Крипто Про CSP + СКЗИ- Page 3

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

4 Страницы<1 234 >

Крипто Про CSP + СКЗИ

Опции

Предыдущая тема Следующая тема

Рад. Ион		#21 Оставлено : 24 мая 2018 г. 14:18:06(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Мне хоть сказали, что JaCarta SE и PKI/ГОСТ одинаковые, но чуть-чуть отличаются. Вам так откровенно соврали.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#22 Оставлено : 24 мая 2018 г. 14:20:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: Рад. Ион Я тоже параллельно провел исследование. Вы чуть раньше меня написали. Но у меня другие результаты. И это уже интересно. См. описание JaCarta SE https://ca.kontur.ru/articles/313 СКБ Контур так же подтвердил, что Jacarta SE это НЕ PKI/ГОСТ ! Токен JaCarta SE PKI/ГОСТ сочетает в себе возможности трех приложений, или апплетов — Приложение «ГОСТ» позволяет формировать квалифицированную электронную подпись при помощи сертифицированной реализации российских криптографических алгоритмов ГОСТ Р34.10-2001, ГОСТ 28147-89 и ГОСТ Р34.11-94. Алгоритмы реализованы на самом устройстве, что повышает безопасность использования ЭП — ведь ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. — Приложение «PKI» используется для строгой 2-х или 3-х факторной аутентификации пользователей в различных информационных системах. — Приложение «SE» реализует фискальные функции внутри токена — считает количество операций, совершенных с приложением «ГОСТ» и хранит их журнал. PKI/ГОСТ - это два первых апплета. БЕЗ ТРЕТЬЕГО! Который реализует фискальные функции! А вот еще https://egais.center-inf...gais/nositel-jacarta.php Для аппаратного крипто-ключа JaCarta SE не требуется дополнительный криптопровайдер (например, КриптоПро CSP), т.к. он уже находится внутри JaCarta SE. Вообщем я понимаю, что мы косякнули, но КОЛЛЕГИ - КАК ТАК-ТО? JaCarta SE с 16 го года в ЕГАИС. Все люди мучаются - токены блокируются. Ответ производителя - сами виноваты. Покупайте новый токен. Или еще один, а этот по гарантии заменим. Я понимаю, что это выгодно производителю токенов. Но вы ж с этого не зарабатываете, а только теряете. Страшно спрашивать как в ЕГАИС Рутокен 2.0 работает с CSP. Он же тоже встроен в Криптопро csp? Он же то же СКЗИ и не как флэшка? Вообщем ситуация видится так. Вы вместе с Аладдин протестировали некоторые модели. А далее Аладдин продолжает штамповать новые модели и активно распространяет их на рынке. А все косяки - наши и ваши. Просто удивительно - ведь JaCarta SE на рынке с 16 го года!!!!! А формуляры на свои СКЗИ производители токенов предоставляют? Возможно их вообще использовать без оценок влияния и проверки корректности встраивания? Интересное исследование. Но это никак не противоречит тому, что сказали в Аладдине. Да, SE, может, физически и дополнительный апплет, но это детализация, которую пользователям знать избыточно, т.к., по сути, он обслуживает ГОСТ. Разницы между работой с данным токеном и токеном PKI/ГОСТ нет никакой. "КриптоПро CSP" не может заблокировать работу SE/ГОСТ-апплетов (и соответственно ЕГАИС-а). Я не совсем понимаю, каких действий вы ждете от нас?
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#23 Оставлено : 24 мая 2018 г. 14:26:51(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,045 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах		Автор: Рад. Ион https://egais.center-inform.ru/egais/nositel-jacarta.php Для аппаратного крипто-ключа JaCarta SE не требуется дополнительный криптопровайдер (например, КриптоПро CSP), т.к. он уже находится внутри JaCarta SE. Вы опять упёрлись в собственную картину мира и не хотите слышать ничего, что противоречит вашему видению. Криптография "на борту" - не фокус. Не фокус и высокоуровневая поддержка этой криптографии. Любой токен это ещё и банальный ISO/IEC 7816 - защищённая файловая система. А многие из токенов - ещё и Java MicroEdition. Таким образом, любое СКЗИ может: 1. Использовать токен как "флэшка с паролем". В этом случае на файловую систему токена будет записан файл (набор файлов), которых хранит ключевой контейнер в формате конкретного СКЗИ. Технически, работу с ISO7816 можно попробовать сделать на системном модуле поддержки смарт-карт, вообще без всяких драйверов; 2. Если у токена есть JavaME, то можно создать специальный аплет, который будет работать с ключевым контейнером используя ресурсы самого токена. Это исключает копирование ключевой информации за пределы токена; 3. Реализовать собственную поддержку, воспользовавшись низкоуровневым API; 4. Воспользоваться высокоуровневым API, которое предоставил изготовитель токена. Так вот, в любом из этих вариантов о встраивании речи не идёт - все варианты реализации предусмотрены техническим заданием и делаются в процессе разработки СКЗИ. Что же касается проведения совместных испытаний, то всё довольно просто: изготовитель токена обновил модельный ряд, сохраняя обратную совместимость. Совместные испытания позволяют подтвердить, что обратная совместимость действительно сохранена. Отредактировано пользователем 24 мая 2018 г. 14:28:35(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#24 Оставлено : 24 мая 2018 г. 14:27:46(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,045 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах		-


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#25 Оставлено : 24 мая 2018 г. 14:34:20(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: Grey Интересное исследование. Но это никак не противоречит тому, что сказали в Аладдине. Да, SE, может, физически и дополнительный апплет, но это детализация, которую пользователям знать избыточно, т.к., по сути, он обслуживает ГОСТ. Разницы между работой с данным токеном и токеном PKI/ГОСТ нет никакой. "КриптоПро CSP" не может заблокировать работу SE/ГОСТ-апплетов (и соответственно ЕГАИС-а). Я не совсем понимаю, каких действий вы ждете от нас? Мне сложно согласится с тем, что два апплета на устройстве это одно и тоже, что и три апплета на устройстве. В школе числительные мы по другому видимо проходили. Да просто хотел ответы на вопросы, что задавал ранее. 1. Использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ? 2. Возможно ли использовать два этих СКЗИ на одном ПК при совместной работе? 3. Если возможно, то есть ли (нужно ли) заключение фсб о корректности встраивания двух СКЗИ? 4. Какие аргументы в свою пользу мы можем выдать клиенту Ну 4 вопрос можно уже и опустить. На 1 и 2 , как я понимаю, ответ - что все хорошо. Даже с учетом того, что вы JaCarta SE никогда не видели и в сертификате совместимости этой модели нет, т.е ее не тестировали. Остался только третий вопрос тогда.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#26 Оставлено : 24 мая 2018 г. 14:41:21(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: Рад. Ион Мне сложно согласится с тем, что два апплета на устройстве это одно и тоже, что и три апплета на устройстве. В школе числительные мы по другому видимо проходили. Один из основных принципов разработки - инкапсуляция (скрытие деталей реализации от пользователя). Если функционально для пользователя 2 апплета и 3 апплета - это одно и тоже, зачем плодить сущности во внешнем описании? Автор: Рад. Ион 1. Использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ? Как оказалось, нет, не может. Автор: Рад. Ион 2. Возможно ли использовать два этих СКЗИ на одном ПК при совместной работе? Да. Автор: Рад. Ион 3. Если возможно, то есть ли (нужно ли) заключение фсб о корректности встраивания двух СКЗИ? Данные документы не нужны, т.к. никто из СКЗИ друг в друга не встраивается. CSP использует JaCarta в режиме "флешки с паролем", не вызывая подложенную криптографию и даже не вызывая функции с того приложения. Автор: Рад. Ион Даже с учетом того, что вы JaCarta SE никогда не видели и в сертификате совместимости этой модели нет, т.е ее не тестировали. Формально, раз это не "PKI/ГОСТ с другой наклейкой", вы можете сказать, что в сертификате совместимости, выданного КриптоПро на токены JaCarta, такого устройства нет.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#27 Оставлено : 24 мая 2018 г. 14:44:51(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,045 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах		Автор: Рад. Ион Мне сложно согласится с тем, что два апплета на устройстве это одно и тоже, что и три апплета на устройстве. В школе числительные мы по другому видимо проходили. Вы не в школе. Если в операционной системе Windows 7 SP x86 не установлено ни одного приложения, то это Windows 7 SP1 (x86). Для определённости можно называть такую установку "базовая". Если в базовую систему установить одно, два или десять приложений, то это всё равно будет Windows 7 SP1 (x86). И этот факт не изменится до тех пор, пока мы не обновим Windows 7 до Windows 10. Аплеты токена - отдельные (и изолированные) приложения, сохранённые на токене. Ноль таких апплетов или три - токен остаётся прежним токеном.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#28 Оставлено : 24 мая 2018 г. 15:43:15(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: basid Автор: Рад. Ион Мне сложно согласится с тем, что два апплета на устройстве это одно и тоже, что и три апплета на устройстве. В школе числительные мы по другому видимо проходили. Вы не в школе. Если в операционной системе Windows 7 SP x86 не установлено ни одного приложения, то это Windows 7 SP1 (x86). Для определённости можно называть такую установку "базовая". Если в базовую систему установить одно, два или десять приложений, то это всё равно будет Windows 7 SP1 (x86). И этот факт не изменится до тех пор, пока мы не обновим Windows 7 до Windows 10. Аплеты токена - отдельные (и изолированные) приложения, сохранённые на токене. Ноль таких апплетов или три - токен остаётся прежним токеном. Не спамьте, пожалуйста. Вы лучше почитайте, что такое СКЗИ Криптотокен - я ж ссылку ранее высылал. https://www.aladdin-rd.r...-2_GOST_prezentaciya.pdf Это не только апплет. Это еще и криптобиблиотека, что находится на ПК. стр 9 смотрите Очевидно, что наличие или отсутствие апплета определяет функциональные возможности устройства или их отсутствие. Ну и наличие или отсутствие криптобиблиотеки тоже скажется на работе устройств. Что и наблюдается в ЕГАИС - постоянно для Jacarta SE предлагают добавить куда-то исчезающие криптобиблиотеки.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#29 Оставлено : 24 мая 2018 г. 17:01:33(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: Grey Автор: Рад. Ион Мне сложно согласится с тем, что два апплета на устройстве это одно и тоже, что и три апплета на устройстве. В школе числительные мы по другому видимо проходили. Один из основных принципов разработки - инкапсуляция (скрытие деталей реализации от пользователя). Если функционально для пользователя 2 апплета и 3 апплета - это одно и тоже, зачем плодить сущности во внешнем описании? Так похоже что от вас что-то скрывают. Мне про три апплета сказали хоть как-то. Уж не знаю в чем такая тайна и почему сразу нельзя сказать все как есть. Стало понятно что "скрытием деталей реализации от пользователя" меньше всего занимается СКБ Контур. Продолжу общение с ними. Спасибо за уделенное время. Как я понял мы все узнали много нового ;-)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#30 Оставлено : 24 мая 2018 г. 17:39:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: Рад. Ион Вы лучше почитайте, что такое СКЗИ Криптотокен - я ж ссылку ранее высылал. https://www.aladdin-rd.r...-2_GOST_prezentaciya.pdf Это не только апплет. Это еще и криптобиблиотека, что находится на ПК. стр 9 смотрите Так, давайте уж разберемся. Аладдин говорит: СКЗИ - это апплет с криптографией (ГОСТ) + какое-то прикладное приложение на ПК. КриптоПро CSP использует апплет PKI. Даже на слайде 14 красиво выделено и показано, что является СКЗИ, а что нет. Мы не используем часть токена, которая является СКЗИ. С тем же успехом наличие в компьютере установленного КриптоПро CSP не делает его целиком СКЗИ.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

4 Страницы<1 234 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close