информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Это все замечательно, но доступность информации также... 28.09.04 08:59  Число просмотров: 3258
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> А какой смысл на дискету копию делать? ИМХО в этом то и
> есть основная прелесть такого носителя, ключи никогда не
> покидают носитель и существуют в единственном варианте ( по
> крайней мере я думаю это справедливо для ключей подписи).
> Если уж токен приказал долго жить, то можно взять новый,
> создать новую пару и т.д.
Это все замечательно, но доступность информации также является частью задачи обеспечения ИБ.
Внеплановая смена ключа - очень @#$овая процедура. Я раньше тоже относился с непониманием к депонированию ключей, пока электронный документооборот с ЭЦП не стал частью повседневной жизни. Например, запустил я документ на согласование, поставил подпись, понадобились правки, а у меня ключ сменился. Во-первых я просто напросто уже никогда не смогу прочитать документ, который отправитель зашифровал на моем открытом ключе, т.к. для этого мне нужен мой секретный, а он помер вместе с токеном. Во-вторых, в системе должна решаться задача сопоставления разных ключей одной сущности (должностному лицу), а это очень нетривиально, поверь человеку, который такую систему внедрял, подводные грабли на каждом шагу закопаны.
Короче, ключики ЭЦП депонировать надо, но не централизовано, а каждому индивидуально, на дискету и в личный сейф. Не даром в PKCS#11 предусмотрена функция загрузки внешнего ключа в токен (но при этом совершенно правильно отсутствует функция выгрузки ключа из токена).

p.s. Поигрался еще со смарт-картами SETEC, тоже замечательно работают. На подходе Cryptoflex от Schlumberger, будем сравнивать, что дешевле и с более богатым софтом.
<theory>
Генерация ключей Microsoft CA и безопасность получения и назначение сертификатов 17.09.04 07:40  
Автор: pilikonis Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Установлен Windows server 2003 enterprise edition. Поднят Stand-Alone root CA. Запрос на генерацию ключей идет через http://servername/certsrv. Подскажите где сохраняются сгенерированные ключи, если они не помечены, как экспортируемые, при использовании стандартных криптопровайдеров? Что нужно сделать, кроме разрешения экспортирования, чтобы они сохранялись сразу на е-токен или смарт-карту и не оставались на жестком диске и какие настройки на сервере необходимо сделать для этого?
Стандартные криптопровайдеры хранят ключи в реестре. 20.09.04 13:15  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> http://servername/certsrv. Подскажите где сохраняются
> сгенерированные ключи, если они не помечены, как
> экспортируемые, при использовании стандартных
> криптопровайдеров? Что нужно сделать, кроме разрешения
Стандартные криптопровайдеры хранят ключи в реестре.

> экспортирования, чтобы они сохранялись сразу на е-токен или
> смарт-карту и не оставались на жестком диске и какие
> настройки на сервере необходимо сделать для этого?
А не проще при генерации использовать криптопровайдер смарт-карты, тогда секретный ключ будет сгенерен ее процессором и вообще в комп никогда не попадет?
При установленном RTE от е-токена оно замечательно генерится прямо на карте.
Если же генерил станщдартным провайдером, токенговской же утилитой импортируй ключ/сертификат в токен с удалением секретного ключа из реестра. и все будет в ажуре.

p.s. при последнем варианте, я бы копию ключа еще на дискету сохранил, и в сейф ее. на всякий случай - вдруг токен накроется?
А какой смысл на дискету копию делать? ИМХО в этом то и есть... 21.09.04 17:22  
Автор: yeoman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> p.s. при последнем варианте, я бы копию ключа еще на
> дискету сохранил, и в сейф ее. на всякий случай - вдруг
> токен накроется?

А какой смысл на дискету копию делать? ИМХО в этом то и есть основная прелесть такого носителя, ключи никогда не покидают носитель и существуют в единственном варианте ( по крайней мере я думаю это справедливо для ключей подписи). Если уж токен приказал долго жить, то можно взять новый, создать новую пару и т.д.
Это все замечательно, но доступность информации также... 28.09.04 08:59  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> А какой смысл на дискету копию делать? ИМХО в этом то и
> есть основная прелесть такого носителя, ключи никогда не
> покидают носитель и существуют в единственном варианте ( по
> крайней мере я думаю это справедливо для ключей подписи).
> Если уж токен приказал долго жить, то можно взять новый,
> создать новую пару и т.д.
Это все замечательно, но доступность информации также является частью задачи обеспечения ИБ.
Внеплановая смена ключа - очень @#$овая процедура. Я раньше тоже относился с непониманием к депонированию ключей, пока электронный документооборот с ЭЦП не стал частью повседневной жизни. Например, запустил я документ на согласование, поставил подпись, понадобились правки, а у меня ключ сменился. Во-первых я просто напросто уже никогда не смогу прочитать документ, который отправитель зашифровал на моем открытом ключе, т.к. для этого мне нужен мой секретный, а он помер вместе с токеном. Во-вторых, в системе должна решаться задача сопоставления разных ключей одной сущности (должностному лицу), а это очень нетривиально, поверь человеку, который такую систему внедрял, подводные грабли на каждом шагу закопаны.
Короче, ключики ЭЦП депонировать надо, но не централизовано, а каждому индивидуально, на дискету и в личный сейф. Не даром в PKCS#11 предусмотрена функция загрузки внешнего ключа в токен (но при этом совершенно правильно отсутствует функция выгрузки ключа из токена).

p.s. Поигрался еще со смарт-картами SETEC, тоже замечательно работают. На подходе Cryptoflex от Schlumberger, будем сравнивать, что дешевле и с более богатым софтом.
в случае использования шифрования, я бы применял key... 29.09.04 16:22  
Автор: yeoman Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Это все замечательно, но доступность информации также
> является частью задачи обеспечения ИБ.
> Внеплановая смена ключа - очень @#$овая процедура. Я раньше
> тоже относился с непониманием к депонированию ключей, пока
> электронный документооборот с ЭЦП не стал частью
> повседневной жизни. Например, запустил я документ на
> согласование, поставил подпись, понадобились правки, а у
> меня ключ сменился. Во-первых я просто напросто уже никогда
> не смогу прочитать документ, который отправитель зашифровал
> на моем открытом ключе, т.к. для этого мне нужен мой
> секретный, а он помер вместе с токеном.
в случае использования шифрования, я бы применял key recovery module и проблемы с чтением сообщений, была бы решена. Хотя конечно там могут быть грабли, которых я пока не вижу.

> Во-вторых, в
> системе должна решаться задача сопоставления разных ключей
> одной сущности (должностному лицу), а это очень
> нетривиально, поверь человеку, который такую систему
> внедрял, подводные грабли на каждом шагу закопаны.
> Короче, ключики ЭЦП депонировать надо, но не
> централизовано, а каждому индивидуально, на дискету и в
> личный сейф. Не даром в PKCS#11 предусмотрена функция
> загрузки внешнего ключа в токен (но при этом совершенно
> правильно отсутствует функция выгрузки ключа из токена).
>
Не спорю, депонирование ключей ЭЦП имеет смысл. Но средний пользователь с этим не справится. Просто не справится. В силу того что ему, что наши токены, что ключи... до одного места, а не которые из-за неспособности воспринять.
Да и не у всех есть сейфы :)

> p.s. Поигрался еще со смарт-картами SETEC, тоже
> замечательно работают. На подходе Cryptoflex от
> Schlumberger, будем сравнивать, что дешевле и с более
> богатым софтом.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach