Спасибо. Написаль письмо в ОАО "УЭК". Будем ждать ответа.

В прикладном приложении так же необходимо чтение идентификационных данных с карты. У крипто про можно это делеть через COM, но нам нужно чтение из Java с возможностью работы под линуксом. Через Java smartcardio такое сделать возможно. Посниффили работу cadesplugin, что то прояснилось. Но как я понял - с карточкой устанавливается шифрованное соединение на cv сертификате и закрытом ключе. Где их взять? И как работает cadesplugin - в нем уже зашиты эти ключи или он откуда то их скачивает? В общем есть ли у кого нибудь информация, как через APDU считать данные с этой карты?

Да, адреса эти заметил. Есть еще cvservice-t.uecard.ru:443 для работы с тестовыми картами. Не подскажете, что это за сервер сертификатов? С него можно просто скачать CV сертификат ОКО? Или он "выдает" сертификат терминала (в таком случае где Криптопро УЭК CSP берет ЗК?). Как я понял, для чтения данных идентификационного приложения нужно устанавливать шифрованное соединение, передавая CV сертификат карточке и получая ее CV сертификат? "Свой" - это сертификат "терминала"?

C COM объектом то я давно решение "приладил". Но на линуксе оно не работает. Так же как и C++ ИБТ с использованием win cryptoApi. Судя по ИБТ при работе с картой используется CV терминала и ЗК терминала для симметричного шифрования. Неужели в Крипто про УЭК CSP зашили ЗК терминала и CV (если да - какого терминала, на каком основании выдали ключи?)? Кстати, ведь при первом обращении еще какой то ключик генерируется... Уж не такой ли примерно алгоритм работы:
1) Терминал (в данном случае CSP УЭК) просит у карточки сертификат;
2) При помощи сертификата, полученного с cvservice-t.uecard.ru:443 терминал проверяет достоверность сертификата (убеждается, что это УЭК);
3) Если сертификат УЭК, то терминал с его помощью шифрует ключ, сгенерированный при первом обращении (биологический датчик ведь появляется);
4) Терминал отправляет зашифрованный ключ УЭК (асимметричное шифрование);
5) Если карточка расшифрует ключ - то это действительно УЭК :) ;
6) Далее в рамках установленного шифрованного соединения на симметричном ключе производится обмен командами/данными
???

Отредактировано пользователем 7 ноября 2013 г. 22:22:18(UTC)  | Причина: Не указана

Продолжу тему. Решаю похожую задачу. Есть система электронного документооборота (назовем ее внешней системой). Из нее можно вызывать com-объекты. Требуется функционал:



Что удалось реализовать (использую кард-ридер ACR83):
1. Через COM, с помощью "CAdESCOM.UECard" можно программно устанавливать пин (.SetPin1("<ПИН>")) и считывать/менять данные с УЭК.
2. Также, с помощью КриптоПро УЭК CSP можно установить сертификат ключа с УЭК в личное хранилище на компьютере и подписывать с его помощью электронные документы в во внешней системе (запрос ПИН2 - для подписания, происходит в КриптоПро УЭК CSP).

Но этот функционал я могу выполнять у себя локально на компьютере: ПИН я заранее знаю и устанавливаю его программно, сертификат тоже вручную экспортировал в хранилище. А как это реализовать универсально, чтобы данный функционал (считывание данных с УЭК и подписание какой-либо информации) работал для любого пользователя УЭК?

Какие вижу задачи сейчас:
1. Нужно запрашивать ПИН на кард-ридере. Получается, нужно под ридер программировать и как то данные с него передавать в крипто про?
2. Можно ли подписывать информацию, не устанавливая каждый серитификат с УЭК в локальное хранилище.

Поделитесь пожалуйста опытом, кто реализовывал что то похожее.