Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Eugene74ru  
#1 Оставлено : 20 октября 2010 г. 19:08:46(UTC)
Eugene74ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.01.2008(UTC)
Сообщений: 89
Мужчина

Добрый день.

Вопрос следующий - если по каким-то причинам возникнет необходимость отказаться от использования криптопровайдера КриптоПро CSP в пользу криптопровайдера от другой компании, соответсвующего RFC, будет ли работать КриптоПро УЦ с этим криптопровайдером ?

Рассматриваем вопрос приобретения КриптоПро УЦ, но терзают сомнения - а вдруг завтра что-то радикально поменяется и КриптоПро УЦ окажется бесполезной покупкой и придется искать какой-то другой УЦ либо писать самим на базе все того же CA от MS.

С уважением.
Offline Юрий Маслов  
#2 Оставлено : 25 октября 2010 г. 14:25:04(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Компоненты "КриптоПро УЦ" обеспечивает работу с ЛЮБЫМ СКЗИ, разработанным в технологии криптопровайдера Windows, и включающего в себя реализацию TLS. Это в случае, если криптопровайдер реализует ГОСТ.
"КриптоПро УЦ" работает так же и с любым неГОСТовым криптопрвайдером, предустановленным в MS Windows.

Согласно документа "ЖТЯИ.00067-01 30 01. КриптоПро УЦ. Формуляр" в пункте 2.12. написано "На автоматизированных рабочих местах пользователей ПАК «КриптоПро УЦ», должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ, применяемом в ПАК «КриптоПро УЦ»".
С уважением,
КРИПТО-ПРО
Offline amdiman  
#3 Оставлено : 27 апреля 2012 г. 17:32:56(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Юрий, подниму тему, если Вы не против. Что значит эта фраза в Формуляре на ПАК КриптоПро УЦ 1.5:

2.13. На автоматизированных рабочих местах пользователей ПАК «КриптоПро УЦ», должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ, применяемом в ПАК «КриптоПро УЦ».

конкретно интересует фраза "совместимое", в чем определяется совместимость? В реализации ГОСТ алгоритмов? Если так, то возможно ли считать СКЗИ ViPNet CSP и СКЗИ LirSSl совместимыми? Заранее спасибо.
Offline turik  
#4 Оставлено : 7 июня 2012 г. 20:39:35(UTC)
turik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2010(UTC)
Сообщений: 32
Откуда: СПб

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Юрий Маслов написал:
Компоненты "КриптоПро УЦ" обеспечивает работу с ЛЮБЫМ СКЗИ, разработанным в технологии криптопровайдера Windows, и включающего в себя реализацию TLS. Это в случае, если криптопровайдер реализует ГОСТ.

Здравствуйте, а как это реализуется на практике?

У нас есть КриптоПро УЦ 1.5, на машину с установленным КриптоПро CSP (3.6.6627) АРМ Администратора установили также VipNet CSP, который установился корректно.
Но издать сертификат с испольованием криптопровайдера VipNet не получается, как напрямую, так и через удалённую форму.

При попытке создать новый сертификат пользователю, если выбрать криптопровайдер infotecs выскакивает ошибка "Invalid property array index".
Аналогичная ошибка при попытке сгенерировтаь удалённую форму.
Offline Ivanov-aa  
#5 Оставлено : 7 июня 2012 г. 21:19:48(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
Цитата:
Согласно документа "ЖТЯИ.00067-01 30 01. КриптоПро УЦ. Формуляр" в пункте 2.12. написано "На автоматизированных рабочих местах пользователей ПАК «КриптоПро УЦ», должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ, применяемом в ПАК «КриптоПро УЦ»".

Vipnet CSP не совместим с КриптоПро CSP
Offline Андрей Писарев  
#6 Оставлено : 7 июня 2012 г. 21:52:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,222
Мужчина
Российская Федерация

Сказал «Спасибо»: 338 раз
Поблагодарили: 1332 раз в 1035 постах
turik написал:
Юрий Маслов написал:
Компоненты "КриптоПро УЦ" обеспечивает работу с ЛЮБЫМ СКЗИ, разработанным в технологии криптопровайдера Windows, и включающего в себя реализацию TLS. Это в случае, если криптопровайдер реализует ГОСТ.

Здравствуйте, а как это реализуется на практике?

У нас есть КриптоПро УЦ 1.5, на машину с установленным КриптоПро CSP (3.6.6627) АРМ Администратора установили также VipNet CSP, который установился корректно.
Но издать сертификат с испольованием криптопровайдера VipNet не получается, как напрямую, так и через удалённую форму.

При попытке создать новый сертификат пользователю, если выбрать криптопровайдер infotecs выскакивает ошибка "Invalid property array index".
Аналогичная ошибка при попытке сгенерировтаь удалённую форму.


А зачем на одну машину 2 CSP ?

Если я правильно понял: необходимо выдавать сертификаты пользователям VipNet CSP.
Если так, тогда: VipNet CSP не нужно устанавливать на машину с установленным КриптоПро CSP (3.6.6627) АРМ Администратора.

VipNet CSP - нужно устанавливать там, где он будет применяться.
Запрос на сертификат генерировать с помощью web-формы: Пуск\...\ViPNet\ViPNet CSP\Создание запроса на сертификат
Полученный запрос - далее передавать в УЦ и выпускать сертификат.
Выпущенный сертификат устанавливать через Пуск\...\ViPNet\ViPNet CSP\Настройка криптопровайдера с привязкой к контейнеру.



Техническую поддержку оказываем тут
Наша база знаний
Offline turik  
#7 Оставлено : 7 июня 2012 г. 23:52:17(UTC)
turik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2010(UTC)
Сообщений: 32
Откуда: СПб

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Ivanov-aa написал:
Vipnet CSP не совместим с КриптоПро CSP

Довольно давно на этом форуме читал, что при установке КриптоПро CSP 3.6 R2, после чего Vipnet CSP оба CSP корректно работают.
Лично проверял - подпись и проверка подписи работает обоими криптопровайдерами.

Андрей * написал:

А зачем на одну машину 2 CSP ?

Если я правильно понял: необходимо выдавать сертификаты пользователям VipNet CSP.
Если так, тогда: VipNet CSP не нужно устанавливать на машину с установленным КриптоПро CSP (3.6.6627) АРМ Администратора.

VipNet CSP - нужно устанавливать там, где он будет применяться.
Запрос на сертификат генерировать с помощью web-формы: Пуск\...\ViPNet\ViPNet CSP\Создание запроса на сертификат
Полученный запрос - далее передавать в УЦ и выпускать сертификат.
Выпущенный сертификат устанавливать через Пуск\...\ViPNet\ViPNet CSP\Настройка криптопровайдера с привязкой к контейнеру.

В итоге мы получим сертификат, выданый напрямую на ЦС, то есть, без пользователя УЦ?
Если так, то этот вариант не слишком интересен, к сожалению.
Хотелосьбы выдавать сертификаты именно заведённым пользователям в УЦ КриптоПро.

Это единственный вариант издания сертификата на КриптоПро УЦ с использованием криптопровайдера VipNet?
Форма запроса крайне ограничена......

Отредактировано пользователем 8 июня 2012 г. 0:05:04(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#8 Оставлено : 8 июня 2012 г. 1:01:22(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,222
Мужчина
Российская Федерация

Сказал «Спасибо»: 338 раз
Поблагодарили: 1332 раз в 1035 постах
turik написал:

Форма запроса крайне ограничена......


А в чем проблема?
Используйте любую другую форму или свою с "нужными полями" :)
типа: http://rghost.ru/38539642
(в html заменил ProviderName и ProviderType на нужные)


Отредактировано пользователем 8 июня 2012 г. 1:10:06(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline turik  
#9 Оставлено : 8 июня 2012 г. 1:20:17(UTC)
turik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2010(UTC)
Сообщений: 32
Откуда: СПб

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Андрей * написал:

А в чем проблема?
Используйте любую другую форму или свою с "нужными полями" :)
типа: http://rghost.ru/38539642
(в html заменил ProviderName и ProviderType на нужные)

Спасибо за ответы, но, всё таки, хотелось бы издавать именно средствами КриптоПро УЦ (если это возможно), то есть, издавать сертификаты конкретному пользователю УЦ со всеми вытикающими из этого плюсами и минусами.
Издавать по реквесту можно и без формы VipNet - напрямую через web-форму СА по шаблонам самого СА - там нормально выбирается криптопровайдер.

Либо хочется получить точный ответ, что такое использование ПАК КриптоПро УЦ не возможо.

Отредактировано пользователем 8 июня 2012 г. 1:31:17(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#10 Оставлено : 8 июня 2012 г. 1:43:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,222
Мужчина
Российская Федерация

Сказал «Спасибо»: 338 раз
Поблагодарили: 1332 раз в 1035 постах
turik написал:

Либо хочется получить точный ответ, что такое использование ПАК КриптоПро УЦ не возможо.


а этот официальный ответ чем не устроил тогда?

Ivanov-aa написал:
Цитата:
Согласно документа "ЖТЯИ.00067-01 30 01. КриптоПро УЦ. Формуляр" в пункте 2.12. написано "На автоматизированных рабочих местах пользователей ПАК «КриптоПро УЦ», должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ, применяемом в ПАК «КриптоПро УЦ»".

Vipnet CSP не совместим с КриптоПро CSP


Отредактировано пользователем 8 июня 2012 г. 1:47:05(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline turik  
#11 Оставлено : 8 июня 2012 г. 1:46:48(UTC)
turik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2010(UTC)
Сообщений: 32
Откуда: СПб

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Андрей * написал:

а этот ответ чем не устроил тогда?

Ivanov-aa написал:

Vipnet CSP не совместим с КриптоПро CSP



Тем, что это не правда =)

Я готов допустить, что "Vipnet CSP не совместим с КриптоПро УЦ" - просто не знаю, но сами CSP совместимы - они могут работать на одной машине.
Offline Андрей Писарев  
#12 Оставлено : 8 июня 2012 г. 1:48:20(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,222
Мужчина
Российская Федерация

Сказал «Спасибо»: 338 раз
Поблагодарили: 1332 раз в 1035 постах
turik написал:
Андрей * написал:

а этот ответ чем не устроил тогда?

Ivanov-aa написал:

Vipnet CSP не совместим с КриптоПро CSP



Тем, что это не правда =)

Я готов допустить, что "Vipnet CSP не совместим с КриптоПро УЦ" - просто не знаю, но сами CSP совместимы - они могут работать на одной машине.


так речь "о другом" Anxious

Цитата:
должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ,[u] применяемом в ПАК «КриптоПро УЦ»

а в ПАК «КриптоПро УЦ» нет ViPNet CSP

Отредактировано пользователем 8 июня 2012 г. 1:49:22(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline turik  
#13 Оставлено : 8 июня 2012 г. 1:57:38(UTC)
turik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2010(UTC)
Сообщений: 32
Откуда: СПб

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Андрей * написал:

так речь "о другом" Anxious
а в ПАК «КриптоПро УЦ» нет ViPNet CSP

Это касается только ViPNet CSP или вообще всех CSP, кроме КриптоПро CSP?

Например, при попытке использования microsoft cryptographic service provider возникают точно такиеже ошибки (проверил ради эксперимента, а не в силу необходимости)
Offline Андрей Писарев  
#14 Оставлено : 8 июня 2012 г. 2:48:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,222
Мужчина
Российская Федерация

Сказал «Спасибо»: 338 раз
Поблагодарили: 1332 раз в 1035 постах
Anxious

Отредактировано пользователем 8 июня 2012 г. 2:53:11(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline turik  
#15 Оставлено : 8 июня 2012 г. 2:56:34(UTC)
turik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.12.2010(UTC)
Сообщений: 32
Откуда: СПб

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Просто не понятно, что за криптопровайдеры тогда подразумевались Юрием Масловым Think

Юрий Маслов написал:

Компоненты "КриптоПро УЦ" обеспечивает работу с ЛЮБЫМ СКЗИ, разработанным в технологии криптопровайдера Windows, и включающего в себя реализацию TLS. Это в случае, если криптопровайдер реализует ГОСТ.
"КриптоПро УЦ" работает так же и с любым неГОСТовым криптопрвайдером, предустановленным в MS Windows.

Отредактировано пользователем 8 июня 2012 г. 3:04:06(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#16 Оставлено : 8 июня 2012 г. 3:14:18(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,222
Мужчина
Российская Федерация

Сказал «Спасибо»: 338 раз
Поблагодарили: 1332 раз в 1035 постах
Осталось "самому проверить" ... как будет время...
Техническую поддержку оказываем тут
Наша база знаний
Offline amdiman  
#17 Оставлено : 8 июня 2012 г. 3:42:54(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах

Отредактировано пользователем 8 июня 2012 г. 3:47:19(UTC)  | Причина: Не указана

Offline amdiman  
#18 Оставлено : 8 июня 2012 г. 3:43:44(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Юрий Маслов написал:
Здравствуйте!

Компоненты "КриптоПро УЦ" обеспечивает работу с ЛЮБЫМ СКЗИ, разработанным в технологии криптопровайдера Windows, и включающего в себя реализацию TLS. Это в случае, если криптопровайдер реализует ГОСТ.
"КриптоПро УЦ" работает так же и с любым неГОСТовым криптопрвайдером, предустановленным в MS Windows.

Согласно документа "ЖТЯИ.00067-01 30 01. КриптоПро УЦ. Формуляр" в пункте 2.12. написано "На автоматизированных рабочих местах пользователей ПАК «КриптоПро УЦ», должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ, применяемом в ПАК «КриптоПро УЦ»".



По-моему Юрий однозначно ответил, что УЦ КриптоПро обеспечивает работу с любым СКЗИ, а почему собственно нет? Ведь основная задача УЦ - выпуск сертификата, а его формат определен (x509 v3) и неважно какое СКЗИ установлено на стороне клиента, ведь последний может сам сгенирировать себе закрытый ключ и передать в УЦ запрос на сертификат, а УЦ его обработает и выпутит сертификат.

Отредактировано пользователем 8 июня 2012 г. 4:01:56(UTC)  | Причина: Не указана

Offline amdiman  
#19 Оставлено : 8 июня 2012 г. 3:46:12(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Ivanov-aa написал:
Цитата:
Согласно документа "ЖТЯИ.00067-01 30 01. КриптоПро УЦ. Формуляр" в пункте 2.12. написано "На автоматизированных рабочих местах пользователей ПАК «КриптоПро УЦ», должно быть установлено сертифицированное СКЗИ, совместимое с CКЗИ, применяемом в ПАК «КриптоПро УЦ»".

Vipnet CSP не совместим с КриптоПро CSP


А что вкладывается в понятие "совместимое" СКЗИ? Что у этих СКЗИ одинаковый тип криптопровайдера? Или формат контейнера?
На сколько я знаю, эту строчку в формуляр вписывает 8-центр ФСБ при сертифицировании продукта, в формулярах других разработчиков она тоже есть. Так вот по мне понятие совместимость означает что СКЗИ должно также выполнять свои основные задачи в соответствии с алгоритмами описанными в ГОСТ 2001, 94, 89, как и СКЗИ КриптоПРо CSP. Т.е. все сертифицированные в России СКЗИ - совместимые, все реализуют ГОСТ. А когда ТК 26 утвердит формат PKCS15 это будет безусловно. ИМХО.
Offline rozhkov  
#20 Оставлено : 8 июня 2012 г. 11:53:35(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

1. При установке КриптоПро УЦ проверяет наличие провайдера 75 типа (была ситуация что АРМ Администратора был установлен на компьютер где был Lissi CSP а не было КриптоПро CSP), из-за чего полностью работу на других провайдерах просто так не сделаешь.
2. Использование веб-интерфейса УЦ, и пользователь может использовать любой провайдер для создание запроса на сертификат, но необходимо поставить что бы пользователи могли выбирать какой криптопровайдер использовать.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.