Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.02.2015(UTC) Сообщений: 43 Сказал(а) «Спасибо»: 2 раз
|
В оболочке CSP в результатах тестирования контейнера есть названия: "ключ подписи" и "ключ обмена". Что это? Это закрытый и открытый ключи соответственно? Или что?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: sergnns В оболочке CSP в результатах тестирования контейнера есть названия: "ключ подписи" и "ключ обмена". Что это? Это закрытый и открытый ключи соответственно? Или что? В ключевом контейнере CryptoAPI может храниться два ключа разного назначения: для подписи данных (AT_SIGNATURE) и для ключевого обмена (AT_KEYEXCHANGE): https://docs.microsoft.c.../nf-wincrypt-cryptgenkey |
|
1 пользователь поблагодарил Grey за этот пост.
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
В дополнение: 1) все началось даже не с КриптоПро, а с ограничений на шифры, действовавшем в США, когда Майкрософт проектировали CryptoAPI. По американским законам запрещалось поставлять за границу для определенных операций шифры сильнее определенного предела, в то же время для внутреннего использования разрешались сильные шифры. Для реализации этого Майкрософт сделала разделение ключей по возможным операциям. AT_SIGNATURE это "ограниченные в операциях" ключи, ими преимущественно можно пользоваться для подписи (то есть изначально это были те самые "сильные шифры"); AT_KEYEXCHANGE это "полноправные" ключи, которым можно использовать как для подписи, так и для обмена ключей. Сейчас это стало больше формальностью, так как по части шифров экспортное ограничение отменено. Ну и конечно вся эта давняя история никак не связана с ключами алгоритмов ГОСТ, тип ключа оставлен КриптоПро для совместимости с CryptoAPI. 2) строго говоря в контейнере КриптоПро можно хранить больше типов ключей, так через csptest еще возможно указание типа UEK, то есть типов как минимум 3 или 4, но в тестировании проверяются только вышеназванные 2 типа. Отредактировано пользователем 11 декабря 2018 г. 5:39:24(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: two_oceans В дополнение: 2) строго говоря в контейнере КриптоПро можно хранить больше типов ключей, так через csptest еще возможно указание типа UEK, то есть типов как минимум 3 или 4, но в тестировании проверяются только вышеназванные 2 типа. Не вводите людей в заблуждение. В ключевом контейнере может быть не более двух ключей. Во всех пользовательских случаях это AT_SIGNATURE и AT_KEYEXCHANGE. Раньше еще существовал служебный тип AT_UECSYMMETRICKEY, который позволял создать некоторый "особый" ключ. Он всегда был один в контейнере и не мог сочетаться с базовыми типами ключей. Сейчас в CSP 5.0 есть дополнительный тип AT_SYMMETRIC, который позволяет сделать симметричный ключ постоянным, но он тоже не может сочетаться с AT_SIGNATURE или AT_KEYEXCHANGE. |
|
1 пользователь поблагодарил Grey за этот пост.
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Автор: Агафьин Сергей Автор: two_oceans В дополнение: 2) строго говоря в контейнере КриптоПро можно хранить больше типов ключей, так через csptest еще возможно указание типа UEK, то есть типов как минимум 3 или 4, но в тестировании проверяются только вышеназванные 2 типа. Не вводите людей в заблуждение. В ключевом контейнере может быть не более двух ключей. Во всех пользовательских случаях это AT_SIGNATURE и AT_KEYEXCHANGE. Раньше еще существовал служебный тип AT_UECSYMMETRICKEY, который позволял создать некоторый "особый" ключ. Он всегда был один в контейнере и не мог сочетаться с базовыми типами ключей. Сейчас в CSP 5.0 есть дополнительный тип AT_SYMMETRIC, который позволяет сделать симметричный ключ постоянным, но он тоже не может сочетаться с AT_SIGNATURE или AT_KEYEXCHANGE. И в мыслях не было вводить в заблуждение. Спасибо за детальную информацию, но не вижу фундаментального противоречия моим словам - количество "типов ключей" не значит количество "самих ключей". В цитате моих слов выше нет упоминания, что в контейнер можно поместить третий ключ. Кто не хочет обмануться, как правило переспрашивает. К слову, Сергей, мне как раз хотелось бы больше узнать о контейнерах. Точнее о способах "обертки" ключа: у меня есть "голый" закрытый ключ гост-2001 (формат OpenSSL) и хотелось бы перевести его в контейнер КриптоПро хоть каким-то способом. Реконструировать транспортный контейнер pfx по версии ТК26 похоже нереально из Openssl. Скорее всего создам по этому поводу новую тему, хотелось бы проконсультироваться со специалистом.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close