| ||||
| ||||
| планируется ли поддержка криптопро для веб/почтового клиента в мозиле? | ||||
| Ответы: | ||||
| ||||
| Я как раз с этим борюсь. Мне удалсь подключить модуль через pkcs11 api в etpkcs11.dll. Нормально чужие сертификаты импортируются в формате pkcs7. Осталась одна проблема: ЛИЧНЫЙ сертификат импортируется ТОЛЬКО в pkcs12, а криптоПро не разрешает конвертировать сертификат в pkcs12 (мне уже ответили что таково требование к СКЗИ т.к. при экспорте в pkcs12 закрытый ключ требуется). Осталось умолять криптоПро чтобы разрешили экспорт с последующим обязательным удалением закрытого ключа из pkcs12-файла. | ||||
| ||||
| Я слышал о планах Крипто-Про по поводу поддержки pkcs12. Правда, сроки не назывались. Если вопрос актуальный, обсудите с нашим руководством. | ||||
| ||||
| Уважаемые господа, если действительно существует такая потребность на рынке, а специалисты КриптоПРО шибко заняты:-) могу поросить своих ученых выдрать из Акея кусок по работе с контейнером КриптоПРО и оформить в виде конверта из П12 <-> контейнер. | ||||
| ||||
| Здравствуйте, Я как-то оценивал эту работу. Её основная трудоёмкость состоит в достаточно тривиальной, но объёмной переделке кода обработки сертификатов и CMS сообщений по всему коду NSS. Если Вас эта работа не пугает и Вам не хватает только модуля PKCS#11, то я могу Вам предоставить предварительную версию этого модуля под одну из ОС для проведения совместной работы по Mozilla. Успехов. Сергей Леонтьев, lse@CryptoPro.ru | ||||
| ||||
| Добрый вечер, Сергей. А Новому Адаму дашь попробывать программный токен П11? P.S. По Мозилле, полностью согласен. Объем работы очень большой. Мы тоже примеривались к этой работе, но пришлось отложить. | ||||
| ||||
| объясните популярно: что бы заработала мозилла с cryptoPro или любым другим поддерживающим ГОСТ провайдером что нужно? 1) поддержка токеном pkcs11 чтобы мозилла увидела личный сертификат? 2) поддержка ГОСТ алгоритмов в NSS? | ||||
| ||||
| Если ОЧЕНЬ на пальцах, то ситуация следующая. 1. В основе крипта Мозиллы лежит NSS, который наружу открывает более тысячи функций. 2. NSS работает не с CSP, а с токеном PKCS#11, следовательно нужен П11 токен с механизмами ГОСТа. 3. Прошерстить всего монстра NSS на предмет описания как работать с ГОСТовыми механизмами, которые реализованы в программном П11 токине. 4. Согласно лицензии Мозиллы - все это открыто выложить в исходных кодах. Возможно наверное токен можно будет оформить в отдельную dll без исходников. | ||||
| ||||
| Здравствуйте Иван, Последний раз я смотрел Mozilla в начале этого года, быть может в ней произошли кардинальные изменения, но это вряд ли. > 1) поддержка токеном pkcs11 чтобы мозилла увидела личный сертификат? Этого явно не достаточно. > 2) поддержка ГОСТ алгоритмов в NSS? Это необходимо, в следующем смысле: а. NSS должен понимать форматы ключей (сертификаты), OID (сертификаты, CMS и S/MIME), "Cipher Suite" (TLS); б. NSS должен использовать соотвествующие CKM_* при вызове PKCS#11 модуля для российских алгоритмов; Саму реализацию алгоритмов обеспечивает PKCS#11 модуль. Успехов. Сергей, мы пока никого не дискриминировали при проведении совместных работ. Так что не вижу причин. | ||||
| ||||
| Всё не так уж страшно. > 3. Прошерстить всего монстра NSS на предмет описания как работать с ГОСТовыми механизмами, которые реализованы в программном П11 токине. Не такой он уж и монстр. А исправить надо около двухсот функций, исправления тривиальные (добавить в switch ещё один case). Основная работа - построение регрессионного теста, который бы задействовал эти двести функций. > 4. Согласно лицензии Мозиллы - все это открыто выложить в исходных кодах. Они же раз в полгода версии пекут, так что нужно будет, как минимум patch поддерживать (хотя это можно делать и в момент свзывания, например, OID возможно сможет регистрировать специальный PKCS#11 модуль для Mozilla, который будет вызывать общецелевой PKCS#11 модуль). А по результатм первой версии можно будет раскрутить сообщество на модернизацию NSS модульной системой криптографии типа CryptoAPI. > Возможно наверное токен можно будет оформить в отдельную dll без исходников. Нигде они не требовали доступа к исходным текстам PKCS#11 модулей. Так что, здесь вопросов нет. | ||||
| ||||
| > 2) поддержка ГОСТ алгоритмов в NSS? >Это необходимо, в следующем смысле: >а. NSS должен понимать форматы ключей (сертификаты), OID (сертификаты, CMS и S/MIME), "Cipher Suite" (TLS); ну с этим то вроде нет проблем в NSS я имею ввиду форматы ключей и сертификатов. >б. NSS должен использовать соотвествующие CKM_* при вызове PKCS#11 модуля для российских алгоритмов; >Саму реализацию алгоритмов обеспечивает >PKCS#11 модуль. получается PKCS#11 модуль от etoken (etpkcs11.dll) должен использовать провайдера соответствующего? Ведь алгоритмы же реализует CSP в win а не токен? | ||||
| ||||
| Здравствуйте, > ну с этим то вроде нет проблем в NSS я имею ввиду форматы ключей и сертификатов. Дадите посмотреть? > получается PKCS#11 модуль от etoken (etpkcs11.dll) должен использовать провайдера соответствующего? Ведь алгоритмы же реализует CSP в win а не токен? Получается, что так. Должен же PKCS#11 модуль должен реализовывать CKM_GR3410EL_GR3411 и CKM_G28147_CFB. | ||||
| ||||
| >> ну с этим то вроде нет проблем в NSS я имею ввиду форматы ключей и сертификатов. >Дадите посмотреть? может я не понимаю о чем Вы говорите ;) но я говорю про поддержку pkcs7, pem, der в NSS >> получается PKCS#11 модуль от etoken (etpkcs11.dll) должен использовать провайдера соответствующего? Ведь алгоритмы же реализует CSP в win а не токен? >Получается, что так. Должен же PKCS#11 модуль должен реализовывать CKM_GR3410EL_GR3411 и CKM_G28147_CFB. я не силен в CryptoAPI, но как я понимаю тот же Outlook работает с CryptoAPI, тогда может для win проще написать модуль-прокладку PKCS11 -> CryptoAPI, чтобы вызовы NSS к модулю заворачивать на CryptoAPI ? | ||||
| ||||
| Кстати по поводу NSS, pkcs#12. Здесь упоминается что проводились работы с использованием реализации pkcs#11 от eTokena. Во хотелось бы узнать, как он то экспортирует секретный ключ. Вроде как декларируют, что это не возможно. | ||||
| ||||
| >Кстати по поводу NSS, pkcs#12. Здесь упоминается что проводились работы с использованием реализации pkcs#11 от eTokena. Во хотелось бы узнать, как он то экспортирует секретный ключ. Вроде как декларируют, что это не возможно. Я просто подцепил токен в мозилле и все. Мозила его видела, просила пин и успешно туда логинилась. А как то через NSS ручками чего-то делать времени нет. | ||||
| ||||
| > win проще написать модуль-прокладку PKCS11 -> CryptoAPI, чтобы вызовы NSS к модулю заворачивать на CryptoAPI ? Макет такого PKCS#11 модуля у нас есть. >>> ну с этим то вроде нет проблем в NSS я имею ввиду форматы ключей и сертификатов. >>Дадите посмотреть? >может я не понимаю о чем Вы говорите ;) но я говорю про поддержку pkcs7, pem, der в NSS Вы упомянули, что Вам удалось установить в Mozilla сертификаты. Это были сертификаты с открытым ключом по ГОСТ Р 34.10-2001? | ||||
| ||||
| Serge3leo lse@cryptoPro/ru 27.10.2004 17:21:06 > win проще написать модуль-прокладку PKCS11 -> CryptoAPI, чтобы вызовы NSS к модулю заворачивать на CryptoAPI ? >Макет такого PKCS#11 модуля у нас есть. макет это как? а когда можно ожидать не макет? ;) >>> ну с этим то вроде нет проблем в NSS я имею ввиду форматы ключей и сертификатов. >>Дадите посмотреть? >может я не понимаю о чем Вы говорите ;) но я говорю про поддержку pkcs7, pem, der в NSS >Вы упомянули, что Вам удалось установить в Mozilla сертификаты. Это были сертификаты с открытым ключом по ГОСТ Р 34.10-2001? так точно, я импортировал сертификат выданый УЦ где используется КриптоПро, а там ведь именно такие ГОСТы. На него даже можно посмотреть (на поля) только там русский криво отображается, я так понимаю в сертификате utf8 а мозила видимо его кажет в cp1251. | ||||
| ||||
| Скажите, плз, изменилась ли ситуация с поддержкой КриптоПро для Firefox и Thunderbird со времени последнего обсуждения этого топика на форуме? | ||||
| ||||
| Просоединяюсь к вопросу о поддержки NSS в Mozilla/FireFox | ||||
| ||||
| Что нового на этом фронте? | ||||
| ||||
| Пока никаких изменений на этом фронте? Все продукты Mozilla так и не поддерживаются? | ||||
| ||||
| Да | ||||
| ||||
| Просто крайне необходима поддержка Mozilla, неоспоримый факт - ее популярность растет, а из-за отсутствия поддержки приходится держать два браузера :(, и более того еще и винду... | ||||
алесь