Об использовании ГОСТ в протоколе OCSP

Секретариат ТК 362 письмом от 02.04.2024 № 837 направил членам комитета на рассмотрение проект Рекомендаций по стандартизации "Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов (OCSP)", срок для направления предложений - до 23.04.2024.

Проект описывает протокол получения актуального статуса сертификата (протокол OCSP), который позволяет определять статус указанного сертификата вместо или в дополнение к проверке по списку отозванных сертификатов (CRL). Взаимодействия через службу OCSP предполагает более быстрое предоставление актуальной информации, чем при использовании CRL, а также позволяет получать дополнительную информацию об их состоянии. Протокол OCSP предназначен для получения статуса сертификата вместо или в дополнение к проверке по списку отозванных сертификатов (CRL).

Ситуация со службами OCSP интереснее, чем со службой штамбов времени (TSP). Если метка доверенного времени в законодательстве присутствует, рекомендации по стандартизации были утверждены в 2022 году, то служба OCSP была незаслуженно забыта. При этом сертифицированные решения, которые позволяют осуществлять проверку статусов сертификатов на рынке присутствуют с 2008 года.

Хронология подписания межправительственного соглашения о порядке признания электронной подписи

🔹Согласно итоговому документу VIII Форума регионов России и Беларуси (29.06-01.07.2021) «Научно-техническое сотрудничество России и Беларуси в эпоху цифровизации» подписание договора между Российской Федерацией и Республикой Беларусь, предусматривающего взаимное признание электронной подписи и создание института доверенных третьих сторон, планировалось в 2021 году
🔹Протокольное поручение Группы высокого уровня Совета Министров Союзного государства от 14.12.2021 № 33 - завершить согласование проекта договора до 01.07.2022.
🔹29.06.2022 - пятая редакция проекта договора.
🔹Ноябрь 2022 - заместитель Министра Минэкономразвития России: "Мы на финальной стадии заключения договора"
🔹26.01.2024 - Минцифры России поручено от имени Правительства Российской Федерации подписать указанное соглашение
🔹28.02.2024 - Президент Беларуси подписал Указ № 72, которым одобрил в качестве основы для проведения переговоров проект межправительственного соглашения, на подписание уполномочено Министерство связи и информатизации.
🔹15.04.2024 - в Москве подписано Соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии.

Впервые на практике заработала часть 3 статьи 7 63-ФЗ, которая была введена Федеральным законом от 27.12.2019 № 476-ФЗ. Консультант теперь может делать ссылку на данное соглашение.
Странно, что ни сайт, ни канал Минцифры ничего не написал про данное событие.
Министр цифры в присутствии Председателя Правительства России впервые подписал межправительственное соглашение о порядке признания ЭП, но ни одной новости от регулятора по этому случаю нет.

Может ли для неквалифицированной подписи использоваться несертифицированная криптография?
Несмотря на прекращение поддержки СКЗИ «Валидата CSP» версии 5.0 с 01.01.2023 в своем программном обеспечении, Национальный расчетный депозитарий продолжает использование несертифицированной версии и в апреле 2024 г.

Информация для владельцев сертификатов УЦ ФНС России, использующих ViPNet

Компания «ИнфоТеКС» информирует о возможности ФНС России безвозмездно предоставить владельцу квалифицированного сертификата, выданного Удостоверяющим центром ФНС России, права на использование программного обеспечения ViPNet PKI Client на условиях простой неисключительной Лицензии.

Данная Лицензия позволяет использовать ViPNet PKI Client только для работы с сертификатами, выданными УЦ ФНС России.

Пользователю передаются следующие права в следующем объеме:
🔹право на воспроизведение ViPNet PKI Client, ограниченное правом инсталляции и запуска;
🔹право на использование ViPNet PKI Client с целью обеспечения его функционирования на компьютере.

Пользователь лицензии не вправе:
🔹допускать пользование ViPNet PKI Client лицами, не имеющими Лицензии на пользование (прав на использования) данного программного обеспечения;
🔹пытаться декомпилировать (преобразовать объектный код в исходный текст) любую часть программ, входящих в состав ViPNet PKI Client;
🔹вносить какие-либо изменения в объектный код ViPNet PKI Client;
🔹совершать относительно ViPNet PKI Client другие действия, нарушающие российские и международные нормы по авторскому праву и использованию программных средств.

Срок действия предоставляемых ФНС России прав использования ViPNet PKI Client ограничивается сроком действия сертификата.

Разъяснения Банка России по вопросам информационной безопасности, импортозамещения, использования средств криптографической защиты информации, проведения оценки соответствия, выстраивания процедур антифрода, а также категорирования объектов критической информационной инфраструктуры

🔹ЦБ против использования электронной почты для получения подписанных электронной подписью распоряжений клиентов на перевод денежных средств
🔹ЦБ против аутсорсинга HSM
🔹ЦБ против понижение класса КС2 в сценариях использования биометрии для банкоматов и диспенсеров талонов очередей
🔹 ЦБ не планирует принимать участие в создании и распространении среди финансовых организаций СКЗИ для целей работы с биометрией
🔹ЦБ разработан стандарт, позволяющий оптимизировать процесс проведения оценки влияния, а также сократить сроки её проведения
🔹ЦБ против страхования операторами персональных данных киберрисков и оформления банковской гарантии для получения статуса оператора персональных данных

Попалась на глаза очередная статья про МЧД: "МЧД: актуальные вопросы применения и рекомендации" (открывается кстати в полном виде с мобильного телефона по ссылке).
Насколько можно говорить, что вопросы там актуальные, если автор не в курсе, что, например, в 856 приказ Минцифры вносились изменения, система ИС ГУЦ была заменена на ЕСИА?
А что касается текста... кажется, что наш канал можно вписать в соавторы: 1, 2, 3 Но ведь это посты октября 2021 года, можно было скопипастить и поактуальнее

Информация для владельцев сертификатов УЦ ФНС России, использующих КриптоПро

ООО «КРИПТО-ПРО», являющимся обладателем исключительных прав на программное обеспечение СКЗИ «КриптоПро CSP», размещены Условия использования программного обеспечения.

ООО «КРИПТО-ПРО» предоставляет владельцу квалифицированного сертификата, выданного Удостоверяющим центром ФНС России, право на использование программного обеспечения на условиях простой неисключительной лицензии.

Срок действия передаваемого Пользователю права использования СКЗИ «КриптоПро CSP» ограничивается сроком действия сертификата ключа проверки электронной подписи.