КриптоПРО 3.6

03 июнь 2018 02:39 #7505 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6
Судя по информации сайта КриптоПро, в пятую они запихали работу с обычными ключами, облачными ключами, неизвлекаемыми ключами на спецносителях. Поддерживаемые алгоритмы: Электронная подпись ГОСТ Р 34.10-2012, ГОСТ Р 34.10-2001, ECDSA, RSA; Хэш-функции ГОСТ Р 34.11-2012, ГОСТ Р 34.11-94, SHA-1, SHA-2 (224/256/384/512); Шифрование ГОСТ Р 34.12-2015 (Кузнечик и Магма), ГОСТ 28147-89, AES (128/192/256), 3DES, 3DES-112, DES, RC2, RC4. Однако сертификата соответствия там же я что-то не увидел. Так что ГОСТ-2015 есть, а все что новеее только у сказочников.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 июнь 2018 02:46 #7551 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6
В начале недели спрашивал в местном отделе ФК про получение 4.0. Пояснили, что им дали лицензий 4.0 ровно по числу организаций, так что на каждого пользователя с сертификатом выдать не могут, только 1 штуку на организацию "потихоньку выдают".
Вчера зашел на форум КриптоПро и узнал, что 11 мая 2018 в ФСБ сертифицировали новую версию КриптоПро 4.0 R3 (сборка 4.0.9944 Xenocrates) до января 2021, а исполнение 3-Base до мая 2021. Предполагаю, что ее еще не выдают? Получается скачиваем с сайта, проверяем хэш и подпись, записываем на носитель, ставим носитель на учет как полученный от ФК?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 июнь 2018 06:05 - 08 июнь 2018 06:11 #7559 от Alex_04
Alex_04 ответил в теме КриптоПРО 3.6

two_oceans пишет: 11 мая 2018 в ФСБ сертифицировали новую версию КриптоПро 4.0 R3 (сборка 4.0.9944 Xenocrates) до января 2021... Предполагаю, что ее еще не выдают?

Предположу, что ОрФК будут выдавать (ближайший год-два по крайней мере) скорей всего КриптоПро 4.0.9842 R2.

Получается скачиваем с сайта, проверяем хэш и подпись, записываем на носитель, ставим носитель на учет как полученный от ФК?

Вопрос на самом деле интересный и актуальный. Фактически любая версия, отличная от 4.0.9842 R2, получена НЕ от ОрФК. Как её учитывать в Журнале учета СКЗИ - вопрос для соответствующей темы форума (обсудите там?).
Не знаю как в других, а в нашем УФК на учетных карточках лицензий версия выдаваемой КриптоПро указывается полностью, включая номер сборки - именно 4.0.9842. А сертификаты ФСБ выдаются на версию 4.0. Но и лицензии ведь тоже, строго говоря, на версию 4.0 любой сборки. Поэтому они прекрасно м.б. использованы и с CP CSP 4.0.9944.
Меня интересует правомочность использования казначейских лицензий от 4.0.9842 после обновления клиентом крипты до 4.0.9944 при необходимости таковой. А необходимость обязательно возникнет у пользователей на Windows 10, в первую очередь. Что думаете, коллеги?


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 июнь 2018 07:36 #7562 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6
Конечно обсужу учет там, здесь уточню скорее "доучетный" вопрос по получению: вот только мне сказали что на диск не записывают, нести флешку. Если свой диск принесем, то запишут и на диск. Если флешку ставить на учет, потом с нее полученное не удалять пока стоит 4.0? Потому удобнее диск: поставить, оформить акты, закинуть в сейф. Однако есди диск несем мы, то диск получается будет вообще "самопальный", без всяких там голографических наклеек на коробочке? Лицензию сказали "распечатают", настораживает, тоже наклеек нет? Тогда где вообще доказательство что диск и лицензия именно из ФК получены, а не скачаны из Интернета?
Номера от 9842 и так уже вовсю гуляют по Интернету (серверная лицензия на глаза попадалась, а ФК же дадут клиентскую?) Короче на случай проверок, хотелось бы доказать, что вот у нас полученная на материальном носителе копия от ФК.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 июнь 2018 09:23 - 08 июнь 2018 09:24 #7563 от Alex67
Alex67 ответил в теме КриптоПРО 3.6

two_oceans пишет: на диск не записывают, нести флешку. Если свой диск принесем, то запишут и на диск.
Потому удобнее диск: поставить, оформить акты, закинуть в сейф.
...если диск несем мы, то диск получается будет вообще "самопальный", без всяких там голографических наклеек на коробочке?
Лицензию сказали "распечатают", настораживает, тоже наклеек нет?

А диск в любом случае "будет без коробочек и наклеечек, даже если УФКу дали бы необходимое количество чистых CD болванок для записи.
Да, на лицензии тоже наклеек не будет.
И вообще, тиражирование СКЗИ отдельная интересная тема, если строго по правилам.
Поэтому - хотите материальный носитель "для положения в сейф" - несёте свою болванку и не заморачивайтесь


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 июнь 2018 14:29 - 08 июнь 2018 14:36 #7572 от Alex_04
Alex_04 ответил в теме КриптоПРО 3.6

two_oceans пишет: вот только мне сказали что на диск не записывают, нести флешку

Считаю это неправильным: любое лицензионное ПО д.б. на CD-R - только так можно хоть как-то гарантировать его целостность (при должном хранении конечно).

Тогда где вообще доказательство что диск и лицензия именно из ФК получены, а не скачаны из Интернета?

В нашем УФК приказано так делать:
1. Клиентский диск должен иметь нанесённый маркером регистрационный номер из его (клиента) Журнала учета СКЗИ (все нюансы опять же в соответствующей теме).
2. Оператор (У)РЦР тоже маркером наносит наименование записанного СКЗИ, его версию, название УФК (и номер теротдела - для районов), его записавшего.
3. Вместе с диском выдаётся распечатка Формуляра на данное СКЗИ, в котором оператор (У)РЦР собственноручно заполняет раздел "Свидетельство о приемке" (на КриптоПро - он под № 6) - полностью всё, что там указано и расписываясь вместо "Главный инженер ООО "КРИПТО-ПРО" своей подписью, должностью, ФИО и с печатью (У)РЦР.
4. Распечатываются Сертификаты соответствия ФСБ с оф. сайта КриптоПро (ч/б - ну нет в райотделах цветных принтов, да и в УФК накладно будет, однако).
5. Для пущей убедительности для сомневающихся можно распечатать и "Неисключительное (пользовательское) право ФК на программное обеспечение СКЗИ "КриптоПро CSP" версии 4.0" с оф. сайта ФК (прямая ссылка: roskazna.ru/upload/iblock/d79/neisklyuch...tsionnykh-sistem.pdf).
Не "прелесть из коробки" конечно, но по-моему вполне достаточно, чтоб не казалось всё сдёрнутым с инета. :)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 02:26 - 09 июнь 2018 02:56 #7573 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6
Спасибо за информацию. Из перечисленного только печать (У)РЦР сложно воспроизвести, распечатать и сами сможем, ФИО оператора тоже не секрет. Не увидел пункта про учетную карточку. (У)РЦР вообще имеет право заполнения формуляра?
ВНИМАНИЕ: Спойлер!
По поводу обновления на более новую версию, выскажу свое мнение. Если я правильно понял, в сертификате на 4.0.9944 указаны те же формуляры для тех же исполнений 1-Base, 2-Base, что и в предыдущем сертификате на 4.0.9842 плюс уведомления о изменении. Кроме того, есть сертификат на новое исполнение - там только новый формуляр без уведомлений. Из чего можно сделать вывод, что для обновления на новую сертифицированную версию нужно распечатать соответствующее уведомление о изменении, новые сертификаты и записать новый диск. Основной формуляр остается тот же и логично продолжать использовать выданную ранее с формуляром лицензию. Вот как уведомление заверить и как учитывать такой диск и документацию - вопрос отдельный. Думается, что заверять своей печатью организации неправильно (нет такой лицензии у организации) и ФК тоже не возьмет ответственность.
ВНИМАНИЕ: Спойлер!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 05:50 #7575 от ViktorGRBS
ViktorGRBS ответил в теме КриптоПРО 3.6
я бы выделил как минимум ДВА уникальных реквизита для носителя: 1. учётный номер. 2. Хэш, вот их я бы отображал в журнале и в формуляре с передаваемым на CD дистрибутивом.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 06:59 - 09 июнь 2018 07:19 #7576 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6

ViktorGRBS пишет: я бы выделил как минимум ДВА уникальных реквизита для носителя: 1. учётный номер. 2. Хэш, вот их я бы отображал в журнале и в формуляре с передаваемым на CD дистрибутивом.

1. Не буду спорить насчет учётного номера (однако что он доказывает?). Смотря каким маркером написано, а то может и сотрется. 2. Хеш - хорошо, хэш чего и по какому алгоритму? Установщика без документации? С документацией? Всего диска CD-R? К слову, установщик подписан ЭП КриптоПро, так что можно еще и отпечаток подписи до кучи вписать. Вообще я думал, что в документации есть данные для контроля целостности по каждому файлу, но скачал документацию и что-то не вижу. Нужно отдельно составлять после установки?

4. Распечатываются Сертификаты соответствия ФСБ с оф. сайта КриптоПро

Из формуляра "СКЗИ «КриптоПро CSP» v 4.0» формуляр ЖТЯИ.00088-01 30 01, вариант исполнения 2-Base" с изменениями, раздел 4.комплектность, примечание 3:

Программное обеспечение и документация в электронном виде в формате PDF (Adobe Acrobat Reader) на CD-ROM для всех исполнений СКЗИ поставляется единым дистрибутивом, формуляр и копия сертификата, заверенная ООО «КРИПТО-ПРО», - в печатном виде.

Выходит, что копия сертификата должна быть заверена КриптоПро, а не просто распечатана с их сайта. И дистрибутив единый, только установщик в хэш брать получается неверно.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 07:09 - 09 июнь 2018 07:14 #7577 от Alex_04
Alex_04 ответил в теме КриптоПРО 3.6

two_oceans пишет: Не увидел пункта про учетную карточку.

Каюсь - пропустил: конечно же выдача учетной карточки лицензии на право использования СКЗИ - обязательно!

(У)РЦР вообще имеет право заполнения формуляра?

думаю - да, на основании того самого неисключительного (пользовательского) права ФК на программное обеспечение СКЗИ "КриптоПро CSP" версии 4.0.

Думалось, что ФК хотя бы получило бумажные учетные карточки, наклейки на диски и формуляры.

Нет, из УЦ ФК в РЦР УФК доводится всё необходимое циркулярами с грифом "ДСП" с перечислением количества и номеров лицензий. Из РЦР в УРЦР теротделов - аналогичным образом.

Если все выдаваемые документы изготовлены в теротделе ФК, мне не очень понятен смысл требований по возвращению комплекта документов при выводе СКЗИ из эксплуатации.

После установки СКЗИ на АРМ пользователя нужны Акты установки нового СКЗИ и Акты уничтожения старого СКЗИ. Логика в том, что на одном и тот компе не может существовать данное СКЗИ более 1 версии => старое д.б. удалено. А необходимость возврата выданных доков на него (карточек учета лицензий прежде всего) оговорена в Актах установки, т.к. они д.б. учтены в органах криптозащиты при УФК как возвращенные и подлежащие или передаче в УЦ ФК, или уничтожению.

По поводу обновления на более новую версию ... логично продолжать использовать выданную ранее с формуляром лицензию.

Тоже склоняюсь к такому мнению.


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 07:22 #7578 от ViktorGRBS
ViktorGRBS ответил в теме КриптоПРО 3.6
Учётный номер можно проверить по журналу выдавшего оператора (если отслеживать цепочку законности дистрибутива) тот же номер фигурирует в карточке. Стёрся, нанести заново, какие проблемы? Хэш естественно дистрибутива, что означает - ПО не модифицировано после выдачи, соотв. доверие 100%. Модификация документации, хм с какой целью? сомнительная затея.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 07:44 - 09 июнь 2018 07:58 #7579 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6

Alex_04 пишет:

(У)РЦР вообще имеет право заполнения формуляра?

думаю - да, на основании того самого неисключительного (пользовательского) права ФК на программное обеспечение СКЗИ "КриптоПро CSP" версии 4.0.

Имеется ввиду упомянутое там "распространение"? Хорошо.

Alex_04 пишет: После установки СКЗИ на АРМ пользователя нужны Акты установки нового СКЗИ и Акты уничтожения старого СКЗИ. Логика в том, что на одном и тот компе не может существовать данное СКЗИ более 1 версии => старое д.б. удалено. А необходимость возврата выданных доков на него (карточек учета лицензий прежде всего) оговорена в Актах установки, т.к. они д.б. учтены в органах криптозащиты при УФК как возвращенные и подлежащие или передаче в УЦ ФК, или уничтожению.

Для одного компа - конечно логично, но на практике логика такая, что у организации 10+ компьютеров на которых пользователи работают ЕИС, ГАС "Управление", ГИС ГМП, СУФД, а теротдел ФК выдает 1 (одну) лицензию на СКЗИ на организацию. Таким образом, совершенно не факт, что комп на который ставится новая версия тот же самый, на котором стояла старая версия от ФК, может быть там была покупная версия от другого УЦ.
И да, непонятно мне было другое, переформулирую с учетом Вашего ответа - РЦР доводит на УРЦР лицензии циркуляром (то есть карточки для ввода СКЗИ не передаются из органа криптозащиты при УФК), тогда с какой стати при выводе СКЗИ возвращенные карточки должны регистрировать в этом органе криптозащиты при УФК? Конечно не мое дело как дела внутри ФК делаются, можете не отвечать, но логики что-то не просматривается.

ViktorGRBS пишет: Учётный номер можно проверить по журналу выдавшего оператора (если отслеживать цепочку законности дистрибутива) тот же номер фигурирует в карточке.

Так, это уже интересно, то есть номер диску изначально должен присвоить оператор (ФК), а уже потом получившая организация? Собственно именно это и указывается на наклейке (номер образца ПО).

ViktorGRBS пишет: Хэш естественно дистрибутива, что означает - ПО не модифицировано после выдачи, соотв. доверие 100%.

То есть предлагаете не брать документацию в расчет, только установщик?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июнь 2018 11:56 - 09 июнь 2018 12:00 #7581 от Alex_04
Alex_04 ответил в теме КриптоПРО 3.6

two_oceans пишет: на практике логика такая, что у организации 10+ компьютеров..., а теротдел ФК выдает 1 (одну) лицензию на СКЗИ на организацию.

Это не есть правильно: количество лицензий на КриптоПро д.б. не менее (допускается и более) числа пользователей сертификатов от УЦ ФК как раз таки для возможности работать не всем за одним компом, а каждому за своим. Сейчас лень рыться в наших НПА, но это точно в каком-то из них оговорено. Значит конкретно в Вашем УФК по непонятным причинам случился кризис с количеством полученных от УЦ ФК лицензий на крипту-4.0 (?). Чем больше будет организаций обращаться (желательно официальными письмами) в УФК о необходимости получения лицензий в количестве хотя-бы равном количеству сертов от УЦ ФК, используемых его работниками, тем выше вероятность, что УФК поторопится сделать соответствующий запрос в ЦА ФК или УЦ ФК о выделении ему дополнительного количества этих самых лицензий.

совершенно не факт, что комп на который ставится новая версия тот же самый, на котором стояла старая версия от ФК, может быть там была покупная версия от другого УЦ.

Логично:
1. Если там было СКЗИ не от казначейства - о каком возврате чужого добра в казну может идти речь? :)
2. Если новое поставилось туда, где не было старого - аналогично!
Ведь оператор (У)РЦР открывает Акт установки старого ПО и Акт его же уничтожения и сравнивает - та же самая жезеляка в обоих или нет? Если данные не совпадают - разборки с пользователем: почему? Если вариант № 2 - акт уничтожения не нужен и сделан ошибочно. Если не № 2 - возможны варианты... но уже связанные с ошибками оформления Акта уничтожения (а бывает и первоначального Акта установки).

с какой стати при выводе СКЗИ возвращенные карточки должны регистрировать в этом органе криптозащиты при УФК? Конечно не мое дело как дела внутри ФК делаются, можете не отвечать, но логики что-то не просматривается.

Дела внутри ФК регламентируются всевозможными внутренними НПА/инструкциями/и т.п. в области обращения со СКЗИ, в т.ч. изданными ФСБ, ФСТЭК и им подобными. К тому же те же компетентные органы периодически проверяют те самые органы криптозащиты УФК. Поэтому и просим клиентов выполнять несложные требования по части СКЗИ, чтоб не добавлять проблем и без того на больные головы безопасников УФК.

номер диску изначально должен присвоить оператор (ФК), а уже потом получившая организация?

Нет, наоборот: учетный номер CD присваивает организация из своего Журнала учета СКЗИ. ViktorGRBS имел в виду, что при возникновении спорной ситуации и необходимости проверки полученного ПО СКЗИ можно сверить № CD с его же номером в учетной карточке лицензии (указывается в ней обязательно) и с номером из Журнала учета СКЗИ оператора (У)РЦР - двойное подтверждение получается, для надежности. :)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

13 июнь 2018 07:09 - 13 июнь 2018 07:37 #7600 от two_oceans
two_oceans ответил в теме КриптоПРО 3.6

Чем больше будет организаций обращаться (желательно официальными письмами) в УФК о необходимости получения лицензий в количестве хотя-бы равном количеству сертов от УЦ ФК

Про кризис с лицензиями мне сложно судить, но с лицензиями КриптоПро 3.6 была такая же "песня". Общее впечатление от теротдела, что там всего боятся и молчат перед УФК, не хотят чтобы их премии лишили за какие-либо неправильные действия. По-человечески можно их понять, подставлять официальными письмами в УФК и портить отношения не хочется. Как минимум, пока ФЗС не заработал стабильно и они проверяют наши заявления (помимо перечня документов есть субъективные критерии, например, совпадает ли подпись руководителя в сопроводительном и в заявлениях. Приносим документы, а нам говорят "не совпадают, попробуйте подписать еще раз").

та же самая жезеляка в обоих или нет?

То есть если железяка сменилась, то надо снова акты уничтожения-установки приносить либо просто не забыть что раньше писали? Про журнал вопрос не стоит - там фиксируем даты вывода экземпляра 1 и ввода экземпляра 2. За прошедший год у одного ключевого контейнера уже седьмой экземпляр - трижды возили в сервис новый дешевый ноутбук - переставляли на старый системник (и там и там USB 2-3 разъема, приходилось в реестр ставить). Вот я представляю, если бы там стояла лицензия КриптоПро от ФК, сколько актов пришлось бы возить.

Дела внутри ФК регламентируются всевозможными внутренними НПА/инструкциями

Не спорю, просто порой впечатление, что внутренние НПА либо частично противоречат закону либо просто слишком много на себя берут и регламентируют в отношении других организации то, на что полномочий у ФК нет.

Нет, наоборот: учетный номер CD присваивает организация из своего Журнала учета СКЗИ. ViktorGRBS имел в виду, что при возникновении спорной ситуации и необходимости проверки полученного ПО СКЗИ можно сверить № CD с его же номером в учетной карточке лицензии (указывается в ней обязательно) и с номером из Журнала учета СКЗИ оператора (У)РЦР - двойное подтверждение получается, для надежности

Все же я не понимаю, почему организация будет присваивать номер ещё пустому диску, который несет в ФК? А может, диск вообще бракованный окажется. Писать тот же номер на следующий? Уничтожать бракованный ставить новый номер на следующий? Как-то нет единой и ясной последовательности действий.
Предположу более логичную последовательность, подскажите если нарушает некие внутренние НПА: организация несет пустой диск без номера, теротдел записывает диск, не указывает сразу номер диска в журнале и в карточке, организация регистрирует диск у себя в журнале, записывает номер на диске и в карточке, устанавливает СКЗИ, оформляет акт и в акте указывает номер диска, акт несет в ФК, ФК списывает номер с акта в журнал? Результат вроде такой же. Либо я неправильно понимаю и в строке "Рег. № СКЗИ" указывается не номер диска?

И если мне сначала сказали нести просто флешку, не упоминая про журнал и присвоение номера, то какой номер запишут в журнал оператора УРЦР? Окей, одна флешка в организации записана как "обменная с УЦ", при необходимости берем ее, выйдет один номер носителя множество раз? Что-то после Вашего пояснения как все должно быть, закрадываются подозрения про наш теротдел..

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

13 июнь 2018 10:40 #7603 от ViktorGRBS
ViktorGRBS ответил в теме КриптоПРО 3.6
Кстати спорный вопрос: кто должен нумеровать CD-R. Наш Терр. отдел нумерует сам, и по мне это правильно. Т.К. "распространитель" - он. и в журнале учета экземпляров СКЗИ - ровная нумерация.
Количество запрошенных \ поулченных лицензий на ПО отображается в письме от организации в УЦ. Выдают без каких-либо проблем. На каждом АРМ, своя лицензия. Кстати АКт установки СКЗИ я делаю абсолютно на все АРМы, и даже на те, где стоят купленные лицензии.

2. "То есть предлагаете не брать документацию в расчет, только установщик?" - а зачем вам хэш на документацию? Хэш вычисляется для подтрвеждения целостности. Что вы измените в формуляре?))правила использования, хранения? скачаете оригинальные на сайте производителя)сравните, исправите

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.