Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что почитать по CryptoAPI на русском?
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358 если закрытый ключ на токене, то установка должна произойти автоматически, а для подписи документов токен придется передать Это выходит такая самописная замена службе "Распространение сертификатов", так как если сертификат в контейнера на токене, а токен у пользователя "на руках", как только пользователь вставляет токен служба пытается установить драйвер токена и установить сертификат с токена в хранилище "Личные". На рабочей станции служба отлично справляется (и если служба не потушена, то ей будет все равно на разрешения в БД, какой пользователь активен на компьютере тому и поставит сертификат с вновь вставленного токена), значит городить огород имеет смысл в случае сервера терминалов (и специально потушить службу для разграничения прав своей программой) или если в контейнере на токене нет сертификата или если контейнер в реестре/на флешке. Отредактировано пользователем 23 августа 2019 г. 10:55:21(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: two_oceans Автор: Alex_DotNETAlexAlex_DotNET112358 если закрытый ключ на токене, то установка должна произойти автоматически, а для подписи документов токен придется передать Это выходит такая самописная замена службе "Распространение сертификатов", так как если сертификат в контейнера на токене, а токен у пользователя "на руках", как только пользователь вставляет токен служба пытается установить драйвер токена и установить сертификат с токена в хранилище "Личные". На рабочей станции служба отлично справляется (и если служба не потушена, то ей будет все равно на разрешения в БД, какой пользователь активен на компьютере тому и поставит сертификат с вновь вставленного токена), значит городить огород имеет смысл в случае сервера терминалов (и специально потушить службу для разграничения прав своей программой) или если в контейнере на токене нет сертификата. да, но некоторые сертификаты в реестре их больше всего их тож нужно устанавливать на компьютеры, плюс нужна админка кому какой сертификат поставить что бы безопасники могли управлять
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,688 Сказал «Спасибо»: 500 раз Поблагодарили: 2044 раз в 1585 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358 да, но некоторые сертификаты в реестре их больше всего их тож нужно устанавливать на компьютеры, плюс нужна админка кому какой сертификат поставить что бы безопасники могли управлять
Т.е. в теме просто объединены понятия сертификат и контейнер с закрытым ключом? И "установить сертификат в реестр" - это означает: установить сертификат в Личное с привязкой к соответствующему контейнеру (который в реестре). Верно? |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Код:csptest -absorb -certs -pattern SCARD
Установит в хранилище с правильными привязками все сертификаты с токенов. Меняете SCARD на REGISTRY - будут ставиться из Реестр. Убираете ключ pattern вообще - установятся все сертификаты из всех доступных ключей. |
|
1 пользователь поблагодарил Grey за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: Андрей Писарев Автор: Alex_DotNETAlexAlex_DotNET112358 да, но некоторые сертификаты в реестре их больше всего их тож нужно устанавливать на компьютеры, плюс нужна админка кому какой сертификат поставить что бы безопасники могли управлять
Т.е. в теме просто объединены понятия сертификат и контейнер с закрытым ключом? И "установить сертификат в реестр" - это означает: установить сертификат в Личное с привязкой к соответствующему контейнеру (который в реестре). Верно? да, совершенно верно сорри, только начал изучать эту тему
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
я так понимаю сертификатом называют связку 2х ключей, закрытого и открытого
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,042
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах
|
Сертификатом называют открытый ключ, "вложенный" в специальный "конверт".
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: Alex_DotNETAlexAlex_DotNET112358 я так понимаю сертификатом называют связку 2х ключей, закрытого и открытого Если очень просто с кучей допущений, всё работает примерно так. Ключевая пара = закрытый ключ + открытый ключ. Закрытый ключ используется для подписи. Открытый ключ - для проверки подписи. Когда кто-то хочет подписать документ, он выполняет вычисляет подпись как "подпись = S(документ, закрытый ключ)". Когда кто-то хочет проверить подпись, он выполняет функцию "V(открытый ключ, документ, подпись) ?= TRUE/FALSE". Подробное описание этих функций можете посмотреть в ГОСТ Р 34.10-2012. Чтобы ни один нарушитель не выдал себя за подписывающего простой подменой чужого открытого ключа на свой, придумали инфраструктуру PKI. Человек со своим открытым ключом идёт в ответственную организацию (удостоверяющий центр), которая делает структуру вида [имя человека, открытый ключ, служебная информация] и подписывает её своим закрытым ключом. Эта структура и называется сертификат. Открытые ключи УЦ (они нужны, чтобы проверить подпись под сертификатом пользователя и убедиться, что он настоящий - "построить цепочку доверия от сертификата до УЦ") в виде самоподписанных сертификатов (сертификат подписан своим же закрытым ключом) распространяются доверенным образом: чаще всего они встроены в браузеры и операционные системы. Некоторые важные корневые сертификаты ставит в операционную систему и наш криптопровайдер. Отредактировано пользователем 23 августа 2019 г. 13:23:26(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: Агафьин Сергей Автор: Alex_DotNETAlexAlex_DotNET112358 я так понимаю сертификатом называют связку 2х ключей, закрытого и открытого Если очень просто с кучей допущений, всё работает примерно так. Ключевая пара = закрытый ключ + открытый ключ. Закрытый ключ используется для подписи. Открытый ключ - для проверки подписи. Когда кто-то хочет подписать документ, он выполняет вычисляет подпись как "подпись = S(документ, закрытый ключ)". Когда кто-то хочет проверить подпись, он выполняет функцию "V(открытый ключ, документ, подпись) ?= TRUE/FALSE". Подробное описание этих функций можете посмотреть в ГОСТ Р 34.10-2012. Чтобы ни один нарушитель не выдал себя за подписывающего простой подменой чужого открытого ключа на свой, придумали инфраструктуру PKI. Человек со своим открытым ключом идёт в ответственную организацию (удостоверяющий центр), которая делает структуру вида [имя человека, открытый ключ, служебная информация] и подписывает её своим закрытым ключом. Эта структура и называется сертификат. Открытые ключи УЦ (они нужны, чтобы проверить подпись под сертификатом пользователя и убедиться, что он настоящий - "построить цепочку доверия от сертификата до УЦ") в виде самоподписанных сертификатов (сертификат подписан своим же закрытым ключом) распространяются доверенным образом: чаще всего они встроены в браузеры и операционные системы. Некоторые важные корневые сертификаты ставит в операционную систему и наш криптопровайдер. понятно, спасибо вцелом я так и думал берется хеш SHA1, шифруется закрытым ключем при проверке тож берется хеш и дешифруется полученный хеш про цепочку и самоподписанные не совсем понял, загуглю
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.03.2019(UTC) Сообщений: 79 Сказал(а) «Спасибо»: 4 раз
|
Автор: Alex_DotNETAlexAlex_DotNET112358 Автор: Агафьин Сергей Автор: Alex_DotNETAlexAlex_DotNET112358 я так понимаю сертификатом называют связку 2х ключей, закрытого и открытого Если очень просто с кучей допущений, всё работает примерно так. Ключевая пара = закрытый ключ + открытый ключ. Закрытый ключ используется для подписи. Открытый ключ - для проверки подписи. Когда кто-то хочет подписать документ, он выполняет вычисляет подпись как "подпись = S(документ, закрытый ключ)". Когда кто-то хочет проверить подпись, он выполняет функцию "V(открытый ключ, документ, подпись) ?= TRUE/FALSE". Подробное описание этих функций можете посмотреть в ГОСТ Р 34.10-2012. Чтобы ни один нарушитель не выдал себя за подписывающего простой подменой чужого открытого ключа на свой, придумали инфраструктуру PKI. Человек со своим открытым ключом идёт в ответственную организацию (удостоверяющий центр), которая делает структуру вида [имя человека, открытый ключ, служебная информация] и подписывает её своим закрытым ключом. Эта структура и называется сертификат. Открытые ключи УЦ (они нужны, чтобы проверить подпись под сертификатом пользователя и убедиться, что он настоящий - "построить цепочку доверия от сертификата до УЦ") в виде самоподписанных сертификатов (сертификат подписан своим же закрытым ключом) распространяются доверенным образом: чаще всего они встроены в браузеры и операционные системы. Некоторые важные корневые сертификаты ставит в операционную систему и наш криптопровайдер. понятно, спасибо вцелом я так и думал берется хеш SHA1, шифруется закрытым ключем при проверке тож берется хеш и дешифруется полученный хеш. хеши сравниваются про цепочку и самоподписанные не совсем понял, загуглю
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что почитать по CryptoAPI на русском?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close