Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline basid  
#11 Оставлено : 6 апреля 2019 г. 14:50:04(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
КриптоПРО CSP версий 3.x и 4.0 умеет работать с Рутокен ЭЦП 2.0 - у меня, например, на таком хранится КЭП.
Offline sanyo  
#12 Оставлено : 6 апреля 2019 г. 21:26:52(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: basid Перейти к цитате
КриптоПРО CSP версий 3.x и 4.0 умеет работать с Рутокен ЭЦП 2.0 - у меня, например, на таком хранится КЭП.


Может быть, в режиме эмуляции Rutoken-S? Когда ключи извлекаемы?
Offline Агафьин Сергей  
#13 Оставлено : 8 апреля 2019 г. 11:34:18(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
Автор: sushev_a_a Перейти к цитате
Добрый день.
У токенов есть функциональность, что ключевая пара генерируется на токене и закрытый ключ не выгружается с него, а работа с ним идет с использованием аппаратных средств токена. Правильно ли я понял, что КриптоПро CSP не предполагает работу с токенами в таком режиме, а позволяет только хранить на них ключевые контейнеры.
У Вас есть продукт КриптоПро ФКН CSP. Правильно ли я понимаю, что как раз этот продукт позволяет использовать указанную функциональность токенов?
Поддерживает ли ФКН CSP токены Рутокен ЭЦП 2.0?
Если да, то есть ли дистрибутивы под Linux? Нашел только дистрибутив ФКН CSP 3.9 под Windows.


Правильно ли я понимаю:

Рутокен ЭЦП 2 - это аппаратный токен с неизвлекаемыми ключами?

КриптоПро CSP v<5 не поддерживает работу с такими аппаратными токенами?

КриптоПро CSP v5 поддерживает работу с такими аппаратными токенами? В чем проявляется такая поддержка с точки зрения пользователя? СКЗИ КриптоАрм_НЕ_плюс сможет работать с аппаратными токенами с неизвлекаемыми ключами, которые раньше поддерживались только в КриптоАрм 5 Плюс (несертифицированный НЕ_СКЗИ)?

КриптоАрм 5 Плюс (несертифицированный НЕ_СКЗИ) работает с аппаратными токенами (типа ЭЦП2) по своему интерфейсу (не через КриптоПро ФКН CSP?)?

Для чего тогда используется КриптоПро ФКН CSP? В каких прикладных программах? Можно примеры?


Добрый день.
1) Рутокен ЭЦП 2.0 - это токен, который умеет как хранить ключи в пассивном режиме, которые в него записывают (точно как Рутокен Лайт), так и генерировать и использовать их для подписи самостоятельно (активный режим).
2) КриптоПро CSP 4.0 поддерживает Рутокен ЭЦП 2.0 в пассивном режиме.
3) КриптоПро CSP 5.0 поддерживает Рутокен ЭЦП 2.0 как в активном, так и в пассивном режиме. То, как использовать токен, пользователь выбираем на этапе создания ключевого контейнера. У каждого подхода есть как плюсы, так и минусы: https://cryptopro.ru/blo...asnoe-khranenie-klyuchei
4) "КриптоАрм 5 Плюс" лично я никогда не пользовался, но, судя по описанию на сайте, он умеет использовать ключи через интерфейс PKCS#11. Это отдельный от CryptoAPI (основного интерфейса CryptoPro CSP) интерфейс взаимодействия с ключевыми носителями. Архитектура работы примерно такая: "КриптоАрм" -> PKCS#11 -> "Библиотека Рутокен PKCS#11" -> "Рутокен ЭЦП 2.0". Никакие продукты КриптоПро в этом не участвуют. Тем не менее, если вы создали неизвлекаемые ключи через любое ПО, встроившее "Библиотеку Рутокен PKCS#11", то КриптоПро CSP 5.0 их сможет использовать.
5) КриптоПро ФКН - это технология, которая предполагает работу не просто с неизвлекаемыми ключами, а по защищенному каналу. Первая версия ФКН-продуктов использовала особый формат ключей и протокол аутентификации EKE - это провайдеры "КриптоПро Рутокен CSP" и "КриптоПро ФКН CSP (JaCarta CSP)". Новое поколение технологии интегрировано в КриптоПро CSP 5.0 и не требует установки дополнительного провайдера. В новых ФКН для аутентификации и защиты канала используется протокол SESPAKE (см Р 50.1.115–2016). На данный момент его поддерживают токены "Рутокен ЭЦП 2.0 3000" и "Инфокрипт Токен++".

P.S. И не нужно, пожалуйста, создавать десятки одинаковых вопросов в разных темах.

Отредактировано пользователем 8 апреля 2019 г. 11:39:30(UTC)  | Причина: Не указана

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#14 Оставлено : 8 апреля 2019 г. 12:47:08(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

1) Рутокен ЭЦП 2.0 - это токен, который умеет как хранить ключи в пассивном режиме, которые в него записывают (точно как Рутокен Лайт), так и генерировать и использовать их для подписи самостоятельно (активный режим).
2) КриптоПро CSP 4.0 поддерживает Рутокен ЭЦП 2.0 в пассивном режиме.
3) КриптоПро CSP 5.0 поддерживает Рутокен ЭЦП 2.0 как в активном, так и в пассивном режиме. То, как использовать токен, пользователь выбираем на этапе создания ключевого контейнера. У каждого подхода есть как плюсы, так и минусы: https://cryptopro.ru/blo...asnoe-khranenie-klyuchei

Меня интересует только активный режим с неизвлекаемыми из токена приватными ключами, когда он самостоятельно осуществляет криптографические операции.

Автор: Агафьин Сергей Перейти к цитате

5) КриптоПро ФКН - это технология, которая предполагает работу не просто с неизвлекаемыми ключами, а по защищенному каналу. Первая версия ФКН-продуктов использовала особый формат ключей и протокол аутентификации EKE - это провайдеры "КриптоПро Рутокен CSP" и "КриптоПро ФКН CSP (JaCarta CSP)". Новое поколение технологии интегрировано в КриптоПро CSP 5.0 и не требует установки дополнительного провайдера. В новых ФКН для аутентификации и защиты канала используется протокол SESPAKE (см Р 50.1.115–2016). На данный момент его поддерживают токены "Рутокен ЭЦП 2.0 3000" и "Инфокрипт Токен++".


Получается, любой ФКН ключ всегда работает через MS CryptoAPI и криптопровайдера для MS CryptoAPI, причем пока существуют только провайдеры КриптоПро для ФКН.

Т.е. обмен данными с ФКН ключом происходит примерно по такой цепочке:

КриптоАрм (НЕ плюс) -> MS CryptoAPI ->
-> специализированный CSP КриптоПро v4 или обычный КриптоПро CSP v5 ->
-> защищенный ФКН протокол SESPAKE до аппаратного токена -> Рутокен ЭЦП2

Я правильно понимаю?

Может ли КриптоАрм v5 (НЕ плюс) через MS Crypto API + КриптоПро CSP v5 работать с Рутокен ЭЦП2 в защищенном режиме ФКН?

Может ли в таком режиме работы КриптоАрм v5 (НЕ плюс) с модулями TSP и OCSP создавать усовершенствованные подписи с метками времени?

Отредактировано пользователем 8 апреля 2019 г. 12:52:18(UTC)  | Причина: Не указана

Offline sanyo  
#15 Оставлено : 8 апреля 2019 г. 13:14:04(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Еще вопрос по сертификации ФСБ.

Чтобы получить полноценный комплект СКЗИ для создания усовершенствованных подписей с метками
времени нужны все компоненты с сертификатами?

1) Аппаратный ключ Рутокен ЭЦП2 с сертификатом ФСБ с формулярами
2) СКЗИ КриптоПро CSP v5 с сертификатом ФСБ на компакт диске с формулярами
3) СКЗИ КриптоАрм v5 с сертификатом ФСБ с формулярами

Когда будет готово такое СКЗИ и получены сертификаты по подобному "встраиванию"?

Какие сервера точного времени можно использовать?

промышленный TSP КриптоПро и Контур?
Еще какие-то?

Имеет ли смысл для надежности делать несколько подписей CADES с разными серверами времени
на случай, если в одном из использованных УЦ произойдет ЧП и утечка приватных ключей того или иного сервиса и соответственно отзывы различных цепочек сертов и т.п.

Сейчас все УЦ получают свои сертификаты у корневого УЦ?
А что произойдет с юридической точки зрения, если неприятное ЧП случится в корневом УЦ?
Offline Агафьин Сергей  
#16 Оставлено : 8 апреля 2019 г. 14:56:07(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Цитата:
5) КриптоПро ФКН - это технология, которая предполагает работу не просто с неизвлекаемыми ключами, а по защищенному каналу. Первая версия ФКН-продуктов использовала особый формат ключей и протокол аутентификации EKE - это провайдеры "КриптоПро Рутокен CSP" и "КриптоПро ФКН CSP (JaCarta CSP)". Новое поколение технологии интегрировано в КриптоПро CSP 5.0 и не требует установки дополнительного провайдера. В новых ФКН для аутентификации и защиты канала используется протокол SESPAKE (см Р 50.1.115–2016). На данный момент его поддерживают токены "Рутокен ЭЦП 2.0 3000" и "Инфокрипт Токен++".

Получается, любой ФКН ключ всегда работает через MS CryptoAPI и криптопровайдера для MS CryptoAPI, причем пока существуют только провайдеры КриптоПро для ФКН.

ФКН - это название технологии КриптоПро. Так что слово "пока" можно убрать. Тем не менее, мы взаимодействуем с токеном через стандартный прикладной протокол APDU, так что в теории любой разработчик, если получит описание интерфейса токена, может создать "компьютерную" часть и сертифицировать её.


Цитата:
Т.е. обмен данными с ФКН ключом происходит примерно по такой цепочке:
КриптоАрм (НЕ плюс) -> MS CryptoAPI ->
-> специализированный CSP КриптоПро v4 или обычный КриптоПро CSP v5 ->
-> защищенный ФКН протокол SESPAKE до аппаратного токена -> Рутокен ЭЦП2

Может ли КриптоАрм v5 (НЕ плюс) через MS Crypto API + КриптоПро CSP v5 работать с Рутокен ЭЦП2 в защищенном режиме ФКН?

CSP 4.0 не умеет работать с ФКН. Только 5.0. Поддержкой ФКН обладает не любой ЭЦП 2.0, а только ЭЦП 2.0 3000. С обычным ЭЦП 2.0 мы работаем в 5.0 по незащищенному каналу.

Цитата:
Может ли в таком режиме работы КриптоАрм v5 (НЕ плюс) с модулями TSP и OCSP создавать усовершенствованные подписи с метками времени?

Вполне. С точки зрения КриптоАРМ нет никакой разницы, что это за ключ или где хранится. Извлекаемость/неизвлекаемость и наличие/отсутствие защиты канала являются, по сути, деталями реализации. С точки зрения пользователя разницы нет никакой.

Отредактировано пользователем 8 апреля 2019 г. 14:56:59(UTC)  | Причина: Не указана

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Агафьин Сергей  
#17 Оставлено : 8 апреля 2019 г. 15:10:29(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
Еще вопрос по сертификации ФСБ.

Чтобы получить полноценный комплект СКЗИ для создания усовершенствованных подписей с метками
времени нужны все компоненты с сертификатами?

1) Аппаратный ключ Рутокен ЭЦП2 с сертификатом ФСБ с формулярами
2) СКЗИ КриптоПро CSP v5 с сертификатом ФСБ на компакт диске с формулярами
3) СКЗИ КриптоАрм v5 с сертификатом ФСБ с формулярами

Когда будет готово такое СКЗИ и получены сертификаты по подобному "встраиванию"?


В целом, да. СКЗИ уже готово, ожидаем заключение в ближайшее время.

На остальные вопросы, увы, не подскажу.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#18 Оставлено : 9 апреля 2019 г. 3:34:04(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

CSP 4.0 не умеет работать с ФКН. Только 5.0.

А по словам поддержки КриптоАрм поддержка ФКН появилась с версии КриптоАрм 4.6.1 КриптоПро 3.9. Получается версия КриптоПро 3.9 меньше 4 могла работать со старыми ФКН, а v4 не унаследовала такую возможность работы со старыми ФКН?

Автор: Агафьин Сергей Перейти к цитате

Поддержкой ФКН обладает не любой ЭЦП 2.0, а только ЭЦП 2.0 3000. С обычным ЭЦП 2.0 мы работаем в 5.0 по незащищенному каналу.

Как определить, является ли токен ЭЦП2 так называемым 3000?
На это влияет его год выпуска? ЭЦП2 Touch все 3000?

Как все запутано, почему нет в явном виде на сайтах основных производителей оборудования и софта рекомендации по выбору и совместному использованию совместимых друг с другом (и с юридической значимостью) наиболее защищенных инструментов для создания наиболее стойкой (с течением времени в т.ч.) подписи Cades Long?

Отредактировано пользователем 9 апреля 2019 г. 3:35:10(UTC)  | Причина: Не указана

Offline sanyo  
#19 Оставлено : 9 апреля 2019 г. 3:40:42(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Еще вопрос по сертификации ФСБ.

Чтобы получить полноценный комплект СКЗИ для создания усовершенствованных подписей с метками
времени нужны все компоненты с сертификатами?

1) Аппаратный ключ Рутокен ЭЦП2 с сертификатом ФСБ с формулярами
2) СКЗИ КриптоПро CSP v5 с сертификатом ФСБ на компакт диске с формулярами
3) СКЗИ КриптоАрм v5 с сертификатом ФСБ с формулярами

Когда будет готово такое СКЗИ и получены сертификаты по подобному "встраиванию"?


В целом, да. СКЗИ уже готово, ожидаем заключение в ближайшее время.

На остальные вопросы, увы, не подскажу.



По словам поддержки КриптоАрм сертификации КриптоАрм 5 по встройке КриптоПро 5 не будет, будет только сертификация встройки другого их более нового продукта КриптоАрм ГОСТ с КриптоПро5, но КриптоАрм ГОСТ пока не поддерживает метки времени.

Влияет ли отсутствие сертификации встройки КриптоАрм5 и КриптоПро5 на юридическую значимость генерируемых подписей? Особенно на метки времени этих подписей?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.