[gnupg-ru] Электронная подпись на предприятии
Maxim Britov
udjinrg на forenet.by
Чт Ноя 4 17:40:18 CET 2004
> Есть задача, но немогу придумать как ее решить.
> Суть в следующем:
>
> Есть предприятие с кучей филиалов в пределах области.
>
> Как и на любом предприятии, у нас существует какой-то документооборот и,
> естесственно он в бумажной форме.
>
> Для повышения оперативности и экономии денег (напр. на бумаге и
> расходниках и это еще не все причины, но это неважно) хочется какую-то часть
> документооборота перевести в электронный вид с использованием цифровой
> подписи.
>
> Сама процедура подписывания вопросов не вызывает.
>
> Непонятно как централизовано управлять ключами.....
>
> А централизовать нужно следующие моменты:
> 1. Генерация ключа, т.е. человек не должен иметь возможности самостоятельно
> генерить ключи. Это должен делать некто уполномоченный для этого, или
> самостоятельно созданные ключи должны быть недействительны (т.е. ключ
> должен быть подписан тем, кто на это имеет право, в противном случае
> подпись созданная с этим ключем недействительна)
Процедуры управления связками ключей, мехнизмом сертификации ключей вам
придется вырабатывать самостоятельно, с учетом вашей специфики.
Проще иметь один центральный ключ, но можно и организовать web-of-trust,
есть несколько центральных ключей/людей с правом подписи. Можно иметь центральный
ключ, подписать им ключи регионально центральные и т.д. и т.п. :)
Рекомендую смотреть на будущую вкрсию 1.4, т.к. там расширилось число
моделей доверия - можно выбрать более подходящую.
При проверке подписи на документе всегда можно убедиться в том, что оно подписано
сертифицированным ключом. Но нюансы есть тут.
Где 2. ? :)
> 3. Управление сроками действия ключей
Задаются при создании и продлении. Срок подписи также может быть ограничен,
что может оказаться важнее в Вашем случае imho.
> 4. Прекращение действия ключей (озыв ключа или лишение права подписи)
Лишить права подписи нельня afaik, но можно в новой версии использовать
регулярные выражения. См. доки. Отзывать возможно удобнее ключом, который
назначен отзывающим. Либо иметь копии секретных ключей.
Такой ключ видимо лучше всего только для таких вещей и держать.
> Кроме того это все должно управляться из центра при том условии, что OnLine-связь
> есть не со всеми филиалами, но электронная почта есть везде.
> А вообще, это решаемо при помощи GPG или нужно искать нечто инное?
Думаю, что всё возможно и решаемо.
Хотя, если есть возможность можно посмотреть и альтернативы.
Почему нет? :)
Прошу рассматривать в первую очередь, как мысли вслух :)
--
Maxim Britov
GnuPG KeyID 0x4580A6D66F3DB1FB Keyserver hkp://keyserver.kjsl.com
Fingerprint: 4059 B5C5 8985 5A47 8F5A 8623 4580 A6D6 6F3D B1FB
JABBER: maxbritov on jabber.org/jabber.ru ICQ 198171258
Подробная информация о списке рассылки Gnupg-ru