[GOST] Порядок перехода УЦ с ГОСТ-2001 на ГОСТ-2012

Привет, %username%! Обсудим такие страшные (и уже не очень актуальную) вещи как ЭЦП, УЦ, ГОСТ и КриптоПро. Задача полуторагодичной давности – перевести всё на работу с новым ГОСТ-2012 вместо старого ГОСТ-2001.

Для перехода на 2012 ГОСТ необходимо:

  1. Обновить КриптоПро CSP 3.9 до версии 4.0
  2. Сборка УЦ 2.0 минимум 2.0.6142.
  3. К моменту перехода УЦ на новые ГОСТ пользователи этого УЦ должны обновить у себя средство ЭП как минимум до версии КриптоПро CSP 4.0 (т.е. c новыми ГОСТами, чтобы цепочка сертификатов могла строиться). Уже сейчас целесообразно новым пользователям предоставлять 4.0, а старым, когда приходят делать плановую смену ключей, - обновлять до версии 4.0. Таким образом за год (в обычном режиме без спешки) у пользователей на рабочих местах появятся средства ЭП с новыми ГОСТами.
  4. Если УЦ аккредитован, то сначала нужно дождаться перехода Головного УЦ на новые ГОСТ.
  5. Если все пункты выполнены, то в УЦ можно делать плановую смену ключей , выбирая провайдер для нового ГОСТа.

Собственно все. УЦ продолжает работать, как и работал. Только теперь выдает сертификаты с ключами проверки ЭП по новому ГОСТу.

Длина ключа ГОСТ 2012 может быть 256 или 512 бит.

Для смены ГОСТа (до операции по выпуску перевыпуску сертификата) необходимо выполнить следующие:

Перейти на ГОСТ 2012 256 бит:

certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\HashAlgorithm 32801
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\ProviderType 80
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\Provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\RenewalKeyLength 512
certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings

Перейти на ГОСТ 2012 Strong 512 бит

certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\HashAlgorithm 32802
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\ProviderType 81
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\Provider "Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider"
certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\RenewalKeyLength 1024
certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings

У данной эпопеи есть продолжение в виде ГОСТ-2018 - осторожно там PDF! Расписывать продолжение я категорически не имею желани, но если хочется спросить - велкам в чат.

На этом собсна всё!

Понравился пост? Узнайте, как можно сказать автору спасибо.

Также подпишитесь на Telegram, Twitter или RSS.

JTProg avatar
JTProg
RTFM!!!
comments powered by Disqus