| 24.03.2005 14:17:54 | КриптоПро CSP 3.0 не планирует расширить поддержку Solaris (UNIX вообще)? | | Ответов: 7 |
|
 Владислав Рябышкин | | |
|
Всем доброго времени суток!
Не планируется ли расширить поддержку Solaris - увеличить количество ключевых носителей. Sun - не только сервера, но и десктопы (Sun Ray), хотелось бы использовать КриптоПро в них. Скажем, для хранения ключей на смарткартах, поддерживаемых в Solaris. |
| |
Ответы:
|
|
| Для десктопов Sun Ray есть решение, но пока только для аутентификации и защиты канала на основе карточки. |
|
| 24.03.2005 15:36:40 | Владислав Рябышкин |
|
Спасибо за ответ!
А можно ли поподробнее?
Ещё волнует такой момент - допустим, я присоединился к Sun с декстопа SunRay, на сервере установлена библиотека КриптоПро CSP (-Solaris, или можно, наверное, говорить о версии 3.0).
Поддерживаемые ключевые носители - дискета и директория на жёстком диске. Для сертификации на сервер при этом должно быть установлено какое-то дополнительное оборудование (пока не понял, какое, Аккорд, из того, что читал, - только на Solaris 2.6, 7) - но допустим я послал в УЦ запрос на сертификат, получил сертификат, я могу ключи (закрытый в т.ч.) сохранить в своей директории и использовать для ЭЦП в приложении, вызывающем библиотеки КриптоПро? И так может делать каждый другой пользователь терминал-сервера? Или такая схема не будет работать? |
|
|
Такая схема работать не будет.
Долговременные закрытыя ключи сейчас не используется. Есть карточка которая вставаляется в десктоп, в ПЗУ которого в свою очередь заливается криптоядро. В результате аутентификации карточки и сервера вырабатывается сессионный ключ, на котором шифруется сессия. |
|
| 24.03.2005 16:45:16 | Владислав Рябышкин |
|
| Значит, КриптоПро CSP 3.0 на Solaris подходит только для того, чтобы установить Apache и в него положить его ключи? (Формат хранилища ключей какой-то определённый должен быть, или тот же, что при старте apachectl startssl?) И такой набор ключей может быть только один на всю систему (раз невозможно использование клиентами с терминалов?)? Почему, кстати, сертификат нельзя в дом. директории хранить? (соображения безопасности ясны... более-менее... а почему же схема не будет работать _вообще_?) |
|
|
дело то не в сертификатах. Их можно и на сервере хранить.
Дело в том что ключ принадлежит человеку. Он на карточке например. дальше две схемы: ключ вставляется в десктоп, но тогда его нужно по каналу передать на сервер и обеспечить невозможность его неавторизованного использования в приложении. Ключ хранится на сервере, и тоже обеспечить невозможность его неавторизованного использования в приложении. |
|
| 24.03.2005 18:10:51 | Vladislav Ryabyshkin |
|
Klyuch xranitsya na servere, zashifrovannii, prilojenie dlya dostupa k nemu vizivaet CryptoPro CSP-Solaris, kakoe neavtorizovannoe ispol’zovanie? Kogda klyuch v pamyati chto li?
Kak je voobshe togda rabotaet xranenie klyucha na diske (NJMD)? |
|
|
Вариант возможен.
Действительно можно пользовать ключи с десктопа. Он при этом получается как считыватель. Канал либо закрывается штатными средствами, либо с испольованием КриптоПро CSP, но в этом случае нужно в десктоп залить софт. |
|
