PKI опыт внедрения или использования

[Gloft]

Имел ли кто опыт внедрения или использования PKI?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

это чё

[paradox]

Имел ли кто опыт внедрения или использования PKI?

смотря какой софт

[paradox]

это чё

сервер для раздачи сертификатов

[_Andy]

это чё

Public Key Infrastructure

[Gloft]

интерисует весь комплекс
- сервер сертификатов (не стандалоновский)
- создание шаблонов сертификатов
- выпуск сертификатов
- применение их для защиты почты, авторизации, зашиты файлов(цифровые подписи) и шифрования разделов
- управление сертификатами и системой pki в целом

хотя все эти вещи описаны в соответствующей документации, но хотелось бы найти человека который имеет опыт работы с такой системой для некоторых консультаций, так сказать чтобы не наступать на одни и теже грабли

[paradox]

- сервер сертификатов (не стандалоновский)

ну может этот http://www.newpki.org
и еще в портах бсд какойто был

- создание шаблонов сертификатов

вроде как админка есть и все в ней

- выпуск сертификатов

там же

- применение их для защиты почты, авторизации, зашиты файлов(цифровые подписи) и шифрования разделов

а вот сдесь хз
поидеи любой софт который понимает сертификаты

- управление сертификатами и системой pki в целом

там админка есть

меня когда то подсаживали с этим разбираться
чесно говоря
на любителя
просто не моё
потому и забросил

[bakake]

По-моему весь PKI можно на openssl соорудить. Ну может еще openldap привернуть, в качестве хранилища публичных ключей. А на винде 2003 так вообще все встроенное

[paradox]

По-моему весь PKI можно на openssl соорудить

ну есть один
помоему тот кторый в портах
он там на перле
и там восновном запуск и парсинг результатов работы опенссл
дерьмо редкое
додумался ж токакого кто то....

[bakake]

Та я вообще про голый openssl. Если PKI нужен, например, для авторизации конечных пользователей для какого нибудь апача, то в openssl все есть, включая поддержку списка отозванных сертификатов. Один раз отгеморроиться, нарисовать шаблоны да пару скриптов по созданию/подписыванию/отзыву. Простому пользователю в руки такое конечно не дашь, но жить вполне можно.

[paradox]

вообще я думаю топикстартер говорил о цивильном использованиии
что бы юзерам тоже какую то формочку для управления дать...

[Gloft]

Интерисуют варианты не только на *nux но и на win.
Как под открытой лицензии так и комерческие.
Для хранения ключей предполагая использовать смарт-карт/токены, поэтому вопрос поддержки этих девайсов также остается открытым.

Есть возможность использования в открытых решениях сертифицированных росийский крипто провайдеров?

[bakake]

В windows 2003 server (как и 2000 и в 2008) есть все для создания PKI "из коробки". Есть инструкция на русском языке, с пояснениями http://www.cyberguru.ru/operating-syste ... t-pki.html . Использование "решений сертифицированных росийский крипто провайдеров" возможно и для windows и для linux. А есть понимание почему хочется использовать сертифицированное решение?

[Gloft]

А есть понимание почему хочется использовать сертифицированное решение?

Требования российского законодательства.

[bakake]

и в каком это месте российское законодательство потребовало криптоком/криптопрошных приблуд для pki? Номера ФЗ будет достаточно

[paradox]

такое есть и в украине кстати
а вот насчет законодальетства не знаю...

[bakake]

Ну а если серьезно, то:
Подобные вопросы надо задавать не на форуме админов бсди, а информационному безопаснику, который:
1) В курсе законодательной/нормативной базы, в частности знает не только про предписания и инструкции, но и про их применение. Например, у нас существуют такие предписания регулятора (в том числе и касающиеся ИБ), в которых не прописана ответственность за их неисполнение. Такие предписания, де-факто, являются рекомендациями и необязательны к исполнению. Вот тут почитай, очень показательно http://www.cio-world.ru/products/infrastructure/409332/ .
2) В курсе конкретных деталей реализации и их стоимости (получить сертифицированное решение задарма не получится, их сертифицируют не для того чтобы потом бесплатно раздавать хорошим людям). Варианты могут быть разные -- например использовать УЦ криптопро, в этом случае будете платить за генерацию каждого сертификата (порядка 1500р, за опт наверно можно скидку выторговать), можно развернуть и сертифицировать свой УЦ (это обойдется тысяч в 50 рублей наверно, но я могу ошибаться), займет некоторое время, зато не придется платить за выписку каждого сертификата. Еще придется потратиться на сертифицированные токены, которые предлагает компания aladdin, которая кстати может выступить в роли интегратора для реализации всего проекта.
Позвоните в аладдин, они все популярно расскажут и покажут.
Можно кстати попробовать попасть на тематический семинар (они там вроде бесплатные) который аладдин проводит совместно с теми где все это реализовано (например с банком "возрождение", у них там все очень серьезно сделано).

[Gloft]

При защиет персональных данных в случае если АС категорируется по 1 классу требуется защита методом шифрования (сертифицированные средства).
При атестации АС с использованием методов шифрования требутся сертифицированные средства.(при атестации АС для любого класса требуются сертифицированные средства защиты, не только для шифрования)

Поднимать вопрос в соответствии с чем и в каких случаях необходимы сертифицированные версии думаю нецелесообразным.
Меня интерисует исключительно технические вопросы. Стоимость ПО и внедрения меня занимает в последную очередь.

Вопрос был задан тут по причине того, что здесь присутствуют люди не только занимающиеся администрированием FreeBSD, а достаточно ирудированные в вопросах IT.
С самого начала меня интерисовал вопрос о том имеет ли кто опыт внедрения или использования.
Жаль что таких нет. А о самих технологиях и ПО написано много и на мероприятиях упомятух bakake расказывалось не раз, только вот на практике оказывается все не так гладко.

[bakake]

Прям таки опыта по развертыванию PKI для тотального шифрования нету. Для обмена персональными данными через почту с контрагентами используется просто криптопрошное шифрование, вез всяких PKI.

[Gloft]

....используется просто криптопрошное шифрование....

А можно поподробнее, что под этой фразой подразумевается. КриптоПро JCP?

[bakake]

CSP 3.0 и криптоАРМ.