Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ключи в облаке, а крипто-функции на персональной компьютере
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,677   Сказал «Спасибо»: 500 раз
Поблагодарили: 2043 раз в 1584 постах
|
Автор: Анатолий Колкочев  Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... Поздравляю. Описано, как работает ПО по подписанию документов. Для той же ФНС\судов и прочее. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,677 Сказал «Спасибо»: 500 раз
Поблагодарили: 2043 раз в 1584 постах
|
Автор: Санчир Момолдаев Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант все зависит от настроек DSS. если AllowHashSigning = true, то хэш высчитывается на локальном CSP 5.0 если false, то на сервере DSS AllowHashSigning по умолчанию false, что рекомендовано в эксплуатационной документации Тогда замеряем возможности DSS, сервера, канала... на отправку 1Гб, хеширования на сервере и подписании хеша... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,677 Сказал «Спасибо»: 500 раз
Поблагодарили: 2043 раз в 1584 постах
|
Автор: Анатолий Колкочев Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... Я надеюсь подписывают криптографический хеш (с правильной инициализацией)? Или шок (тоже) - когда вычисляют хеш и ... подписывают этот хеш... как строку в hex (от которой внутри вычисляется хеш, который подписывают в итоге)... есть такие ИС (даже банки)... |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей Писарев Автор: Анатолий Колкочев Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... Я надеюсь подписывают криптографический хеш (с правильной инициализацией)? Или шок (тоже) - когда вычисляют хеш и ... подписывают этот хеш... как строку в hex (от которой внутри вычисляется хеш, который подписывают в итоге)... есть такие ИС (даже банки)... Да-да, в той системе подписывают хеш! Т.е. вычисляют хеш и подписывают хеш!! Причем хеш вычисляют по алгоритму "старому" алгоритму Отредактировано пользователем 18 ноября 2019 г. 18:56:53(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,677 Сказал «Спасибо»: 500 раз
Поблагодарили: 2043 раз в 1584 постах
|
Автор: Анатолий Колкочев Автор: Андрей Писарев Автор: Анатолий Колкочев Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... Я надеюсь подписывают криптографический хеш (с правильной инициализацией)? Или шок (тоже) - когда вычисляют хеш и ... подписывают этот хеш... как строку в hex (от которой внутри вычисляется хеш, который подписывают в итоге)... есть такие ИС (даже банки)... Да-да, в той системе подписывают хеш! Т.е. вычисляют хеш и подписывают хеш!! Причем хеш вычисляют по алгоритму "старому" алгоритму  вот... вот... обращались) возможно даже мы вспоминаем одну и ту же ИС...
сказал переделывайте...
сказали - нельзя, так ИС написана вся и много API заточено на вот такое...
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей Писарев Автор: Анатолий Колкочев Автор: Андрей Писарев Автор: Анатолий Колкочев Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... Я надеюсь подписывают криптографический хеш (с правильной инициализацией)? Или шок (тоже) - когда вычисляют хеш и ... подписывают этот хеш... как строку в hex (от которой внутри вычисляется хеш, который подписывают в итоге)... есть такие ИС (даже банки)... Да-да, в той системе подписывают хеш! Т.е. вычисляют хеш и подписывают хеш!! Причем хеш вычисляют по алгоритму "старому" алгоритму вот... вот... обращались) возможно даже мы вспоминаем одну и ту же ИС...
сказал переделывайте...
сказали - нельзя, так ИС написана вся и много API заточено на вот такое...
Вполне может быть) Там случайно каждые два байта хеша, который подписывался, местами не менялись?) Отредактировано пользователем 18 ноября 2019 г. 19:38:03(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,677 Сказал «Спасибо»: 500 раз
Поблагодарили: 2043 раз в 1584 постах
|
Автор: Анатолий Колкочев Автор: Андрей Писарев Автор: Анатолий Колкочев Автор: Андрей Писарев Автор: Анатолий Колкочев Могу предложить следующий вариант:
1. Находится значение хеш-функции
2. Полученное значение сохраняется в файле
3. Передаёте подписанное значение на подпись DSS для формирования прикреплённой подписи.
Звучит не очень, правда)
Недавно просто с таким столкнулся
Был шокирован... Я надеюсь подписывают криптографический хеш (с правильной инициализацией)? Или шок (тоже) - когда вычисляют хеш и ... подписывают этот хеш... как строку в hex (от которой внутри вычисляется хеш, который подписывают в итоге)... есть такие ИС (даже банки)... Да-да, в той системе подписывают хеш! Т.е. вычисляют хеш и подписывают хеш!! Причем хеш вычисляют по алгоритму "старому" алгоритму вот... вот... обращались) возможно даже мы вспоминаем одну и ту же ИС...
сказал переделывайте...
сказали - нельзя, так ИС написана вся и много API заточено на вот такое...
Вполне может быть) Там случайно каждые два байта хеша, который подписывался, местами не менялись?) и такое было... |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей Писарев
и такое было...
Как раз с таким буквально на днях столкнулся... Долго пытался понять, что не так с якобы "открепленной" подписью.. Пока не понял, что она, оказывается, прикрепленная... Потом еще долго гадал, каким образом у них хеш такой получается... |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2012(UTC)
Сообщений: 7
Откуда: Moscow
|
Автор: Андрей Писарев Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант Пусть почитают описание CMS тогда. В CMS говорится, что CAdES содержит подписываемые данные ("бизнес-данные") пользователя, а данные ("бизнес-данные") пользователя это файл (1гб). Если использовать процесс: 1. Мы через локальный CSP сняли хеш файла (1Гб) какой-нибудь ГОСТовой хеш-функцией. 2. На подпись в облако в CAdES-BES отправили Content, в котором в кодировке base64 содержится хеш файла, а не сам файл. то получается, что пользователь на подпись отправил не "бизнес-данные" в виде файла, а "технологические-данные" - хеш. Есть ли судебная практика доказательства действительности подписи после двух шагов преобразования пользовательских данных? (1ый преобразования файла в хеш, 2ой шаг - получения хеша функцией подписи)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,677 Сказал «Спасибо»: 500 раз
Поблагодарили: 2043 раз в 1584 постах
|
Автор: artyomst Автор: Андрей Писарев Автор: artyomst Автор: Андрей Писарев Здравствуйте.
КриптоПРО CSP 5.
Приложения - любые, где реализована возможность подписания больших файлов (именно больших), которые используют низкоуровневые вызовы для расчёта хеша, который передается на подписание в облако. Спасибо, но со стороны отдела по информационной безопасности пришел отказ в процессе: 1. Локальное СКЗИ расчитывает хеш файла 2. Облако подписывает хеш файла Отказ в данном процессе по следующей причине: подпись значения хеш-функции от содержимого файла не является подписью самого файла. На этом основании факт наличия подписи для файла может быть успешно оспорен в суде. Либо я не понял, ваш вариант Пусть почитают описание CMS тогда. В CMS говорится, что CAdES содержит подписываемые данные ("бизнес-данные") пользователя, а данные ("бизнес-данные") пользователя это файл (1гб). Если использовать процесс: 1. Мы через локальный CSP сняли хеш файла (1Гб) какой-нибудь ГОСТовой хеш-функцией. 2. На подпись в облако в CAdES-BES отправили Content, в котором в кодировке base64 содержится хеш файла, а не сам файл. то получается, что пользователь на подпись отправил не "бизнес-данные" в виде файла, а "технологические-данные" - хеш. Есть ли судебная практика доказательства действительности подписи после двух шагов преобразования пользовательских данных? (1ый преобразования файла в хеш, 2ой шаг - получения хеша функцией подписи) в пункте 2 - Вы неправильно понимаете\используете API для подписания. В этом вся проблема... |
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ключи в облаке, а крипто-функции на персональной компьютере
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
