[sheft]

Собственно, задался вопросом - кто у нас лоббирует внедрение в обязательном порядке КСПЭП во все дырки? наверное не секрет, что сейчас каждое предприятие принудили получать электронные подпися и различные носители под оный, а то и несколько штук для различных целей... Цена на сертификат для физ лица 900р в среднем, для юриков эти флешки продают втридорого в буквальном смысле -3000р за штуку. Сертификат электронной подписи на год за 2000-3000, а то и больше... Ежегодное продление подписи - тоже вызывает вопрос, ручная подпись действительна на всём протяжении жизни индивидуума, и даже после смерти действует, а электронной - год. Почему? почему не месяц, почему не 5-10 лет, почему не пожизненно? Что становится с подписанным документом, сертификат которого через год становится недействительным? документ тоже можно считать недействительным? Кто получает барыш за поставки носителей и с посаженных на иглу-сертификат предпринимателей?

Изменено 26 ноября, 2015 пользователем sheft

[grifin.ru]

Тут вам нужно лекцию прочитать страниц на 50, начать с того что это токен это ни флешка ни разу, что токен как-раз можно использовать много лет и заканчивая стоимостью ПО для УЦ и стоимостью обслуживания всего этого хозяйства.

[Sergey Gilfanov]

Самое смешное, что, как я не раз ныл в теме про деньги, сам чип у каждого почти в кармане лежит - на банковской карте.

[sheft]

ни флешка ни разу

да, это флешка с интегрированным крипточипом, правильно?

зачем фгуп центринформ и др. держат целую номенклатуру? рутокет, токен про, джаватокен (джакарта), унифицировать нельзя?

заканчивая стоимостью ПО для УЦ и стоимостью обслуживания всего этого хозяйства.

ясен пень, ежегодно заменять все сертификаты всем предпринимателям в стране, а сколько бумаг для каждого сертификата ещё нужно напечатать и подписать :) и все расходы повесить на предпринимателей... это по нашему :\

 

стоимость паспортов гражданина и обслуживание данного хозяйства сильно меньше?

[Ivan_83]

По хорошему они даже токены впаривать не могут, ибо если некто хочет держать свой закрытый ключ у себя на флешке то это его право.

И с оплатой тоже не хорошо получается, вроде как государство само для себя затеяло и должно было обеспечить и бесплатную (за счёт налогов) возможность работы.

[sheft]

ибо если некто хочет держать свой закрытый ключ у себя на флешке то это его право.

про то и речь, свою подпись я могу хранить хоть на дискете 5.25 если мне это удобно, но нужен токен и который указывает цент выдачи сертификата, а не тот, который уже есть в наличие у меня. Ведь если я правильно понимаю, на одном токене может храниться несколько сертификатов.

[grifin.ru]

ибо если некто хочет держать свой закрытый ключ у себя на флешке то это его право.

про то и речь, свою подпись я могу хранить хоть на дискете 5.25 если мне это удобно, но нужен токен и который указывает цент выдачи сертификата, а не тот, который уже есть в наличие у меня. Ведь если я правильно понимаю, на одном токене может храниться несколько сертификатов.

Основная суть токена в том, что скопировать с его закрытый ключ - невозможно (при условии что он помечен как неэкспортируемый) И это очень важно, с точки зрения безопасности. Владелец ключа на токене может быть уверен, что ключь существует в единственном экземпляре. Я бы положительно отнесся к законадательной инициативе что все ключи должны хранится только на защищенных носителях, т.к. хранение их на дискете, а тем более на жестком диске компьютера рано или поздно может вообще полностью дискридитировать всю идею электронной подписи.

Технически ключ может быть выдан на любой срок, есть приказ конторы из трех букв о требованиях к квалифицированному сертификату, именно там прописан год. Зачем - спроси их. Видимо сиз тех же соображений почему требуется периодически менять пароли в любой более-менее серьезной системе. Ну и бабла поднять конечно, как без этого )

Никто вас не заставляет покупать конкретный токен. Более того, я ВСЕГДА генерирую сам себе закрытый ключ и пишу его на свой токен, в УЦ я передаю лишь запрос на создание сертификата. Таким образом мой закрытый ключ хранится только у меня, его даже в УЦ нет, и никогда не было. Все требования к токенам имеют место быть только когда УЦ сам генерирует и записывает, у них стоит ПО только для определенного вида токенов, вот и все. На самом деле можно на любой.

При подписывании документа ставиться дата-время. Если на момент подписи сертификат действовал, то подпись считается валидной, а проварить ее можно и через 20 лет, проверка подписи пройдет успешно.

[snvoronkov]

...есть приказ конторы из трех букв о требованиях к квалифицированному сертификату, именно там прописан год.

Это немного неправда. У меня сертификаты для выгрузки все со сроком годности в 15 месяцев.

[Олег Кривицкий]

Более того, я ВСЕГДА генерирую сам себе закрытый ключ и пишу его на свой токен, в УЦ я передаю лишь запрос на создание сертификата. Таким образом мой закрытый ключ хранится только у меня, его даже в УЦ нет, и никогда не было. Все требования к токенам имеют место быть только когда УЦ сам генерирует и записывает, у них стоит ПО только для определенного вида токенов, вот и все. На самом деле можно на любой.

При подписывании документа ставиться дата-время. Если на момент подписи сертификат действовал, то подпись считается валидной, а проварить ее можно и через 20 лет, проверка подписи пройдет успешно.

 

А что теперь можно всё подписывать самостоятельно сгенерированной ЭЦП, хранящейся на своём носителе?

Просто ещё год назад (когда я имел с этим дело) каждый банк выдавал свой токен и только с него моно было подписывать документы для этого банка, более того для налоговой своя ЭЦП, для пенсионного своя .... приходилось USB порты в компе менять, контакты стирались от постоянного перетыкивания токенов и флешек ... и денег всё это стоило дохрена. Или это для юр.лиц такая доилка?

[Ivan_83]

Основная суть токена в том, что скопировать с его закрытый ключ - невозможно (при условии что он помечен как неэкспортируемый) И это очень важно, с точки зрения безопасности. Владелец ключа на токене может быть уверен, что ключь существует в единственном экземпляре. Я бы положительно отнесся к законадательной инициативе что все ключи должны хранится только на защищенных носителях, т.к. хранение их на дискете, а тем более на жестком диске компьютера рано или поздно может вообще полностью дискридитировать всю идею электронной подписи.

Ну тут каждый сам себе буратина, заставлять юзать токены тоже не оч интересно, они, например, не бэкапятся.

 

Более того, я ВСЕГДА генерирую сам себе закрытый ключ и пишу его на свой токен, в УЦ я передаю лишь запрос на создание сертификата. Таким образом мой закрытый ключ хранится только у меня, его даже в УЦ нет, и никогда не было.

Это единственно правильный вариант.

Припоминаю что в банк клиентах (сбер) было примерно так же: клю генерился локально а на бумажке и по электронке уходил вроде только публичный.

 

Все требования к токенам имеют место быть только когда УЦ сам генерирует и записывает, у них стоит ПО только для определенного вида токенов, вот и все. На самом деле можно на любой.

Только УЦ видимо это не сильно офишируют...

 

При подписывании документа ставиться дата-время. Если на момент подписи сертификат действовал, то подпись считается валидной, а проварить ее можно и через 20 лет, проверка подписи пройдет успешно.

А ещё можно подписывать задним числом...

[sheft]

Технически ключ может быть выдан на любой срок, есть приказ конторы из трех букв о требованиях к квалифицированному сертификату, именно там прописан год. Зачем - спроси их. Видимо сиз тех же соображений почему требуется периодически менять пароли в любой более-менее серьезной системе.

И, видимо, именно по соображениям безопасности подавляющее большинство УЦ выдают токены с сертификатами и дефолтными паролями :)

 

И всёже, есть паспорта гражданина, водительские удостоверения, СНИЛС и пр., реестры ОГРНИП и ОГРНЮЛ, ИНН..... чем обслуживание КСПЭП принципиально дороже, что годовой сертификат стОит около 2000-3000р и дороже, и почему сертификаты разные (подключены к разным базам).... подпись по сути одна, и содержит информацию владельца... Лохоразвод и просто хороший рентабельный бизнес?

[vodz]

А что теперь можно всё подписывать самостоятельно сгенерированной ЭЦП, хранящейся на своём носителе?

Ключ всегда "самостоятельный". То что мы в УЦ сами генерим ключи для клиентов, а не только выпускаем сертификаты - это не от хорошей жизни, а от безграмотности клиентов: сделайте нам, мы ничего не понимаем и понимать не хотим.

Просто ещё год назад (когда я имел с этим дело) каждый банк выдавал свой токен и только с него моно было подписывать документы для этого банка, более того для налоговой своя ЭЦП, для пенсионного своя .... приходилось USB порты в компе менять, контакты стирались от постоянного перетыкивания токенов и флешек ... и денег всё это стоило дохрена. Или это для юр.лиц такая доилка?

С банками раньше ситуция была плачевная - они сами находили или к ним подкатывали очередные поставщики крипты, которые городили ни с чем не совместимую подпись и шифрованный канал. Так что даже с одим банком могло быть как минимум две "флешки", на одной симместричный ключ для шифрации канала, а на других - личные ключи сотрудников. Сейчас стало немного лучше, крипта в основном ГОСТ, канал TLS с гостовской криптой, но без ключей сотрудников всё равно не обойтись, но как правило выбор поставшика токенов присутствует.

Срок действия сертификата рекомендован при сертификации в ФСБ конкретной версии криптопровайдера. Как правило сейчас это полтора года, но может быть меньше, если открытый ключ УЦ истечёт раньше.

[Sergey Gilfanov]

Лохоразвод и просто хороший рентабельный бизнес?

Да точно так же, как с сертификатами для https на вебсайты. Нет никаких причин, кроме жадность, что они столько стоят.

[snvoronkov]

а точно так же, как с сертификатами для https на вебсайты. Нет никаких причин, кроме жадность, что они столько стоят.

Недолго осталось (https://letsencrypt.org/2015/11/12/public-beta-timing.html)

 

Let’s Encrypt will enter Public Beta on December 3, 2015. Once we’ve entered Public Beta our systems will be open to anyone who would like to request a certificate. There will no longer be a requirement to sign up and wait for an invitation.

 

Our Limited Beta started on September 12, 2015. We’ve issued over 11,000 certificates since then, and this operational experience has given us confidence that our systems are ready for an open Public Beta.

 

It’s time for the Web to take a big step forward in terms of security and privacy. We want to see HTTPS become the default. Let’s Encrypt was built to enable that by making it as easy as possible to get and manage certificates.

[Sergey Gilfanov]

Ключ всегда "самостоятельный". То что мы в УЦ сами генерим ключи для клиентов, а не только выпускаем сертификаты - это не от хорошей жизни, а от безграмотности клиентов: сделайте нам, мы ничего не понимаем и понимать не хотим.

А не отсутствия нормальных инструкций? Понять, что и как должно быть в этом Certificate Request, чтобы потом какой-нибудь софт на получившуюся подпись не обижался - ну, не очень очевидно.

 

Для примера, возьму я сейчас последний openssl, что с ГОСТ-ом. Он, теоретически, все что нужно для создания запроса умеет. Но что-то я сомневаюсь, что если я все сам сделаю, то у меня проблем не будет.

 

И, кстати, даже если смогу все сделать - то как насчет 'кошерности'. У openssl сертификатов ФСБ нет же?

[vodz]

И, кстати, даже если смогу все сделать - то как насчет 'кошерности'. У openssl сертификатов ФСБ нет же?

С кошерностью, увы, проблемы у вас будут. Дело не в ГОСТ как таковом, а

1) Правила заполнения всех полей запроса. Никакой самодеятельности, полное наименование конторы - как в учредительных документах, большим буквами - значить большими, запятые точки...

2) Самое отвратительное, это extended-ы. Это прямо бич, именно ими и определяется "квалифицированность", возможность работы с кокретным софтом для взаимодействия с конкретной конторой. Для zakupki.gov.ru - это одни, для налогой/пенсионного - другие. Они в общем-то не секретные, но надо понимать как и где и почему их надо вставлять.

[grifin.ru]

Более того, я ВСЕГДА генерирую сам себе закрытый ключ и пишу его на свой токен, в УЦ я передаю лишь запрос на создание сертификата. Таким образом мой закрытый ключ хранится только у меня, его даже в УЦ нет, и никогда не было. Все требования к токенам имеют место быть только когда УЦ сам генерирует и записывает, у них стоит ПО только для определенного вида токенов, вот и все. На самом деле можно на любой.

При подписывании документа ставиться дата-время. Если на момент подписи сертификат действовал, то подпись считается валидной, а проварить ее можно и через 20 лет, проверка подписи пройдет успешно.

 

А что теперь можно всё подписывать самостоятельно сгенерированной ЭЦП, хранящейся на своём носителе?

Просто ещё год назад (когда я имел с этим дело) каждый банк выдавал свой токен и только с него моно было подписывать документы для этого банка, более того для налоговой своя ЭЦП, для пенсионного своя .... приходилось USB порты в компе менять, контакты стирались от постоянного перетыкивания токенов и флешек ... и денег всё это стоило дохрена. Или это для юр.лиц такая доилка?

Я не про банки. Там неквалифицированные сертификаты. Насчет того что везде своя - это все развод. Тут очень много писать )

 

А ещё можно подписывать задним числом...

Можно даже передним. Только Тсссс )

[Sergey Gilfanov]

А ещё можно подписывать задним числом...

Можно даже передним. Только Тсссс )

Что приводит к вопросу. Служба заверенного timestamp-а или как оно там по правильному называется в России нормальному человеку доступна? Или только пешком, к нотариусу, с бумажной копией в руках.

[YuryD]

Для примера, возьму я сейчас последний openssl, что с ГОСТ-ом. Он, теоретически, все что нужно для создания запроса умеет. Но что-то я сомневаюсь, что если я все сам сделаю, то у меня проблем не будет.

 

Ну если запрос к запретинфо подписывается и проходит, и ответ отдаётся что тут не так ?

Или мне купить криптопрокакоенибудь, и держать лодырей 24 часа в сутки, для отсылания запросов на выгрузку ? Кстати - один и тот-же токен служит уже третью смену ключей, так что о продаже флешек речь не идёт..

Изменено 30 ноября, 2015 пользователем YuryD

[Sergey Gilfanov]

Ну если запрос к запретинфо подписывается и проходит, и ответ отдаётся что тут не так ?

В данном случае речь шла не об использовании, а о генерации нужных ключей. Этот ключ, которым подписывается - для него Certificate Request тоже локально при помощи openssl делался? А насколько трудно было узнать, как и какие поля заполнять надо.

[vop]

Ну если запрос к запретинфо подписывается и проходит, и ответ отдаётся что тут не так ?

В данном случае речь шла не об использовании, а о генерации нужных ключей. Этот ключ, которым подписывается - для него Certificate Request тоже локально при помощи openssl делался? А насколько трудно было узнать, как и какие поля заполнять надо.

 

Разве не при подписи реквеста оттуда удалается весь "мусор" и втыкаются все необходимые расширения? :>)

[Ivan_83]

Я возился с самоподписными сертификатами на свой супер сайтег, хотелось самой современной крипты и интересных полей.

За 1-2 вечера разобрался.

Если есть пример готового серта то относительно легко делается запрос на аналогичный, там же все поля видно.