Jump to content
KSS

Что Делать Если Уволился Администратор Сети Vipnet?

Recommended Posts

Добрый день. У нас уволился администратор сети ViPNet. Каковы действия нового администратора? Где можно почитать подробное описание действий в данной ситуации?

Share this post


Link to post
Share on other sites

Почитать можно в правилах эксплуатации.

Надо сменить все мастер ключи, пароли и учетку админа в УКЦ.

Share this post


Link to post
Share on other sites

Выдержка из документации:

Действия при компрометации ключей УКЦ

При компрометации ключей хотя бы одного администратора УКЦ вся ключевая информация в сети считается скомпрометированной. В этом случае должна быть немедленно остановлена работа на симметричных ключах шифрования.

Для восстановления работы системы необходимо:

- Удалить с жесткого диска все ключи с использованием утилиты clean.exe.

- Начать формирование ключевой системы с нулевой отметки (см. «Создание ключевой информации при первоначальном развертывании сети» на стр. 68).

До полного развертывания ключевой системы ключевая информация передается пользователям посредством личной встречи администраторов УКЦ, использования доверенных нарочных с документальным подтверждением отправки и приема, использования ведомственной или фирменной фельдъегерской связи и т.п.

Хотя здесь говорится про симметричные ключи, закрытый ключ подписи - это тоже криптографический ключ. Отзывается сертификат администратора - и все выпущенные им сертификаты уже недействительные. Реальная же компрометация ЭП зависит от того, где генерировались ключи. Если в УКЦ, то - скомпрометировано. Если закрытый ключ за пределы токена не уходил, то логически можно было бы и не переиздавать.

Edited by slavanchuk

Share this post


Link to post
Share on other sites

А вот еще вопросик в тему.

Предположим администратор не уволился, а только подал заявление, но новый администратор уже вступил в силу. Что делать новому администратору с ключами пользователей?

Share this post


Link to post
Share on other sites

Как написано в документации - аннулировать и его ключи. А вообще следует разворачивать уже новую ключевую систему - старая и без УКЦ с действующими ключами довольно долго проработает. Никто даже не мешает параллельно установить ещё один УКЦ и ЦУС и там работать с новыми ключами, а потом второй УКЦ убрать, как исполнивший свои функции.

Share this post


Link to post
Share on other sites

И что же получается. Предположим у нас 500 пользователей расположенные по всему городу и области. Компрометации ключей администратора УКЦ не было, т.к. он еще дорабатывает. А перегенерацию всех ключей пользователей все равно необходимо?

Share this post


Link to post
Share on other sites

Так, вы просто заранее создаёте новые ключи, чтобы заранее пользователям раздать. А когда все будут готовы, то сразу первичную инициализацию в один день все сделают. Так было бы логичнее.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.