?

Log in

No account? Create an account

Предыдущий | Следующий

Проблемы Минкомсвязи

Бардак у нас встречается везде, более того, я сам периодически прикладываю руку к его организации.
Но вот такой бардак, который встречается у Минкомсвязи, трудно переплюнуть.

Итак, в одной из наших информационных систем мы принимаем все усиленные квалифицированные сертификаты, выданные Удостоверяющими центрами аккредитованными Минкомсвязи России.

Делается это просто:
- На Портале уполномоченного федерального органа в области использования электронной подписи (https://e-trust.gosuslugi.ru/CA) публикуется перечень аккредитованных удостоверяющих центров, с информацией о самих центрах, выданных им ключах и текущем статусе.
- Мы скачиваем XML-представление этого списка, обрабатываем его и можем считать, что дело в шляпе.

Но не всё так просто (иначе я и не стал бы писать этот пост).
Cписок аккредитованных организаций публикуется и на сайте Минкомсвязи (http://minsvyaz.ru/ru/activity/govservices/2/).

Пробуем скачать "Перечень аккредитованных удостоверяющих центров (по состоянию на 12.04.2016)". Попробовали? Его там просто нет!

Ладно, тогда пробуем скачать "Перечень аккредитованных удостоверяющих центров, аккредитация которых досрочно прекращена", открываем его и видим там две организации:


Возвращаемся на портал и пробуем найти там "Группа Ренессанс Страхование". Вот оно:

Есть, но только статус у него: Действует!!!

Чешем в затылке, утешаем себя, что данные могли еще не обновить, но проверяем и "Русь-Телеком":

Ну, у этой хотя бы аккредитация Приостановлена.

Но, почему одна организация есть в одном списке, но отсутствует в другом, а вторая наоборот?

А ведь там еще есть хитрый статус "Прекращена":


И статус "Аннулирована":


Ради разнообразия может посмотреть списки отозванных сертификатов. Я проверял только "Русь-Телеком", так вот сведений об отзыве их сертификатов нет, а это значит, что по всем канонам сертификаты ЭП, выданные этим УЦ на текущий момент считаются действующими и могут использоваться во всех прикладных системах.

63-ФЗ они ждали и Единого пространства доверия.
Дождались.
Хлебаем теперь все вместе полной ложкой.

Comments

( 17 комментариев — Оставить комментарий )
dmitrmax
28 апр, 2016 06:10 (UTC)
С точки зрения информационной безопасности, тем, кто скачивает сертификаты корневых УЦ из Интернета, уготован отдельный котел в аду. Готовьтесь )

Касательно 63-ФЗ, если почитаете последнюю редакцию, то узнаете, теперь у нас будет головной удостоверяющий центр (надо думать у МинКомСвязи), который будет подписывать все сертификаты УЦ. Правда обязательным к исполнению это только с 2017 года, по-моему.
ivalnick
28 апр, 2016 08:45 (UTC)
> тем, кто скачивает сертификаты корневых УЦ из Интернета, уготован отдельный котел в аду.

Я с вами почти согласен, но, почему вы об этом говорите мне?
Может быть у меня тут что-то сказано о скачивании корневых сертификатов?

> если почитаете последнюю редакцию, то узнаете, теперь у нас будет головной удостоверяющий центр

Знаете, я читаю его регулярно с 2011 года, включая все изменения.
Вы можете быть удивлены, но Головной УЦ уже давным-давно создан, именно при Минкомсвязи, в соответствии с Постановлением Правительства РФ от 28.11.2011 №976 «О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи».
А новации, которые вступают в силу с 31 декабря 2017 года это совсем отдельная тема.
dmitrmax
28 апр, 2016 10:57 (UTC)
> Может быть у меня тут что-то сказано о скачивании корневых сертификатов?

Наверное, я предположил, что вы скачиваете XML-описание именно для целей того, чтобы потом скачать сертификат. В противном случае для меня загадка, зачем это делать. Однако допускаю, что у этой загадки есть решение.

> Вы можете быть удивлены, но Головной УЦ уже давным-давно создан, именно при Минкомсвязи

Нет, не удивлён, я прекрасно осведомлен о том, что он уже существует. Только по большому счёту от этого никому не холодно и не жарко, потому что вмето дерева доверия мы имеет партизанский лес каких-то акредитованных УЦ. А вот изменения, о которых я упомянул, если я правильно их интерпретировал (не юрист увы), то они как раз обязывают все УЦ подписывать свой сертификат у ГУЦ.

Таким образом, лес превратится в дерево, а эта позорная (не берите на свой счёт) схема со скачиванием XML превратится (должа по крайней мере) в CRL.
ivalnick
28 апр, 2016 11:44 (UTC)
> вы скачиваете XML-описание именно для целей того, чтобы потом скачать сертификат

Да, XML-представление мы скачиваем именно для того, чтобы получить из него сертификат. Но не сертификат головного УЦ, а сертификаты аккредитованных УЦ. Другого способа получить их все разом я не знаю.
А уже после разбора представления, мы проверяем их по цепочке, от внесенных руками сертификатов ГУЦ (корневой) и ГУЦ1/ГУЦ2 (для разных веток доверия - УЦ ФОИВ и коммерческие УЦ).

> Только по большому счёту от этого никому не холодно и не жарко, потому что вмето дерева доверия мы имеет партизанский лес каких-то акредитованных УЦ.

Дерево уже построено.
Головной удостоверяющий центр (ГУЦ) - https://e-trust.gosuslugi.ru/MainCA, от которого строятся промежуточные, по сфере применения, от которых получают свои сертификаты аккредитованные УЦ.
Это уже четыре года как работает.

А лес - это наследство ФЗ-1, когда пространство доверия строилось на кросс-сертификатах. Только оно умерло первого июля 2013 года.

dmitrmax
28 апр, 2016 11:59 (UTC)
> Другого способа получить их все разом я не знаю.

Вопрос не в том, как их получить. Вопрос в том, как подтвердить доверенным каналом связи то, что вы действительно скачали сертификат УЦ, а не сертификат злоумышленника.

> Головной удостоверяющий центр (ГУЦ) - https://e-trust.gosuslugi.ru/MainCA, от которого строятся промежуточные, по сфере применения, от которых получают свои сертификаты аккредитованные УЦ.

Ничего не понял. Вы про какие-то специализированные УЦ говорите? Сейчас на шару просмотрел четыре сертифика УЦ общего назначения - они все самоподписныет. Таким образом к вам вопрос: каким боком там ГУЦ?

> А лес - это наследство ФЗ-1, когда пространство доверия строилось на кросс-сертификатах. Только оно умерло первого июля 2013 года.

Не будем даже поминать эту позорную веху.
ivalnick
28 апр, 2016 12:35 (UTC)
> Вопрос не в том, как их получить.

Вопрос именно в этом: если их сейчас больше сотни и они могут постоянно добавляться, не говоря о запуске новых ПАК, то как узнать об их появлении?

> как подтвердить доверенным каналом связи то, что вы действительно скачали сертификат УЦ

Сертификат ГУЦ, ГУЦ1 и ГУЦ2 у меня есть.
Все остальные должны лежать под ними.

> Вы про какие-то специализированные УЦ говорите?

Я говорю про аккредитованные в соответствии с требованиями 63-ФЗ УЦ. Те, которые имеют право выпускать квалифицированные сертификаты ЭП.

> Сейчас на шару просмотрел четыре сертифика УЦ общего назначения - они все самоподписныет

Это квалифицированные сертификаты?
Они могут быть использованы на Портале госуслуг?
При представлении отчетности в ФНС?
При представлении отчетности в ПФР?
Для работы с АТЗП?
Для представления отчетности в ФСРАР или ФСС?

63-ФЗ говорит о простой, неквалифицированной и квалифицированной ЭП.
Квалифицированная ЭП может быть создана только владельцем квалифицированного сертификата.
Выпускать квалифицированные сертификаты могут только аккредитованные УЦ.
Аккредитация УЦ проходит в ГУЦ.
dmitrmax
28 апр, 2016 13:46 (UTC)
У нас какое-то конкретное недопонимание. Сертификат УЦ - не лица, который получил в УЦ сертификат для сдачи отчетности, а именно сертификат УЦ (корневой) - сертификат открытого ключа, с помощью которого проверяется валидность сертификата уже конкретного ЮЛ или ФЛ. Так вот эти сертификаты (корневые) они самоподписные, никакой ГУЦ их не подписывал.

У меня есть сертификат ключа проверки ЭП, которым я подписываю отчетность, он выдан УЦ ЗАО "ЗЭТ", например. Вот его сертификат. Он самоподписной.

Edited at 2016-04-28 13:48 (UTC)
ivalnick
28 апр, 2016 13:51 (UTC)
Теперь всё понятно:
- Я говорю о квалифицированных сертификатах, которые выданы аккредитованными ГУЦ УЦ. И сертификаты самих УЦ подписаны ГУЦ.
- А вы говорите о неквалифицированных сертификатах, которые любой УЦ может заверять самоподписанными сертификатами как угодно.

Но, "ЗЭТ" аккредитован: https://e-trust.gosuslugi.ru/CA/View?ogrn=1027801542405&ReturnUrl=%2FCA%3FPage%3D1%26FilterName%3D%25D0%2597%25D0%25AD%25D0%25A2%26FilterOGRN%3D%26FilterPackName%3D%26FilterStatus%3D-1%26FilterCity%3D%26FilterSoft%3D%26FilterCryptClass%3D
ivalnick
28 апр, 2016 13:54 (UTC)
Я понял!!!

Они распространяют самоподписанный ключ.
Но на этот же ключ у них есть сертификат от ГУЦ.
Зачем они это делают я не могу сказать...
dmitrmax
28 апр, 2016 13:56 (UTC)
А можно пример УЦ, который распространяет не самоподписанный ключ?

Если б все распространяли свои сертификаты с полной цепочкой доверия, то жить бы было сильно проще.
ivalnick
28 апр, 2016 14:03 (UTC)
Например, наш УЦ: http://nwudc.ru/certify/

1. Самоподписанный сертификат: http://nwudc.ru/certify/nwudcca4.cer
2. Тот же ключ, но уже ГУЦ: http://nwudc.ru/certify/chain_mksroot_sub1_2015_crossnwudcca4.p7b

И так по всем ПАК.

Естественно, что головной всё-таки лучше брать самостоятельно.

Edited at 2016-04-28 14:04 (UTC)
dmitrmax
28 апр, 2016 14:07 (UTC)
Ну а тогда вопрос: а зачем вы распространяете самоподписной? И какой сертификат вы аттачите к сертификату клиента?
ivalnick
29 апр, 2016 09:54 (UTC)
Сертификаты-то мы начинаемы впускать сразу после запуска ПАК УЦ. Поэтому и распространяем самоподписной для использования в корпоративных системах.
А сразу после получения аккредитации и соответствующего сертификата, клиентам выдается полная цепочка до ГУЦ, чтобы они спокойно работали в открытых системах.
dmitrmax
29 апр, 2016 12:23 (UTC)
Интересно, просто у меня например уже второгой год сертификат без полной цепочки, и везде пускают с ним, куда мне надо, по крайней мере. Я понимаю, что это делается с помощью ломика и такой-то матери (типа вашей технологии с XML), но факт остается фактом.

А есть примеры ИС, которые не дают работать без сертификата с полной цепочкой?

Вопрос: а как с т.з. 63-ФЗ вы начинаете выпускать сертификаты, не дождавшись аккредитации? Или вы выпускате неквалифицированные до это момента?
dmitrmax
28 апр, 2016 14:03 (UTC)
Как минимум срок годности в сертификате ГУЦ и в самоподписном сертификате разные
ivalnick
29 апр, 2016 09:46 (UTC)
А по другому и быть не может.
Для того, чтобы аккредитовать УЦ, мы должны:
- поднять ПАК УЦ;
- сгенерировать ключ;
- выпустить самоподписанный сертификат;
- подать документы на аккредитацию.
Прежде чем мы получим сертификат от ГУЦ пройдет какое-то время и измеряться оно будет в неделях, если не в месяцах.
dmitrmax
29 апр, 2016 12:25 (UTC)
> А по другому и быть не может.

Если бы отличалась только начальная дата действия сертификата, то такое объяснение имело бы парво. Но с учетом того, что в самоподписном дата окончания на несколько лет перекрывает министерский сертификат - не катит )
( 17 комментариев — Оставить комментарий )

Profile

Аватарка
ivalnick
ivalnick

Latest Month

Ноябрь 2019
Вс Пн Вт Ср Чт Пт Сб
     12
3456789
10111213141516
17181920212223
24252627282930

Метки

Разработано LiveJournal.com
Designed by Tiffany Chow