KSS Опубликовано 24 Сентября 2013 Жалоба Поделиться Опубликовано 24 Сентября 2013 Добрый день. У нас уволился администратор сети ViPNet. Каковы действия нового администратора? Где можно почитать подробное описание действий в данной ситуации? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 24 Сентября 2013 Жалоба Поделиться Опубликовано 24 Сентября 2013 Почитать можно в правилах эксплуатации.Надо сменить все мастер ключи, пароли и учетку админа в УКЦ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 24 Сентября 2013 Автор Жалоба Поделиться Опубликовано 24 Сентября 2013 А что делать с пользователями, которым выпустили подпись? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Сентября 2013 Жалоба Поделиться Опубликовано 24 Сентября 2013 (изменено) Выдержка из документации:Действия при компрометации ключей УКЦПри компрометации ключей хотя бы одного администратора УКЦ вся ключевая информация в сети считается скомпрометированной. В этом случае должна быть немедленно остановлена работа на симметричных ключах шифрования.Для восстановления работы системы необходимо:- Удалить с жесткого диска все ключи с использованием утилиты clean.exe.- Начать формирование ключевой системы с нулевой отметки (см. «Создание ключевой информации при первоначальном развертывании сети» на стр. 68).До полного развертывания ключевой системы ключевая информация передается пользователям посредством личной встречи администраторов УКЦ, использования доверенных нарочных с документальным подтверждением отправки и приема, использования ведомственной или фирменной фельдъегерской связи и т.п.Хотя здесь говорится про симметричные ключи, закрытый ключ подписи - это тоже криптографический ключ. Отзывается сертификат администратора - и все выпущенные им сертификаты уже недействительные. Реальная же компрометация ЭП зависит от того, где генерировались ключи. Если в УКЦ, то - скомпрометировано. Если закрытый ключ за пределы токена не уходил, то логически можно было бы и не переиздавать. Изменено 24 Сентября 2013 пользователем slavanchuk Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 24 Сентября 2013 Автор Жалоба Поделиться Опубликовано 24 Сентября 2013 А вот еще вопросик в тему.Предположим администратор не уволился, а только подал заявление, но новый администратор уже вступил в силу. Что делать новому администратору с ключами пользователей? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Сентября 2013 Жалоба Поделиться Опубликовано 24 Сентября 2013 Как написано в документации - аннулировать и его ключи. А вообще следует разворачивать уже новую ключевую систему - старая и без УКЦ с действующими ключами довольно долго проработает. Никто даже не мешает параллельно установить ещё один УКЦ и ЦУС и там работать с новыми ключами, а потом второй УКЦ убрать, как исполнивший свои функции. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 25 Сентября 2013 Автор Жалоба Поделиться Опубликовано 25 Сентября 2013 И что же получается. Предположим у нас 500 пользователей расположенные по всему городу и области. Компрометации ключей администратора УКЦ не было, т.к. он еще дорабатывает. А перегенерацию всех ключей пользователей все равно необходимо? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 25 Сентября 2013 Жалоба Поделиться Опубликовано 25 Сентября 2013 Так, вы просто заранее создаёте новые ключи, чтобы заранее пользователям раздать. А когда все будут готовы, то сразу первичную инициализацию в один день все сделают. Так было бы логичнее. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.