Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ключи в облаке, а крипто-функции на персональной компьютере
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2012(UTC)
Сообщений: 7
Откуда: Moscow
|
Добрый день!
Подскажите по организации процесса подписи больших файлов (около 1гб) без получения ключей на физических носителях.
Я вижу этот вариант так:
1. Секретные ключи хранятся в облаке.
2. Локальное СКЗИ при вызове функций подписи обращается не к usb-токену, а в облако?
Если ли подобные решения? Какие продукты необходимы для таких решений?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704   Сказал «Спасибо»: 500 раз
Поблагодарили: 2051 раз в 1591 постах
|
Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2012(UTC)
Сообщений: 7
Откуда: Moscow
|
Автор: Андрей Писарев  Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз
Поблагодарили: 2051 раз в 1591 постах
|
Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант Пусть почитают описание CMS тогда. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз
Поблагодарили: 2051 раз в 1591 постах
|
Автор: artyomst
Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе:
1. Локальное СКЗИ расчитывает хеш файла
2. Облако подписывает хеш файла
Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Для генерации отсоединенной подписи = формируется хеш, значение хеша передается на высокоуровные функции, которые в итоге формируют CMS+вкладывают сертификат(ы), атрибуты (среди которых есть хеш документа) и выполнятся подписание структуры + TSP штамп и прочее. У Вас также может возникнуть вопрос о том, что подписываться "может" не тот хеш, который получило локальное ПО, но тогда при проверке локально - Вы сможете это проверить. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз
Поблагодарили: 2051 раз в 1591 постах
|
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз
Поблагодарили: 2051 раз в 1591 постах
|
Автор: artyomst
Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Что является подписью в ГОСТ-е?SignHash |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз
Поблагодарили: 2051 раз в 1591 постах
|
процитирую ... суть темы (для чего хешируют): Цитата:
Использование хеш-функций
Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.
Использование хеш-функций даёт следующие преимущества:
Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хеш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
|
Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант все зависит от настроек DSS. если AllowHashSigning = true, то хэш высчитывается на локальном CSP 5.0 если false, то на сервере DSS AllowHashSigning по умолчанию false, что рекомендовано в эксплуатационной документации |
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ключи в облаке, а крипто-функции на персональной компьютере
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
