Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Это все замечательно, но доступность информации также... 28.09.04 08:59 Число просмотров: 3159
Автор: cybervlad <cybervlad> Статус: Elderman
|
> А какой смысл на дискету копию делать? ИМХО в этом то и > есть основная прелесть такого носителя, ключи никогда не > покидают носитель и существуют в единственном варианте ( по > крайней мере я думаю это справедливо для ключей подписи). > Если уж токен приказал долго жить, то можно взять новый, > создать новую пару и т.д. Это все замечательно, но доступность информации также является частью задачи обеспечения ИБ.
Внеплановая смена ключа - очень @#$овая процедура. Я раньше тоже относился с непониманием к депонированию ключей, пока электронный документооборот с ЭЦП не стал частью повседневной жизни. Например, запустил я документ на согласование, поставил подпись, понадобились правки, а у меня ключ сменился. Во-первых я просто напросто уже никогда не смогу прочитать документ, который отправитель зашифровал на моем открытом ключе, т.к. для этого мне нужен мой секретный, а он помер вместе с токеном. Во-вторых, в системе должна решаться задача сопоставления разных ключей одной сущности (должностному лицу), а это очень нетривиально, поверь человеку, который такую систему внедрял, подводные грабли на каждом шагу закопаны.
Короче, ключики ЭЦП депонировать надо, но не централизовано, а каждому индивидуально, на дискету и в личный сейф. Не даром в PKCS#11 предусмотрена функция загрузки внешнего ключа в токен (но при этом совершенно правильно отсутствует функция выгрузки ключа из токена).
p.s. Поигрался еще со смарт-картами SETEC, тоже замечательно работают. На подходе Cryptoflex от Schlumberger, будем сравнивать, что дешевле и с более богатым софтом.
|
|
|