В данной теме принимаются вопросы по деятельности Центра регистрации ключей ЭЦП при ЦНТМИ.

В соответствии с приказом Узбекского агентства связи и информатизации от 10 октября 2005 года №241 Центр научно-технических и маркетинговых исследований определен:
Центром регистрации ключей электронных цифровых подписей в сфере связи и информатизации;

Исполнительным органом Узбекского агентства связи и информатизации в области использования электронной цифровой подписи.

В соответствии с приказом Узбекского агентства связи и информатизации от 14 марта 2006 года № 83 Центру регистрации ключей ЭЦП при ЦНТМИ выдано Органом регистрации центров регистрации ключей ЭЦП свидетельства о государственной регистрации и сертификат ключа ЭЦП уполномоченного лица.

Основные задачи и функции Центра регистрации ключей ЭЦП при ЦНТМИ:
создание закрытых и открытых ключей ЭЦП;

выдача сертификатов ключей ЭЦП и их копий;

заверение копии электронных документов на бумажных носителях;

подтверждение подлинности ЭЦП в электронных документах;

приостановление и возобновление действия сертификатов ключей ЭЦП и их аннулирование;

ведение реестра сертификатов ключей ЭЦП.
Больше информации http://rc-service.ftmtm.uz/

Надеемся помочь разобраться пользователям в электронно-цифровых дебрях.
Принимаются также жалобы на работу Центра, пожелания и предложения.

Основные задачи и функции Центра регистрации ключей ЭЦП при ЦНТМИ:
создание закрытых и открытых ключей ЭЦП;

Вот это вот объясните пожалуйста. Центр регистрации создает закрытые и открытые ключи ЭЦП? Для кого создает?

Вот это вот объясните пожалуйста. Центр регистрации создает закрытые и открытые ключи ЭЦП? Для кого создает?

Создает для пользователей, как для физических так и для юридических лиц, Вы можете либо получить ключ сгенерированный в Центре, либо принести свой и зарегистрировать его, получив сертификат и тогда Ваш ключ будет иметь официальный статус.

Создает для пользователей, как для физических так и для юридических лиц, Вы можете либо получить ключ сгенерированный в Центре, либо принести свой и зарегистрировать его, получив сертификат и тогда Ваш ключ будет иметь официальный статус.

Хорошо, а зачем вы создаете для пользователей ключи? Они сами не могут это сделать? Я понимаю, что вам так или иначе должны доверять, но я незнал, что можно создавать ключи для пользователей. В моем понимании, закрытый ключ должен быть доступным только для обладателя это ключа. Если это не так, то поправьте меня.

Хорошо, а зачем вы создаете для пользователей ключи? Они сами не могут это сделать? Я понимаю, что вам так или иначе должны доверять, но я незнал, что можно создавать ключи для пользователей. В моем понимании, закрытый ключ должен быть доступным только для обладателя это ключа. Если это не так, то поправьте меня.

Закрытый отключ действительно находится у его владельца, но когда Вы им подписываете (ставите ЭЦП), то получатель ЭЦП должен определить кому конкретно принадлежит ЭЦП (кто подписал), т.е. кому принадлежит закрытый ключ, которым подписались. Для этого нужен сертификат - электронный документ однозначно подтверждающий принадлежность открытого ключа и соответствующего ему закрытого ключа конкретному владельцу. Этот сертификат выдает только Центр регистрации и служит гарантом действительности сертификата и данных о владельце и открытом ключе, включенных в сертификат

Закрытый отключ действительно находится у его владельца, но когда Вы им подписываете (ставите ЭЦП), то получатель ЭЦП должен определить кому конкретно принадлежит ЭЦП (кто подписал), т.е. кому принадлежит закрытый ключ, которым подписались. Для этого нужен сертификат - электронный документ однозначно подтверждающий принадлежность открытого ключа и соответствующего ему закрытого ключа конкретному владельцу. Этот сертификат выдает только Центр регистрации и служит гарантом действительности сертификата и данных о владельце и открытом ключе, включенных в сертификат

Мне про ЭЦП можете не рассказывать, я знаю как это работает. :)
Мне интересно было, почему это Центр регистрации создает "закрытые и открытие ключи" и это входит в задачи и функции Центра.

Мне про ЭЦП можете не рассказывать, я знаю как это работает. :)
Мне интересно было, почему это Центр регистрации создает "закрытые и открытие ключи" и это входит в задачи и функции Центра.

Потому что, если пользователь сам не может создать ключ, то кто то должен сделать это за него, то что Вы можете создавать (генерить) ключи не означает, что это могут делать все. Именно поэтому это и входит в функции Центра.

Потому что, если пользователь сам не может создать ключ, то кто то должен сделать это за него, то что Вы можете создавать (генерить) ключи не означает, что это могут делать все. Именно поэтому это и входит в функции Центра.

Хорошо, может пример приведете? По вашему мнению, какой пользователь не может создать ключ?

Потому что, если пользователь сам не может создать ключ, то кто то должен сделать это за него, то что Вы можете создавать (генерить) ключи не означает, что это могут делать все. Именно поэтому это и входит в функции Центра.
Я думаю это не самая главная функция центра. Более того, это вредная функция. Когда вы генерите ключи для кого-то, автоматически теряется доверие к этому ключу, т.к. закрытый ключ никогда не должен попадать вторым лицам.

Я думаю это не самая главная функция центра. Более того, это вредная функция. Когда вы генерите ключи для кого-то, автоматически теряется доверие к этому ключу, т.к. закрытый ключ никогда не должен попадать вторым лицам.
Частично согласен.
По моему "Центр регистрации ключей ЭЦП" должен быть трастовым корневым центром и выдавать идентифицировать остальные центры сертификатов. Выдавать же ключи ЭЦП физическим лицам пререгатива центров сертификатов, скажем, корпоративного уровня (ну на кой моей матушке-пенсионерке ЭЦП? Cебе я и сам могу выдать\купить у того же VerySign).
Вот получить ЭЦП на свой корпоративный CA которой бы однозначно идентифицировали и доверяли другие CA хозяйствующих субъектов, а так же предоставляли услуги\получали услуги было бы здорово.

Надеемся помочь разобраться пользователям в электронно-цифровых дебрях.
Принимаются также жалобы на работу Центра, пожелания и предложения.

Кстати, не могли бы Вы опубликовать на своем сайте (с ЭЦП или без оной) стандарты в области ЭЦП (ну, что бы я не покупал за смешные деньги у "Центра регистрации ключей ЭЦП")?

Я думаю это не самая главная функция центра. Более того, это вредная функция. Когда вы генерите ключи для кого-то, автоматически теряется доверие к этому ключу, т.к. закрытый ключ никогда не должен попадать вторым лицам.

Пожалуйста, следите за тегами, вы приписали мне чужое высказывание. Я никогда не говорил следующее

Потому что, если пользователь сам не может создать ключ, то кто то должен сделать это за него, то что Вы можете создавать (генерить) ключи не означает, что это могут делать все. Именно поэтому это и входит в функции Центра.


Прошу вас, поправьте свой пост.

Пожалуйста, следите за тегами, вы приписали мне чужое высказывание.
Извините, ошибся. Только вот не пойму как это меня угораздило? =)

Cебе я и сам могу выдать
Если вы имеете в виду self-signed сертификат, то грошь цена такому сертификату. Но я уверен, вы и сами об этом прекрасно знаете ;)

Хорошо, может пример приведете? По вашему мнению, какой пользователь не может создать ключ?

1. Пользователь который имеет смутное представление о ключах. Хочет но не может. (к примеру мой сосед, говорит легче дать другим чем делать самому, естественно при гарантиях конфиденциальности)
2. Пользователь который достаточно хорошо разбирается в данном вопросе и в принципе может сделать это , но по каким либо причинам не делает этого, предоставляя это дело другим (например Центру)
3. Пользователь который и хочет и может сделать, но не имеет возможности. (был такой случай, из области люди, не имели Интернета, приехали в Центр за ключом чтобы пользоваться в локалке).
Вот именно для такого типа пользователей такая услуга и была введена на начальном этапе развития Центра.
Надеюсь Вы не ждете от меня конкретных фамилий пользователей:)

1. Пользователь который имеет смутное представление о ключах. Хочет но не может. (к примеру мой сосед, говорит легче дать другим чем делать самому, естественно при гарантиях конфиденциальности)
А какие могут быть гарантии если ключ генерируется вами на ваших компьютерах? Я не то, что бы вам не доверяю, но ИМХО это не верно с точки зрения идеологии открытых/закрытых ключей.

3. Пользователь который и хочет и может сделать, но не имеет возможности. (был такой случай, из области люди, не имели Интернета, приехали в Центр за ключом чтобы пользоваться в локалке).
Не думал о таком варианте, интересный пример.

1. Пользователь который имеет смутное представление о ключах. Хочет но не может. (к примеру мой сосед, говорит легче дать другим чем делать самому, естественно при гарантиях конфиденциальности)

Если сосед имеет смутное представление, зачем ему ключ?! И как это хочет но не может?


2. Пользователь который достаточно хорошо разбирается в данном вопросе и в принципе может сделать это , но по каким либо причинам не делает этого, предоставляя это дело другим (например Центру)

Ну тут вообще нет комментариев.


3. Пользователь который и хочет и может сделать, но не имеет возможности. (был такой случай, из области люди, не имели Интернета, приехали в Центр за ключом чтобы пользоваться в локалке).

Аналогично. Наверное, ключи для галочки.


Вот именно для такого типа пользователей такая услуга и была введена на начальном этапе развития Центра.
Надеюсь Вы не ждете от меня конкретных фамилий пользователей:)
Да зачем мне конкретные фамилии? :(

Не думал о таком варианте, интересный пример.
Интереснее не бывает. :(

Я думаю это не самая главная функция центра. Более того, это вредная функция. Когда вы генерите ключи для кого-то, автоматически теряется доверие к этому ключу, т.к. закрытый ключ никогда не должен попадать вторым лицам.

Верно, главной задачей Центра регистрации является выдача сертификата ключа ЭЦП каждому владельцу закрытого ключа.
Наряду с основной задачей Центр регистрации также может любому желающему создать и выдать закрытый ключ ЭЦП для подписания своих электронных документов.

Теперь о доверии, в нормативных актах механизм выдачи закрытого ключа описан довольно подробно. Приведу только выдержки

- создание и выдача закрытого и открытого ключа ЭЦП осуществляется при личном присутствии владельца закрытого ключа ЭЦП

Центр обязан
- изготовлять пользователю закрытый и открытый ключи ЭЦП с гарантией сохранения в тайне закрытого ключа ЭЦП;
- записывать ключ на отчуждаемый носитель данных в соответствии с требованиями по эксплуатации программного и/или аппаратного средства, выполняющего процедуру генерации ключей;

- При создании Центром регистрации ЦНТМИ закрытых и открытых ключей ЭЦП хранение в Центре регистрации ЦНТМИ закрытых ключей ЭЦП не допускается.
Естественно что по всем пунктам Центр ответственость в соответсвии с законодательством.

Особо хочу отметить что генерация и выдача ключей производится по письменному заявлению, на добровольнйо основе. Так что выбор за пользователем, а Центр просто дает возможность выбора или самому создать ключ или получить в Центре.

Кстати, не могли бы Вы опубликовать на своем сайте (с ЭЦП или без оной) стандарты в области ЭЦП (ну, что бы я не покупал за смешные деньги у "Центра регистрации ключей ЭЦП")?

Надеюсь в ближайшее время опубликуем.
А насчет "покупать" немного не по адресу, Центр регистрации ключей ЭЦП не продает стандарты и другие НД, этим занимется сам ЦНТМИ.

А какие могут быть гарантии если ключ генерируется вами на ваших компьютерах? Я не то, что бы вам не доверяю, но ИМХО это не верно с точки зрения идеологии открытых/закрытых ключей.


О гарантиях описал выше, теперь об идеологии, сейчас делаются первые шаги в данном направлении, многие люди не то что не представляют, что это такое, но даже не слышали об ЭЦП, чтобы людям легче было сориентироваться, понять что это, и были предприняты такие шаги, идущие вразрез идеологии открытых/закрытых ключей. надеюсь смог донести мысль.

- создание и выдача закрытого и открытого ключа ЭЦП осуществляется при личном присутствии владельца закрытого ключа ЭЦП

Снимаю шляпу перед тем, кто придумал такое!


Особо хочу отметить что генерация и выдача ключей производится по письменному заявлению, на добровольнйо основе. Так что выбор за пользователем, а Центр просто дает возможность выбора или самому создать ключ или получить в Центре.

Мда, точно также ключи от квартир може оставлять у подъезда добровольно. Это ваше право.

- создание и выдача закрытого и открытого ключа ЭЦП осуществляется при личном присутствии владельца закрытого ключа ЭЦП

Это не даёт гарантии того, что мой ключ не сохранится где нибудь ещё. Технически сделать это не сложно.

Центр обязан
- изготовлять пользователю закрытый и открытый ключи ЭЦП с гарантией сохранения в тайне закрытого ключа ЭЦП;
- записывать ключ на отчуждаемый носитель данных в соответствии с требованиями по эксплуатации программного и/или аппаратного средства, выполняющего процедуру генерации ключей;
- При создании Центром регистрации ЦНТМИ закрытых и открытых ключей ЭЦП хранение в Центре регистрации ЦНТМИ закрытых ключей ЭЦП не допускается.
Естественно что по всем пунктам Центр ответственость в соответсвии с законодательством.
Ну обязан и что с того? Я не знаю точно как у вас там всё устроено, но может ли произойти такая ситуация: кто-то работает у вас и генерирует ключи для пользователей. По каким-либо причинам этот кто-то зачем-то сохраняет закрытые ключи у себя. Потом он начинает слать письма заверенные электронной подписью других компаний или читать зашифрованную переписку, в общем пользоваться этими ключами. С вашей компании он может вообще уволиться и уехать в другую страну, ищи его потом.


Особо хочу отметить что генерация и выдача ключей производится по письменному заявлению, на добровольнйо основе. Так что выбор за пользователем, а Центр просто дает возможность выбора или самому создать ключ или получить в Центре.

Если та ситуация, которую я вам описал возможна, то теряется доверие ко ВСЕМ ключам, сертифицированным у вас.

Интереснее не бывает. :(

Вы знаете бывает, как нибудь расскажу очень интересный случай...

Если сосед имеет смутное представление, зачем ему ключ?! И как это хочет но не может?

Ключ для подписи и он собирается его использовать именно для этого, хочет идти в ногу со временем, и это его право. А не может потому что имеет смутное представление.


Аналогично. Наверное, ключи для галочки.

Интересно, зачем человеку приезжать получать ключ, чтобы потом его не использовать.


Да зачем мне конкретные фамилии? :(

Не знаю, просто вы так глубоко интересуетесь именно этим моментом

Мда, точно также ключи от квартир може оставлять у подъезда добровольно. Это ваше право.

Можно, это право человека, так чем же Вы не довольны?

Интересно, зачем человеку приезжать получать ключ, чтобы потом его не использовать.
Вы не представляете, насколько в нашем обществе важны откаты. Шучу, не обращайте внимания.

Ключ для подписи и он собирается его использовать именно для этого, хочет идти в ногу со временем, и это его право. А не может потому что имеет смутное представление.

Ах, "в ногу со временем"? Т.е., это модно да? ;)


Интересно, зачем человеку приезжать получать ключ, чтобы потом его не использовать.

я с вами согласен, действительно интересно. :)


Не знаю, просто вы так глубоко интересуетесь именно этим моментом
Каким моментом? Я разве спрашивал про фамилии?

Сказать вам, почему вообще меня интересует все это?
Потому что, это происходит в моей стране, там где я живу и работаю. Там где моя жизнь и работа зависит от всего этого. Попадают разные "интересные" моменты в законы, правила, указы и т.д., потом тебе будут показывать, вот тут написано, так будь добр выполняй. Я не хочу чтобы и ЭЦП произошло тоже самое. (Насколько я могу судит, уже произошло.)

Можно, это право человека, так чем же Вы не довольны?
__________________
"Если человека все устраивает, то он - полный идиот" © В.Путин


У вас в подписи ответ кроется :)

Это не даёт гарантии того, что мой ключ не сохранится где нибудь ещё. Технически сделать это не сложно.

Ну обязан и что с того? Я не знаю точно как у вас там всё устроено, но может ли произойти такая ситуация: кто-то работает у вас и генерирует ключи для пользователей. По каким-либо причинам этот кто-то зачем-то сохраняет закрытые ключи у себя. Потом он начинает слать письма заверенные электронной подписью других компаний или читать зашифрованную переписку, в общем пользоваться этими ключами. С вашей компании он может вообще уволиться и уехать в другую страну, ищи его потом.


Если та ситуация, которую я вам описал возможно, то теряется доверие ко ВСЕМ ключам, сертифицированным у вас.

Интересно, это у Вас паталогическое недоверие к любому государственному учреждению или только к Центру регистрации ЭЦП?
Что значит "обязан и что с того"? Существует множество подзаконных и правовых актов регулирующих деятельность предприятий, а также по защите прав потребителей, и мы теперь будем их сомнению только потому что "Я не знаю точно как у вас там всё устроено". Думаю тут Вы немного неправы. Вы знаете что по России гуляют десятки. сотни баз с конфиденциальными данными о людях, предприятиях и т.д. Человеческий фактор всегда был есть и будет главным участником в утечке конфиденциальной информации и от этого никто не застрахован, в том числе и мы. Но, это не значит, что мы не предпринимаем мер чтобы минимизировать такую возможонсть.

Если вы имеете в виду self-signed сертификат, то грошь цена такому сертификату. Но я уверен, вы и сами об этом прекрасно знаете
Я имею ввиду что на уровне компании я могу поднять собственный центр выдачи сертификатов прикупив ЭЦП на этот центр у VerySign. И в чем будет "грош цена" такому сертификату?

А насчет "покупать" немного не по адресу, Центр регистрации ключей ЭЦП не продает стандарты и другие НД, этим занимется сам ЦНТМИ.
Извиняюсь но Вы правы.

я с вами согласен, действительно интересно. :)


Каким моментом? Я разве спрашивал про фамилии?

Сказать вам, почему вообще меня интересует все это?
Потому что, это происходит в моей стране, там где я живу и работаю. Там где моя жизнь и работа зависит от всего этого. Попадают разные "интересные" моменты в законы, правила, указы и т.д., потом тебе будут показывать, вот тут написано, так будь добр выполняй. Я не хочу чтобы и ЭЦП произошло тоже самое. (Насколько я могу судит, уже произошло.)

Ну вы раза три спросили какие пользователи не могут, вот я и подумал грешным делом что вам и фамилии нужны)
Ваш интерес весьма похвален, но может быть иногда стоит видеть и немного позитива, чем все в черных красках?
И потом вы все таки сначала изучите документы регулирующие деятельность Центра, а потом будете судить "произошло или нет".

Что значит "обязан и что с того"? Существует множество подзаконных и правовых актов регулирующих деятельность предприятий, а также по защите прав потребителей, и мы теперь будем их сомнению только потому что "Я не знаю точно как у вас там всё устроено". Думаю тут Вы немного неправы. Вы знаете что по России гуляют десятки. сотни баз с конфиденциальными данными о людях, предприятиях и т.д.
Вы не поняли меня. Я говорю о том, что если ключи будут делать сами пользователи, а вы их только консультировать (пользователей) и сертифицировать (ключи), то доверия к ключам будет больше.

Интересно, это у Вас паталогическое недоверие к любому государственному учреждению или только к Центру регистрации ЭЦП?
У меня ко всему патологическое недоверие, время такое — чуть загляделся, остался без зубов.

Человеческий фактор всегда был есть и будет главным участником в утечке конфиденциальной информации и от этого никто не застрахован, в том числе и мы. Но, это не значит, что мы не предпринимаем мер чтобы минимизировать такую возможонсть.
То есть ситуация которую я описал, всё таки возможна?

Я имею ввиду что на уровне компании я могу поднять собственный центр выдачи сертификатов прикупив ЭЦП на этот центр у VerySign. И в чем будет "грош цена" такому сертификату?

Это не будет self-signed сертификат. Вполне себе сертификат :)
Но на уровне компании не объязательно покупать ЭЦП (да простят меня знающие за использование этого термина. на самом деле покупают не ЭЦП, а сертификат), вы сами можете выступать в качестве root CA.

Ну вы раза три спросили какие пользователи не могут, вот я и подумал грешным делом что вам и фамилии нужны)
Ваш интерес весьма похвален, но может быть иногда стоит видеть и немного позитива, чем все в черных красках?
И потом вы все таки сначала изучите документы регулирующие деятельность Центра, а потом будете судить "произошло или нет".

Спасибо, мне не нужно похвалы с вашей стороны. Весь позитив перечеркивается негативом в черных красках.
Ах, вот я о чем говорил. Видите, вы уже мне предъявляете "изучите документы регулирующие деятельность Центра". Ну спасибо, что помогли мне доказательством моих высказыванных в предыдущем посте.
Или вы мне теперь скажете, не я писал эти документы? ;)

Заглянем в типовой ДОГОВОР на оказание услуг Центра регистрации ключей электронных цифровых подписей при ЦНТМИ (с сайта (http://rc-service.ftmtm.uz/)) где все понятно написано:

2.3. Изготовление закрытого и открытого ключа(ей) ЭЦП
2.3.1. Центр регистрации ЦНТМИ изготавливает открытые и закрытые ключи ЭЦП (пару ключей ЭЦП), указанные в пункте 1.1.3 настоящего Договора.

2.3.2. Закрытые и открытые ключи ЭЦП генерируются Центром регистрации ЦНТМИ в присутствии доверенного представителя Заказчика.

2.3.3. Закрытый и открытый ключи ЭЦП выдаются доверенному представителю Заказчика на ключевых носителях после выполнения Заказчиком обязательств по оплате данной услуги, определенных статьей 3 настоящего Договора.

2.3.4. Центр регистрации ЦНТМИ гарантирует Заказчику и Владельцам закрытых ключей ЭЦП, что сгенерированные для них закрытые ключи ЭЦП не сохраняются в Центре регистрации ЦНТМИ.

Далее:

5.1. За неисполнение или ненадлежащее исполнение принятых на себя обязательств Стороны несут ответственность в соответствии с действующим законодательством.

2.3.2. Закрытые и открытые ключи ЭЦП генерируются Центром регистрации ЦНТМИ в присутствии доверенного представителя Заказчика.


Daniyar, ну скажите мне зачем необходимо присутствие доверенного представителя Заказчика? Т.е., он лично контролирует генерацию ключей?

Тем более в свете следующих пунктов которые вы привели. Ну не смешно ли ей богу?

ну скажите мне зачем необходимо присутствие доверенного представителя Заказчика? Т.е., он лично контролирует генерацию ключей?

Подозреваю, что так. Для гарантии наверное: и Заказчик уверен, и к ЦНТМИ претензий нет. Вон ведь, сразу вопрос о доверии поднялся.

Подозреваю, что так. Для гарантии наверное: и Заказчик уверен, и к ЦНТМИ претензий нет. Вон ведь, сразу вопрос о доверии поднялся.

Ах, засомневались да? ;)

Ах, засомневались да?

В чем? Вы ничего не путаете?

Я рассказал про установленный формальный порядок регистрации: генерация в присутствии представителя заказчика, гарантия неразглашения, ответственность. ПОЧЕМУ именно так - вопрос к центру, я же могу лишь предполагать.

А вы бы как поступили на месте заказчика, если не секрет?

А вы бы как поступили на месте заказчика, если не секрет?

Я генерировал бы свой ключ сам, а запрос на сертификат отправил бы центру, используя, предоставленный мне центром интерфейс или программу третьей стороны.

предоставленный мне центром интерфейс или программу третьей стороны

А какая принципиальная разница? Только то, что вам не придется туда идти?

А какая принципиальная разница? Только то, что вам не придется туда идти?

Нет, разница в том, что мой private ключ остается у меня и только у меня!

Нет, разница в том, что мой private ключ остается у меня и только у меня!

Так описанный в договоре механизм это и обеспечивает.

Так описанный в договоре механизм это и обеспечивает.

Хмм, пошли по кругу.
Daniyar, с этого момента я прекращаю любое обсуждение темы с вами. :(

А какая принципиальная разница? Только то, что вам не придется туда идти? присутствие заказчика на месте для контроля сохранения ключа в конфиденциальность - работать не будет. откуда я знаю, что на компе, где генериться ключ, не запущен какой-нить левый софт для сохранения копии ключа?

Проще, давать клиенту возможность скачать ПО для генерации ключа на своем ПК. При этом провести экспертизу данного ПО, что оно не имеет никаких закладок (недекларированных функций)

вы сами можете выступать в качестве root CA.
Угу... но не буду в трастовых отношениях с общеизвестными корневыми СА.

Вы не поняли меня. Я говорю о том, что если ключи будут делать сами пользователи, а вы их только консультировать (пользователей) и сертифицировать (ключи), то доверия к ключам будет больше.

Согласен, но что делать с пользователями которые сами не могут "делать" ключи? Пока оставить их в стороне или все таки им возможность пользоваться услугами. Еще раз повторюсь на начальном этапе мы даем выбор пользователям, хочешь сделай сам и принеси только открытый ключ, не хочешь мы сделаем это за тебя.
А теперь по доверию, приведу примерную аналогию, вы регистрируете почтовый ящик например на mail.ru, ставите свой пароль и т.д. Но система то принадлежит mail.ru, теоретически недобросовестный сотрудник mail.ru может спокойно открыть ваш ящик и читать почту верно? Но вы сами добровольно регистируетесь в системе и соглашаетесь с правилами установленными в ней. Вы когда нибудь слышали чтобы пользователь предъявил претензии к mail.ru , за то что его пароль при регистрации был скопирован или подменен, и пользователь подал за это жалобу на него. Понятно что уровень доверия к эцп должен быть несоизмеримо выше чем к бесплатному почтовику, и ответсвенность наверняка предусмотрена в документах регламентирующих его деятельность.

То есть ситуация которую я описал, всё таки возможна?
Теоретически да, на практике врядли.

Спасибо, мне не нужно похвалы с вашей стороны. Весь позитив перечеркивается негативом в черных красках.
Ах, вот я о чем говорил. Видите, вы уже мне предъявляете "изучите документы регулирующие деятельность Центра". Ну спасибо, что помогли мне доказательством моих высказыванных в предыдущем посте.
Или вы мне теперь скажете, не я писал эти документы? ;)

Так значит позитив все таки есть? Даже если он перечеркивается:))
Извините, но я вам ничего не предъявляю, и не могу предъявлять, документы конечно писали не вы. Если можно дайте свои предложения как улучшить работу Центра ЭЦП, что мы делаем неправильно. Если я правильно понял, то по вашему мы не должны создавать закрытые ключи. Мы с благодарностью примем любую взвешенную и обоснованную критику, а также предложения по усовершенствованию работы Центра

Я генерировал бы свой ключ сам, а запрос на сертификат отправил бы центру, используя, предоставленный мне центром интерфейс или программу третьей стороны.

Так у вас и сейчас есть такая возможность, сгенерируте сами и храните у себя. А вот насчет программы третьей стороны, как они обеспечивают уровень вашего доверия к ним?

Согласен, но что делать с пользователями которые сами не могут "делать" ключи? Пока оставить их в стороне или все таки им возможность пользоваться услугами. Еще раз повторюсь на начальном этапе мы даем выбор пользователям, хочешь сделай сам и принеси только открытый ключ, не хочешь мы сделаем это за тебя.
Консультировать. Сомневаюсь, что есть люди которые совсем ничего не могут и им нужен электронный ключ (я работал эникейщиком в крупной организации, так что какие бывают юзеры я знаю).


А теперь по доверию, приведу примерную аналогию, вы регистрируете почтовый ящик например на mail.ru, ставите свой пароль и т.д. Но система то принадлежит mail.ru, теоретически недобросовестный сотрудник mail.ru может спокойно открыть ваш ящик и читать почту верно?
Пример некорректный, но полезный — я на нём и объясню свою мысль. Нельзя сравнивать бесплатную электронную почту (в которой естественно нельзя вести важную и конфиденциальную переписку) и электронный ключ, который по определению обязан защищать конфиденциальность данных.
Пользуясь услугами почтового сервиса mail.ru вы можете быть уверены, что вашу переписку не прочитает недобросовестный сотрудник компании? Я нет. Так вот, насколько я могу быть уверен в том, что информация, которую я шифрую открытым ключом корреспондента, не будет прочитана с помощью закрытого ключа, который теоретически мог остаться у ваших сотрудников?

Интересно было бы посмотреть какую-нибудь статистику — это я один такой параноик или есть ещё кто-то?

Нельзя сравнивать бесплатную электронную почту (в которой естественно нельзя вести важную и конфиденциальную переписку) и электронный ключ, который по определению обязан защищать конфиденциальность данных.

Ruslan, мне кажется вы запутались сами. Цифровой сертификат и соответствующий закрытый ключ немного другую задачу вызваны решать.

И пример с электронной почтой не уместен в контексте данной темы.

Интересно было бы посмотреть какую-нибудь статистику — это я один такой параноик или есть ещё кто-то?

Вы не одиноки в этом деле :) Меня можно прибавить в эту армию

Консультировать. Сомневаюсь, что есть люди которые совсем ничего не могут и им нужен электронный ключ (я работал эникейщиком в крупной организации, так что какие бывают юзеры я знаю).

Есть ли в зале люди, у которых мама полностью разобралась в сотовом телефоне? © КВН

Пример некорректный, но полезный — я на нём и объясню свою мысль. Нельзя сравнивать бесплатную электронную почту (в которой естественно нельзя вести важную и конфиденциальную переписку) и электронный ключ, который по определению обязан защищать конфиденциальность данных.
Пользуясь услугами почтового сервиса mail.ru вы можете быть уверены, что вашу переписку не прочитает недобросовестный сотрудник компании? Я нет. Так вот, насколько я могу быть уверен в том, что информация, которую я шифрую открытым ключом корреспондента, не будет прочитана с помощью закрытого ключа, который теоретически мог остаться у ваших сотрудников?

Наверное я все не так объяснил. если я правильно понял вас смущает сам факт того, что кто то будет делать ключ за вас (хотя опять же, это на ваш выбор) и потом этот кто-то оставит ваш ключ у себя, мы вам говорим что не оставляем у себя ключ, но гарантии которые дает Центр вас не устраивают, все верно?

Интересно было бы посмотреть какую-нибудь статистику — это я один такой параноик или есть ещё кто-то?

О какой статистике идет речь?
Если о выданных ключах, то на сегодняшний день выдано 596 закрытых ключей и пока что, жалоб о подмене, прочтении конфиденциальной информации не поступало.
Информацией о количестве параноиков к сожалению не владеем...:)

Если о выданных ключах, то на сегодняшний день выдано 596 закрытых ключей и пока что, жалоб о подмене, прочтении конфиденциальной информации не поступало. Наверное из-за того, что нет реального использования ЭЦП в работе.

Наверное из-за того, что нет реального использования ЭЦП в работе.

Вполне возможно, многие госорганизации берут ключи в основном для галочки, реально используют их затем единицы, хотя мы не ведем статистики использования, все же такие опасения есть.
В этой теме кстати и хотелось бы услышать предложения по мерам позволящим повысить доверие к Центру и увеличить коэффициент реального использования ЭЦП. Увеличение реального использования позволит и нам обнажить наши недостатки, которые может не так явно видны сейчас, и соответственно устранять их в ногу со временем.

Вполне возможно, многие госорганизации берут ключи в основном для галочки, реально используют их затем единицы, хотя мы не ведем статистики использования, все же такие опасения есть.
В этой теме кстати и хотелось бы услышать предложения по мерам позволящим повысить доверие к Центру и увеличить коэффициент реального использования ЭЦП. Увеличение реального использования позволит и нам обнажить наши недостатки, которые может не так явно видны сейчас, и соответственно устранять их в ногу со временем.

Именно поэтому не совсем уместно ссылаться на отсутствие жалоб по использованию ключей:

Если о выданных ключах, то на сегодняшний день выдано 596 закрытых ключей и пока что, жалоб о подмене, прочтении конфиденциальной информации не поступало.

Я бы хотел заметить свой старый ЭЦП, выданный вами, по той же причине, что не сам его генерировал, то есть, доступ к закрытому ключу есть еще у кого-то. Я не уверен, что он был правильно уничтожен. Что мне нужно для этого сделать? Ехать в Центр регистрации не представляется возможным. Лучше всего предоставить ПО для генерации такого ключа на ПК пользователя, то есть, на моем ПК. При этом данное ПО должно быть обеспечено независимыми экспертными заключениями, что они не имеет недекларированных функций. Такое возможно?

Именно поэтому не совсем уместно ссылаться на отсутствие жалоб по использованию ключей:



Я бы хотел заметить свой старый ЭЦП, выданный вами, по той же причине, что не сам его генерировал, то есть, доступ к закрытому ключу есть еще у кого-то. Я не уверен, что он был правильно уничтожен. Что мне нужно для этого сделать? Ехать в Центр регистрации не представляется возможным. Лучше всего предоставить ПО для генерации такого ключа на ПК пользователя, то есть, на моем ПК. При этом данное ПО должно быть обеспечено независимыми экспертными заключениями, что они не имеет недекларированных функций. Такое возможно?

Чтобы заменить ключ ЭЦП нужно повторно обратиться в Центр регистрации ключей, для этого не нужно ехать в Центр регистрации, достаточно переслать заявления и документы (в бумажном виде) согласно перечню. Данные документы обязательно необходимы для подтверждения данных в сертификате ключа ЭЦП. Также Вы можете сами сгенерировать свой ключ. Генератором ключа может быть криптопровайдер. У Вас имеется криптопровайдер системы Windows -Microsoft Enhanced Cryptographic Provider, возможно иной. После оплаты услуг за сертификат мы даем данные для удаленного запроса к Центру регистрации https или Вы сами формируете "запрос" на своем криптопровайдере формата PKCS#10 и отправляете нам по почте. В самом запросе сидит только Ваш открытый ключ, закрытый ключ остается в защищенном харнилище Вашего компьютера. На основе запроса формируется сертификат при этом проверяются данные по представленным официально бумажным документам. Сертификат передается на указанный в запросе адрес электронной почты или из реестра сертификатов ключей ЭЦП.
К сожалению этот способ не очень практикуется, поскольку не все понимают этот процесс и приходится генерировать самим. По законодательству Центр регистрации не имеет право оставлять у себя закрытый ключ ЭЦП. При выявлении данных фактов пользолватель может обратится на Центр регистрации в суд.

Генератором ключа может быть криптопровайдер. У Вас имеется криптопровайдер системы Windows -Microsoft Enhanced Cryptographic Provider, возможно иной. а как же тогда узбекский алгоритм шифрования?

Ruslan, мне кажется вы запутались сами. Цифровой сертификат и соответствующий закрытый ключ немного другую задачу вызваны решать.
Запутался, факт. Слабая теоретическая подготовка и недостаток практики сказывается.

В этой теме кстати и хотелось бы услышать предложения по мерам позволящим повысить доверие к Центру и увеличить коэффициент реального использования ЭЦП.
Я вам дал предложение по мерам позволяющим повысить доверие к Центру, однако не понятно: либо вы меня не совсем точно поняли, либо считаете моё предложение неверным (необоснованным).
Наверное я все не так объяснил. если я правильно понял вас смущает сам факт того, что кто то будет делать ключ за вас (хотя опять же, это на ваш выбор) и потом этот кто-то оставит ваш ключ у себя, мы вам говорим что не оставляем у себя ключ, но гарантии которые дает Центр вас не устраивают, все верно?
Абсолютно верно. Не обязательно же сотрудники «нечистые» могут ключи пользователей увести. Возможны другие варианты. Специализированный троян, например.

а как же тогда узбекский алгоритм шифрования?
Национальный алгоритм используется с применением национального криптопровайдера. Сейчас криптопровайдер можно устанавливать в информационные системы (системы с веб-доступом, системы клиент-сервер, системы электронного документооборота и др.). В этих системах Вы сможете использовать национальный алгоритм. Для применения национального криптопровайдера в приложениях Microsoft нужно зарегистрировать криптопровайдер в Microsoft.

Национальный алгоритм используется с применением национального криптопровайдера. Сейчас криптопровайдер можно устанавливать в информационные системы (системы с веб-доступом, системы клиент-сервер, системы электронного документооборота и др.). В этих системах Вы сможете использовать национальный алгоритм. Для применения национального криптопровайдера в приложениях Microsoft нужно зарегистрировать криптопровайдер в Microsoft.

А можно подробнее о национальном алгоритме? Что за алгоритм, открытый ли, где можно почитать? Где криптопровайдер можно пощупать? Где проверка на криптоустойчивость? Вообщем, вопросов много, если конечно я обращаюсь к адресу. Если нет, то извините.

Для применения национального криптопровайдера в приложениях Microsoft нужно зарегистрировать криптопровайдер в Microsoft.
насколько я помню никакой регистрации в МС при этом не требуется.
я написал запрос в наш консалтинг - как получу ответ дам точную информацию

насколько я помню никакой регистрации в МС при этом не требуется.
Требуется инсталляция криптопровайдера в Certificate Server

насколько я помню никакой регистрации в МС при этом не требуется.
я написал запрос в наш консалтинг - как получу ответ дам точную информацию

Пока не получили официального ответа, будем использовать Википедию :)

CSP's are implemented basically as a special type of DLL with special restrictions on loading and use. Every CSP must be digitally signed by Microsoft and the signature is verified when Windows loads the CSP. In addition, after being loaded, Windows periodically re-scans the CSP to detect tampering, either by malicious software such as computer viruses or by the user him/herself trying to circumvent restrictions (for example on cryptographic key length) that might be built into the CSP's code.

To obtain a signature, non-Microsoft CSP developers must supply paperwork to Microsoft promising to obey various legal restrictions and giving valid contact information; however, they do not need to supply Microsoft with the CSP's actual code--they only supply a cryptographic hash of the CSP itself, which Microsoft then signs. As of circa 2000, Microsoft did not charge any fees to supply these signatures. For development and testing purposes, a CSP developer can configure Windows to recognize the developer's own signatures instead of Microsoft's, but this is a somewhat complex and obscure operation unsuitable for nontechnical end users.

Требуется инсталляция криптопровайдера в Certificate Server
но это не есть регистрация в МС

For development and testing purposes, a CSP developer can configure Windows to recognize the developer's own signatures instead of Microsoft's, but this is a somewhat complex and obscure operation unsuitable for nontechnical end users.
да уж - т.е. сначала он девелопер - а потом не технический специалист ???

да уж - т.е. сначала он девелопер - а потом не технический специалист ???

Тут речь идет о двух типах пользователей: о девелопере, который сможет сконфигурировать Виндовс и о пользователе, который не технический специалист и для которого такая операция представляется сложным. ???

А можно подробнее о национальном алгоритме? Что за алгоритм, открытый ли, где можно почитать? Где криптопровайдер можно пощупать? Где проверка на криптоустойчивость? Вообщем, вопросов много, если конечно я обращаюсь к адресу. Если нет, то извините.

Если Вы дадите свой адрес электронной почты мы вышлем Вам ГОСТ "Формироания и проверка ЭЦП" - национальный алгоритм ЭЦП. Алгоритм открытый. Криптопровайдер можно приобрести в Центре регистрации ключей ЭЦП ЦНТМИ www.rc-service.ftmtm.uz. При этом говорим, что это не СSP и он не предназначен для работы в ОС Windows. Но он может успешно интегрироваться в прикладные решения. Уполномоченный орган в области криптграфической защиты информации - СНБ. В настоящее время ими определяются процедуры по выдаче лицензий и сертификации средств криптографической защиты информации

Если Вы дадите свой адрес электронной почты мы вышлем Вам ГОСТ "Формироания и проверка ЭЦП" - национальный алгоритм ЭЦП.

Вышлите пожалуйста на shumbola2004@yahoo.com.

Алгоритм открытый. Криптопровайдер можно приобрести в Центре регистрации ключей ЭЦП ЦНТМИ www.rc-service.ftmtm.uz. При этом говорим, что это не СSP и он не предназначен для работы в ОС Windows. Но он может успешно интегрироваться в прикладные решения.

А можно подробную информацию об этом криптопровайдере? Или на вышеуказанном сайте есть такая информация?
Какие платформы и языки программирования поддерживаются? Я так понял, у вас есть соответсвующая лицензия на этот криптопровайдер.


Уполномоченный орган в области криптграфической защиты информации - СНБ. В настоящее время ими определяются процедуры по выдаче лицензий и сертификации средств криптографической защиты информации

Т.е., получается ни одна криптографическая система без лицензии СНБ не может быть использована (я думаю. гос органами).
И не объязательно проводить исследования в открытом виде насчет криптоустойчивости этих.

А можно подробнее о национальном алгоритме? Что за алгоритм, открытый ли, где можно почитать?

Посмотрите ГОСТы: O’zDST 1105:2006 - Алгоритм шифрования данных, O’zDST 1106:2006 - Функция хеширования и O’zDST 1092:2005 - Процессы формирования и проверки электронной цифровой подписи.

Тут речь идет о двух типах пользователей: о девелопере, который сможет сконфигурировать Виндовс и о пользователе, который не технический специалист и для которого такая операция представляется сложным. ???

Под регистрацией понимается тестирование CSP и в случае пожительного решения пролучение электронной подписи (подписание определенных реестров) Подробная информация о регистрации http://msdn.microsoft.com/library/default.asp?url=/library/en-us/seccrypto/security/crypt_oid_info.asp

Посмотрите ГОСТы: O’zDST 1105:2006 - Алгоритм шифрования данных, O’zDST 1106:2006 - Функция хеширования и O’zDST 1092:2005 - Процессы формирования и проверки электронной цифровой подписи.
А где смотреть? УРЛ в студию!!!!

Вышлите пожалуйста на shumbola2004@yahoo.com.

А можно подробную информацию об этом криптопровайдере? Или на вышеуказанном сайте есть такая информация?
Какие платформы и языки программирования поддерживаются? Я так понял, у вас есть соответсвующая лицензия на этот криптопровайдер.
Т.е., получается ни одна криптографическая система без лицензии СНБ не может быть использована (я думаю. гос органами).
И не объязательно проводить исследования в открытом виде насчет криптоустойчивости этих.


Предлагаем ознакомиться с постановлением ПП №614 от 3.04.2007г. (есть в "Норме"), Вы получите всю информацию по лицензированию и сертификации. Сертификация - однозначно проверка на криптостойкость.

Национальный алгоритм используется с применением национального криптопровайдера. Сейчас криптопровайдер можно устанавливать в информационные системы (системы с веб-доступом, системы клиент-сервер, системы электронного документооборота и др.). В этих системах Вы сможете использовать национальный алгоритм. Для применения национального криптопровайдера в приложениях Microsoft нужно зарегистрировать криптопровайдер в Microsoft. А где его (криптопровайдер) получить?

Криптопровайдер можно приобрести в Центре регистрации ключей ЭЦП ЦНТМИ www.rc-service.ftmtm.uz.

Так его еще и покупать надо? :(


При этом говорим, что это не СSP и он не предназначен для работы в ОС Windows.

Печально. А в какое ПО именно можно его тогда интегрировать?

В настоящее время ими определяются процедуры по выдаче лицензий и сертификации средств криптографической защиты информации

То есть, этот криптопровайдер пока нельзя использовать?

Предлагаем ознакомиться с постановлением ПП №614 от 3.04.2007г. (есть в "Норме"), Вы получите всю информацию по лицензированию и сертификации. Сертификация - однозначно проверка на криптостойкость.

Спасибо за наводку, но выше я еще спросил о криптопровайдере, который вы предлагаете купить.

УРЛ в студию!!!!

А вот УРЛа, к сожалению, нет :(

Так его еще и покупать надо? :(

Печально. А в какое ПО именно можно его тогда интегрировать?

То есть, этот криптопровайдер пока нельзя использовать?

В мировой практике криптопровайдеры продаются, как программная продукция. К примеру криптопровайдеры в России стоят порядка 20 - 40 долл. США.
Интеграция в любые информационные системы, прикладные программы, обычно это выполняется совместно с разработчиками ПО информационных систем, т.е. создаются криптографические интерфейсы взаимодействия с ПО информационной системы или прикладной программы.
Криптопровайдер можно внедрять без наличии лицензии и сертификата, только в определенных случаях, не связанных с защитой конфиденциальной информации государственных организаций. Подробно об этом оговорено в ПП №614 3.04.2007г.

В мировой практике криптопровайдеры продаются, как программная продукция. К примеру криптопровайдеры в России стоят порядка 20 - 40 долл. США.
Интеграция в любые информационные системы, прикладные программы, обычно это выполняется совместно с разработчиками ПО информационных систем, т.е. создаются криптографические интерфейсы взаимодействия с ПО информационной системы или прикладной программы.
Криптопровайдер можно внедрять без наличии лицензии и сертификата, только в определенных случаях, не связанных с защитой конфиденциальной информации государственных организаций. Подробно об этом оговорено в ПП №614 3.04.2007г.

Ответьте пожалуйста на мой вопрос о вашем криптопровайдере. Ну или укажите где можно найти информацию о нем. На сайте указанном вами я этого не нашел.

Потом, если я решаюсь купить у вас криптопровайдер, имею ли доступ к исходникам, стем чтобы сделать peer-review?

Если Вы дадите свой адрес электронной почты мы вышлем Вам ГОСТ "Формироания и проверка ЭЦП" - национальный алгоритм ЭЦП.
Пожалуйста, пришлите по адресу shumbola2004@yahoo.com
Спасибо заранее!

В мировой практике криптопровайдеры продаются, как программная продукция. К примеру криптопровайдеры в России стоят порядка 20 - 40 долл. США. Не думаю, что каждый пользователь ЭЦП будет покупать кроме ключа еще и криптопровайдер. Он возьмет тот ЭЦП, который уже поддерживается имеющимися криптопровайдерами в системе. Думаю, это только оттолкнет пользователя.

Не думаю, что каждый пользователь ЭЦП будет покупать кроме ключа еще и криптопровайдер. Он возьмет тот ЭЦП, который уже поддерживается имеющимися криптопровайдерами в системе. Думаю, это только оттолкнет пользователя.

Для гос. органов другого пути не будет. И для тех кто работает с гос. органами, тоже. Поэтому или необходимо будет купить существующий криптопровайдер (думаю уже лицензия имеется) или разработать свой и попытаться получить лицензию.

Зафар, возможно ли получить у вас цифровой Х.509 сертификат для своей пары PGP-ключей? Какова стоимость?

Зафар, возможно ли получить у вас цифровой Х.509 сертификат для своей пары PGP-ключей? Какова стоимость? браво, отличный вопрос!

ЭЛ, уже надо нарезать раздел ЭЦП на форуме, а то в одной теме много разных вопросов

ЭЛ, уже надо нарезать раздел ЭЦП на форуме, а то в одной теме много разных вопросов
Жду контакта, от представителя, который будет хостером раздела. Тема действительно интересная.

Жду контакта, от представителя, который будет хостером раздела. Тема действительно интересная. Да в принципе отдельный модер и не нужен

Для гос. органов другого пути не будет. И для тех кто работает с гос. органами, тоже. Поэтому или необходимо будет купить существующий криптопровайдер (думаю уже лицензия имеется) или разработать свой и попытаться получить лицензию.
А что, входящие в состав (к примеру) Microsoft Sertificate Server криптопровайдеры не соотвествуют требованиям O’zDST 1105:2006, O’zDST 1106:2006, O’zDST 1092:2005?
Если нет то интересно чего же там такого в требованях наворотили.;)

А что, входящие в состав (к примеру) Microsoft Sertificate Server криптопровайдеры не соотвествуют требованиям O’zDST 1105:2006, O’zDST 1106:2006, O’zDST 1092:2005?

А что, соответствуют? ;)

Я не телепат, поэтому не могу сказать какие там криптопровайдеры входят в состав Microsoft Certificate Server.

Originally Posted by Zafar Rakhmatullaev
Если Вы дадите свой адрес электронной почты мы вышлем Вам ГОСТ "Формироания и проверка ЭЦП" - национальный алгоритм ЭЦП.
Уважаемый Zafar Rakhmatullaev - а можно попросить этот документ выложить в этот раздел. всем ведь интересно. если конечно это не противоречит правилам и условиям.
Заранее спасибо за ответ.

А вот УРЛа, к сожалению, нет
Я знаю - шутка. Меня просто добивает что Государственные Стандарты (любые) Р. Уз. недоступны в Интернет.
Потом, если я решаюсь купить у вас криптопровайдер, имею ли доступ к исходникам, стем чтобы сделать peer-review?
Зачем обычному обладателю закрытого ключа покупать криптопровайдер?

Зачем обычному обладателю закрытого ключа покупать криптопровайдер? и я том же

и я том же
"Больше продадим больше бабла срубим"(с) один яркий представитель вендора :)

Зачем обычному обладателю закрытого ключа покупать криптопровайдер?

Если я прошу peer-review, я не обычный обладатель закрытого ключа :)

Если я покупаю криптопровайдер, то будьте уверены, это я сделаю за моих обычных пользователей ;)

"Больше продадим больше бабла срубим"(с) один яркий представитель вендора :)

Я сомневаюсь в том, что Zafar Rakhmatullaev и Ко. сможет каждому пользователю криптопровайдера продать его. Скорее всего, купять поставщики услуг и предоставять пользователям бесплатно (ну плата за криптопровайдера будет сидит в цене продукта поставщика :).

Если я прошу peer-review, я не обычный обладатель закрытого ключа
Если я покупаю криптопровайдер, то будьте уверены, это я сделаю за моих обычных пользователей

Кто бы сомневался... ;)

Я сомневаюсь в том, что Zafar Rakhmatullaev и Ко. сможет каждому пользователю криптопровайдера продать его. Скорее всего, купять поставщики услуг и предоставять пользователям бесплатно (ну плата за криптопровайдера будет сидит в цене продукта поставщика .
У вышеназванной "Ко" вполне легитимный статус.
Уж и пофлудить нельзя

У вышеназванной "Ко" вполне легитимный статус.


Да, статус легитимный. Но уже прозвучал вопрос, почему это криптопровайдер платный ;)

Да, статус легитимный. Но уже прозвучал вопрос, почему это криптопровайдер платный
А почему бы ему не быть платным? К примеру этот (http://www.cryptopro.ru/cryptopro/products/csp/default.htm)вполне небесплатный продукт и уверяю Вас что Вам не то что "peer-review"... Вам его вывезти с территории России будет проблематично :)

Кстати тут (http://www.cryptopro.ru/cryptopro/documentation/developers.htm) есть ссылки для работы с CryptoAPI (я еще лет 10 назад, в бытность программистом ковырялся с этим (Windows NT 4.0 Option Pack 4 - уже имелась возможность работы с CА... типа не совсем ламер)) , примеры и тд и тп. Можете написать свой криптопровайдер... (у меня получилось... к сожалению исходников наверное не осталось... дети дома)

А почему бы ему не быть платным?

Не я задавал этот вопрос.


К примеру этот (http://www.cryptopro.ru/cryptopro/products/csp/default.htm)вполне небесплатный продукт и уверяю Вас что Вам не то что "peer-review"... Вам его вывезти с территории России будет проблематично :)

Я не понял, а причем тут это? :shok:

И почему вы думаете что peer-review невозможно (при условии, что продукт продается)?

Кстати тут (http://www.cryptopro.ru/cryptopro/documentation/developers.htm) есть ссылки для работы с CryptoAPI (я еще лет 10 назад, в бытность программистом ковырялся с этим (Windows NT 4.0 Option Pack 4 - уже имелась возможность работы с CА... типа не совсем ламер)) , примеры и тд и тп. Можете написать свой криптопровайдер... (у меня получилось... к сожалению исходников наверное не осталось... дети дома)

Кстати, никто еще MSDN не отменял. ;)

Зафар, возможно ли получить у вас цифровой Х.509 сертификат для своей пары PGP-ключей? Какова стоимость?
В дополнение вопрос: если вы выдаете данные сертификаты, то можно ли получить также и revocation certificate?

Кстати, никто еще MSDN не отменял
Это вы что хотели сказать?

Это вы что хотели сказать?

Я хотел сказать, что в MSDN наиболее полное описание CAPI. Нужно ссылаться в первую очередь на MSDN, ну а кто не умеет пользоваться с MSDN или совсем лентяй пусть ищуть "готовые" решения.

В дополнение вопрос: если вы выдаете данные сертификаты, то можно ли получить также и revocation certificate?
Для сертификатов X509 существуют CRL (Certificate Revocation List), вы это имеете в виду?

Для сертификатов X509 существуют CRL (Certificate Revocation List), вы это имеете в виду?
Нет, не списки. А аннулированный сертификат.

Нет, не списки. А аннулированный сертификат.

Наверное, вы все-таки про PGP говорите, а не про X509. В X509 существует CRL.

Revocation Certificate - Аннулировочный Сертификат, который используется для аннулирования используемого сертификата.

Наверное, вы все-таки про PGP говорите, а не про X509. В X509 существует CRL.
Я знаю, что в 509 существуют данные списки. Меня интересует сертификат аннулирования для размещения на сервере-депозитарии, в случае если я хочу уничтожить свой сертификат до истечения его срока действия.

Я знаю, что в 509 существуют данные списки. Меня интересует сертификат аннулирования для размещения на сервере-депозитарии, в случае если я хочу уничтожить свой сертификат до истечения его срока действия.

Извините, а что такое сервер-депозитарий?

Пожалуйста, пришлите по адресу shumbola2004@yahoo.com
Спасибо заранее!

Зафар, возможно ли получить у вас цифровой Х.509 сертификат для своей пары PGP-ключей? Какова стоимость?

PGP - это одно из программных обеспечений, генерирующее закрытый и открытый ключи, формрующее ЭЦП и шифрующее информацию, т.е. средство ЭЦП и криптографического шифрования. По сути мы по требованию одного заказчика протестировали одну из использованных программ PGP. Возможность использования в нем сертификата Х.509 возможно, но возникли некотые моменты, связанные с поддержкой инфраструктуры PKI. Мы можем выдать на открытый ключ ЭЦП сертификат Х.509, поскольку им формируется запрос PKCS#10 на сертификат. Но для использования в нем сертификата предлагается представить его нам на тестирование. Поскольку данным средством должна идти вся проверка сертификата на действительность, включая проверку списка отозванных сертификатов в Центре регистрации ключей ЭЦП - CRL. Исходя из этого необходимо сертифицировать средства ЭЦП. Посколько некоторыми лицами скачиваются данные программы бесплатно, соответственно в них есть некоторые ограничения.

А что, входящие в состав (к примеру) Microsoft Sertificate Server криптопровайдеры не соотвествуют требованиям O’zDST 1105:2006, O’zDST 1106:2006, O’zDST 1092:2005?
Если нет то интересно чего же там такого в требованях наворотили.;)

В операционную систему Windows включен криптопровайдер Microsoft RSA Base Provider, который выполняют функцию генерации ключей, подписания и шифрования с использование общемировых алгоритмов RSA, DSA, DES, RC. Также в системах Windows имеется интерфейс CryptoAPI, который позволяет создавать приложения, использующие криптографические методы. По сути через приложения Microsoft можно подписывать и шифровать, включая Microsoft Sertificate Server (подписывать сертификаты) используя любой криптопровайдер CSP, интегрирующий с интерфейсом CryptoAPI. Этот криптопровайдер CSP может поддерживать любой алгоритм: российский ГОСТ подписания и шифрования, а также национальные стандарты.

Я знаю - шутка. Меня просто добивает что Государственные Стандарты (любые) Р. Уз. недоступны в Интернет.

Зачем обычному обладателю закрытого ключа покупать криптопровайдер?

Криптопровайдер нужен больше не пользователю ключа, а владельцу информационной системы, где нужно применять ЭЦП для идентификации пользователей или с юридической точки зрения, а также для защиты своей системы и защищенного обмена информацией. Поэтому основные заказчики средситв ЭЦП и шифрования являются юридические лица. Основное Ваше видение персональное использования ЭЦП для обмена подписанной и зашифрованной информацией с другими лицами. Для этого уровня защищенности Вы можете использовать имеющиеся в системах Microsoft средства без приобретения криптопровайдера, ключи если хотите можно зарегистрировать в Центре регистрации.

Мы можем выдать на открытый ключ ЭЦП сертификат Х.509, поскольку им формируется запрос PKCS#10 на сертификат.

Zafar Rakhmatullaev, вы не правы. PKCS#10 запрос формируется не открытым ключом, но открытый ключ участвует в качествии информации, которую необходимо подтвердить.

Что такое PKCS#10 запрос? Это, грубо говоря, Открытый ключ(ОК)+Идентификатор пользователя+Атрибуты(А)+Подпись ОК+ИП+А (П)+Алгоритм подписи(АП)

Для подписы используется соответствующий открытому ключу закрытый ключ.

Криптопровайдер нужен больше не пользователю ключа, а владельцу информационной системы, где нужно применять ЭЦП для идентификации пользователей или с юридической точки зрения, а также для защиты своей системы и защищенного обмена информацией.
Увы, но и здесь вы не правы. Криптопровайдер нужен и пользователю,и владельцу ИС.

Увы, но и здесь вы не правы. Криптопровайдер нужен и пользователю,и владельцу ИС.

Конечно пользуется криптопровайдером в информационной системе пользователь, но оплачивает за этот криптопровайдер в основном владелец системы.
Интерес ЭЦП с точки информационной безопасности и с точки зрения юридической значимости интересен в таких системах как системы оказывающие интерактивные услуги (Интернет-магазин, оплата услуг, гос. услуги), электроные платежные системы, системы сбора и обработки информации (государственные, ведомственные корпоративные) и системы ограниченного доступа к информации, информационным ресурсам (в сети Интернет или в корпоративной системе). Имено здесь ЭЦП имеет особый приоритет. Это и хотелось подчеркнуть.
В мире есть даже подход к приоритетности к ключам ЭЦП - простые и приоритетные. Также есть подход по применению того или иного алгоритма в тех или иных сферах деятельности. Возможность применения национального криптопровайдера для информационного обмена между обычными пользователями также допускается, но следует помнить, что у этих пользователей должны быть криптопровайдеры, поддерживающие одинаковые алгоритмы, т.е. становится ограниченный круг обмена.

Известно, что при ГНК открыт центр регистрации ЭЦП. Поступила новость, что чиланзарское ГНИ начало принимать эл. отчёты - это хорошо. Плохо что они же предлагают покупать ЭЦП по $50. Значит при простом расчёте руководитель+гл.бух это нововведенеие обойдётся в $100 в год. Проще ездить и сдавать бумаги.
Теперь вопрос Зафару - ЭЦП, приобретённое нами в ЦНТМИ должно иметь легальный статус во всех гос. учреждениях? При этом это предусмотрено какими либо нормами? Ход моих мыслей "зачем брать за "$50 когда можно за 8000 сум"? И потом, если каждый орган будет требовать "свою" ЭЦП исчезнут все преимущества, придётся держать ключи для ГНИ, ключи для горстата ... да мало ли у нас органов.

Плохо что они же предлагают покупать ЭЦП по $50.

А вы точно уверены в том, что ЭЦП (ах, как не люблю я сокращение *) стоит столько? Может быть они еще чего-нибудь предлагают? Программу например, или устройство?

* - Меня бесит использование сокращенения ЭЦП (Электронная цифровая подпись) повсеместно, даже там где это неправильно.
Нужно говорит о Цифровом сертификате, а ЭЦП это след от закрытого ключа, которому соответствует сертификат.

Известно, что при ГНК открыт центр регистрации ЭЦП. Поступила новость, что чиланзарское ГНИ начало принимать эл. отчёты - это хорошо. Плохо что они же предлагают покупать ЭЦП по $50. Значит при простом расчёте руководитель+гл.бух это нововведенеие обойдётся в $100 в год. Проще ездить и сдавать бумаги.
Теперь вопрос Зафару - ЭЦП, приобретённое нами в ЦНТМИ должно иметь легальный статус во всех гос. учреждениях? При этом это предусмотрено какими либо нормами? Ход моих мыслей "зачем брать за "$50 когда можно за 8000 сум"? И потом, если каждый орган будет требовать "свою" ЭЦП исчезнут все преимущества, придётся держать ключи для ГНИ, ключи для горстата ... да мало ли у нас органов.

С одной стороны правильное мнение, чтобы ключи ЭЦП были унифицированными. Однако нужно понимать специфичность системы ГНК, где ЭЦП используется не только для подписания, но и для аутентификации пользователей системы. Конечно можно используя наши ключи ЭЦП использовать в системе ГНК для этого нужно соглашение между нашими Центрами регистрации, чтобы мы смогли передавать сертификаты ключей ЭЦП пользователей системы для включения их в базу системы ГНК с целью аутентификации этих пользователей. С другой стороны каждый Центр регистрации устанавливает свои тарифы согласно законодательству. Если мы подпишем такое соглашение с Центр регистрации ГНК, то мы должны будем придерживаться их тарифной политики, потому что это их система. С другой стороны мы аналогичные ключи ЭЦП используем в системе защищенной электронной почты Е-ХАТ, где стоимость ключа и сертификата определяется нами.

Zafar Rakhmatullaev, вопрос просто идиотский - для унификации систем ЭЦП (шумбола- "ЭЦэПэ, ЭЦэпэ, эцэпэ" :) ) и масштабного внедрения современных ИС и АС не проще ли выдавать ключи и для корпоративных центров сертификации и проверять время от времени соответствие эксплуатации данных механизмов на требования законодательной базы? В таком случае Ваш центр будет корневым трастовой зоне и все будут доверять ключам находящимся в вашей трастовой зоне? Я правильно вообще то выразился?

Надеемся помочь разобраться пользователям в электронно-цифровых дебрях. Принимаются также жалобы на работу Центра, пожелания и предложения.

Маленький технический вопрос? касательно Органа регистрации - где нибудь утверждена ли формально срок действия списка отозванных сертификатов Центров регистрации...

Хорошо, может пример приведете? По вашему мнению, какой пользователь не может создать ключ?В Узбекистане ни один не может - сертифицированные криптографические средства для этого нужны, а у пользователей их по определению нет.

Хорошо, может пример приведете? По вашему мнению, какой пользователь не может создать ключ?В Узбекистане ни один не может - сертифицированные криптографические средства для этого нужны, а у пользователей их по определению нет.

Nadir
Сертифицированные кем?

Вообще, я не понял что вы имеете в виду здесь.

Nadir
Сертифицированные кем?

Вообще, я не понял что вы имеете в виду здесь.Согласно законодательства криптографические средства для создания открытых или закрытых ключей должны быть сертифицированными.

Сертифицированы уполномоченным органом (СНБ).

Сертифицированных средств криптографической защиты пока (AFAIK) нет.

Сертифицированных средств криптографической защиты пока (AFAIK) нет.
Как нет? У Unicon'а разве не сертифицирован криптопровайдер?

Как нет? У Unicon'а разве не сертифицирован криптопровайдер?
Говорят что сертифицирован, но... нигде не видели "Сертификат соответствия" полученного от уполномоченного органа в области криптографической защиты информации. Обычно после прохождения "сертификации" с гордостью вывешивают на сайтах полученного "Сертификата соответствия". Но почему-то на сайте я не нашел "Картинку" полученного Unicon.uz ом "Сертификата соответствия"

Как нет? У Unicon'а разве не сертифицирован криптопровайдер?Для сертификации нужен порядок сертификации и аккредитация лаборатории. Вы что-нибудь такое видели?

Говорят что сертифицирован, но... нигде не видели "Сертификат соответствия" Да? А кто говорит? И вообще, откуда у Вас свободное время писать тут все подряд? Все задания сделаны? Я не вижу.

В мировой практике криптопровайдеры продаются, как программная продукция. К примеру криптопровайдеры в России стоят порядка 20 - 40 долл. США. Интеграция в любые информационные системы, прикладные программы, обычно это выполняется совместно с разработчиками ПО информационных систем, т.е. создаются криптографические интерфейсы взаимодействия с ПО информационной системы или прикладной программы.

Но у нас тут идет речь о "нациальном криптопровайдере", т.е. его продажа.. помоему как то странно, нельзя ли к примеру специально уполномоченный орган в области ЭЦП (УзАСИ) "разработал бы полноценный (сертифицированный) национальный криптопровайдер CSP" и "свободно распространил его", в первую очередь Центрам регистрации, так как на сколько я знаю УзАСИ по мере возможности придерживается на использование национальных стандартов в области применения и использования ЭЦП в практике... По моему вот и пошел бы тенденция развития применения национальных стандартов ЭЦП в практике...

Да? А кто говорит? Оффтоп: И вообще, откуда у Вас свободное время писать тут все подряд? Все задания сделаны? Я не вижу.
к сожалению все задания пока не выполнены, стараемся выполнить
просто поинтересовался немножко, какие вопросы и проблемы рассматриваются на Уфоруме на сегодняшний день...

Да? А кто говорит? Оффтоп: И вообще, откуда у Вас свободное время писать тут все подряд? Все задания сделаны? Я не вижу.
к сожалению все задания пока не выполнены, стараемся выполнить
просто поинтересовался немножко, какие вопросы и проблемы рассматриваются на Уфоруме на сегодняшний день...

отдочаво дошли уже! виртуально отчитал, виртуально отмазался )))))):clapping:

Центр регистрации ключей ЭЦП В данной теме принимаются вопросы по деятельности Центра регистрации ключей ЭЦП при ЦНТМИ.
Кто входит на сегодняшний день в состав экспертной комиссии по рассмотрению заявлений и документов на государственную регистрацию Центров регистрации ключей ЭЦП (созданный Приказом УзАСИ №333 от 28.12.2005г.)???

присутствие заказчика на месте для контроля сохранения ключа в конфиденциальность - работать не будет. откуда я знаю, что на компе, где генериться ключ, не запущен какой-нить левый софт для сохранения копии ключа?

Проще, давать клиенту возможность скачать ПО для генерации ключа на своем ПК. При этом провести экспертизу данного ПО, что оно не имеет никаких закладок (недекларированных функций)
Вот именно, я работал с российской платежной системой и мы именно так генерировали ключи, на своем ПК с помощью их ПО. Думаю так и должно быть.

И еще, мы Работали с нашей системой "Пэйнет", они отправляли нас в мультисофт чтобы заказывали ключ и при этом еще заплатили им 35 000 за .... генерацию ключа !!! Ну не смешно ли это? Это называется деньги из воздуха или как? а ЭЦП они выдают на год, и так каждый год...