Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#21 Оставлено : 27 июля 2020 г. 8:53:15(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,013
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 64 раз
Поблагодарили: 230 раз в 216 постах
Действительно интересная ссылка, хотя тут наверно не совсем правильное место для обсуждения. По предлагаемым решениям: идентификация

государственные УЦ

ограничения и т.д.
Offline Агафьин Сергей  
#22 Оставлено : 27 июля 2020 г. 11:56:24(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы готовые для захвата: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 574
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 105 раз в 92 постах
Цитата:
Но по вашим словам КриптоПро не использует PKCS11? С моей точки зрения, получается какое-то логическое противоречие между вашими словами и поддержкой Диадок?

Там же прямо написано в сообщении, зачем нужен CSP. У людей просто в плагине есть явная зависимость от CSP, который используется для поддержки JaCarta. Видимо, без разрешения этой зависимости он не стартует.

Цитата:
то в каком формате должны быть ключи, чтобы они были совместимы одновременно с Диадок, с КриптоПро 4/5, с аппаратным крипто Рутокен ЭЦП 2.0, с PKCS11 и APDU? Такое вообще возможно?

Протокол PKCS11 вообще подразумевает какой-то свой некий формат хранения закрытых ключей?

КриптоПро5 через APDU может работать самостоятельно с таким форматов ключей PKCS11 на аппаратном крипто? Он будет подстраиваться под формат ключей PKCS11 на файловой системе токена?
PKCS11 ведь тоже работает через APDU? Тогда возможно КриптоПро5 содержит внутри себя свою собственную реализацию PKCS11, но использует ее только самостоятельно без экспортирования этого интерфейса наружу за пределы КриптоПро для других программ?

Сначала чуть подробнее опишу то, чем является PKCS#11 и где тут CSP.
PKCS#11 - это интерфейс, а не протокол. Он призван унифицировать работу с криптографическими устройствами или провайдерами. Вашему прикладному софту может быть не интересно, где именно выполняется функция "подписать": на токене, на HSM или вообще в тестовом приложении, написанном junior-ом. Если разработчик СКЗИ хочет, чтобы прикладной софт, использующий PKCS#11 (чаще всего уже написанный!), работал и с ними, то он создает библиотеку, которая реализует этот интерфейс каким-то ей одной известным образом.
Выглядит логика работы так:
софт -> [PKCS#11-интерфейс] -> pkcs11-библиотека (например, pkcs11rutoken.dll. - я не помню настоящее название) -> [APDU-интерфейс] -> токен.

Мы же в CSP работаем напрямую с APDU. Во многом это связано с ограничениями PKCS#11, да и с тем, что наша поддержка неизвлекаемых ключей появилась до развития этих библиотек.

софт -> [CryptoAPI] -> КриптоПро CSP -> модуль поддержки токена (rutoken.dll) -> [APDU-интерфейс] -> токен.

Если человек хочет использовать PKCS#11 и наш CSP: например для того, чтобы можно было работать через тот самый единый PKCS#11-интерфейс с ключами на всех считывателях, поддерживаемых CSP: реестр, таблетки, пассивные носители, ФКН, то можно взять нашу реализацию PKCS#11 - cppkcs11.dll:

софт -> [PKCS#11-интерфейс] -> cppkcs11.dll -> [CryptoAPI] -> КриптоПро CSP -> модули поддержки

Теперь к вашему вопросу про работу с ключами на Рутокен ЭЦП 2.0.
Как видите из моих пояснений, в итоге при работе с токеном всё равно всё сводится к APDU. Если бы CSP знал команды, которые используются pkcs#11-библиотекой Рутокен, он мог бы использовать ключи, которые через неё созданы. Для CSP 5.0 мы как раз этому и научили провайдер. Если кто-то создал через любой софт, использующий pkcs11-библиотеку, ключ на Рутокен ЭЦП 2.0, CSP этот ключ увидит и сможет использовать. Речь только об этом конкретном токене! Для других производителей формата APDU, используемых pkcs11-библиотеками, у нас нет, но призрачные планы поддержать pkcs11-ключи мы от случая к случаю обсуждаем и с Аладдином и с Мультисофтом. Пока это не интересно производителям токенов, мы реализовать ничего не можем.

Есть два ограничения:
1) Для ключа должен быть сертификат. Ограничение искусственное, но неизбежное: мы должны знать про ключ много служебной информации, которая недоступна просто так.
2) Ключи нельзя создавать. По тем же причинам, что и в п.1 требуется сертификат. CSP работает в рамках интерфейса CryptoAPI, который имеет функцию генерации ключа, но не имеет функции "создать сертификат", поэтому было бы странно давать возможность генерацию ключа, а потом из-за требований п.1 запрещать с ним работать.

Отредактировано пользователем 27 июля 2020 г. 12:19:00(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 2 пользователей поблагодарили Агафьин Сергей за этот пост.
sanyo оставлено 27.07.2020(UTC), Андрей * оставлено 27.07.2020(UTC)
Offline Агафьин Сергей  
#23 Оставлено : 27 июля 2020 г. 12:05:27(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы готовые для захвата: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 574
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 105 раз в 92 постах
Цитата:
Зачем тогда вообще нужен формат неизвлекаемых ключей КриптоПро 5?
Для неизвлекаемых ключей в формате КриптоПро 5 вообще сертификаты выпускает хоть один УЦ?

На данный момент сертифицированного УЦ с CSP 5.0 еще нет, так что если кто и выпускает, то только для усиленной неквалифицированной подписи.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 27.07.2020(UTC)
Offline Агафьин Сергей  
#24 Оставлено : 27 июля 2020 г. 12:13:23(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы готовые для захвата: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 574
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 105 раз в 92 постах
Цитата:
Ключ в формате совместимости Rutoken S на смарткарте Rutoken MIK51.
Подключить его через SoftTouch PRO к КриптоАРМ стандарт.

Кнопка авторизации SoftTouch PRO будет работать для извлекаемого ключа в формате совместимости Rutoken S?

Суть SafeTouch в том, что он анализирует APDU-команды и ищет команду подписи. Если подписывается известный устройству хэш, то подпись пропускается, если нет - выводится запрос "вы уверены?". Проблема в том, что у Рутокен S нет никакой функции подписи. Соответственно, вы можете, конечно, использовать с ним SafeTouch. Если ему правильно "скармливать" данные, то он будет показывать документы и спрашивать "хотите подписать?", но если данные не "скармливать", то никакого запрета на исполнение не произойдет, так что толку с точки зрения безопасности ноль.

Цитата:
Можно ли настроить КриптоПро CSP, чтобы он не кэшировал такой ключ в оперативке, а каждый раз подгружал его с токена, чтобы нужно было нажатие кнопки авторизации на считывателе SoftTouch PRO?

1) SafeTouch не умеет перехватывать команду чтения ключей.
2) В следующей релизной сборке КриптоПро CSP 5.0 R2 появятся расширенные возможности по контролю операции подписи на пассивных ключах. Следите за новостями :)
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 27.07.2020(UTC)
Offline sanyo  
#25 Оставлено : 27 июля 2020 г. 12:20:09(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Теперь к вашему вопросу про работу с ключами на Рутокен ЭЦП 2.0.
Как видите из моих пояснений, в итоге при работе с токеном всё равно всё сводится к APDU. Если бы CSP знал команды, которые используются pkcs#11-библиотекой Рутокен, он мог бы использовать ключи, которые через неё созданы. Для CSP 5.0 мы как раз этому и научили провайдер. Если кто-то создал через любой софт, использующий pkcs11-библиотеку, ключ на Рутокен ЭЦП 2.0, CSP этот ключ увидит и сможет использовать. Речь только об этом конкретном токене! Для других производителей формата APDU, используемых pkcs11-библиотеками, у нас нет, но призрачные планы поддержать pkcs11-ключи мы от случая к случаю обсуждаем и с Аладдином и с Мультисофтом. Пока это не интересно производителям токенов, мы реализовать ничего не можем.

Есть два ограничения:
1) Для ключа должен быть сертификат. Ограничение искусственное, но неизбежное: мы должны знать про ключ много служебной информации, которая недоступна просто так.
2) Ключи нельзя создавать. По тем же причинам, что и в п.1 требуется сертификат. CSP работает в рамках интерфейса CryptoAPI, который имеет функцию генерации ключа, но не имеет функции "создать сертификат", поэтому было бы странно давать возможность генерацию ключа, а потом из-за требований п.1 запрещать с ним работать.


Сергей, огромное спасибо за ваши объяснения принципов работы КриптоПРО.

В пункте 2) имеется ввиду, что нельзя создавать ключи сверх одного ключа, который создан при содействии УЦ и для которого получен сертификат в УЦ?
Т.е. все же один ключ с сертификатом создать можно?

Под Linux это работает?

В поддержке Аладдин мне недавно сообщили, что Infotecs CSP видит ключи, созданные в формате PKCS 11.
То, что вы писали про Рутокен ЭЦП 2.0 работает аналогично именно для этого носителя с точки зрения пользователя, не вдаваясь в технические подробности?

Сможет КриптоАРМ Стандарт (не плюс) работать с неизвлекаемым ключом, не догадываясь о том, что он неизвлекаемый, и что ваш CSP будет работать с ключом через PKCS11?
Т.е. КриптоАРМ Стандарт (не плюс) будет казаться, что он работает с извлекаемым ключом, а на самом деле с неизвлекаемым? Так возможно?

Знаю, что есть другая редакция КриптоАРМ Плюс, рассчитанная на работу именно с ключами PKCS 11, но мне интересно попытаться добиться работы КриптоАРМ Стандарт (не плюс) с ключами PKCS 11 неявно косвенно через CSP, который это умеет.
Потому что версия КриптоАРМ Плюс не может генерировать усовершенствованную подпись Cades, а КриптоАРМ Стандарт может.

Автор: Агафьин Сергей Перейти к цитате

Если человек хочет использовать PKCS#11 и наш CSP: например для того, чтобы можно было работать через тот самый единый PKCS#11-интерфейс с ключами на всех считывателях, поддерживаемых CSP: реестр, таблетки, пассивные носители, ФКН, то можно взять нашу реализацию PKCS#11 - cppkcs11.dll:

софт -> [PKCS#11-интерфейс] -> cppkcs11.dll -> [CryptoAPI] -> КриптоПро CSP -> модули поддержки

Это какой-то другой work around для Windows?

Отредактировано пользователем 27 июля 2020 г. 12:36:33(UTC)  | Причина: Не указана

Offline sanyo  
#26 Оставлено : 27 июля 2020 г. 12:23:32(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
.

Отредактировано пользователем 27 июля 2020 г. 12:29:11(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#27 Оставлено : 27 июля 2020 г. 15:18:34(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы готовые для захвата: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 574
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 105 раз в 92 постах
Цитата:
В пункте 2) имеется ввиду, что нельзя создавать ключи сверх одного ключа, который создан при содействии УЦ и для которого получен сертификат в УЦ?
Т.е. все же один ключ с сертификатом создать можно?

Нельзя создавать pkcs11-ключи через КриптоПро CSP. Через другой ПО создавайте сколько угодно - мы все увидим и сможем использовать.

Цитата:
Под Linux это работает?

Да, и под macOS.

Цитата:
В поддержке Аладдин мне недавно сообщили, что Infotecs CSP видит ключи, созданные в формате PKCS 11.
То, что вы писали про Рутокен ЭЦП 2.0 работает аналогично именно для этого носителя с точки зрения пользователя, не вдаваясь в технические подробности?

Да, мы видим те же ключи.

Цитата:
Сможет КриптоАРМ Стандарт (не плюс) работать с неизвлекаемым ключом, не догадываясь о том, что он неизвлекаемый, и что ваш CSP будет работать с ключом через PKCS11?
Т.е. КриптоАРМ Стандарт (не плюс) будет казаться, что он работает с извлекаемым ключом, а на самом деле с неизвлекаемым? Так возможно?

Не знаю. С точки зрения API разницы никакой нет. Но разработчики прикладного софта могут искусственно ограничивать список контейнеров исходя из каких-то своих убеждений, в том числе лицензионных.

Цитата:
Это какой-то другой work around для Windows?

Разработчики приложений могут изначально заложить поддержку только PKCS#11, но не CryptoAPI, тогда наш модуль cppkcs11 - единственный путь использовать CSP. Если я не ошибаюсь, таким образом работает плагин от Госуслуг, например.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 27.07.2020(UTC)
Offline sanyo  
#28 Оставлено : 27 июля 2020 г. 20:07:05(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Цитата:
Это какой-то другой work around для Windows?

Разработчики приложений могут изначально заложить поддержку только PKCS#11, но не CryptoAPI, тогда наш модуль cppkcs11 - единственный путь использовать CSP. Если я не ошибаюсь, таким образом работает плагин от Госуслуг, например.


Большинство площадок, поддерживающих неизвлекаемые ключи, работает через плагин браузера PKCS11? Госуслуги как-то иначе?

Зачем им дополнительно КриптоПРО через CryptoAPI, если можно напрямую работать с токеном по PKCS11?

Или это для эмуляции PKCS11 там, где его на самом деле (аппаратно) нет, например, на пассивных токенах?

Отредактировано пользователем 27 июля 2020 г. 21:25:00(UTC)  | Причина: Не указана

Offline sanyo  
#29 Оставлено : 27 июля 2020 г. 20:10:36(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате
Цитата:
В пункте 2) имеется ввиду, что нельзя создавать ключи сверх одного ключа, который создан при содействии УЦ и для которого получен сертификат в УЦ?
Т.е. все же один ключ с сертификатом создать можно?

Нельзя создавать pkcs11-ключи через КриптоПро CSP. Через другой ПО создавайте сколько угодно - мы все увидим и сможем использовать.


Это работает на таких моделях Rutoken:

Смарт-карта Рутокен 2151
ПАК: Смарт-карта Рутокен ЭЦП 2.0 2100, серт. ФСБ

? На обоих (на каждой из них в отдельности)?

Автор: Агафьин Сергей Перейти к цитате

Если кто-то создал через любой софт, использующий pkcs11-библиотеку, ключ на Рутокен ЭЦП 2.0, CSP этот ключ увидит и сможет использовать. Речь только об этом конкретном токене!


Рутокен 2151 является разновидностью "Рутокен ЭЦП 2.0" в контексте нашего обсуждения совместимости КриптоПРО5 с ключами в формате PKCS11?

Тем более им является и ПАК: Смарт-карта Рутокен ЭЦП 2.0 2100, серт. ФСБ ?

Отредактировано пользователем 27 июля 2020 г. 21:38:16(UTC)  | Причина: Не указана

Offline sanyo  
#30 Оставлено : 27 июля 2020 г. 22:41:23(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
.

Отредактировано пользователем 27 июля 2020 г. 22:56:22(UTC)  | Причина: Не указана

Offline sanyo  
#31 Оставлено : 27 июля 2020 г. 22:42:52(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
А вот еще интересно, где-то логические выводы из данной ветки форума описаны на какой-то странице ранее?

Как самостоятельно догадаться о том, что:

1) Неизвлекаемые ключи могут храниться как минимум в двух разных несовместимых форматах PKCS11 и КриптоПРО5?
Но для носителя Рутокен ЭЦП 2.0 есть readonly исключение из этого правила, когда КриптоПРО5 хотя бы может использовать готовые ключи PKCS11.
И есть непроверенная вероятность работы КриптоАРМ 5 Стандарт как раз через такое исключение из правил.

2) Infotecs CSP может работать с ключами PKCS11 на любом совместимом носителе с аппаратным крипто (не только одной модели Рутокен ЭПЦ 2.0)

3) Онлайн сервисы Диадок и МИГ24 могут работать с ключами PKCS11 без явного участия КриптоПРО.
Причем могут генерировать усовершенствованные подписи в отличии от КриптоАРМ Плюс.
Дополнение: лицензия КриптоАРМ 5 СКЗИ подходит и к более свежим версиям КриптоАРМ 5 Стандарт (НЕ СКЗИ), которые уже совместимы с КриптоПРО 5 CSP, который может работать с аппаратными ключами, созданными в формате PKCS11, причем работать самостоятельно по APDU без PKCS11, но только на Рутокен ЭЦП 2.0.

В целом работоспособность КриптоАРМ 5 Стандарт по такой схеме пока НЕпроверена и результат совместимости неизвестен. Даже Trusted.ru не знает, будет ли это работать, и почему-то ленится проверить самостоятельно :) Возможно потому что даже если и будет работать, то это не поддерживается в Trusted.ru.

4) Считыватель смарткарт SafeTouch PRO позволяет получить авторизацию кнопкой каждой транзакции на подпись PKCS11, пусть хотя бы даже без отображения на дисплее считывателя (без интеграции с ним).
Кстати, это не зависит от используемого CSP? SafeTouch PRO без интеграции просит авторизацию и для Infotecs CSP и для КриптоПРО CSP и через только PKCS11 без CSP тоже, потому что отслеживает низкоуровневые команды APDU?

На выяснение всего этого ушло около месяца (весь июль 2020), почти ежедневно отправлялось по 5-10 сообщений в различные сервисы поддержки, на форумы и т.п.
Мне кажется, даже телепаты не смогли бы сделать это намного быстрее из-за различных технических сложностей, дефицита доступа к специалистам, кто знает все это в комлексе, а не отдельными фрагментами знаний, и отсутствия документации, где бы все это было компактно описано в одном документе.

Почему бы не разместить все это на сайте УЦ (например СКБ Контур) в удобном виде, с опциями в заказе: сертификат ключа PKCS11 с годовой лицензий КриптоПРО 5, правильные смарткарты Rutoken ЭЦП 2.0 с сертификатом ФСБ, SafeTouch PRO (с интеграцией в Диадок, МИГ24 и КриптоАРМ), Диадок/МИГ24 для подписания.
С подробным описанием каждой опции, что и зачем, чтобы можно было заказать за пару минут, а не за один месяц.
Все эти опции в комлпексе были бы проверены и опробованы в техподдержке УЦ, а не в процессе изучения пользователем "А может быть, будет работать".

Отредактировано пользователем 28 июля 2020 г. 1:58:31(UTC)  | Причина: Не указана

Offline two_oceans  
#32 Оставлено : 28 июля 2020 г. 4:47:47(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,013
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 64 раз
Поблагодарили: 230 раз в 216 постах
Автор: sanyo Перейти к цитате
Почему бы не разместить все это на сайте УЦ (например СКБ Контур) в удобном виде
Честно говоря у меня такой же вопрос. Похоже сайт прежде всего ориентирован на рядовых пользователей знающих только слова "усиленная квалифицированная" и еле объясняющих про то, для чего им нужна подпись.
Другими словами, запутать клиентов в совместимостях опций немного играет на руку УЦ, так можно продать больше сертификатов и токенов.

Offline sanyo  
#33 Оставлено : 28 июля 2020 г. 5:25:48(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: two_oceans Перейти к цитате
Другими словами, запутать клиентов в совместимостях опций немного играет на руку УЦ, так можно продать больше сертификатов и токенов.


Встречаются и порядочные Drool

https://tensor.ru/uc

Цитата:
Для всех и для всего

Не хотите ломать голову, берите подпись «Для всего», которая подойдет для любых сфер применения и всех торговых площадок
Подробнее
25 000 ₽



Dancing Applause

Притом, что себестоимость у разных сертификатов навряд ли отличается хоть на копейку.

Отредактировано пользователем 28 июля 2020 г. 5:29:19(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#34 Оставлено : 28 июля 2020 г. 12:22:01(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы готовые для захвата: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 574
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 105 раз в 92 постах
Цитата:
Или это для эмуляции PKCS11 там, где его на самом деле (аппаратно) нет, например, на пассивных токенах?

Именно. Неизвлекаемых ключей на Рутокенах и JaCarta не так много в сравнении с пассивными носителями, которые к PKCS#11 имеют мало отношения.
Цитата:
Это работает на таких моделях Rutoken:

Смарт-карта Рутокен 2151
ПАК: Смарт-карта Рутокен ЭЦП 2.0 2100, серт. ФСБ

? На обоих (на каждой из них в отдельности)?

На обоих работает. У них APDU-интерфейс идентичен обычному Рутокен ЭЦП 2.0.

Цитата:
1) Неизвлекаемые ключи могут храниться как минимум в двух разных несовместимых форматах PKCS11 и КриптоПРО5?
Но для носителя Рутокен ЭЦП 2.0 есть readonly исключение из этого правила, когда КриптоПРО5 хотя бы может использовать готовые ключи PKCS11.
И есть непроверенная вероятность работы КриптоАРМ 5 Стандарт как раз через такое исключение из правил.

Во-первых, об этом написано в первом же changelog на 5.0: https://www.cryptopro.ru...aspx?g=posts&t=13703
Во-вторых, основная идея заключалась в том, чтобы для людей все работало "на магии". Тебе какой-то УЦ как-то выдал ключ с каким-то сертификтом для какого-то провайдера. Ты приходишь к своему компьютеру, где стоит CSP, вставляешь токен - всё работает. Сделано было, скорее, на уровне "ресёрча" - понаблюдать, оценить проблемы. Вроде, взлетело. Проблемы в текущей версии есть - эти ключи жутко тормозят работу всего. Но мы, вроде, с этим справились.

Цитата:
2) Infotecs CSP может работать с ключами PKCS11 на любом совместимом носителе с аппаратным крипто (не только одной модели Рутокен ЭПЦ 2.0)

Они пошли одним путем - мы другим. Если в результате мы добьем эту задачу и с Аладдином и Мультисофтом, никто разницы не заметит.

Цитата:
3) Онлайн сервисы Диадок и МИГ24 могут работать с ключами PKCS11 без явного участия КриптоПРО.
Причем могут генерировать усовершенствованные подписи в отличии от КриптоАРМ Плюс.
Дополнение: лицензия КриптоАРМ 5 СКЗИ подходит и к более свежим версиям КриптоАРМ 5 Стандарт (НЕ СКЗИ), которые уже совместимы с КриптоПРО 5 CSP, который может работать с аппаратными ключами, созданными в формате PKCS11, причем работать самостоятельно по APDU без PKCS11, но только на Рутокен ЭЦП 2.0.

В целом работоспособность КриптоАРМ 5 Стандарт по такой схеме пока НЕпроверена и результат совместимости неизвестен. Даже Trusted.ru не знает, будет ли это работать, и почему-то ленится проверить самостоятельно :) Возможно потому что даже если и будет работать, то это не поддерживается в Trusted.ru.

Ничего не могу прокомментировать - этот софт пишут другие организации.
Цитата:
4) Считыватель смарткарт SafeTouch PRO позволяет получить авторизацию кнопкой каждой транзакции на подпись PKCS11, пусть хотя бы даже без отображения на дисплее считывателя (без интеграции с ним).
Кстати, это не зависит от используемого CSP? SafeTouch PRO без интеграции просит авторизацию и для Infotecs CSP и для КриптоПРО CSP и через только PKCS11 без CSP тоже, потому что отслеживает низкоуровневые команды APDU?

Ну, да, SafeTouch отслеживает APDU. Если что-угодно послало APDU с INS=<подпись>, то он её заблокирует до подтверждения.
Цитата:
На выяснение всего этого ушло около месяца (весь июль 2020), почти ежедневно отправлялось по 5-10 сообщений в различные сервисы поддержки, на форумы и т.п.
Мне кажется, даже телепаты не смогли бы сделать это намного быстрее из-за различных технических сложностей, дефицита доступа к специалистам, кто знает все это в комлексе, а не отдельными фрагментами знаний, и отсутствия документации, где бы все это было компактно описано в одном документе.

Мне кажется, исходя из данной ветки, что если бы вы сразу описали свою конкретную задачу, вам бы сразу дали ответ, как её можно решить. Вы же задаете десяток очень частных вопросов, которые, возможно, интересны с точки зрения общего развития, но к решению не приближают. Я, например, до сих пор с трудом понимаю, что именно вы хотите получить в результате.
Цитата:
Почему бы не разместить все это на сайте УЦ (например СКБ Контур) в удобном виде, с опциями в заказе: сертификат ключа PKCS11 с годовой лицензий КриптоПРО 5, правильные смарткарты Rutoken ЭЦП 2.0 с сертификатом ФСБ, SafeTouch PRO (с интеграцией в Диадок, МИГ24 и КриптоАРМ), Диадок/МИГ24 для подписания.
С подробным описанием каждой опции, что и зачем, чтобы можно было заказать за пару минут, а не за один месяц.
Все эти опции в комлпексе были бы проверены и опробованы в техподдержке УЦ, а не в процессе изучения пользователем "А может быть, будет работать".

"сертификат ключа PKCS11 с годовой лицензий КриптоПРО 5" - это было бы странно. Выпускать ключ НЕ через CSP, но впиливать туда лицензию от CSP. Повторюсь, если ваш софт умеет работать только с PKCS#11, вы можете к нему подключить CSP - это уже много лет как нормальный вариант использования провайдера.
Про размещение информации про SafeTouch напишите в SafeTech - может, они заинтересуются, и будут продвигать его в УЦ. Еще раз скажу, что это ОЧЕНЬ специальная железка, которая распознает СЧИТАННОЕ число форматов. Если вы банк, который сам пишет себе систему ЭДО, то вы можете создавать документы в формате SafeTouch. Если вы обычный человек, который подписывает pdf или запросы на сайте Госуслуг, то надпись "подпись какой-то фигни" вам ничем не поможет - "хакер" вполне мог подменить документ. В этом смысле SafeTouch будет не безопаснее обычного токена с кнопкой типа Рутокен Touch.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#35 Оставлено : 28 июля 2020 г. 12:34:39(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате
Цитата:
На выяснение всего этого ушло около месяца (весь июль 2020), почти ежедневно отправлялось по 5-10 сообщений в различные сервисы поддержки, на форумы и т.п.
Мне кажется, даже телепаты не смогли бы сделать это намного быстрее из-за различных технических сложностей, дефицита доступа к специалистам, кто знает все это в комлексе, а не отдельными фрагментами знаний, и отсутствия документации, где бы все это было компактно описано в одном документе.

Мне кажется, исходя из данной ветки, что если бы вы сразу описали свою конкретную задачу, вам бы сразу дали ответ, как её можно решить. Вы же задаете десяток очень частных вопросов, которые, возможно, интересны с точки зрения общего развития, но к решению не приближают. Я, например, до сих пор с трудом понимаю, что именно вы хотите получить в результате.


Я хотел обезопасить свой ключ ЭЦП, слелав его неизвлекаемым. Одно лишь это достаточно сложно.

Попробуйте ради спортивного интереса получить сертификат ЭЦП с ключом PKCS 11 в УЦ отличном от СКБ Контур или НТС Софт.

Да даже в СКБ еще надо знать к кому обратиться и какие волшебные слова при этом говорить, чтобы отсеять глупости про "вам подойдет рутокенS с неэкспортируемыми ключами, ведь они же неэкспортируемые, что вам еще надо ?!?". Представьте какой unhandled exception происходил в любом другом УЦ кроме НТС Софт: http://forum.rutoken.ru/topic/3198/
Я описывал задачу много раз специалистам поддержки разных УЦ: Тензор, Такснет, Такском и т.д. и т.п. - вот это все, только зря потраченное на них время, пустые переговоры, заявки, в результате фига. Некоторые "самые продвинутые" спецы поддержки после мозгового штурма в течение нескольких дней предлагали алкосерт ЕГАИС, но потом каждый раз выяснялось, что он не для физиков.

УЦ НТС единственный, чья поддержка сразу же поняла о чем идет речь, все остальные в том числе и СКБ упорно путали PKCS11 с неэкспортируемым ключом РутокенS, причем навязывали мне его на полном серьезе. Но УЦ НТС слишком маленький, сил и времени у НТС явно не хватает даже на то, чтобы вовремя ответить на вопросы по e-mail, сотрудник ушел в отпуск - все ждем его, автоматического дублирования его функций нет, спартанский УЦ, но зато квалифицированный :) Нет даже количественного биллинга для МИГ24 как у Диадок.

Получается из серьезных крупных надежных и УЦ, у которых тоже есть отдельные квалифицированные специалисты - это только СКБ Контур, один УЦ на всю страну, прекрасно. Возможно УЦ КриптоПро тоже квалифицированный и надежный, но впечатление, что физики ему даром ненужны.

Даже СКБ (К примеру их официальное ОКО надзора) и НТС боятся добавить слово PKCS11 в счет или договор: "Вы после оплаты позвоните поддержке, они там подшаманят и получите свой сертификат, а если забудут подшаманить, то можете подтереться своим счетом или договором".

Как вы себе представляете описание задачи вам, если я не знал о существовании SafeTouch (он кстати тоже один в своем роде на всю страну, и то якобы только банков, т.е. еще попробуй найди его),
а все поддержки кроме вас и Рутокен разводят руками при слове терминал с клавиатурой для смарткарт ЭДО, да даже при слове PKCS11 :)
Поддержка Infotecs к примеру уже второй день не отвечают по поводу совместимости их собственного CSP с ключами PKCS11, сверхсложный вопрос, наверно?
Даже trusted.ru и cryptostore похоже смутно представляют, зачем в ассортименте считыватели с клавиатурой SPE (Secure PIN Entry),
а вот интересно, вы знаете, зачем ? :)

Автор: Агафьин Сергей Перейти к цитате

"сертификат ключа PKCS11 с годовой лицензий КриптоПРО 5" - это было бы странно.
Выпускать ключ НЕ через CSP, но впиливать туда лицензию от CSP.


Мне нужен КриптоПро по нескольким причинам:
1) Диадок даже при работе через PKCS11 требует зависимости (вы сами объясняли).
2) Попытка использования ключей PKCS11 в КриптоАРМ Стандарт через КриптоПРО 5.
3) Утилита cryptcp, она работает с ключами PKCS11 на Рутокен ЭЦП 2.0? Может генирировать усовершенствованные подписи?


Автор: Агафьин Сергей Перейти к цитате

Повторюсь, если ваш софт умеет работать только с PKCS#11, вы можете к нему подключить CSP - это уже много лет как нормальный вариант использования провайдера.

Вы про чудом обнаруженную с вашей помощью совместимость (без создания новых ключей) КриптоПро5 с ключами PKCS11 на Рутокен ЭЦП 2.0?

Одна из служб поддержки других аппаратных токенов:
Цитата:

А вот Диадок и МИГ24 вероятнее всего используют КриптоПро CSP. В случае если там поддерживается КриптоПро CSP 5.0, могут применяться в том числе неизвлекаемые ГОСТ-ключи.
К сожалению, формат работы КриптоПро CSP 5.0 с неизвлекаемыми ключами несовместим с pkcs#11.

Если это утверждение рассматривать в контексте Рутокен ЭЦП 2.0 (который я как раз и собираюсь использовать), я чуть было уже не заказал два сертификата физ. лица, один с ключом PKCS11 для Диадок и другой на Рутокен S для КриптоАРМ Стандарт.
Хотя потом обнаружилось, что Infotecs CSP может использовать и ключи PKCS11, а потом и про исключение из правил для КриптоПРО5 + Рутокен ЭЦП 2.0 + ключи PKCS11.


Автор: Агафьин Сергей Перейти к цитате

Про размещение информации про SafeTouch напишите в SafeTech - может, они заинтересуются, и будут продвигать его в УЦ. Еще раз скажу, что это ОЧЕНЬ специальная железка, которая распознает СЧИТАННОЕ число форматов. Если вы банк, который сам пишет себе систему ЭДО, то вы можете создавать документы в формате SafeTouch. Если вы обычный человек, который подписывает pdf или запросы на сайте Госуслуг, то надпись "подпись какой-то фигни" вам ничем не поможет - "хакер" вполне мог подменить документ. В этом смысле SafeTouch будет не безопаснее обычного токена с кнопкой типа Рутокен Touch.


SafeTouch PRO мне и нужен был как раз хотя бы как Rutoken ECP2 Touch.
Лучше бы конечно с показом заголовка сообщения на дисплее, например по настраиваемой предопределенной подстроке в документе. Что мешает интегрировать SafeTouch с ЭДО аналогично ДБО?

Им интересны только банкиры с заказами на сотни девайсов, даже розница для ЭДО (пусть даже без интеграции) им неинтересна.

Способ получения SafeTouch PRO для ЭДО сегодня - это получение ДБО юр. лица в одном из банков - их партнеров.

Все это походит на какой-то ребус или квест, впечатление, что PKCS11 существует где-то в параллельном мире, а SafeTouch PRO вообще в другой вселенной,
и УЦ оно нафик нинада, и так сойдет.

Отредактировано пользователем 29 июля 2020 г. 14:49:05(UTC)  | Причина: Не указана

Offline sanyo  
#36 Оставлено : 29 июля 2020 г. 14:41:36(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Интересный ответ пришел от службы поддержки СКБ Контур:

Цитата:

1. Сертификаты с Аппаратной криптографией выдаём в формате pkcs11 - генерироваться он будет только без помощи Крипто Про CSP . Функции генерации ключа реализованы через К.Плагин. Но отображаться и работать через Крипто Про CSP такой ключ будет (правда, требуется лицензия на Крипто Про CSP, чтобы можно было работать с ключом через Крипто Про CSP. При работе в наших сервисах через К.Плагин - лицензия на Крипто Про не потребуется для работы с данным ключом). Данный сертификат можно выпустить на физическое лицо.

2. В КриптоПро CSP 5.0 реализована обёртка надо pkcs11 - Разницы в том, что будет генерироваться с помощью К.Плагина или КриптоПро CSP 5.0 , нет.

3. Если речь идёт про неизвлекаемый ключ в формате pkcs11 - разницы в работе с помощью К.Плагина или КриптоПро CSP 5.0 только в требовании лицензии по истечению ее срока для КриптоПро CSP 5.0


Я так понимаю, что:

1) Работать через КриптоПРО 5 будет только в случае Рутокен ЭЦП 2.0?

2) Вероятно ошибочное утверждение, что формат одинаковый? Ведь речь о формате генерируемого ключа?

3) Вообще не понял, о чем речь.

Отредактировано пользователем 29 июля 2020 г. 14:43:48(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.