Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline sergnns  
#1 Оставлено : 10 декабря 2018 г. 14:53:12(UTC)
sergnns

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.02.2015(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
В оболочке CSP в результатах тестирования контейнера есть названия: "ключ подписи" и "ключ обмена".
Что это? Это закрытый и открытый ключи соответственно? Или что?
Offline Агафьин Сергей  
#2 Оставлено : 10 декабря 2018 г. 16:14:40(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sergnns Перейти к цитате
В оболочке CSP в результатах тестирования контейнера есть названия: "ключ подписи" и "ключ обмена".
Что это? Это закрытый и открытый ключи соответственно? Или что?


В ключевом контейнере CryptoAPI может храниться два ключа разного назначения: для подписи данных (AT_SIGNATURE) и для ключевого обмена (AT_KEYEXCHANGE):
https://docs.microsoft.c.../nf-wincrypt-cryptgenkey
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
sergnns оставлено 10.12.2018(UTC)
Offline two_oceans  
#3 Оставлено : 11 декабря 2018 г. 5:38:06(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
В дополнение:
1) все началось даже не с КриптоПро, а с ограничений на шифры, действовавшем в США, когда Майкрософт проектировали CryptoAPI. По американским законам запрещалось поставлять за границу для определенных операций шифры сильнее определенного предела, в то же время для внутреннего использования разрешались сильные шифры. Для реализации этого Майкрософт сделала разделение ключей по возможным операциям. AT_SIGNATURE это "ограниченные в операциях" ключи, ими преимущественно можно пользоваться для подписи (то есть изначально это были те самые "сильные шифры"); AT_KEYEXCHANGE это "полноправные" ключи, которым можно использовать как для подписи, так и для обмена ключей. Сейчас это стало больше формальностью, так как по части шифров экспортное ограничение отменено. Ну и конечно вся эта давняя история никак не связана с ключами алгоритмов ГОСТ, тип ключа оставлен КриптоПро для совместимости с CryptoAPI.
2) строго говоря в контейнере КриптоПро можно хранить больше типов ключей, так через csptest еще возможно указание типа UEK, то есть типов как минимум 3 или 4, но в тестировании проверяются только вышеназванные 2 типа.

Отредактировано пользователем 11 декабря 2018 г. 5:39:24(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
sergnns оставлено 11.12.2018(UTC)
Offline Агафьин Сергей  
#4 Оставлено : 11 декабря 2018 г. 10:14:57(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: two_oceans Перейти к цитате
В дополнение:
2) строго говоря в контейнере КриптоПро можно хранить больше типов ключей, так через csptest еще возможно указание типа UEK, то есть типов как минимум 3 или 4, но в тестировании проверяются только вышеназванные 2 типа.

Не вводите людей в заблуждение. В ключевом контейнере может быть не более двух ключей. Во всех пользовательских случаях это AT_SIGNATURE и AT_KEYEXCHANGE. Раньше еще существовал служебный тип AT_UECSYMMETRICKEY, который позволял создать некоторый "особый" ключ. Он всегда был один в контейнере и не мог сочетаться с базовыми типами ключей.
Сейчас в CSP 5.0 есть дополнительный тип AT_SYMMETRIC, который позволяет сделать симметричный ключ постоянным, но он тоже не может сочетаться с AT_SIGNATURE или AT_KEYEXCHANGE.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
two_oceans оставлено 12.12.2018(UTC)
Offline two_oceans  
#5 Оставлено : 12 декабря 2018 г. 15:12:15(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: Агафьин Сергей Перейти к цитате
Автор: two_oceans Перейти к цитате
В дополнение:
2) строго говоря в контейнере КриптоПро можно хранить больше типов ключей, так через csptest еще возможно указание типа UEK, то есть типов как минимум 3 или 4, но в тестировании проверяются только вышеназванные 2 типа.

Не вводите людей в заблуждение. В ключевом контейнере может быть не более двух ключей. Во всех пользовательских случаях это AT_SIGNATURE и AT_KEYEXCHANGE. Раньше еще существовал служебный тип AT_UECSYMMETRICKEY, который позволял создать некоторый "особый" ключ. Он всегда был один в контейнере и не мог сочетаться с базовыми типами ключей.
Сейчас в CSP 5.0 есть дополнительный тип AT_SYMMETRIC, который позволяет сделать симметричный ключ постоянным, но он тоже не может сочетаться с AT_SIGNATURE или AT_KEYEXCHANGE.
И в мыслях не было вводить в заблуждение. Спасибо за детальную информацию, но не вижу фундаментального противоречия моим словам - количество "типов ключей" не значит количество "самих ключей". В цитате моих слов выше нет упоминания, что в контейнер можно поместить третий ключ. Кто не хочет обмануться, как правило переспрашивает.

К слову, Сергей, мне как раз хотелось бы больше узнать о контейнерах. Точнее о способах "обертки" ключа: у меня есть "голый" закрытый ключ гост-2001 (формат OpenSSL) и хотелось бы перевести его в контейнер КриптоПро хоть каким-то способом. Реконструировать транспортный контейнер pfx по версии ТК26 похоже нереально из Openssl. Скорее всего создам по этому поводу новую тему, хотелось бы проконсультироваться со специалистом.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.