| ||||
| ||||
| Здравствуйте. В докладе г-на Курепкина И.А. "Средство криптографической защиты информации КриптоПро CSP", выложенным по адресу http://www.microsoft.ru/events/crypto/ заметил, что в качестве ключевого носителя может использоваться USB ключ eToken. На сайте же о eToken-e ничего не упоминается. Прокомментируйте, пожалуйста, сей факт. | ||||
| Ответы: | ||||
| ||||
| Сейчас на сервере лежит версия 1.1, имеющая сертификат. Она eToken не поддерживает. Существует предварительная версия 1.2. Она как раз работает с eToken и поддерживает интерфейс PC/SC для карточек. Так как она не сертифицированная, мы ее особенно не распространяем, а передаем для ознакомления. | ||||
| ||||
| А какие планы в отношении сертификации версии 1.2 (приблизительные сроки)? И каким образом можно ознакомиться с новыми функциональными возможностями, которые планируете привнести в новую версию? Заранее спасибо. | ||||
| ||||
| Сертификация скорее всего будет весной (в марте). Надеюсь мы скоро (в течении недели) положим версию 1.2 на сервер. Главные отличия: - поддержка PC/SC и eToken; - автоматическое определение типа ключевого носителя (без необходимости указывания носителя); - реализация ЭЦП на эллиптических кривых. | ||||
| ||||
| Спасибо. У меня еще один вопрос следующего характера... Насколько я понял, CryptoPro CSP может использоваться для authenticode, s/mime, TLS. Сертификаты и личные ключи, полученные с использованием CryptoPro и хранящиеся на съемном носителе (смарт карта), использоваться для интерактивной аутентификации пользователя в домене не могут? Возможность интерактивной аутентификации в домене возможна благодаря расширению PKINIT протокола Kerberos. И в качестве аутентификатора используется цифровая подпись. Казалось бы, если клиент и домен контроллер используют одинаковые алгоритмы шифрования, то почему им не воспользоваться такой возможностью? Или есть ограничения на текущую реализацию протокла Kerberos или служб аутентификации к алгоритмам шифрования? Заранее спасибо. | ||||
| ||||
| Ограничения на аутентификацию по протоколу Kerberos есть. Не могу сейчас точно скзать какие. Возможны варианты: например всегда быбирается SSPI реализующий определенный набор алгоритмов. Так что с этим еще придется разобраться. | ||||
| ||||
| Благодарю. | ||||
Vladimir