Почему эцп (усиленную квалифицированную) выдают на один год?

Question

[Александр Клепенков]

Как правило эцп выдают на один год. Встречал случаи выдачи сертификатов и на пять лет. Подозреваю должен быть нормативный документ регламентирующий срок действия сертификата эцп под определённые задачи.

Конкретно в моем случае задача подписания электронных медицинских документов. В нормативных документах не нашёл ограничения на срок выдачи эцп.

Answer 1

[f9k56]

Потому что бабла охота всем, а работать неохота. Вы еще спросите, почему в каждой шараге свои требования к УЦП и подходит только УЦП с доп оплатой и своим ГОСТОМ, как будто мы живем не в одном государстве. Фактически монополизм и картельный сговор, но ответственным органам некогда на такие мелочи обращать внимание, есть дела поважнее.

Answer 2

[senefu]

По той же причине, почему нельзя использовать PGP. КОРРУПЦИЯ.

Comments

[huwesu]

Возможно, вы этого и не знали, но ГОСТ-овское шифрование серьезнее государственного американского шифрования DES и шифрования PGP. Но коррупция тут не при чем.

Ну а ключи никакого отношения к выбору шифрования и не имеют. Ты их не можешь выдать сам себе, это лишено смысла. Должна быть контора, которая удостоверяет твою личность.

Но к шифрованию PGP, DES, ГОСТ - выдача ключей не имеет никакого отношения

[senefu]

huwesu: вы похоже не знаете что такое публичный ключ? Про остальное тоже поржал. Инноваторы епта)) Сам на подряде сидишь?

Answer 3

[d-stream]

Есть общие соображения по срокам устаревания ключей, паролей и т.п. (они могут банально утечь например)
Думаю, что сама мысль, что их надо менять время от времени не вызывает отторжения?
Ну а дальше традиционный срок - год.
Иногда в прайсах УЦ фигурируют и большие сроки, но практика сводится к тому, что мало кто выбирает варианты больше чем на год. Это и дешевле и в общем-то практичнее в плане динамичности прогресса в данной сфере (через год могут появиться иные ключи, изменятся форматы и т.п.)

Comments

[Александр Клепенков]

Менять конечно разумно. Но период замены нужно выбирать исходя из бизнес процесса. А если прогресс потребует замены ранее чем истечёт срок эцп её же можно отозвать и сгенерировать новую

[d-stream]

Александр Клепенков: как говорится бизнес-процесс [свой] против бизнес-процесса [выдающего]

[Александр Клепенков]

Получается нормативов нет и единственный выход это создать свой УЦ с криптографией и безопасниками

[d-stream]

Александр Клепенков: ну можно и так. Заодно еще создав свое правительство, армию, Минфин и народ =)

Answer 4

[CityCat4]

В основном для защиты от утечки и подтверждения того, что получатель еще жив и брыкается. По тем же причинам, по которым банковские карты выдают максимум на два-три года. Может быть ключ давно утек и тот кто его упер сидит тихонечко, не отвечивает и пользуется им...

Comments

[Александр Клепенков]

Таки да. Но по сути УЦ пофиг кто пользуется ключом злоумышленник или Заказчик. Интерес же Заказчика в том чтобы:
1. обеспечить безопасность (путем выбора оптимального срока действия сертификата ЭЦП исходя из модели угроз)
2. сделать это с минимальными издержками

[CityCat4]

Александр Клепенков: А Заказчику не пофиг? Делается-то это не в интересах УЦ, а в интересах Заказчика - вот например некая крыса сперла у него сертификат и пользуется им втихушку, для каких-то там своих крысиных целей. Если ола не светит нигде инфу, которую получила через него - фиг ее найдешь. А так - через год сертификат в любом случае превращается в тыкву. Ну это конечно все для корпоративных УЦ.

Если же брать общеизвестные - тут еще и жадность :) Сертификатный бизнес по доходности почти как игровые автоматы - деньги берут за воздух :)