Вопрос 1: Учитывает ли система "ДЕЛО» при проверке статуса ЭЦП документа текущий на момент проверки статус (отозван, приостановлен и т.п.) сертификата подписавшего субъекта? С каких версий «ДЕЛО» и «КАРМА» данная возможность доступна? Какие протоколы для этого используются?
Ответ: Да, учитывает, насколько это позволяет система Windows и работа с CRL. Полновесная работа со списками отзыва доступна в КАРМА начиная с версии 2.0. КАРМА сама при проверке подписи осуществляет проверку статуса сертификата, при этом, если необходимо, с указанного в сертификате источника.
Вопрос 2: Чем обусловлена необходимость обмена сертификатами корреспондентов при использовании юридическизначимого документооборота посредством ЭЦП со сторонними организациями? Почему недостаточно наличия сертификатов корневых УЦ участников обмена документами?
Ответ: Система КАРМА по-умолчанию не кладет сертификаты в подпись. При вызове системы необходимо указать, что сертификат положить необходимо. На данный момент система ДЕЛО не указывает данный параметр, однако, для того, чтобы избежать проблем с этим в будущем, в ближайшем обновлении системы КАРМА (его установка не потребует введения нового ключа лицензии) сертификат будет по-умолчанию класться в подпись и пересылать сертификаты отдельно не потребуется.
Вопрос 3: Необходима ли сертификация Кармы при использовании опции ЮЗД в СЭД «ДЕЛО» в государственном учреждении как средства криптозащиты информации (в соответсвии с требованиями 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи» или иных законов, нормативных актов)?
Вопрос 4: Необходима ли сертификация Кармы при использовании опции ЮЗД в СЭД «ДЕЛО» в государственном учреждении на предмет корректности встраивания средств криптозащиты информации (в соответсвии с требованиями 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи» или иных законов, нормативных актов)?
Ответ: КАРМА НЕ является криптосредством, а значит и не требует обязательной сертификации как криптосредство для использования в гос. органах. КАРМА - прикладная система, облегчающая встраивание работы с криптографией в системы более высокого уровня и снижающая потребную для этого квалификацию программиста. Что касается аттестации на корректность встраивания криптосредства (любого CryptoAPI-совместимого) - насколько мне известно, она не является обязательным пунктом для использования системы в гос. органах (на уровне законов и постановлений), однако такая аттестация может быть проведена по желанию заказчика.
