Статус: Новичок
Группы: Участники
Зарегистрирован: 07.10.2020(UTC) Сообщений: 8  Откуда: Екатеринбург Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Есть цель: шифровать документы на сертификат и расшифровывать их в последствии закрытым ключом, с целью организации защиты хранения данных в компании.
Возник ряд вопросов: Сможем ли мы это организовать с использованием КриптоПро без применения сторонних приложений, с использованием комманд в коммандной строке (что бы в последствии это автоматизировать)?
При окончании действия закрытого ключа, при условии что процесс шифрования был с еще действующим сертификатом и закрытым ключом сможем ли мы расшифровать файл, зашифрованный на этот закрытый ключ (уже не действующий на момент расшифровки)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719  Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
|
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.10.2020(UTC) Сообщений: 8 Откуда: Екатеринбург Сказал(а) «Спасибо»: 1 раз
|
Спасибо, я тоже копал в этом направлении. Инструкцию читал, но не понял, про шифрование, как в коммандах выбрать что шифрование идет именно на сертификат, а расшифрование закрытым ключом? т.к. на сколько знаю есть 2 способа шифрование - на сертификат - с расшифровкой закрытым ключом и шифрование на закрытый ключ с расшифровкой сертификатом.
И есть ли аналогичные комманды и функционал в csptest или без cryptcp не обойтись?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
А как пробовали зашифровать?
-f "путь/recipients.p7b" ?
-f "путь/recipient1.cer" -f "путь/recipient2.cer" ?
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.10.2020(UTC) Сообщений: 8 Откуда: Екатеринбург Сказал(а) «Спасибо»: 1 раз
|
Нет, шифровал по другому, с использованием комманды: -thumbprint (отпечаток серт-та)-u My Отредактировано пользователем 12 сентября 2022 г. 15:31:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: Omega89  шифрование на закрытый ключ с расшифровкой сертификатом. Добрый день. Не хочу обидеть, но... либо какие-то смешные у Вас идеи либо говорите неправильно, пропуская кучу важных слов. 1) Сертификат это открытая часть, общедоступные данные данные. Если есть возможность расшифровать одним только сертификатом, то расшифровать сможет каждый у кого есть сертификат. Сертификаты аккредитованных УЦ сейчас публикуются в обязательном порядке. Целью шифрования как раз является затруднение прочтения теми, кому данные не предназначены, то есть ситуация когда каждый может расшифровать некие зашифрованные данные - это просто заверение, что данные получены от владельца определенного сертификата. Например, так подтверждается клиент при входе "по сертификату" на сайт. Ещё так работает процедура подписания в зарубежных алгоритмах - хэш шифруется закрытым ключом, расшифровывается для проверки открытым ключом из сертификата. Однако, в случае подписания ГОСТ-2001 или ГОСТ-2012 хэш не зашифровывается при формировании подписи, так что с ГОСТом мимо. 2) гост-89 или гост-2015 магма - это симметричный алгоритм шифрования, его нельзя напрямую использовать с ассиметричными ключевыми парами. Минусом симметричного алгоритма является то, что у любого симметричного ключа есть предел наработки, поэтому если шифровать напрямую ключом согласования большие сообщения/файлы предел наберется достаточно быстро. Также есть проблема передачи симметричного ключа между отправителем и получателем. Это накладывает специфику - сначала нужно из открытого и закрытого асимметричного ключа сделать симметричный ключ согласования. Обычно используются 2 открытый и закрытый ключи из разных ключевых пар, расположенных у получателя и отправителя соответственно - так не требуется передавать куда-то закрытый ключ, стороны обмениваются открытыми частями или сертификатами. Для исправления проблемы наработки есть 2 пути - а) генерировать для каждого сообщения/файла сессионный симметричный ключ, а уже его шифровать ключом согласования (что значительно сокращает наработку ключа согласования), зашифрованный сессионный ключ прикрепляется к зашифрованному сообщению, необязательно может также прикрепляться открытый ключ или сертификат отправителя; б) генерировать каждый раз новую асимметричную ключевую пару на стороне отправителя (эфемерная ключевая пара, что дает каждый раз новый ключ согласования), незашифрованная открытый ключ эфемерной ключевой пары обязательно прикрепляется к зашифрованному сообщению. Возможно также скомбинировать оба подхода: и эфемерная ключевая пара и сессионный ключ. В целом это называется "схемой обмена ключей" ГОСТ. В итоге, "2 способа шифрование - на сертификат - с расшифровкой закрытым ключом и шифрование на закрытый ключ с расшифровкой сертификатом" утверждение справедливое для зарубежных алгоритмов (RSA, например). Однако непонятно как Вы это совместите с терминологией "схемы обмена ключей" ГОСТ. Ну нельзя симметричный гост-89 зашифровать ни открытым ни закрытым асимметричным ключом без дополнительных действий. Отредактировано пользователем 13 сентября 2022 г. 8:23:39(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
