Цитата lxa85:
|
А никому четко сформулированные приобретаемые выгоды не попадались? »
|
Перечень выгод, приобретённых конторой, в которой я сисадминю
1. Все платёжные документы, направляемые в казначейство, отправляются в электронной форме с ЭЦП директора. Нам не нужно каждый день гонять машину с пачкой макулатуры, им не нужно эту макулатуру читать и забивать по-новой в компьютер
2. Всю налоговую и прочую отчётность отправляются через интернет в электронной форме с ЭЦП директора. Там эти отчёты рассматриваются компьютером автоматически - без проволочек и "подмигиваний"
3. Все закупки на сумму свыше 500 тыс. рублей проводятся посредством аукционов на сайте Единой Торговой Площадки. От нас требуется только разместить извещение, подписав её ЭЦП уполномоченного лица. От них (потенциальных покупателей) - разместить заявки, подписанные их ЭЦП.
Опять же, заявки на участие в запросе котировок на сумму от 100 тыс до 500 тыс желающие нам могут присылать по электронной почте с ЭЦП
Единственное, что для
юридически значимого документооборота российское законодательство требует использования ЭЦП, алгоритм которой определён ГОСТ номер-не-помню, и сертифицированного программного обеспечения (типа платного Крипто-ПРО).
Однако внутри организации (приказом директора) или же по предварительной договорённости с другими лицами можно использовать ЭЦП на базе других алгоритмов - популярных и бесплатных.
Цитата lxa85:
|
А к какой логической единице идет привязка? К LDAP профилю пользователя? (Как вариант) »
|
Ни к какой. Открытый ключ привязывается к закрытому ключу, который хранится в тайне
Другое дело, что в сам сертификат открытого ключа можно прописать довольно много информации - вплоть до паспортных данных человека, не говоря уже о такой мелочи, как e-mail.
Цитата lxa85:
|
Так же получается, я получаю в свои руки контроль над шифрованием и управление шифрованными каналами связи и иже с ним. »
|
Нет. Информация будет при передаче шифроваться открытым ключом, однако для её расшифровки потребуется закрытый ключ, который имеет
только владелец. То есть наоборот, асиметричные алгоритмы позволяют построить сеть, очень надёжную в плане защиты от перехвата и/или подделки пересылаемой информации.
Опять же, если интегрировать сертификаты открытых ключей в систему безопасности, то можно настроить компьютер или сайт так, что для работы с ним нужно будет использовать не пароль (который можно подсмотреть из-за спины, перехватить вирусами или узнать
методом терморектального криптоанализа), а материальный носитель закрытого ключа, который после работы может быть сдан под охрану. Налицо повышение автоматизации и безопасности.
Достаточно надёжно защищёнными от копирования считаются ключи etoken (выглядят как флэшки, но полностью отличаются содержимым)
Цитата vadblm:
|
PKI это в основном для PGP/GPG. »
|
Как раз таки наоборот. PGP подразумевает децентрализованную "дружескую" модель, где доверие другому ключу может быть создано при наличии в нём подписи третьего ключа, ранее добавленного в список доверенных.
"Сертификаты" открытых ключей требуют наличия специализированных "центров сертификации". То есть, если добавить "корневой" центр в список доверенных, то доверие будет распространяться на все заверенные им (или подчинённым ему "промежуточным" центром) ключи.
Опять же, если этот центр доступен через интернет (или крупную внутреннюю сеть), то при проверке ЭЦП программы могут автоматически считывать с него и списки отзывов ("скомпрометированных" ключей и т.д.).
P.S.
lxa85, внутри маленькой организации такими вещами заморачиваться не стоит.
Если же организация имеет филиалы, соединённые в единую сеть через интернеты, то каналы VPN, соединяющие эти подсети, уже нужно делать на асиметричных ключах.
