Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Звездный_Лорд  
#1 Оставлено : 19 ноября 2020 г. 10:04:52(UTC)
Звездный_Лорд

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 3
Российская Федерация

Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?
Offline Андрей *  
#2 Оставлено : 19 ноября 2020 г. 10:36:08(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Звездный_Лорд Перейти к цитате
Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?


Здравствуйте.

При создании контейнера можно указывать его имя.
Техническую поддержку оказываем тут
Наша база знаний
Offline Звездный_Лорд  
#3 Оставлено : 19 ноября 2020 г. 10:41:24(UTC)
Звездный_Лорд

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 3
Российская Федерация

Автор: Андрей * Перейти к цитате
Автор: Звездный_Лорд Перейти к цитате
Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?


Здравствуйте.

При создании контейнера можно указывать его имя.


Добрый день. Как это сделать?
Offline Андрей *  
#4 Оставлено : 19 ноября 2020 г. 10:44:34(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Звездный_Лорд Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: Звездный_Лорд Перейти к цитате
Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?


Здравствуйте.

При создании контейнера можно указывать его имя.


Добрый день. Как это сделать?


Что Вы делаете "при получении контейнера"?

Получении от кого?
Вы программно генерируете запрос на сертификат (создавая контейнер), верно?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#5 Оставлено : 19 ноября 2020 г. 10:46:44(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
функция CryptAcquireContext, второй параметр - имя контейнера.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#6 Оставлено : 19 ноября 2020 г. 10:48:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Имя контейнера - описано в CPDN
Техническую поддержку оказываем тут
Наша база знаний
Offline Звездный_Лорд  
#7 Оставлено : 19 ноября 2020 г. 11:24:56(UTC)
Звездный_Лорд

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 3
Российская Федерация

Автор: Андрей * Перейти к цитате
Имя контейнера - описано в CPDN


Большое спасибо!) то есть можно сделать так, чтобы при получении контейнера, пользователь сам мог указать имя этого контейнера?
Offline Андрей *  
#8 Оставлено : 19 ноября 2020 г. 11:43:07(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Звездный_Лорд Перейти к цитате
Автор: Андрей * Перейти к цитате
Имя контейнера - описано в CPDN


Большое спасибо!) то есть можно сделать так, чтобы при получении контейнера, пользователь сам мог указать имя этого контейнера?


Конечно.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#9 Оставлено : 21 ноября 2020 г. 3:36:57(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Если правильно понимаю, это касается дружественного имени контейнера.
Цитата:
FOLDER Не может использоваться при создании ключа.

Вопрос 1: а что можно сделать с заданием как раз имени папки - часть имени FQCN?

Типичная ситуация - сайт Федерального казначейства формирует запрос на сертификат и автоматом указывает в дружественное имя ФИО и дату без года, после этого автоматически генерируется абракадабра в имени папки с контейнером, причем одинаковая каждый год (от первых 8 символов дружественного имени, то есть фамилии в данном случае). С учетом того, что на сайт нужно зайти по прошлогоднему сертификату, чтобы сформировать запрос на новый, контейнер с прошлого года будет подключен одновременно при генерации нового и выбран тот же носитель (количество портов usb на ноутбуках не резиновое) - начинаются вариации имени папки .000 .001 и так далее.
Интерфейс УЦ от Контура вписывает в начало последовательный номер, что спасает частично, но нисколько не информативно. Можно конечно через MiTM заменить код формирования дружественного имени на сайте, но как-то это притянуто за уши и может нарушить нормальную генерацию.

Можно ли как-то переопределить специфику генерации имени папки (для HDIMAGE и флешек)? В идеале - возможность зарегистрировать в реестре свою функцию преобразования дружественного имени в 8dot3 имя папки (по аналогии с кодированием объектов CryptoApi), а если вернулось неподходящее для носителя значение, то генерировать как сейчас.

Вопрос 2: что насчет импорта pfx, напомните, появилась ли возможность задать имя контейнера в командной строке вместо гуида?

Отредактировано пользователем 21 ноября 2020 г. 4:38:53(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#10 Оставлено : 22 ноября 2020 г. 14:57:23(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: two_oceans Перейти к цитате
Если правильно понимаю, это касается дружественного имени контейнера.
Вопрос 1: а что можно сделать с заданием как раз имени папки - часть имени FQCN?

Можно ли как-то переопределить специфику генерации имени папки (для HDIMAGE и флешек)? В идеале - возможность зарегистрировать в реестре свою функцию преобразования дружественного имени в 8dot3 имя папки (по аналогии с кодированием объектов CryptoApi), а если вернулось неподходящее для носителя значение, то генерировать как сейчас.[SPOILER]Переделывать имя папки вручную непросто, так как при генерации Криптопро CSP записывает в реестр соответствие дружественного имени папки и FQCN, поэтому нужно либо менять дружественное имя (например, вписывать при копировании контейнера нужное имя папки в первые символы дружественного имени) либо стирать соответствие в реестре.

Добрый день. Переопределить нельзя. Не очень понятно, как можно просто и безопасно зарегистрировать в реестре "функцию" преобразования имени.
Есть другое решение: вы можете установить настройку, которая позволит использовать на hdimage полноценные длинные имена, как и для Реестра. Тут, конечно, вам придется самостоятельно контроллировать, чтобы генерировались контейнеры с корректным набором символов.

Для активации нужно в [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\KeyDevices\HDIMAGE\Default] добавить DWORD-значение long_names = 1. Для флэшек добавить такое же значение сюда: [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\KeyDevices\FAT12\PNP FAT12\Default]

Важное замечание: ключи из папок 8.3 тоже будут видны, но папки будут интерпретироваться как полные имена контейнеров, так что у них всех изменятся unique-имена. Пример:
Раньше было HDIMAGE\\folderna.000\4FCC, теперь станет HDIMAGE\\folderna.000. А так как именно такой формат имен используется в ссылках на закрытые ключи, все ссылки из личного хранилища станут невалидными. Сертификаты нужно будет переустановить:
csptest -absorb -cert -pattern hdimage

Важное замечания 2: имена контейнеров тоже изменятся. Если раньше оно могло быть FolderName и лежать в папке folderna.000, то теперь отображаемое имя будет folderna.000.

Отредактировано пользователем 22 ноября 2020 г. 15:00:27(UTC)  | Причина: Не указана

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 2 пользователей поблагодарили Grey за этот пост.
Андрей * оставлено 22.11.2020(UTC), two_oceans оставлено 23.11.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.