Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline sergsenta1995  
#1 Оставлено : 23 ноября 2018 г. 10:51:19(UTC)
sergsenta1995

Статус: Участник

Группы: Участники
Зарегистрирован: 22.10.2018(UTC)
Сообщений: 15

Собственно, основной вопрос задан здесь, цитирую:
Автор: sergsenta1995 Перейти к цитате
Продолжая тему.
Можно ли сгенерировать гамму без участия пользователя, т. е. не вводя символы и не двигая мышью? Возможно как-то подпихнуть набор символов из файла? Я пытался перенаправить ввод (ОС Ubuntu 16.04) и получил ошибку:
Код:
sudo ./genkpim 10 01d2c1c7 /var/opt/cprocsp/dsrf 0< file
Generating KPIM for 10 signature keys into /var/opt/cprocsp/dsrf/
write KPIM info OK
Error SetProvParam(PP_USE_HARDWARE_RNG):

аналогичный результат через конвейер:
Код:
cat file | sudo ./genkpim 10 01d2c1c7 /var/opt/cprocsp/dsrf
Generating KPIM for 10 signature keys into /var/opt/cprocsp/dsrf
write KPIM info OK
Press keys...
[                                                                          ]Error SetProvParam(PP_USE_HARDWARE_RNG):

Есть ли пути решения не прибегая к аппаратным реализациям типа "Соболь" или "Аккорд"?


Хотелось бы получить более развернутый ответ, в частности, на результат работы команд.


В целом, идея следующая: нужно создавать ключи на нескольких машинах автоматически, следовательно, БиоДСЧ не подходит. Поэтому выбран способ через генерацию гаммы, но и там нужен пользователь для её генерации.

Правильно ли я понимаю, что гамма для данной задачи должна генерироваться отдельно для каждой машины? Или достаточно просто её большого куска (сделать её длинной)?
Offline two_oceans  
#2 Оставлено : 23 ноября 2018 г. 12:47:11(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Могу предположить, что автоматическое перенаправление не подходит потому что весь файл записывается на вход одномоментно, а утилита часть энтропии собирает через задержку ввода символа. В этом плане наверно лучше из другой мини-программки создать канал на ввод утилиты и неравномерно туда выводить символы: скажем пять символов обпределяют задержку до микросекунд, один реально пишется.

Скорее всего надо еще сложнее схему, чтобы реально сработало. Также есть шанс, что символы читаются не с ввода, а с драйвера клавиатуры, так что еще лучше было бы добиться чтобы драйвер клавиатуры неравномерно посылал символы из файла. Принципиально я понимаю, нужен свой драйвер виртуальной клавиатуры и связка его с определенным процессом, но как именно это сделать под *nix - уже за пределами моей области практики.

Мне кажется проще разориться на один соболь и потом как-то распределять полученные данные с аппаратного ДСЧ. Чтобы совсем наверняка, это тоже можно было бы сделать своим виртуальным драйвером, только имитирующим Соболя.

Отредактировано пользователем 23 ноября 2018 г. 12:48:42(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#3 Оставлено : 23 ноября 2018 г. 13:18:26(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Добрый день.
Ваш путь - использовать на машине с genkpim любой аппаратный ДСЧ, указанный в Формуляре на CSP. Не забывайте, что ДСЧ - это крайне критический узел всей системы криптографической защиты. Нельзя просто так взять какие-то цифры, назвать их "подходящими для генерации ключа", а затем спокойно рассчитывать хоть на какую-то безопасность.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
two_oceans оставлено 26.11.2018(UTC)
Offline sergsenta1995  
#4 Оставлено : 28 ноября 2018 г. 15:51:30(UTC)
sergsenta1995

Статус: Участник

Группы: Участники
Зарегистрирован: 22.10.2018(UTC)
Сообщений: 15

А можно самому сгенерировать внешнюю гамму, в смысле, без использования утилиты genkpim? Самому сгенерировать последовательность, чтобы она участвовала в создании ключей. Я так понимаю у гаммы есть некоторый формат, он не является коммерческой тайной?

Отредактировано пользователем 28 ноября 2018 г. 15:53:17(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#5 Оставлено : 28 ноября 2018 г. 16:00:50(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sergsenta1995 Перейти к цитате
А можно самому сгенерировать внешнюю гамму, в смысле, без использования утилиты genkpim? Самому сгенерировать последовательность, чтобы она участвовала в создании ключей. Я так понимаю у гаммы есть некоторый формат, он не является коммерческой тайной?


Вы точно осознаете все риски, связанные с использованием "самопального" ДСЧ? Да, БиоДСЧ использовать не очень удобно. Да, покупка внешних генераторов требует денег. Но ничего лучше мы предложить пока не можем, т.к. от "качества" ДСЧ целиком зависит стойкость всей системы защиты. Дело не в "секретных форматах" или занудстве, а только в безопасности.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sergsenta1995  
#6 Оставлено : 28 ноября 2018 г. 17:01:58(UTC)
sergsenta1995

Статус: Участник

Группы: Участники
Зарегистрирован: 22.10.2018(UTC)
Сообщений: 15

Да, я осознаю. Понятно, что можно использовать внешний аппарат для создании гаммы. Поэтому, собственно, и интересуюсь вопросом самостоятельной генерации. Сейчас меня интересует формат, если это не коммерческая тайна.
Offline Агафьин Сергей  
#7 Оставлено : 29 ноября 2018 г. 8:11:11(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sergsenta1995 Перейти к цитате
Да, я осознаю. Понятно, что можно использовать внешний аппарат для создании гаммы. Поэтому, собственно, и интересуюсь вопросом самостоятельной генерации. Сейчас меня интересует формат, если это не коммерческая тайна.


Собственно, утилита genkpim этим и занимается. Перечень ДСЧ, которые могут создавать гаммы (прямо или опосредованно) есть в Формуляре. Формат мы не скрываем особо, но т.к. он ранее нигде не был опубликован, не вижу причин его писать и тут. Если вам кажется, что ваша задача не решается иначе, создайте заявку на портал технической поддержки и, возможно, вам помогут.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ANJell  
#8 Оставлено : 2 апреля 2021 г. 5:41:54(UTC)
ANJell

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2021(UTC)
Сообщений: 1

Доброго времени суток!
Прошу прощения за глупый вопрос, но не могу найти инфу по данному вопросу.
Если мы генерируем ключ внешней гаммы то сколько мы его можем использовать?
Можно ли по одной гамме сделать несколько ключей? и насколько это юридически и технически правильно?
Если можно использовать одну и ту же гамму то как долго?
и какими документами это регламентировано?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.