Перейти к контенту

Vipnet Client Кс2 И Кс3

technohronik
 Поделиться

Рекомендуемые сообщения

technohronik

technohronik

Опубликовано
Опубликовано

Господа, а кто сможет обьяснить, в чем разница между установочными дистрибутивами vipnet client 3.1 КС3 и vipnet client 3.1 КС2?

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Господа, а кто сможет обьяснить, в чем разница между установочными дистрибутивами vipnet client 3.1 КС3 и vipnet client 3.1 КС2?

Ну, во-первых, это - разные комплекты поставки. Более того, насколько было написано на форуме - это разные сборки. Отличия там ещё в обязательности использования датчика случайных чисел (аппаратного) и какие-то ещё организационные меры, отмеченные в документации. Точно сказать не смогу - с КС3 на практике не сталкивался.

На форуме мы обсуждали это в топиках:

В остальном - вопрос к технической поддержке. Или попробуйте спросить в личке у http://www.infotecs.ru/forum/index.php?showuser=21142. Он использует КС3.

Ссылка на комментарий
Поделиться на других сайтах
skysilver

skysilver

Опубликовано
Опубликовано

Господа, а кто сможет обьяснить, в чем разница между установочными дистрибутивами vipnet client 3.1 КС3 и vipnet client 3.1 КС2?

На дисках в составе установочных комплектов КС2 и КС3 записаны разные билды файлов setup.exe. Для КС3 это 3.1.1.6238, для КС2, вроде, 3.1.1.5056 (точно не могу сказать, нет под рукой). В комплектах также идут разные формуляры. Отличий в интерфейсе самого клиента я не нашел. Поэтому распознать, какой клиент - КС2 или КС3 - установлен, можно только по билду версии. Это крайне неудобно. В отличие от клиента в ViPNet Administrator УиКЦ в сведениях "О программе" черным по белому указывается класс СКЗИ. Я задавал данных вопрос в техподдержку - ответа не получил. Но уже в версии клиента 3.2.9.13086 класс СКЗИ указывается в сведениях "О программе". Возможно, мой запрос и повлиял на это улучшение. ))

Если заниматься буквоедством, то согласно сертификатам ФСБ по КС2 сертифицирован ViPNet CSP и ДОМЕН-КС, а по классу КС3 только ДОМЕН-КМ. Следовательно, в клиенте КС3 должен применяться криптопровайдер ДОМЕН-КМ, аналогично Администратору КС3. Возможно, так оно и есть. Но если судить по интерфейсу клиента, то получаем тот же ViPNet CSP, т.к. никакого упоминания о ДОМЕН-КМ там нет, везде только ViPNet CSP. Это был мой очередной вопрос в техподдержку, оставшийся без ответа. ))

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

На дисках в составе установочных комплектов КС2 и КС3 записаны разные билды файлов setup.exe. Для КС3 это 3.1.1.6238, для КС2, вроде, 3.1.1.5056 (точно не могу сказать, нет под рукой). В комплектах также идут разные формуляры. Отличий в интерфейсе самого клиента я не нашел. Поэтому распознать, какой клиент - КС2 или КС3 - установлен, можно только по билду версии. Это крайне неудобно. В отличие от клиента в ViPNet Administrator УиКЦ в сведениях "О программе" черным по белому указывается класс СКЗИ. Я задавал данных вопрос в техподдержку - ответа не получил. Но уже в версии клиента 3.2.9.13086 класс СКЗИ указывается в сведениях "О программе". Возможно, мой запрос и повлиял на это улучшение. ))

Если заниматься буквоедством, то согласно сертификатам ФСБ по КС2 сертифицирован ViPNet CSP и ДОМЕН-КС, а по классу КС3 только ДОМЕН-КМ. Следовательно, в клиенте КС3 должен применяться криптопровайдер ДОМЕН-КМ, аналогично Администратору КС3. Возможно, так оно и есть. Но если судить по интерфейсу клиента, то получаем тот же ViPNet CSP, т.к. никакого упоминания о ДОМЕН-КМ там нет, везде только ViPNet CSP. Это был мой очередной вопрос в техподдержку, оставшийся без ответа. ))

А в эксплуатационной документации к СКЗИ разница есть? Какая именно?

Ссылка на комментарий
Поделиться на других сайтах
skysilver

skysilver

Опубликовано
Опубликовано

А в эксплуатационной документации к СКЗИ разница есть? Какая именно?

Касательно клиента детально не прорабатывал данный вопрос, поэтому наверняка сказать не могу. В документации на ViPNet Администратор УиКЦ разница между КС2 и КС3 есть. У КС3 как раз дополнительно прописано обязательное использование аппаратного датчика случайных чисел для генерации и формирования ключей шифрования и закрытых ключей сертификатов. Также есть раздел по учету ключей ДСРФ. В остальном отличий не заметил. Но, повторюсь, глубоко в поиск отличий в документации не вдавался. Возможно, есть что-то еще.

Ситуация резко меняется, когда дело доходит до класса СКЗИ КВ2. )) Тут уже оргмерами, доверенной загрузкой и аппаратным ДСЧ не отделаться! Во-первых, обязательно нужна оптическая развязка между внешним ethernet-портом координатора и сетью связи общего пользования - это не менее 2-х метров оптического кабеля с соответствующими конвертерами. А, во-вторых, для выработки рабочих ключей обмена между взаимодействующими ПАК необходимо использовать специальные ключи ДСРФ-i (Деловая сеть РФ), которые поставляются в составе ключевых блокнотов, изготавливаемых в в/ч 43753-Б на договорной основе. Ключевые блокноты ДСРФ доставляются фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников организации.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Касательно клиента детально не прорабатывал данный вопрос, поэтому наверняка сказать не могу. В документации на ViPNet Администратор УиКЦ разница между КС2 и КС3 есть. У КС3 как раз дополнительно прописано обязательное использование аппаратного датчика случайных чисел для генерации и формирования ключей шифрования и закрытых ключей сертификатов. Также есть раздел по учету ключей ДСРФ. В остальном отличий не заметил. Но, повторюсь, глубоко в поиск отличий в документации не вдавался. Возможно, есть что-то еще.

Ситуация резко меняется, когда дело доходит до класса СКЗИ КВ2. )) Тут уже оргмерами, доверенной загрузкой и аппаратным ДСЧ не отделаться! Во-первых, обязательно нужна оптическая развязка между внешним ethernet-портом координатора и сетью связи общего пользования - это не менее 2-х метров оптического кабеля с соответствующими конвертерами. А, во-вторых, для выработки рабочих ключей обмена между взаимодействующими ПАК необходимо использовать специальные ключи ДСРФ-i (Деловая сеть РФ), которые поставляются в составе ключевых блокнотов, изготавливаемых в в/ч 43753-Б на договорной основе. Ключевые блокноты ДСРФ доставляются фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников организации.

Да, в КВ-классах требования по ПЭМИНам и НДВ. Там всё серьёзно. Интересно какие требования к КА предъявляются. А что за деловая сеть РФ? Это Вы нам тут не государственную тайну открываете? ;-)

Ссылка на комментарий
Поделиться на других сайтах
skysilver

skysilver

Опубликовано
Опубликовано

Да, в КВ-классах требования по ПЭМИНам и НДВ. Там всё серьёзно. Интересно какие требования к КА предъявляются. А что за деловая сеть РФ? Это Вы нам тут не государственную тайну открываете? ;-)

Что из себя представляет Деловая сеть РФ, я не представляю. Все сведения взяты из эксплуатационной документации, она не грифованная, поэтому до гостайны тут далеко. )) На практике мне в большинстве случаев пока хватало и КС3.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Что из себя представляет Деловая сеть РФ, я не представляю. Все сведения взяты из эксплуатационной документации, она не грифованная, поэтому до гостайны тут далеко. )) На практике мне в большинстве случаев пока хватало и КС3.

А КВ2 Вы использовали для защиты какого рода сведений? Конфиденциалька больше КС2 вряд ли защищается.

Ссылка на комментарий
Поделиться на других сайтах
skysilver

skysilver

Опубликовано
Опубликовано

А КВ2 Вы использовали для защиты какого рода сведений? Конфиденциалька больше КС2 вряд ли защищается.

Ну, тут дело не совсем в грифе защищаемой информации, а в выполнении требований формуляров и правил пользования на СКЗИ. В требованиях к удостоверяющему центру на базе ViPNet Administrator KC3 указано обязательное применение СКЗИ класса КВ2 при подключении УЦ к сетям связи общего пользования. А задача была простая, нужно было связать два ведомственных УЦ через Интернет. Вот и пришлось два ПАКа КВ2 ставить.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Ну, тут дело не совсем в грифе защищаемой информации, а в выполнении требований формуляров и правил пользования на СКЗИ. В требованиях к удостоверяющему центру на базе ViPNet Administrator KC3 указано обязательное применение СКЗИ класса КВ2 при подключении УЦ к сетям связи общего пользования. А задача была простая, нужно было связать два ведомственных УЦ через Интернет. Вот и пришлось два ПАКа КВ2 ставить.

Понятно. Спасибо за информацию.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.

  Я согласен