик криптографии - не помню уже)
в чем кстати смысл этих двух файлов ЭЦП - нужны оба?

[Den_KZ]

Им что денег не хватило хотя бы, получить валидный сертификат на свой сайт, я уже не говорю о подписи ихнего корневого сертификата

читаем закон об ЭЦП РК... учим матчасть

Не нужно сразу так категорично, унижать незнакомого Вам собеседника...

Ну по ЭЦП и инфо безу матчасть я наверное получше Вашего знаю...

Как Вы наверное знаете, все системы ЭЦП строятся на доверии к корневому УЦ (удостоверяющему центру).
И в популярные ОС (операционные системы) уже изготовителем "вшиты" корневые сертификаты основных международных УЦ. И используется алгоритм RSA.
В Казахстане и России в качестве стандарта принят другой алгоритм цифровой подписи - основанный на эллиптических кривых ГОСТ Р 34.10-2001. Он не встроен в ОС Windows, поэтому и приходится ставить криптопровайдера ТУМАР, с реализацией этого алгоритма. И руками добавлять сертификат по алгоритму ГОСТ нашего корневого УЦ.
В этом нет ничего страшного, кроме одного: Я НЕ МОГУ ПРОВЕРИТЬ ДОСТОВЕРНОСТЬ САЙТА, с которого предлагают скачать КОРНЕВОЙ СЕРТИФИКАТ... Сайт можно клонировать, и при помощи атаки на DNS сервера, заставить пользователя обратится к клонировнанному сайту, а не к настоящему, и выдать ему ложный сертификат.

Самое простое решение этой проблемы, получить SSL сертификат на WEB сайт нашего УЦ, у какого нибудь международного УЦ. Тогда можно будет быть увереным, что это сайт УЦ, а не его подделка...
Или выдавать корневой сертификат нашего УЦ в ЦОНе, на CD носителе с защитой от подделки (голограмма на носителе)...

ОСНОВНАЯ ПРОБЛЕМА В ДОВЕРИИ...

Далее по поводу сертификатов RSA, выдаваемых нашим УЦ... - они будут валидны лишь только в случае помещения в ОС его корневого УЦ... Что опять нужно делать ручками... И я не думаю что мой партнер по переписке или клиент моего интернет магазина из-за бугра, будет это делать... С чего бы ему доверять нашему УЦ, чей сертификат самоподписной...
Так зачем мне этот сертификат от нашего УЦ? Проще получить нормальный серификат от зарубежного УЦ, чей сертификат подписан или входит в цепочку сертификации (доверия) одного из основных международных корневых УЦ... И не испытывать головной боли...
В итоге получается, наш корневой УЦ не может выдавать валидные в остальном мире RSA сертификаты... т.е. для получения валидного во всем мире сертификата, к примеру на WEB сайт мне нужно получать его у зарубежного УЦ, включенного в международные "цепочки" сертификации... И платить денюжку ему, а не нашему УЦ...

Что мешает нашему УЦ, кроме амбиций, подписать свой корневой RSA сертификат у Verisign, к примеру?
Тогда бы не возникало никаких проблем в международной валидности RSA сертификатов, выданных нашим УЦ...

P.S.
ПАРАНОЙЯ - это мое профессиональное заболевание...
Если вы ничего не замечаете, это еще не значит, что за Вами не следят...

Сообщение отредактировал Den_KZ: 20.05.2009, 22:22:57

[topcraze]

Ну по ЭЦП и инфо безу матчасть я наверное получше Вашего знаю...

не стоит так категорично

И в популярные ОС (операционные системы) уже изготовителем "вшиты" корневые сертификаты основных международных УЦ. И используется алгоритм RSA.

оно не "вшито"..... оно просто установлено.. и очень легко удаляется.. ..

И руками добавлять сертификат по алгоритму ГОСТ нашего корневого УЦ.

ага... так же как и любой сертификат любого другого УЦ...

а не к настоящему, и выдать ему ложный сертификат.

в соответстии с иерархической архитектурой PKI самоподписанный сертификат корневого УЦ является таким элементом, подлинность которого никем не заверяется... ..кста такой вопрос: где взять ложный ГОСТОВЫЙ сертификат коневого УЦ? Вы можете его выпустить?
Еще вопрос: ок.. допустим выпустили ложный сертификат.. что потом? пользовательские ключи будут выпущены ДЕЙСТВИТЕЛЬНЫМ УЦ... .. нафик вообще ложный если подпись на пользовательских сертификатах не проверится?

Далее по поводу сертификатов RSA, выдаваемых нашим УЦ... - они будут валидны лишь только в случае помещения в ОС его корневого

любой(!) самоподписанный сертификат (а сертификат любого корневого УЦ - самоподписанный) должен быт помещен в хранилище доверенных УЦ Windows.. к сертификатам RSA других УЦ это тоже относится..

Так зачем мне этот сертификат от нашего УЦ?

для получения юридически значимой ЭЦП в Казахстане..

Что мешает нашему УЦ, кроме амбиций, подписать свой корневой RSA сертификат у Verisign, к примеру?

законодательство...что вам мешает, кроме ваших амбиций, прочитать внимательно таки Закон об ЭЦП?
Вот еще вопрос: почему вы доверяете тому же Verisign? У них тот же самый самоподписанный сертификат в итоге? ...Просто потому что ПРИНЯТО доверять Verisign... и все... isn`t?

По поводу забугорных контактов: если оно вам надо - то покупайте сертификат у забугорных УЦ... Чоуш....Вот только подпись эта будет юридически значима за бугром...Если заверите ее ГОСТовой дополнительно - будет значима и у нас.. Воот...
Я так поняла: ваша основная претензия, что в КЗ закон о подписи устанавливает ГОСТ, а не RSA...

Сообщение отредактировал topcraze: 21.05.2009, 10:06:51

[topcraze]

да просто как-то просили меня поставить ЭЦП, я все что там есть на диске ПО установил кроме 7 IE (там винда была не лиц. - лень было возится), так вот при установке ЭЦП - там 2 файла - один установился, а на второй заругался что-то вроде не найден чего то там (вроде поставщик криптографии - не помню уже)
в чем кстати смысл этих двух файлов ЭЦП - нужны оба?

если не найден поставщик криптографии, значит не установлен Tumar CSP, ну или лицензия к нему..
2 ЭЦП: один сертификат ГОСТовый, другой RSAшный... Один нужен для SSL соединения к Web-интерфейсу, другой для проверки подписи пользовательского сертификата..

[MSERGEY]

Что мешает нашему УЦ, кроме амбиций, подписать свой корневой RSA сертификат у Verisign, к примеру?

Кроме амбиций мешает то что это будет уже УЦ не наш а Verisign.
Если бы компания Verisign давала возможность делать это она бы уже давно разорилась бы, из-за того что у нее бы покупали только 1 ключ (сертификат) для подписи своего УЦ (к примеру построенного на УЦ от Microsoft) и все дальше я выпускаю сертификаты для других (и они так же будут проверяться). При этом их ценовая политика у них не совсем привлекательная. Это касается всех коммерческих УЦ.

[Den_KZ]

То topcraze
Вы наверное меня не правильно поняли...
Давайте по порядку:
1. По ЭЦП ГОСТ:
У меня нет никаких претензий к реализации и использованию ГОСТ...
есть небольшие замечания по СХЕМЕ РАСПРОСТРАНЕНИЯ КОРНЕВОГО СЕРТИФИКАТА УЦ...
Вся работа ЭЦП построена на ДОВЕРИИ к корневому УЦ... Это Вы не отрицаете ?

Следовательно КОРНЕВОЙ СЕРТИФИКАТ ДОЛЖЕН БЫТЬ ПОЛУЧЕН ПО КАНАЛАМ ЗАСЛУЖИВАЮЩИМ ДОВЕРИЕ.
Например в ЦОНе... на носителе не поддающимся подделке... Это не удобно, но безопасно...
Можно и через ВЕБ-сайт, но Веб сайт нашего УЦ, защищен своим самоподписным сертификатом... Почему я ему должен Доверять ? Откуда мне известно, что я действительно зашел на него, а не на фэйк ?

Вы согласитесь предоставить данные своей кредитки, в Интернет магазине, защищенном самоподписным сертификатом ?

Раз сертификаты SSL RSA выданные, примеру Verisign, по умолчанию проходят проверку в ОС, почему бы не получить такой сертификат на ВЕБ-сайт нашего УЦ ? что мешает ? Какой закон ?
Либо поскорее выполнить условия, см п. 2

Вот все мои претензии к WEB-сайту нашего УЦ...

2. По RSA:
Что бы нормально пользоватся (по всему миру) выданными нашим УЦ RSA сертификатом нужно добавить сертификат нашего корневого УЦ в список корневых сертификатов, поставляемых с ОС... (К примеру, Латвийский, Корейский, Турецкий корневой УЦ, там уже есть), а мы чем хуже или "мы пойдем свои путем"? В чем я здесь неправ ?
Пока этого не сделано, для тех кому нужен RSA сертификат, валидный по всему миру, будут получать его за рубежом...

Вот и все...

[topcraze]

Вся работа ЭЦП построена на ДОВЕРИИ к корневому УЦ... Это Вы не отрицаете ?

не отрицаю..

Далее...
Сертификат, который удостоверяет личность обладателя вообще не может быть самоподписанным.. А сертификат корневого УЦ не может использоваться для удостоверения личности.. Так что вопрос:

Вы согласитесь предоставить данные своей кредитки, в Интернет магазине, защищенном самоподписным сертификатом ?

сам по себе некорректен.. .. В интернет-магазине может быть только пользовательский сертификат от корневого УЦ.. ..

Раз сертификаты SSL RSA выданные, примеру Verisign, по умолчанию проходят проверку в ОС

что значит проходят проверку в ОС? ... не поняла...

Откуда мне известно, что я действительно зашел на него, а не на фэйк ?

Еще раз спрошу: нафик делать фейк? ...

*вся инфраструктура завязана на один УЦ.. замена корневого сертификата приведет к неработоспособности всех элементов... след. ни одна транзакция не будет осуществлена.. либо необходим первыпуск ВСЕХ сертификатов пользователей.. в нашем случае такого типа атака неосуществима... масштабы системы слишком большие

Что бы нормально пользоватся (по всему миру) выданными нашим УЦ RSA сертификатом нужно добавить сертификат нашего корневого УЦ в список корневых сертификатов, поставляемых с ОС

Ок.. можете написать в Microsoft просьбу об этом...

[pkikz]

Господа попробую немного прояснить ситуацию.

Государство с частности Казахстан должен иметь точку доверия(корневой УЦ РК)

для пользователей есть НУЦ который выпускает сертификаты для конечных пользователей, в том числе и SSL для серверов.
могут так же появиться и др УЦ, кстати они есть, в основном у банков, для подключения к корневому УЦ РК им необходимо пройти аккредитацию.
получается что в Казахстане будет древовидная структура удостоверяющих центров с единой точкой доверия.
по поводу истечения срока действия УЦ и перевыпуска всех сертификатов пользователей, то от этого никуда не дется, данная процедура плавная и она не приведет к останову информационных систем.
для взаимодействия с другими странами планируется использовать технологию ДТС(доверенная третья сторона), которая будет отвечать за проверку иностранных ЭЦП.
по поводу самоподписанного SSL сертификата, то это не правильно! SSL сертификат нужно получать в доверенном УЦ.
По поводу включения в дистрибутив Windows самоподписанных сертификатов УЦ, то в дальнейшем планируется такая практика, но не все сразу. НУЦ начал выдавать сертификаты только с этого года и требовать чтобы сразу добавить самодписанные сертификаты НУЦ в доверенное хранилище ОС не совсем корректно.
по поводу Verisign то могу сказать что, доверять безопасность функционирования информационных систем уровня государства иностранному УЦ никто не будет, пусть даже это будет Verisign! поэтому нужно опираться на доверенный УЦ в нашем государстве, тем более это юридически закреплено в Законе.

кстате може поднять эти вопросы на форуме НУЦ
http://www.pki.gov.k...orums/list.page

[topcraze]

Господа попробую немного прояснить ситуацию.

а вы кто?

[pkikz]

Господа попробую немного прояснить ситуацию.

а вы кто?

я занимаюсь ЭЦП в Казахстане, поэтому все перечисленные проблемы мне знакомы.

[topcraze]

я занимаюсь ЭЦП в Казахстане, поэтому все перечисленные проблемы мне знакомы.

НУЦ?

[Den_KZ]

То pkikz
Спасибо за исчерпывающий ответ...
Надеюсь, что в скором времени корневой сертификат УЦ РК будет включен в список корневых сертификатов, распространяемый производителями ОС, и регулярно обновляемый, Микрософт в частности.
Это решит проблему "международной" валидности наших сертификатов. И даст возможность использовать наши, полученные у Казахстанский УЦ, сертификаты в сети Интернет.

То topcraze

Вы согласитесь предоставить данные своей кредитки, в Интернет магазине, защищенном самоподписным сертификатом ?

сам по себе некорректен... В интернет-магазине может быть только пользовательский сертификат от корневого УЦ.. ..

Да ну? С чего это? Кто мешает сгенерить самоподписной SSL сертификат для ВЕБ-сайта?
Мне не нужна система банк-клиент, мне только нужно, чтобы пользователь ввел данные своей кредитки в мою ВЕБ-форму... А для пущей убедительности доступ к этой ВЕБ форме сделать по https...

Еще раз спрошу: нафик делать фейк? ...

*вся инфраструктура завязана на один УЦ.. замена корневого сертификата приведет к неработоспособности всех элементов... след. ни одна транзакция не будет осуществлена.. либо необходим первыпуск ВСЕХ сертификатов пользователей.. в нашем случае такого типа атака неосуществима... масштабы системы слишком большие

Зачем атаковать всю систему? Атакуют конкретные группы пользователей...
Нам нужно только чтобы наш "липовый" сертификат УЦ, попал в хранилище доверенных сертификатов на компьютере пользователя... Настоящий там тоже будет находится и переписка с пользователями системы не пострадает... В реквизитах будут различия не бросающиеся в глаза...
К примеру слово: Национальный УЦ и Нациoнальный УЦ вы видите разницу ? Наверное нет - а во втором слове буква "о" - английская...
Т.е. системе будет два сертификата от разных УЦ...
Дальше не нужно рассказывать как этим можно воспользоватся... ?

что значит проходят проверку в ОС? ... не поняла...

Это означает что корневой сертификат Verisign, уже присутствует в хранилище (списке) доверенных сертификатов при поставке ОС... И это список, регулярно обновляется производителями ОС.

Ок.. можете написать в Microsoft просьбу об этом...

Это не я должен писать, а наше государство должно об этом позаботится...
Если хочет что бы наши RSA сертификаты признавались во все мире...
Иначе ими будут пользоватся только при необходимости контактировать с гос. органами...
А для ведения бизнеса в Интернет будут брать сертификаты у зарубежных УЦ...

С Уважением, DenKZ

[pkikz]

НУЦ?

Национальный удостоверяющий центр РК
pki.gov.kz

[topcraze]

Да ну? С чего это? Кто мешает сгенерить самоподписной SSL сертификат для ВЕБ-сайта?

политика... .. любой мало-мальски понимающий пользователь заметит некое несоответсвие..
или же придется выпускать пользовательские ключи от ЭТОГО ЖЕ УЦ... чтоб SSL работал.. так?..и их распространять... тогда какое отношение вся эта пляска имеет к НУЦ? .. это ж личное дело интернет-магазина..

Настоящий там тоже будет находится и переписка с пользователями системы не пострадает

причем тут имя УЦ? есть такая вещь как открытый ключ.....подпись сертификата отправителя у получаетеля математически не проверится... .. либо нужно ставить сертификат липового УЦ и у отправителя...