Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Анатолий Колкочев  
#1 Оставлено : 17 июня 2020 г. 8:45:15(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Здравствуйте.
Возник вопрос: имеем криптосообщения, созданные с использованием библиотеки КриптоПро CSP 5.0 и приложений csptest, cryptcp и КриптоПро DSS. Каким образом возможно определить, с помощью чего были сформированы эти файлы? Есть ли какой-то OID там?
Offline Андрей *  
#2 Оставлено : 17 июня 2020 г. 9:50:35(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Анатолий Колкочев Перейти к цитате
Здравствуйте.
Возник вопрос: имеем криптосообщения, созданные с использованием библиотеки КриптоПро CSP 5.0 и приложений csptest, cryptcp и КриптоПро DSS. Каким образом возможно определить, с помощью чего были сформированы эти файлы? Есть ли какой-то OID там?


Здравствуйте.

Такой информации нет в CMS, если только явно какой либо софт (не из перечисленного) это не запишет в атрибуты.


Но, если термин "средства ЭП" трактовать по приказу ФСБ (СКЗИ, а не приложения ( csptest, cryptcp...)) - то есть OID 1.2.643.100.111.
можно использовать информацию из вложенного сертификата - средства ЭП владельца, но это не 100% точность (например, УЦ указывает при издании КриптоПРО CSP (из шаблона по умолчанию), хотя ключ абонент может сгенерировать в ViPNet CSP).


Snimok ehkrana ot 2020-06-17 10-47-06.png (30kb) загружен 3 раз(а).

Snimok ehkrana ot 2020-06-17 10-46-11.png (23kb) загружен 5 раз(а).



Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#3 Оставлено : 17 июня 2020 г. 10:10:43(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: Андрей * Перейти к цитате

можно использовать информацию из вложенного сертификата - средства ЭП владельца, но это не 100% точность (например, УЦ указывает при издании КриптоПРО CSP (из шаблона по умолчанию), хотя ключ абонент может сгенерировать в ViPNet CSP).


Проверка того, была ли подпись (про RAW-подпись не говорю) создана с использованием сертифицированных средств или нет, пока не доступна? Просто можно же криптосообщение "собрать" самому, "запихнув" туда всевозможные OID-ы ...
Offline Андрей *  
#4 Оставлено : 17 июня 2020 г. 10:51:10(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Анатолий Колкочев Перейти к цитате
Автор: Андрей * Перейти к цитате

можно использовать информацию из вложенного сертификата - средства ЭП владельца, но это не 100% точность (например, УЦ указывает при издании КриптоПРО CSP (из шаблона по умолчанию), хотя ключ абонент может сгенерировать в ViPNet CSP).


Проверка того, была ли подпись (про RAW-подпись не говорю) создана с использованием сертифицированных средств или нет, пока не доступна? Просто можно же криптосообщение "собрать" самому, "запихнув" туда всевозможные OID-ы ...


В вопросе - ответ. Но не каждый софт на такое способен. На это расчёт?
Поделитесь ссылкой, где написано о такой "запланированной возможности"?


Вы для судебных разбирательств собираетесь проводить такой анализ или ... зачем оно вообще?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#5 Оставлено : 17 июня 2020 г. 10:53:19(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Анатолий Колкочев Перейти к цитате
Автор: Андрей * Перейти к цитате

можно использовать информацию из вложенного сертификата - средства ЭП владельца, но это не 100% точность (например, УЦ указывает при издании КриптоПРО CSP (из шаблона по умолчанию), хотя ключ абонент может сгенерировать в ViPNet CSP).


Проверка того, была ли подпись (про RAW-подпись не говорю) создана с использованием сертифицированных средств или нет, пока не доступна? Просто можно же криптосообщение "собрать" самому, "запихнув" туда всевозможные OID-ы ...


Вот "если бы" - УЦ прописывал полностью (номер сборки ... у пользователя) - на что это повлияло бы?
Пользователь может обновить и использовать несертифицированные сборки, но в сертификате - всё равно будет "всё нормально".

Так же и с CMS - функция слежения за версиями СКЗИ и запись в CMS... ?


Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#6 Оставлено : 17 июня 2020 г. 10:58:55(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Просто я не совсем понимаю следующее: как проверить, что ЭП была сформирована с использованием сертифицированных средств ЭП? В законе прописано, что так "должно быть". Но как это проверить при возникновении конфликтной ситуации?
Offline Анатолий Колкочев  
#7 Оставлено : 17 июня 2020 г. 11:02:14(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Просто я не совсем понимаю следующее: как проверить, что ЭП была сформирована с использованием сертифицированных средств ЭП? В законе прописано, что так "должно быть" (относительно квалифицированной ЭП). Но как это проверить при возникновении конфликтной ситуации?
Offline Анатолий Колкочев  
#8 Оставлено : 17 июня 2020 г. 11:16:58(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: Андрей * Перейти к цитате

Пользователь может обновить и использовать несертифицированные сборки, но в сертификате - всё равно будет "всё нормально".
Так же и с CMS - функция слежения за версиями СКЗИ и запись в CMS... ?


Я абсолютно согласен с Вами. Думал, что такая штука реализована (при создании криптосообщения (сейчас RAW-подписями не обмениваются, наверное) криптопровайдер подписывает что-то своим собственным ключом, и потом это можно проверить ... )

Отредактировано пользователем 17 июня 2020 г. 11:32:13(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.