Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2016(UTC) Сообщений: 21  Сказал(а) «Спасибо»: 11 раз
|
Читаю "Руководство безопасности администратора Linux". Раздел "4.5. Настройка криптопровайдера по умолчанию". Там упоминаются типы криптопрвайдеров. В CSP 4.0.9797 (тот что R2) их три: Код:$ cpconfig -defprov -view_type
Listing Available Provider Types:
Provider type Provider Type Name
_____________ _____________________________________
75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
80 GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
81 GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
Тип криптопровайдера 75 мне уже знаком. Он указывался в командах примера по созданию криптоконтейнера для ридера HDIMAGE. Оказалось, что на каждый тип есть по два криптопровайдера: Код:$ cpconfig -defprov -view -provtype 75
Listing Available Providers:
Provider type Provider Name
_____________ _____________________________________
75 Crypto-Pro GOST R 34.10-2001 KC1 CSP
75 Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Код:$ cpconfig -defprov -view -provtype 80
Listing Available Providers:
Provider type Provider Name
_____________ _____________________________________
80 Crypto-Pro GOST R 34.10-2012 KC1 CSP
80 Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Код:$ cpconfig -defprov -view -provtype 81
Listing Available Providers:
Provider type Provider Name
_____________ _____________________________________
81 Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP
81 Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider
Все шесть криптопровайдеров можно увидеть на странице тестового УЦ при формировании заявки на сертификат (нужен плагин для браузера). В чем разница между типами криптопровайдеров и разница между криптопровайдерами в пределах одного типа?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
Имена вида "Crypto-Pro GOST R 34.10-* KC? CSP" - это наши стандартные имена для типов на unix.
"GOST R 34.10-*" обозначает поддерживаемые алгоритмы, а KC? - уровень защищённости СКЗИ.
Такой выбор имён обусловлен тем, что на unix можно поставить одновременно, например, KC1 и KC2-провайдеры.
На Windows одновременная установка KC1 и KC2 никогда не была не предусмотрена, поэтому исторически там использовались имена вида:
"Crypto-Pro GOST R 34.10-* Cryptographic Service Provider", по которым нельзя понять уровень защищённости.
Для провайдера с "длинными" ключами добавлено слово "Strong".
Начиная с "2016-07-12 КриптоПро CSP 4.0.9758 Ostrogradsky" для удобства мы добавили на unix регистрацию имён провайдеров в windows-стиле.
С ними сохраняется неоднозначность уровня защищённости. В данный момент, какой провайдер поставлен последним, тот и займёт windows-имена. |
|
 3 пользователей поблагодарили Русев Андрей за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2016(UTC) Сообщений: 21 Сказал(а) «Спасибо»: 11 раз
|
Правильно ли я понял, что криптопровайдеры типа 81 не поддерживают ключи шифрования? Это о разнице между алгоритмами. Я пробовал создать самоподписанный сертификат на криптоконтейнере типа 81, но получил все равн6о 75. Создавал контейнер и сертификат в нем одним вызовом csptestf на ридере HDIMAGE. Хотя, вероятнее всего, при создании сертификата надо было указать явно тип криптопровайдера. Отредактировано пользователем 10 октября 2016 г. 15:40:11(UTC)
| Причина: Команда certmgr --list -store uMy' показывает криптопровайдер, установивший сертификат, а не создавш
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
Неправильно. Пока провайдеры отличаются только алгоритмами асимметричных ключей и параметрами шифрования по умолчанию. Сейчас любой тип провайдера может открыть контейнер, созданный любым типом. Поэтому по типу в ссылке на закрытый ключ нельзя судить об алгоритмах. Узнать о них можно с помощью Код:csptest -keyset -container имя -info
|
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.09.2016(UTC) Сообщений: 21 Сказал(а) «Спасибо»: 11 раз
|
Автор: olin  ...Пока провайдеры отличаются только алгоритмами асимметричных ключей и параметрами шифрования по умолчанию. ... Получается, я напутал. Алгоритм шифрования в КриптоПро пока один - ГОСТ 28147-89 (Магма). Новый ГОСТ Р 34.12-2015 (Кузнечик) пока не поддерживается. Есть два алгоритма хеш функций (в том числе новейший) и три алгоритма ЭЦП (также есть новейший).
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
