Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ключи в облаке, а крипто-функции на персональной компьютере
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2012(UTC) Сообщений: 7 Откуда: Moscow
|
Добрый день!
Подскажите по организации процесса подписи больших файлов (около 1гб) без получения ключей на физических носителях. Я вижу этот вариант так: 1. Секретные ключи хранятся в облаке. 2. Локальное СКЗИ при вызове функций подписи обращается не к usb-токену, а в облако?
Если ли подобные решения? Какие продукты необходимы для таких решений?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
Здравствуйте.
КриптоПРО CSP 5. Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2012(UTC) Сообщений: 7 Откуда: Moscow
|
Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5. Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5. Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант Пусть почитают описание CMS тогда. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
Автор: artyomst
Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла
Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Для генерации отсоединенной подписи = формируется хеш, значение хеша передается на высокоуровные функции, которые в итоге формируют CMS+вкладывают сертификат(ы), атрибуты (среди которых есть хеш документа) и выполнятся подписание структуры + TSP штамп и прочее. У Вас также может возникнуть вопрос о том, что подписываться "может" не тот хеш, который получило локальное ПО, но тогда при проверке локально - Вы сможете это проверить. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
Автор: artyomst Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Что является подписью в ГОСТ-е?SignHash |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
процитирую ... суть темы (для чего хешируют): Цитата: Использование хеш-функций
Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.
Использование хеш-функций даёт следующие преимущества:
Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хеш документа и подписывать его получается намного быстрее, чем подписывать сам документ. Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат. Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Могу предложить следующий вариант:
1. Находится значение хеш-функции 2. Полученное значение сохраняется в файле 3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда) Недавно просто с таким столкнулся Был шокирован... |
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз Поблагодарили: 226 раз в 213 постах
|
Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5. Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант все зависит от настроек DSS. если AllowHashSigning = true, то хэш высчитывается на локальном CSP 5.0 если false, то на сервере DSS AllowHashSigning по умолчанию false, что рекомендовано в эксплуатационной документации |
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ключи в облаке, а крипто-функции на персональной компьютере
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close