Jump to content

Recommended Posts

Господа, а кто сможет обьяснить, в чем разница между установочными дистрибутивами vipnet client 3.1 КС3 и vipnet client 3.1 КС2?

Share this post


Link to post
Share on other sites

Господа, а кто сможет обьяснить, в чем разница между установочными дистрибутивами vipnet client 3.1 КС3 и vipnet client 3.1 КС2?

Ну, во-первых, это - разные комплекты поставки. Более того, насколько было написано на форуме - это разные сборки. Отличия там ещё в обязательности использования датчика случайных чисел (аппаратного) и какие-то ещё организационные меры, отмеченные в документации. Точно сказать не смогу - с КС3 на практике не сталкивался.

На форуме мы обсуждали это в топиках:

В остальном - вопрос к технической поддержке. Или попробуйте спросить в личке у http://www.infotecs.ru/forum/index.php?showuser=21142. Он использует КС3.

Share this post


Link to post
Share on other sites

Господа, а кто сможет обьяснить, в чем разница между установочными дистрибутивами vipnet client 3.1 КС3 и vipnet client 3.1 КС2?

На дисках в составе установочных комплектов КС2 и КС3 записаны разные билды файлов setup.exe. Для КС3 это 3.1.1.6238, для КС2, вроде, 3.1.1.5056 (точно не могу сказать, нет под рукой). В комплектах также идут разные формуляры. Отличий в интерфейсе самого клиента я не нашел. Поэтому распознать, какой клиент - КС2 или КС3 - установлен, можно только по билду версии. Это крайне неудобно. В отличие от клиента в ViPNet Administrator УиКЦ в сведениях "О программе" черным по белому указывается класс СКЗИ. Я задавал данных вопрос в техподдержку - ответа не получил. Но уже в версии клиента 3.2.9.13086 класс СКЗИ указывается в сведениях "О программе". Возможно, мой запрос и повлиял на это улучшение. ))

Если заниматься буквоедством, то согласно сертификатам ФСБ по КС2 сертифицирован ViPNet CSP и ДОМЕН-КС, а по классу КС3 только ДОМЕН-КМ. Следовательно, в клиенте КС3 должен применяться криптопровайдер ДОМЕН-КМ, аналогично Администратору КС3. Возможно, так оно и есть. Но если судить по интерфейсу клиента, то получаем тот же ViPNet CSP, т.к. никакого упоминания о ДОМЕН-КМ там нет, везде только ViPNet CSP. Это был мой очередной вопрос в техподдержку, оставшийся без ответа. ))

Share this post


Link to post
Share on other sites

На дисках в составе установочных комплектов КС2 и КС3 записаны разные билды файлов setup.exe. Для КС3 это 3.1.1.6238, для КС2, вроде, 3.1.1.5056 (точно не могу сказать, нет под рукой). В комплектах также идут разные формуляры. Отличий в интерфейсе самого клиента я не нашел. Поэтому распознать, какой клиент - КС2 или КС3 - установлен, можно только по билду версии. Это крайне неудобно. В отличие от клиента в ViPNet Administrator УиКЦ в сведениях "О программе" черным по белому указывается класс СКЗИ. Я задавал данных вопрос в техподдержку - ответа не получил. Но уже в версии клиента 3.2.9.13086 класс СКЗИ указывается в сведениях "О программе". Возможно, мой запрос и повлиял на это улучшение. ))

Если заниматься буквоедством, то согласно сертификатам ФСБ по КС2 сертифицирован ViPNet CSP и ДОМЕН-КС, а по классу КС3 только ДОМЕН-КМ. Следовательно, в клиенте КС3 должен применяться криптопровайдер ДОМЕН-КМ, аналогично Администратору КС3. Возможно, так оно и есть. Но если судить по интерфейсу клиента, то получаем тот же ViPNet CSP, т.к. никакого упоминания о ДОМЕН-КМ там нет, везде только ViPNet CSP. Это был мой очередной вопрос в техподдержку, оставшийся без ответа. ))

А в эксплуатационной документации к СКЗИ разница есть? Какая именно?

Share this post


Link to post
Share on other sites

А в эксплуатационной документации к СКЗИ разница есть? Какая именно?

Касательно клиента детально не прорабатывал данный вопрос, поэтому наверняка сказать не могу. В документации на ViPNet Администратор УиКЦ разница между КС2 и КС3 есть. У КС3 как раз дополнительно прописано обязательное использование аппаратного датчика случайных чисел для генерации и формирования ключей шифрования и закрытых ключей сертификатов. Также есть раздел по учету ключей ДСРФ. В остальном отличий не заметил. Но, повторюсь, глубоко в поиск отличий в документации не вдавался. Возможно, есть что-то еще.

Ситуация резко меняется, когда дело доходит до класса СКЗИ КВ2. )) Тут уже оргмерами, доверенной загрузкой и аппаратным ДСЧ не отделаться! Во-первых, обязательно нужна оптическая развязка между внешним ethernet-портом координатора и сетью связи общего пользования - это не менее 2-х метров оптического кабеля с соответствующими конвертерами. А, во-вторых, для выработки рабочих ключей обмена между взаимодействующими ПАК необходимо использовать специальные ключи ДСРФ-i (Деловая сеть РФ), которые поставляются в составе ключевых блокнотов, изготавливаемых в в/ч 43753-Б на договорной основе. Ключевые блокноты ДСРФ доставляются фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников организации.

Share this post


Link to post
Share on other sites

Касательно клиента детально не прорабатывал данный вопрос, поэтому наверняка сказать не могу. В документации на ViPNet Администратор УиКЦ разница между КС2 и КС3 есть. У КС3 как раз дополнительно прописано обязательное использование аппаратного датчика случайных чисел для генерации и формирования ключей шифрования и закрытых ключей сертификатов. Также есть раздел по учету ключей ДСРФ. В остальном отличий не заметил. Но, повторюсь, глубоко в поиск отличий в документации не вдавался. Возможно, есть что-то еще.

Ситуация резко меняется, когда дело доходит до класса СКЗИ КВ2. )) Тут уже оргмерами, доверенной загрузкой и аппаратным ДСЧ не отделаться! Во-первых, обязательно нужна оптическая развязка между внешним ethernet-портом координатора и сетью связи общего пользования - это не менее 2-х метров оптического кабеля с соответствующими конвертерами. А, во-вторых, для выработки рабочих ключей обмена между взаимодействующими ПАК необходимо использовать специальные ключи ДСРФ-i (Деловая сеть РФ), которые поставляются в составе ключевых блокнотов, изготавливаемых в в/ч 43753-Б на договорной основе. Ключевые блокноты ДСРФ доставляются фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников организации.

Да, в КВ-классах требования по ПЭМИНам и НДВ. Там всё серьёзно. Интересно какие требования к КА предъявляются. А что за деловая сеть РФ? Это Вы нам тут не государственную тайну открываете? ;-)

Share this post


Link to post
Share on other sites

Да, в КВ-классах требования по ПЭМИНам и НДВ. Там всё серьёзно. Интересно какие требования к КА предъявляются. А что за деловая сеть РФ? Это Вы нам тут не государственную тайну открываете? ;-)

Что из себя представляет Деловая сеть РФ, я не представляю. Все сведения взяты из эксплуатационной документации, она не грифованная, поэтому до гостайны тут далеко. )) На практике мне в большинстве случаев пока хватало и КС3.

Share this post


Link to post
Share on other sites

Что из себя представляет Деловая сеть РФ, я не представляю. Все сведения взяты из эксплуатационной документации, она не грифованная, поэтому до гостайны тут далеко. )) На практике мне в большинстве случаев пока хватало и КС3.

А КВ2 Вы использовали для защиты какого рода сведений? Конфиденциалька больше КС2 вряд ли защищается.

Share this post


Link to post
Share on other sites

А КВ2 Вы использовали для защиты какого рода сведений? Конфиденциалька больше КС2 вряд ли защищается.

Ну, тут дело не совсем в грифе защищаемой информации, а в выполнении требований формуляров и правил пользования на СКЗИ. В требованиях к удостоверяющему центру на базе ViPNet Administrator KC3 указано обязательное применение СКЗИ класса КВ2 при подключении УЦ к сетям связи общего пользования. А задача была простая, нужно было связать два ведомственных УЦ через Интернет. Вот и пришлось два ПАКа КВ2 ставить.

Share this post


Link to post
Share on other sites

Ну, тут дело не совсем в грифе защищаемой информации, а в выполнении требований формуляров и правил пользования на СКЗИ. В требованиях к удостоверяющему центру на базе ViPNet Administrator KC3 указано обязательное применение СКЗИ класса КВ2 при подключении УЦ к сетям связи общего пользования. А задача была простая, нужно было связать два ведомственных УЦ через Интернет. Вот и пришлось два ПАКа КВ2 ставить.

Понятно. Спасибо за информацию.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.