[gnupg-ru] Электронная подпись на предприятии

Maxim Britov udjinrg на forenet.by
Чт Ноя 4 17:40:18 CET 2004 

> Есть задача, но немогу придумать как ее решить.
> Суть в следующем:
> 
> Есть предприятие с кучей филиалов в пределах области.
> 
> Как и на любом предприятии, у нас существует какой-то документооборот и,
> естесственно он в бумажной форме.
> 
> Для повышения оперативности и экономии денег (напр. на бумаге и
> расходниках и это еще не все причины, но это неважно) хочется какую-то часть
> документооборота перевести в электронный вид с использованием цифровой
> подписи.
> 
> Сама процедура подписывания вопросов не вызывает.
> 
> Непонятно как централизовано управлять ключами.....
> 
> А централизовать нужно следующие моменты:
> 1. Генерация ключа, т.е. человек не должен иметь возможности самостоятельно
>    генерить ключи. Это должен делать некто уполномоченный для этого, или
>    самостоятельно созданные ключи должны быть недействительны (т.е. ключ
>    должен быть подписан тем, кто на это имеет право, в противном случае
>     подпись созданная с этим ключем недействительна)

Процедуры управления связками ключей, мехнизмом сертификации ключей вам
придется вырабатывать самостоятельно, с учетом вашей специфики.
Проще иметь один центральный ключ, но можно и организовать web-of-trust,
есть несколько центральных ключей/людей с правом подписи. Можно иметь центральный
ключ, подписать им ключи регионально центральные и т.д. и т.п. :)
Рекомендую смотреть на будущую вкрсию 1.4, т.к. там расширилось число
моделей доверия - можно выбрать более подходящую.
При проверке подписи на документе всегда можно убедиться в том, что оно подписано
сертифицированным ключом. Но нюансы есть тут.

Где 2. ? :)

> 3. Управление сроками действия ключей

Задаются при создании и продлении. Срок подписи также может быть ограничен,
что может оказаться важнее в Вашем случае imho.

> 4. Прекращение действия ключей (озыв ключа или лишение права подписи)

Лишить права подписи нельня afaik, но можно в новой версии использовать
регулярные выражения. См. доки. Отзывать возможно удобнее ключом, который
назначен отзывающим. Либо иметь копии секретных ключей.
Такой ключ видимо лучше всего только для таких вещей и держать.

> Кроме того это все должно управляться из центра при том условии, что OnLine-связь
> есть не со всеми филиалами, но электронная почта есть везде.
> А вообще, это решаемо при помощи GPG или нужно искать нечто инное?

Думаю, что всё возможно и решаемо.
Хотя, если есть возможность можно посмотреть и альтернативы.
Почему нет? :)

Прошу рассматривать в первую очередь, как мысли вслух :)


-- 
Maxim Britov

GnuPG KeyID 0x4580A6D66F3DB1FB Keyserver hkp://keyserver.kjsl.com
Fingerprint: 4059 B5C5 8985 5A47 8F5A 8623 4580 A6D6 6F3D B1FB
  JABBER: maxbritov on jabber.org/jabber.ru   ICQ 198171258

Подробная информация о списке рассылки Gnupg-ru