forum.lissyara.su

Имел ли кто опыт внедрения или использования PKI?

это чё

Gloft писал(а):Имел ли кто опыт внедрения или использования PKI?

смотря какой софт

lissyara писал(а):это чё

сервер для раздачи сертификатов

lissyara писал(а):это чё

Public Key Infrastructure

интерисует весь комплекс
- сервер сертификатов (не стандалоновский)
- создание шаблонов сертификатов
- выпуск сертификатов
- применение их для защиты почты, авторизации, зашиты файлов(цифровые подписи) и шифрования разделов
- управление сертификатами и системой pki в целом

хотя все эти вещи описаны в соответствующей документации, но хотелось бы найти человека который имеет опыт работы с такой системой для некоторых консультаций, так сказать чтобы не наступать на одни и теже грабли

- сервер сертификатов (не стандалоновский)

ну может этот http://www.newpki.org
и еще в портах бсд какойто был

- создание шаблонов сертификатов

вроде как админка есть и все в ней

- выпуск сертификатов

там же

- применение их для защиты почты, авторизации, зашиты файлов(цифровые подписи) и шифрования разделов

а вот сдесь хз
поидеи любой софт который понимает сертификаты

- управление сертификатами и системой pki в целом

там админка есть

меня когда то подсаживали с этим разбираться
чесно говоря
на любителя
просто не моё
потому и забросил

По-моему весь PKI можно на openssl соорудить. Ну может еще openldap привернуть, в качестве хранилища публичных ключей. А на винде 2003 так вообще все встроенное

По-моему весь PKI можно на openssl соорудить

ну есть один
помоему тот кторый в портах
он там на перле
и там восновном запуск и парсинг результатов работы опенссл
дерьмо редкое
додумался ж токакого кто то....

Та я вообще про голый openssl. Если PKI нужен, например, для авторизации конечных пользователей для какого нибудь апача, то в openssl все есть, включая поддержку списка отозванных сертификатов. Один раз отгеморроиться, нарисовать шаблоны да пару скриптов по созданию/подписыванию/отзыву. Простому пользователю в руки такое конечно не дашь, но жить вполне можно.

вообще я думаю топикстартер говорил о цивильном использованиии
что бы юзерам тоже какую то формочку для управления дать...

Интерисуют варианты не только на *nux но и на win.
Как под открытой лицензии так и комерческие.
Для хранения ключей предполагая использовать смарт-карт/токены, поэтому вопрос поддержки этих девайсов также остается открытым.

Есть возможность использования в открытых решениях сертифицированных росийский крипто провайдеров?

В windows 2003 server (как и 2000 и в 2008) есть все для создания PKI "из коробки". Есть инструкция на русском языке, с пояснениями http://www.cyberguru.ru/operating-syste ... t-pki.html . Использование "решений сертифицированных росийский крипто провайдеров" возможно и для windows и для linux. А есть понимание почему хочется использовать сертифицированное решение?

bakake писал(а):А есть понимание почему хочется использовать сертифицированное решение?

Требования российского законодательства.

и в каком это месте российское законодательство потребовало криптоком/криптопрошных приблуд для pki? Номера ФЗ будет достаточно

такое есть и в украине кстати
а вот насчет законодальетства не знаю...

Ну а если серьезно, то:
Подобные вопросы надо задавать не на форуме админов бсди, а информационному безопаснику, который:
1) В курсе законодательной/нормативной базы, в частности знает не только про предписания и инструкции, но и про их применение. Например, у нас существуют такие предписания регулятора (в том числе и касающиеся ИБ), в которых не прописана ответственность за их неисполнение. Такие предписания, де-факто, являются рекомендациями и необязательны к исполнению. Вот тут почитай, очень показательно http://www.cio-world.ru/products/infrastructure/409332/ .
2) В курсе конкретных деталей реализации и их стоимости (получить сертифицированное решение задарма не получится, их сертифицируют не для того чтобы потом бесплатно раздавать хорошим людям). Варианты могут быть разные -- например использовать УЦ криптопро, в этом случае будете платить за генерацию каждого сертификата (порядка 1500р, за опт наверно можно скидку выторговать), можно развернуть и сертифицировать свой УЦ (это обойдется тысяч в 50 рублей наверно, но я могу ошибаться), займет некоторое время, зато не придется платить за выписку каждого сертификата. Еще придется потратиться на сертифицированные токены, которые предлагает компания aladdin, которая кстати может выступить в роли интегратора для реализации всего проекта.
Позвоните в аладдин, они все популярно расскажут и покажут.
Можно кстати попробовать попасть на тематический семинар (они там вроде бесплатные) который аладдин проводит совместно с теми где все это реализовано (например с банком "возрождение", у них там все очень серьезно сделано).

При защиет персональных данных в случае если АС категорируется по 1 классу требуется защита методом шифрования (сертифицированные средства).
При атестации АС с использованием методов шифрования требутся сертифицированные средства.(при атестации АС для любого класса требуются сертифицированные средства защиты, не только для шифрования)

Поднимать вопрос в соответствии с чем и в каких случаях необходимы сертифицированные версии думаю нецелесообразным.
Меня интерисует исключительно технические вопросы. Стоимость ПО и внедрения меня занимает в последную очередь.

Вопрос был задан тут по причине того, что здесь присутствуют люди не только занимающиеся администрированием FreeBSD, а достаточно ирудированные в вопросах IT.
С самого начала меня интерисовал вопрос о том имеет ли кто опыт внедрения или использования.
Жаль что таких нет. А о самих технологиях и ПО написано много и на мероприятиях упомятух bakake расказывалось не раз, только вот на практике оказывается все не так гладко.

Прям таки опыта по развертыванию PKI для тотального шифрования нету. Для обмена персональными данными через почту с контрагентами используется просто криптопрошное шифрование, вез всяких PKI.

bakake писал(а):....используется просто криптопрошное шифрование....

А можно поподробнее, что под этой фразой подразумевается. КриптоПро JCP?

CSP 3.0 и криптоАРМ.