Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline neigel  
#21 Оставлено : 12 апреля 2016 г. 20:56:26(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 91
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Автор: ГОСТface_killah Перейти к цитате
В общих чертах:

Для взаимодействия с картой (для организации защищённого канала с ней) требуются cv-сертификаты. Cv-сервисы, управляя этими сертификатами, упрощают Вам жизнь. Если по каким-то причинам доступ к данным сервисам невозможен, потребуется получить и установить данные сертификаты самостоятельно и пользоваться картой, пока не истекут.

"но что делать дальше, чтобы получить CV-сертификат, если ФУО в регионе не фурычит" здесь вопрос всё же к uecard.ru




то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо?

и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?

Offline Alexander A. Nikitkov  
#22 Оставлено : 12 апреля 2016 г. 22:22:24(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 324
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
Цитата:
Где почитать про это?
более детально тут http://www.uecard.ru/upl...0c328024d0f40e25f882.pdf
Offline Агафьин Сергей  
#23 Оставлено : 13 апреля 2016 г. 11:44:53(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: neigel Перейти к цитате

то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо?
и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?

Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто.

Вкратце логика работы выглядит так:
1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов.
2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации.
3) В провайдере генерируется ключевая пара (ЗК хранится в реестре).
4) ОК отправляется на центр, где происходит создание CV-сертификатов.
5) Сертификаты возвращаются в провайдер и запоминаются в реестре.

В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново.

Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline neigel  
#24 Оставлено : 13 апреля 2016 г. 22:24:44(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 91
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Автор: Grey Перейти к цитате

Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто.

Вкратце логика работы выглядит так:
1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов.
2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации.
3) В провайдере генерируется ключевая пара (ЗК хранится в реестре).
4) ОК отправляется на центр, где происходит создание CV-сертификатов.
5) Сертификаты возвращаются в провайдер и запоминаются в реестре.

В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново.

Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен.


О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? )

Или это просто способ держать юзера на поводке?

P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить?

Отредактировано пользователем 13 апреля 2016 г. 23:09:47(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#25 Оставлено : 14 апреля 2016 г. 10:13:45(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: neigel Перейти к цитате

О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? )

Или это просто способ держать юзера на поводке?

P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить?


А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера.
Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает).
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline neigel  
#26 Оставлено : 14 апреля 2016 г. 10:36:21(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 91
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Автор: Grey Перейти к цитате

А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера.
Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает).


Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )
Offline Агафьин Сергей  
#27 Оставлено : 14 апреля 2016 г. 11:35:48(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: neigel Перейти к цитате

Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )


В целом, закрытая. Но достаточно подробностей доступно и в открытых частях, которые выдает Google по запросу "спецификация уэк filetype:pdf".
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline SedoVlas  
#28 Оставлено : 30 октября 2016 г. 18:36:35(UTC)
SedoVlas

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2015(UTC)
Сообщений: 5
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Pray И, что, проблема с Windows 10 так и не решилась в недрах КриптоПро?
Если судить по затуханию темы... d'oh!
Offline Femi  
#29 Оставлено : 31 октября 2016 г. 10:31:04(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Автор: SedoVlas Перейти к цитате
Pray И, что, проблема с Windows 10 так и не решилась в недрах КриптоПро?
Если судить по затуханию темы... d'oh!


https://www.cryptopro.ru...ptopro-csp-uec/downloads
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Hauteriv  
#30 Оставлено : 21 февраля 2017 г. 2:20:38(UTC)
Hauteriv

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.02.2017(UTC)
Сообщений: 5

Очень полезная тема, спасибо большое
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.