Это нормально, что удостоверяющий центр знает закрытый ключ?

Question

[LAG_LAGbI4]

Для получения доступа к системе госуслуг юридическому лицу необходимо использовать ЭЦП. ЭЦП выдаёт удостоверяющий центр. Причём интересно так выдаёт, сам генерирует и выдаёт то, что сам сгенерировал. Получается удостоверяющему центру известен закрытый ключ. Это вообще нормально? Или это мне какой-то левый удостоверяющий центр попался.

Comments

[LAG_LAGbI4]

@Армянское Радио ты удалил что ли ответ, я не пойму. он вроде как есть, но его не видно. Я понимаю, что открытый ключ нужен для того, чтобы проверить подписанный документ и зашифровать сообщение, а закрытый нужен для подписи и для расшифровки сообщения. Но в моём мире я должен сгенерировать пару ключей и принести открытый ключ в удостоверяющий центр, а удостоверяющий центр должен заверить мой открытый ключ. А тут получается, что удостоверяющий центр сам генерирует пару ключей. И это не в какой-нибудь конторе, а на портале ГОСуслуг. И у удостоверяющего центра дофига сертификатов ФСБ и прочего. Что мешает удостоверяющему центру сделать копию закрытого ключа? А что если у УЦ украдут мой ключ?

[LAG_LAGbI4]

Армянское Радио ты удалил что ли ответ, я не пойму. он вроде как есть, но его не видно. Я понимаю, что открытый ключ нужен для того, чтобы проверить подписанный документ и зашифровать сообщение, а закрытый нужен для подписи и для расшифровки сообщения. Но в моём мире я должен сгенерировать пару ключей и принести открытый ключ в удостоверяющий центр, а удостоверяющий центр должен заверить мой открытый ключ. А тут получается, что удостоверяющий центр сам генерирует пару ключей. И это не в какой-нибудь конторе, а на портале ГОСуслуг. И у удостоверяющего центра дофига сертификатов ФСБ и прочего. Что мешает удостоверяющему центру сделать копию закрытого ключа? А что если у УЦ украдут мой ключ?

[Армянское Радио]

LAG_LAGbI4: Ответ я удалил, потому как понял, что у вас все правильно с порядком применения ключей, а вопрос в другом.

Answer 1

[Армянское Радио]

Тут сложность в том, что генерироваться ключи должны специализированным дорогущим оборудованием с кучей сертификатов, поэтому их изготавливает УЦ и секретным образом (так, что ЗК не сохранятся в УЦ и не станет известен его сотрудникам) передает своему клиенту.

Comments

[LAG_LAGbI4]

Ясно, понятно. Только верится в это с трудом. У меня была ситуация, когда сотрудники УЦ накосячили и записали мне на токен не тот ключ. Так вот сотрудник УЦ "пошёл мне на встречу" и переслал по электронке закрытый ключ. Не сохраняется говоришь... Наверняка в ФСБ копия отправляется.

В этой ситуации мне кажется забавным, что всем на это пофиг. Я даже в интеренете подобных постов не нашёл. Я вообще дилетант в этих вопросах....

[386DX]

LAG_LAGbI4: так ключ и так для доступа к госуслугам, что сакрального в отправке ключа другим госорганам.

"Всем на это пофиг"
А почему не должно быть?

[LAG_LAGbI4]

Что значит почему я так думаю? Я так не думаю, я так сделал и оно работает. без токена

[Евгений Куйда]

LAG_LAGbI4: Всё верно. Контейнером для хранения ключа может быть не только токен. Другой вопрос: правильно ли так поступать.

[LAG_LAGbI4]

Евгений Куйда: вопрос правильности тут на второй план уходит. С токеном система глючит и постоянно спрашивает, какой контейнер использовать. Чтобы тупо залогинится нужно раз 5-8 указать, что контейнер на токене. Если записать контейнер на диск, такого нет.

[Евгений Куйда]

LAG_LAGbI4: Если такая ситуация всех устраивает (например: доступ к компьютеру ограничен) то как _компромисс_ почему бы и нет.

[SagePtr]

А где гарантия, что в этом самом "дорогущем оборудовании с кучей сертификатов" нет закладок от ФСБ?

[Василий]

SagePtr: отключите паранойю

[SagePtr]

Василий: если у меня паранойа, это не значит, что за мной не следят

Answer 2

[elv1s88]

Да нет, вроде секретный ключ генерируется и записывается на смарт-карту или токен в защищаемую память, а УЦ хранит лишь открытый ключ, который однозначно связан с секретным, а также данными пользователя.

Comments

[LAG_LAGbI4]

данный тип токена не имеет защищённую память. закрытый ключ с него благополучно вытаскивается штатными средствами и помещается на жесткий диск. дальше возможна работа без токена.

[elv1s88]

LAG_LAGbI4: Почему Вы так думаете? Мы про один и тот-же токен говорим?

[Николай Ким]

elv1s88: Вряд ли про один и тот же, в моём случае закрытый ключ генерировался при мне на токене и подписывался оператором через интерфейс УЦ. Всё честно :-)

[elv1s88]

Николай Ким: Вот и я про что)

Answer 3

[Василий]

Сложилась практика, что ключ генерируют и выдают пользователю сотрудники УЦ (представительства УЦ / партнер в регионе). Схема генерации первых ключей (правильная с теоретической т.з.):

1. Клиент приходит и сам генерирует ключи на специально выделенной машине;
   
2. Запрос на сертификат (с открытым ключом клиента, подписанный ЭП) уходит в УЦ;
   
3. УЦ получает запрос, обрабатывает и генерирует сертификат, подписанный его ЭП;
   
4. Клиент получает сертификат и может использовать свои ключи.
   

Схема подразумевает несколько походов в подразделение УЦ / представительство, поэтому её "упрощают" (до одной встречи), генерируя всё на основе заявки и выдавая готовые ключи клиенту по паспорту/доверенность.