Форум ''Интернет и Право''
26 Ноября 2024, 10:38:47 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Инструкция по получению сертификата ЭЦП от Thawte (по-русски)  (Прочитано 17991 раз)
ИгорьГ
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 5


..--==**\\.//**==--..


WWW E-mail
« : 23 Февраля 2005, 00:46:16 »

Я несколько раз объяснял разным людям как именно получить сертификат ЭЦП бесплатно, как его пользовать потом в OutlookExpress и пр. Наиболее сложно дается тот факт, что для шифрования не надо получать сертификат самому. Но и это не беда, удается объяснить с третьего раза почти каждому.

После некоторого количества раз объяснений написал инструкцию, которую выложил вот здесь - http://www.glinka.ru/WOT/KnowHow,
есть также версия для печати в формате PDF http://www.glinka.ru/WOT/KnowHow/Howcert2.pdf (около 300Кб)

Был бы рад услышать мнение компетентной аудитории, а также мнение всех тех, кому удастся не только прочесть, но и получить себе такой сертификат.

Игорь Г.
Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #1 : 23 Февраля 2005, 13:45:19 »

Добрый день Игорь!

Я прочитал вашу инструкцию. Если рассматривать ее именно как инструкцию, то на сколько я могу судить особых притензий к ней нет. Сертификат получить удастся. Если же рассматривать этот документ с технической и юридической точки зрения у меня есть замечания. Они Вам интересны? Если да то я готов опубликовать их здесь.
Записан
ИгорьГ
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 5


..--==**\\.//**==--..


WWW E-mail
« Ответ #2 : 23 Февраля 2005, 23:02:37 »

Большое спасибо за то, что Вы прочитали текст.

Да, конечно мне интересно и, я бы сказал точнее, - хотелось бы узнать, во-первых, Ваше мнение о документе и, во-вторых, замечания по тексту. Если они очень детальные, типа "на третьей странице в пятой строке ...", то их можно отправить мне по почте, чтобы не загружать форум.
Я буду очень благодарен за любые замечания и предложения.

Игорь

Я не ставил галочку около "скрывать мой e-mail", но сам своего адреса не вижу, поэтому пишу его здесь - glinka@dol.ru при отправке в теме надо указать слово thawte (в любом месте темы)
Игорь
« Последнее редактирование: 23 Февраля 2005, 23:09:17 от ИгорьГ » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #3 : 02 Марта 2005, 15:09:55 »

Я буду постепенно выкладывать замечения. Начнем с главы 1 Описание проблемы.

1. "сертификат электронной цифровой подписи" - такого сертификата НЕТ и никогда не было. У вас дальше в тексте в одном месте используется правильный термин сертификат открытого ключа. Сертификат связывает открытый ключ и информацию о владельце соответсвующего закрытого ключа. Это если совсем коротко.

2. "Эта процедура (полностью) должна быть выполнена пользователем только один раз (в жизни) и не требует повторения при смене адреса электронной почты, компьютера или почтовой программы. Более того, выполнение ее вторично является в некотором роде нарушением правил"

извините или вы говорите о чем то другом, или я чего то не понимаю- что один что другой тип сертификата при смене адреса электронной почты, потребуют перевыпуск сертификата.

3. "Эту процедуру не следует делать в Интернет-кафе или на чужом компьютере, так как в процессе получения сертификата будет сгенерирован закрытый ключ, который неизбежно сохранится на компьютере. Вы можете впоследствии переписать его, например, на дискету или флеш-память, однако, гарантированно удалить его с компьютера, на котором вы не владеете административными полномочиями, может не получиться. Если использовать собственный компьютер невозможно, то следует серьезно обдумать необходимость получения сертификата, так как его персонализация по отношению к Вам изначально оказывается под вопросом."

в принципе все верно, но вы совсем забыли о такой вещи как отторгаемый носитель криптоматериала. Может быть он известен вам под названием токен или смарт-карта.

4. "Окно выбора криптографического алгоритма. По умолчанию Вам будет предложен самый сильный алгоритм «MS Enhanced Crypto… v.1.0». Можно выбрать его или более слабый вариант – «MS Standard Crypto …». Изначально предполагалось, что в некоторых странах особо сильное шифрование будет запрещено, а более слабое будет разрешено везде. Так что пользователи, которые захотят соблюдать требования закона, смогут выбирать тот метод, который соответствует закону их страны. В России закон «Об электронной цифровой подписи» фактически запрещает ее применение вовсе, поэтому и более слабый, и более сильный алгоритмы – вне закона. Можете выбирать любой. Нажмите Next "

во первых никакой криптоалгоритм вы не выбираете в любом случае будет использован алгоритм RSA. Здесь предлагается выбор криптографического провайдера (СКЗИ). Разница в длинах ключей.

Второе. ФЗ об ЭЦП не ограничивает вас в выборе скзи в данном случае. никак. Вы ж частное лицо. А то что эти сертификаты не являются юридически значимыми это и так понтяно.

5. "Будет задан дважды вопрос о том, доверяете ли Вы сайту, с которым сейчас работаете, чтобы он ставил сертификаты на Ваш компьютер. После двух утвердительных ответов Сертификат электронной цифровой подписи будет установлен на Вашем компьютер так, что Вы сможете его использовать во всех программах – Internet Explorer, Outlook Express, MS Outlook, MS Word, MS Excel, MS Visio и во многих других, где используется совместимая электронная цифровая подпись"

Я может отстал от жизни, но я не помню  чтобы ворд, или эксель умели проставлять подпись. Подобная вещь повилась только в 2003 версии их пакета, DRM называется, но и то там все совсем не просто.

Пока это все. Чуть позже я выложу замечания по последней части.
« Последнее редактирование: 02 Марта 2005, 15:32:30 от Александр Жуков aka Yeoman » Записан
ИгорьГ
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 5


..--==**\\.//**==--..


WWW E-mail
« Ответ #4 : 03 Марта 2005, 23:26:13 »

Цитировать
1. "сертификат электронной цифровой подписи" - такого сертификата НЕТ и никогда не было. У вас дальше в тексте в одном месте используется правильный термин сертификат открытого ключа. Сертификат связывает открытый ключ и информацию о владельце соответсвующего закрытого ключа. Это если совсем коротко.

Я согласен с этим замечанием. В документе нет раздела с определениями терминов, и я полагаю, что такой раздел был бы неуместен. Поэтому стоило бы использовать термины, определенные где-то в известных документах. Я исправлю эту ошибку. Хотя  в свое оправдание сошлюсь на некий документ,  
находящийся вот здесь, где того термина, что приводите Вы нет, а мой - есть - http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument


Цитировать
2. "Эта процедура (полностью) должна быть выполнена пользователем только один раз (в жизни) и не требует повторения при смене адреса электронной почты, компьютера или почтовой программы. Более того, выполнение ее вторично является в некотором роде нарушением правил"

извините или вы говорите о чем то другом, или я чего то не понимаю- что один что другой тип сертификата при смене адреса электронной почты, потребуют перевыпуск сертификата.

Здесь речь идет о процедуре регистрации индивида на сервере Thawte. Действительно, это не все те действия, которые описываются на в документе в качестве первого этапа. Конечно, перевыпуски сертификата, в том числе для разных адресов почты уместны. Я это исправлю.

Цитировать
3. "Эту процедуру не следует делать в Интернет-кафе или на чужом компьютере, так как в процессе получения сертификата будет сгенерирован закрытый ключ, который неизбежно сохранится на компьютере. Вы можете впоследствии переписать его, например, на дискету или флеш-память, однако, гарантированно удалить его с компьютера, на котором вы не владеете административными полномочиями, может не получиться. Если использовать собственный компьютер невозможно, то следует серьезно обдумать необходимость получения сертификата, так как его персонализация по отношению к Вам изначально оказывается под вопросом."

в принципе все верно, но вы совсем забыли о такой вещи как отторгаемый носитель криптоматериала. Может быть он известен вам под названием токен или смарт-карта.

Мне это известно и оно (карточка RSA) у меня есть. Но писать об этом здесь мне показалось неуместным. Вся инструкция направлена на то, чтобы объяснить, как сделать это БЕЗ покупки чего-либо аппаратного, БЕЗ установки платного или бесплатного глючного софта, БЕЗ оплаты самого сертификата.

Цитировать
4. "Окно выбора криптографического алгоритма. По умолчанию Вам будет предложен самый сильный алгоритм «MS Enhanced Crypto… v.1.0». Можно выбрать его или более слабый вариант – «MS Standard Crypto …». Изначально предполагалось, что в некоторых странах особо сильное шифрование будет запрещено, а более слабое будет разрешено везде. Так что пользователи, которые захотят соблюдать требования закона, смогут выбирать тот метод, который соответствует закону их страны. В России закон «Об электронной цифровой подписи» фактически запрещает ее применение вовсе, поэтому и более слабый, и более сильный алгоритмы – вне закона. Можете выбирать любой. Нажмите Next "

во первых никакой криптоалгоритм вы не выбираете в любом случае будет использован алгоритм RSA. Здесь предлагается выбор криптографического провайдера (СКЗИ). Разница в длинах ключей.

Второе. ФЗ об ЭЦП не ограничивает вас в выборе скзи в данном случае. никак. Вы ж частное лицо. А то что эти сертификаты не являются юридически значимыми это и так понтяно.

на первое - Что именно человек выбирает на этом этапе зависит от того, что ему будет предложено. В некоторых случаях в появляющемся ниспадающем меню могут появиться алгоритмы DES или (даже!) ГОСТ.

На второе - По поводу ограничений Закона на использование ЭЦП вообще (не только криптоалгоритма) - По смыслу статьи 3, то, что получается в результате взаимодействия с Thawte  - электронная цифровая подпись (сертификат ключа подписи), в то же время, многие требования закона не соблюдаются, в частности,  требования к удостоверяющему центру и к процессу получения сертификата ключа. Вопрос о том, является ли полученный сертификат ключа подписи иностранным (в смысле статьи 18) является открытым, так как по требованиям применимого в данном случае законодательства (ЮАР) указанные сертификаты не подлежат регистрации, а положения конвенции об отмене легализации документов не распространяются на сертификаты ключей подписей, так как они исходят не от должностных лиц государства. Поэтому, неправомерен вывод о том, что получение и применение такого сертификата не регулируется Законом об ЭЦП. В то же время, положения закона нарушаются. В совокупности, можно сделать вывод о нарушении закона стороной, по инициативе которой совершается действие, влекущее противоправные последствия (также как если кто-то толкает другуго в направлении зоны, вход в которую запрещен), то есть собственно нарушение производится выдающей сертификат стороной, но, так как эти действия производятся ею "вынужденно", под влиянием лица, запрашивающего сертификат, то и ответственность за нарушение порядка выдачи сертификата должен нести получатель сертификата. Этот вывод, если он должен быть сделан в суде, должен быть основан на документированных доказательствах, основное из которых - полученный сертификат, в этом случае не является документом и, следовательно, доказательством.
Причина этой коллизии, по моему мнению, в том, что закон относится к числу основных, базисных законов, так как регулирует (должен регулировать) первичные понятия (подпись и документ), а написан без участия специалистов в фундаментальных областях права - конституционном праве и цивилистике.

Цитировать
5. "Будет задан дважды вопрос о том, доверяете ли Вы сайту, с которым сейчас работаете, чтобы он ставил сертификаты на Ваш компьютер. После двух утвердительных ответов Сертификат электронной цифровой подписи будет установлен на Вашем компьютер так, что Вы сможете его использовать во всех программах – Internet Explorer, Outlook Express, MS Outlook, MS Word, MS Excel, MS Visio и во многих других, где используется совместимая электронная цифровая подпись"

Я может отстал от жизни, но я не помню  чтобы ворд, или эксель умели проставлять подпись. Подобная вещь повилась только в 2003 версии их пакета, DRM называется, но и то там все совсем не просто.

Да, я имел в вид именно это. Возможность вставлять цифровые подписи в документы появилась начиная с Word XP, но требовала дополнительного модуля.  Начиная с ворда 2003 она - стандартная фича. В Adobe Acrobat это функциональность тоже есть и, для использования сертификата, требует модуля (за деньги), а без сертификата - некий самопальный код цифровой подписи от адоба - бесплатно (включено в стандартную поставку).


Цитировать
Пока это все. Чуть позже я выложу замечания по последней части

Жду с нетерпением.
Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #5 : 04 Марта 2005, 00:16:29 »

Цитировать
Хотя  в свое оправдание сошлюсь на некий документ,  
находящийся вот здесь, где того термина, что приводите Вы нет, а мой - есть - http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument
Это понятно. Кстати спасибо за ссылку, интересно почитать. Но тем не менее в данном случае господа законотворцы делают как обычно что то не то.

Цитировать
Мне это известно и оно (карточка RSA) у меня есть. Но писать об этом здесь мне показалось неуместным. Вся инструкция направлена на то, чтобы объяснить, как сделать это БЕЗ покупки чего-либо аппаратного, БЕЗ установки платного или бесплатного глючного софта, БЕЗ оплаты самого сертификата.
Согласен, это одна из онсновных вещей, о кторой вы писали. НО это приводит к тому, что:
1. Пользователь привязан к компьютеру, где установлен сертификат.
2. Хранение ключей в реестре операционной системы РЕЗКО снижает степень их защищенности.

"глючный софт"? я так понимаю у вас бывают проблемы при использовании вашей карточки? или я не прав? еслид а поделитесь что за карточка и что за проблемы, если не трудно.

Цитировать
на первое - Что именно человек выбирает на этом этапе зависит от того, что ему будет предложено. В некоторых случаях в появляющемся ниспадающем меню могут появиться алгоритмы DES или (даже!) ГОСТ.
Предложен ему будет список криптопровайдеров, установленных на его компьютере. Помимо тех что вы описали в инструкции там есть еще Micosoft Strong, Shlumberge и т.д. Если он устил себе например КриптоПро CSP то может быть еще одна опция CryptoPro CSP Cryptographic Service Provider - как раз тот самый ГОСТ. Но только вот DES ему вы уж извините никто не предложит - DEs это симметричный алгоритм шифрования и в схеме ЭУП никогда не использовался да и не может в принципе Улыбающийся


Остальные замечания и кое какие мыли об этих двух сертификатах я постараюсь изложить, но будет это видимо не раньше 5, 6 числа. меня не будет в сети некоторое время.
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #6 : 04 Марта 2005, 13:12:12 »

Немножко offtopic, так как не связано непосредственно с ЭЦП, но, IMHO, применение указанных криптосредств стало вполне легальным в России после принятия Постановления Правительства РФ от 23.09.2002 N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".
Записан

ИгорьГ
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 5


..--==**\\.//**==--..


WWW E-mail
« Ответ #7 : 04 Марта 2005, 16:23:29 »

Цитировать
Немножко offtopic, так как не связано непосредственно с ЭЦП, но, IMHO, применение указанных криптосредств стало вполне легальным в России после принятия Постановления Правительства РФ от 23.09.2002 N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".

Это постановление освобождает от лицензирования некоторых видов деятельности. Но, во-первых, выдача сертификата к этим видам не относится, а, во-вторых, постановление Правительства не может противоречить Закону.
Законом об о лицензировании отдельных видов деятельности установлены критерии, по которым определяются те виды, которые должны лицензироваться (ст. 4), установлено, что может делать правительство в области лицензирования (определять порядок и назначать орган - ст. 5),  дан перечень видов деятельности, для занятия которыми требуется лицензия. К этим видам отнесена и "деятельность по выдаче сертификатов ключей электронных цифровых подписей" (ст. 17). При этом не указано,  что это требование распространяется лишь на некоторых получателей таких сертификатов . А из ранее сказанного следует, что Правительство не вправе устанавливать лицензирование для дополнительных видов деятельности, а из статьи 4 и 5 - что оно же не вправе освобождать от этого.


Игорь
« Последнее редактирование: 04 Марта 2005, 17:03:49 от ИгорьГ » Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #8 : 04 Марта 2005, 17:03:27 »


Но, во-первых, использование сертификата к этим видам не относится,
Возможно я неясно выразился, я не говорил о ЭЦП, только о самих криптографических средствах типа MS Enhanced Crypto... и т.д. Просто в этой части вашей инструкции сначала идут пояснения о слабом и  сильном шифровании, запрещенном в отдельных страннах, и через предложение сообщается, что и то, и то в России вне закона. Это, IMHO, не так.
Цитировать
а, во-вторых, постановление Правительства не может противоречить Закону.
Не вижу противоречия, Правительство в рамках своей компетенции определило порядок лицензирования различных средств шифрования, при этом определило, что для ряда средств, не требующих специальных мер контроля, лицензирование не требуется.
Из ваших дальнейших пояснений мне кажется, мы просто друг друга не поняли, я говорил не о самом ЭЦП и сертификатах, а только о самих криптографических средствах, которые используются также и для других целей.

Кстати, когда вы по отношению к ЭЦП употребляете термины "незаконно", "противоправно", боюсь учитывая целевую аудиторию вашей инструкции это может быть неправильно истолковано. Обыватель будет чувствать сябя чуть-ли не преступником, за которым вот-вот явятся, поймают за этим постыдным занятием и упекут в кутузку. На самом деле, ИМХО, в правовом смысле пользование таким сертификатом приведет только к одному - в России сделанная с его помощью подпись под документом не будет признана эквивалентной собственноручной подписи.
« Последнее редактирование: 04 Марта 2005, 17:07:05 от Dmitry » Записан

Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #9 : 07 Марта 2005, 11:53:41 »

один момент господа, чтобы внести ясность - согласно закона о лицензировании, использование СКЗИ лицензии не требует. Но именно использование.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines