Добрый день,
наша компания занимается внедрением технологий Крипто Про в свои продукта для iOS, в этой теме мы бы хотели задавать появляющиеся вопросы.

Здравствуйте.
Использовать токен или флешку на iOS нет технической возможности (есть camera kit, в который можно воткнуть флешку, но права на работу с ней ограничены производителем, мы не можем ей пользоваться для хранения ключей).
Таким образом, штатных средств для копирования ключей с флешки/токена на iPad у нас нет -- нужно создавать ключи на устройстве. У пользователя может быть несколько сертификатов -- с одним он будет работать на iPad, с другим на компьютере. При этом, если речь идет о корпоративной системе со своим удостоверяющим центром, компании это ничего не будет стоить:
-если используете MS CA, то выпуск нового сертификата не повлечёт за собой затрат;
-если используете КриптоПро УЦ, то там ведется учёт количества пользователей, а не сертификатов. Выпуск ещё одного сертификата для уже существующего пользователя не будет учитываться в лицензии.

Ещё есть вариант -- средствами вашего приложения перенести ключи (папку с ключами с флешки) в директорию приложения, далее
Library/Caches/cprocsp/keys/имя_пользователя/ .

При этом необходимо проследить чтобы:
- владельцем файлов был пользователь, в диретории с именем которого расположен контейнер(от его имени будет осуществляться работа с ключами)
- чтобы на директорию с ключами были выставлены права, разрешаюшие владельцу всё
- чтобы на файлы были выставлены права, разершающие владельцу по крайней мере чтение и запись

Можете сделать ключи на симуляторе и посмотреть в его файловой системе как это выглядит. Но такой способ переноса ключей по сети не безопасен, мы его реализовывать не планируем. Рекомендуется делать отдельные сертификаты для iPad и настольного компьютера.

Этот вариант не документирован, да и, возможно, работать в финальной версии не будет.

Кроме того, всё равно потребуется писать код для установки сертификатов (см. ниже).


Есть документированный вариант, он несколько сложнее, но документирован.

Задача перенести ключ из Вашего приложения на Windows/Linux/Mac OS в другое Ваше же приложение на iPad:

1. Ваши приложения должны получить (или согласовать) ключ экспорта/импорта, например это может быть разовое достаточно длинное случайное число, полученное на Windows CryptGenRandom() (оно отображается на экране Windows и, скажем, вводится на iPad), хэш-функция от него CryptHashData() и диверсифицированный ключ на его основе CryptDeriveKey();
   
2. Ваше приложение на Windows/Linux/Mac OS экспортирует закрытый ключ контейнера CryptExportKey() в CRYPT_PRIVATEKEYBLOB;
   
3. Передаёт его и необходимые сертификаты на iPad;
   
4. Ваше приложение на iPad импортирует CRYPT_PRIVATEKEYBLOB функцией CryptImportKey();
   
5. И устанавливает сертификат ключа, и в контейнер CryptSetProvParam(), и в хранилище "My" CertAddCertificateContextToStore();
   
6. Корневой и промежуточные сертификаты, тоже нужно установить CertAddCertificateContextToStore() в соответствующие хранилища;
   

Примерно как-то так.

P.S.
По-хорошему, контейнер на флэш надо будет стереть. На мой взгляд, лучше не иметь двух ключей на нескольких носителях.

P.P.S.

Вы разработчики, Вам виднее, но может оказаться, что запросить сертификат от КриптоПро УЦ для iPad по WiFi окажется удобнее.

Отредактировано пользователем 26 мая 2011 г. 0:13:21(UTC)  | Причина: Не указана

Да может (и достаточно давно, я уж и не упомню в какой версии его не было). Смотри описание продукта "КриптоПро УЦ": АРМ зарегистрированного пользователя <http://www.cryptopro.ru/products/ca/usage>, соответственно зарегистрированный пользователь бывает с маркером доступа (обычно новый), а бывает с сертификатом (обычно старый, для плановой смены).

Мы не занимались поддержкой такой функциональности в iOS, поскольку сертифицируем решение для не джейлбрейкнутого айпада (то есть, на джейлбрейкнутом применение нашей библиотеки не будет придавать документообороту никакой юридической значимости). Как правило, если не нужна юридическая значимость, то не нужен и наш CSP.
Однако, CSP для iPad работает практически так же, как CSP на любом другом юниксе. Там такой же конфиг с такими же настройками считывателей. Этого никто не проверял и такое решение не поддерживается, но теоретически, если правильно настроить считыватель и сделать правильный симлмнк на флешку, всё может работать.