Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 1 раз
|
UPDATE: разобрался, просьба удалить тему. Всем привет, Есть контейнер HDImage с сертификатом и ключом в формате крипто про (файл header.key и другие .key). На файловой системе обычной, не в токене. Там стоит флаг запрета экспорта, как его снять? Отредактировано пользователем 18 января 2022 г. 12:20:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
|
Запрет экспорта нельзя снять, так как это техническая мера для обеспечения регламента использования ключей на УЦ. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей Русев  Запрет экспорта нельзя снять, так как это техническая мера для обеспечения регламента использования ключей на УЦ. Скажите пожалуйста, снятие такого запрета что-то нарушает? То есть, технически это, разумеется, можно сделать, скопировав ключ с токена специальной утилитой, вопрос - законно ли это, не нарушает ли какие-то лицензии и ограничения, под которыми подписываешься, получая ключ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,685   Сказал «Спасибо»: 500 раз
Поблагодарили: 2044 раз в 1585 постах
|
Автор: iliakan Автор: Андрей Русев Запрет экспорта нельзя снять, так как это техническая мера для обеспечения регламента использования ключей на УЦ. Скажите пожалуйста, снятие такого запрета что-то нарушает? То есть, технически это, разумеется, можно сделать, скопировав ключ с токена специальной утилитой, вопрос - законно ли это, не нарушает ли какие-то лицензии и ограничения, под которыми подписываешься, получая ключ? Это не законно. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 1 раз
|
Пожалуйста, подробнее. Что именно я нарушу как пользователь ключа, если экспортирую ключ с токена? Прочитал регламент, там нет каких-либо запретов пользователям на этот счет. Просто написано, что неэкспортируемый ключ. Отредактировано пользователем 18 января 2022 г. 16:27:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: iliakan Пожалуйста, подробнее.
Что именно я нарушу как пользователь ключа, если экспортирую ключ с токена?
Прочитал регламент, там нет каких-либо запретов пользователям на этот счет. Просто написано, что неэкспортируемый ключ. Сходу нашлось в Правилах пользования КриптоПро CSP (п. 5.4) : Цитата:При эксплуатации СКЗИ запрещено:
...
• осуществлять несанкционированное администратором безопасности копирование ключевых носителей;
• разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не
допущенным, выводить ключевую информацию на дисплей, принтер и иные средства отображения информации (за
исключением случаев, предусмотренных данными правилами);
• использовать ключевые носители в режимах, не предусмотренных функционированием СКЗИ;
• вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом
использования ключевого носителя;
Замечу, что вы передаете значение закрытого ключа в какую-то левую утилиту, которая непонятно что с ним делает. Это не занудная формальность, а гигантская дыра в безопасности. После подобных нештатных преобразований ключ можно смело считать скомпрометированным. |
|
 1 пользователь поблагодарил Grey за этот пост.
|
nickm оставлено 18.01.2022(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2022(UTC)
Сообщений: 13
Сказал(а) «Спасибо»: 1 раз
|
Спасибо за ответ, Сергей! Получается, что "левые" утилиты, которые копирование с токена делают, нарушают правила использования КриптоПро? Это объяснило бы их быстрое исчезновение с сайта, где они лежали долгое время. Отредактировано пользователем 18 января 2022 г. 17:05:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Соглашусь, что "левые" утилиты - огромная дыра в безопасности. Пишите свои. Это конечно шутка, но в каждой шутке - доля шутки. Непонятно, почему в первом сообщении "не про токен", а дальше идет про токен и утилиты (в пассивном режиме, как я понимаю, так как в активном токен ключ вообще не должен выпускать вовне). Если не про токен, то там возможно копирование папки и файлов либо экспорт ветка реестра средствами операционной системы, без всяких утилит, снятия флагов запрета экспорта, снятия шифрования с закрытого ключа. Даже если служба что-то заблокирует, корпус ПК опечатан и запрещена загрузка с других носителей - в Десятке остается режим восстановления, через который можно запустить командную строку и вытащить файлы в другое место диска, а потом при штатной загрузке вытащить дальше. Потому флаг "неэкспорта" в одиночку не особо эффективен, важны все меры безопасности в комплексе.
P.S. Почти уверен, что сбросить флаг "неэкспорта" у контейнера в папке/реестре можно без снятия шифрования с самого ключа (и, следовательно, без компрометации ключа): даже без опубликованного формата контейнера очевидно, что бит "неэкспорта" хранится в header.key. По длине в другие файлы некуда пристроить, тогда как в header есть несколько полей BITSTR, а ключевая информация как раз в других файлах. Предположительное значение бита есть в описании API. Однако, с учетом вышесказанного про копирование средствами ОС для папки/реестра какой-то смысл сбрасывать есть, только если нужен именно формат pfx.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
|
Со своим "всё равно можно" вы рискуете договориться до того, что от нас потребуют обеспечить выполение регламентов более жёстко. И тогда вместо удобного копирования контейнеров с HDIMAGE получите работу точь-в-точь как с токенами. Так что не будите лихо. |
|
2 пользователей поблагодарили Русев Андрей за этот пост.
|
Андрей * оставлено 19.01.2022(UTC), nickm оставлено 19.01.2022(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: iliakan
Всем привет,
Есть контейнер HDImage с сертификатом и ключом в формате крипто про (файл header.key и другие .key).
На файловой системе обычной, не в токене.
Там стоит флаг запрета экспорта, как его снять?
Здравствуйте! А что за сценарий, в котором требуется удалять этот "флаг"? Вы создали контейнер в HDIMAGE, а потом его в токен "загнать" хотите? |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
