[El Scorpio]

> Т.е. в каких масштабах следует рассматривать данную систему?
В любых - вплоть до вселенских
> Насколько она применения в корпоративном сегменте, какая от нее польза?
От идентификации компьютеров и пользователей до подписания электронных документов, в том числе и для передачи указанных документов в другие организации.
> С чем ее можно сравнить?
С деревом

То есть, у организации есть один Главный Ключ. С его помощью создают (заверяют) сертификаты ключей филиалов, которыми заверяют сертификаты ключей отделов, которыми заверяют сертификаты ключей конкретных пользователей.
В результате любой сотрудник организации может определить, что информация, подписанная ключом другого человека (из совершенно другого филиала) действительно была направлена именно тем человеком.

Кстати, теми же сертификатами создаются и шифрованные каналы передачи информации (SSH, SSL и т.д.)

[lxa85]

El Scorpio, Т.е. получается, что вся информация циркулирующая в организации, может быть подписана ключом, тем самым подтверждая ее подлинность.
А к какой логической единице идет привязка? К LDAP профилю пользователя? (Как вариант)

Цитата El Scorpio:

От идентификации компьютеров и пользователей до подписания электронных документов, в том числе и для передачи указанных документов в другие организации. »

Т.е. для создания электронного документооборота. Создание такой системы довольно глобальный шаг, надо будет попробовать "на кошках".
Так же получается, я получаю в свои руки контроль над шифрованием и управление шифрованными каналами связи и иже с ним.

А никому четко сформулированные приобретаемые выгоды не попадались? А то я их могу сформулировать пока довольно условно. А четко выверенные определения позволят точнее определить необходимость в данной технологии.

[vadblm]

PKI это в основном для PGP/GPG. Место, где получатель подписанного/зашифрованного письма может найти публичный ключ отправителя, без которого никак, и наоборот.

[El Scorpio]

Цитата lxa85:

А никому четко сформулированные приобретаемые выгоды не попадались? »

Перечень выгод, приобретённых конторой, в которой я сисадминю
1. Все платёжные документы, направляемые в казначейство, отправляются в электронной форме с ЭЦП директора. Нам не нужно каждый день гонять машину с пачкой макулатуры, им не нужно эту макулатуру читать и забивать по-новой в компьютер
2. Всю налоговую и прочую отчётность отправляются через интернет в электронной форме с ЭЦП директора. Там эти отчёты рассматриваются компьютером автоматически - без проволочек и "подмигиваний"
3. Все закупки на сумму свыше 500 тыс. рублей проводятся посредством аукционов на сайте Единой Торговой Площадки. От нас требуется только разместить извещение, подписав её ЭЦП уполномоченного лица. От них (потенциальных покупателей) - разместить заявки, подписанные их ЭЦП.
Опять же, заявки на участие в запросе котировок на сумму от 100 тыс до 500 тыс желающие нам могут присылать по электронной почте с ЭЦП

Единственное, что для юридически значимого документооборота российское законодательство требует использования ЭЦП, алгоритм которой определён ГОСТ номер-не-помню, и сертифицированного программного обеспечения (типа платного Крипто-ПРО).
Однако внутри организации (приказом директора) или же по предварительной договорённости с другими лицами можно использовать ЭЦП на базе других алгоритмов - популярных и бесплатных.

Цитата lxa85:

А к какой логической единице идет привязка? К LDAP профилю пользователя? (Как вариант) »

Ни к какой. Открытый ключ привязывается к закрытому ключу, который хранится в тайне
Другое дело, что в сам сертификат открытого ключа можно прописать довольно много информации - вплоть до паспортных данных человека, не говоря уже о такой мелочи, как e-mail.

Цитата lxa85:

Так же получается, я получаю в свои руки контроль над шифрованием и управление шифрованными каналами связи и иже с ним. »

Нет. Информация будет при передаче шифроваться открытым ключом, однако для её расшифровки потребуется закрытый ключ, который имеет только владелец. То есть наоборот, асиметричные алгоритмы позволяют построить сеть, очень надёжную в плане защиты от перехвата и/или подделки пересылаемой информации.

Опять же, если интегрировать сертификаты открытых ключей в систему безопасности, то можно настроить компьютер или сайт так, что для работы с ним нужно будет использовать не пароль (который можно подсмотреть из-за спины, перехватить вирусами или узнать методом терморектального криптоанализа), а материальный носитель закрытого ключа, который после работы может быть сдан под охрану. Налицо повышение автоматизации и безопасности.
Достаточно надёжно защищёнными от копирования считаются ключи etoken (выглядят как флэшки, но полностью отличаются содержимым)

Цитата vadblm:

PKI это в основном для PGP/GPG. »

Как раз таки наоборот. PGP подразумевает децентрализованную "дружескую" модель, где доверие другому ключу может быть создано при наличии в нём подписи третьего ключа, ранее добавленного в список доверенных.

"Сертификаты" открытых ключей требуют наличия специализированных "центров сертификации". То есть, если добавить "корневой" центр в список доверенных, то доверие будет распространяться на все заверенные им (или подчинённым ему "промежуточным" центром) ключи.
Опять же, если этот центр доступен через интернет (или крупную внутреннюю сеть), то при проверке ЭЦП программы могут автоматически считывать с него и списки отзывов ("скомпрометированных" ключей и т.д.).

P.S.
lxa85, внутри маленькой организации такими вещами заморачиваться не стоит.
Если же организация имеет филиалы, соединённые в единую сеть через интернеты, то каналы VPN, соединяющие эти подсети, уже нужно делать на асиметричных ключах.

[lxa85]

El Scorpio, да, у нас достаточно большая организация, с несколькими офисами в разных точках Москвы.
А если налоговую и бухгалтерскую отчетность можно будет сдавать с ЭЦП, это здорово!
Надо будет найти презентацию, собраться с мыслями, т.к. 100% это упадет на инициатора, и попробовать уговорить начальство.
El Scorpio, Спасибо, картина стала более ясной!
Буду искать выгодные предложения разработчиков.

[gf100]

Цитата lxa85:

А если налоговую и бухгалтерскую отчетность можно будет сдавать с ЭЦП, это здорово! »

Для предприятий с количеством сотрудников больше 50 человек (если не путаюсь) это уже обязательно...
Один из "посредников": http://www.kontur-extern.ru/

[lxa85]

gf100, я честно сказать, не знаю, как именно у нас организован документооборот с вышестоящими инстанциями. Просто потому, что я в эти круги не приглашен. Соотв. моя работа пока происходит по принципу "начальство большое, ему видней". Но все равно спасибо за информацию, на досуге полистаю законодательство, может там что интересного найду.

[El Scorpio]

Цитата lxa85:

у нас достаточно большая организация, с несколькими офисами в разных точках Москвы. »

Договоры с бюджетными организациями заключаете?
В ближайшем будущем все конкурсы по выбору поставщиков (на суммы от ста тыс. рублей) предлагается перенести в интернет с использованием ЭЦП. Другое дело, что для участия в таких конкурсах будут допускаться только ЭЦП, заверенные только уполномоченными на это удостоверяющими центрами.
ЭЦП для налоговой отчётности (дискету с ключами) обычно выдают в комплекте с программой для отправки этой отчётности.

В целом же, поднять свой собственный УЦ для внутренних нужд можно, не отходя от кассы. Дистрибутив любой серверной Windows содержит соответствующие компоненты

Цитата lxa85:

на досуге полистаю законодательство »

Самый главный документ - Федеральный закон №1 от 10.01.2002 "об электронной цифровой подписи"
Ну и по мелочи, Википедия: разделы "ЭЦП", "PKI", "асиметричное шифрование", "системы с открытым ключом" и т.д.