Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Есть ли в настройках ПАК УЦ атрибут CKA_DERIVE
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC) Сообщений: 121 Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз Поблагодарили: 27 раз в 16 постах
|
У нас один заказчик квалифицированных сертификатов (из сферы здравоохранения) в ТЗ поставил такое требование: в настройках ПАК УЦ должен быть предусмотрен атрибут CKA_DERIVE со значением TRUE. Не в сертификате, что интересно, а именно в ПАК УЦ. Поиск в Интернете не дал внятных результатов, хотя за его непременную успешность я ручаться не могу. Подскажите: 1) ПАК КриптоПро УЦ 2.0 имеет такую настройку? 2) Где её искать в ПАК УЦ (чтобы убедиться в TRUE)? 3) Это как-то видно в выпускаемых сертификатах? 4) Может, она не настраивается руками, но предусмотрена программно по умолчанию?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Здравствуйте.
Не ясно, где вы хотите это видеть. В сертификате пользователя и сертификате ЦС? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.10.2021(UTC) Сообщений: 2 Откуда: Смоленск Сказал(а) «Спасибо»: 1 раз
|
Автор: Захар Тихонов Здравствуйте.
Не ясно, где вы хотите это видеть. В сертификате пользователя и сертификате ЦС? Добрый день, Захар! Мы сами не понимаем, где мы хотим это видеть)) И вообще не очень понимаем, что это за атрибут такой и пытаемся прояснить информацию о нем. Есть требование к безопасности у заказчика ЭП и там прописано следующее: " Для обеспечения конфиденциальности данных при взаимодействии с сервисом Фонда социального страхования Российской Федерации по передаче данных по электронным листкам нетрудоспособности должно применятся шифрование информации. В настройках ПАК УЦ должен быть предусмотрен атрибут CKA_DERIVE со значением TRUE." Пишу в надежде, что вы обладаете информацией о применении атрибут CKA_DERIVE да еще и со значением TRUE и растолкуете нам, как это используется и где это можно увидеть) В гугле не забанен, но понятной информации гугля не нашел.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC) Сообщений: 121 Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз Поблагодарили: 27 раз в 16 постах
|
Пока я искал, где и как выражено было это требование, нашёлся ещё человек, который так же, как мы, был озадачен этой экзотикой. Я было подумал, что это требование в ТЗ должно было отбить конкурентов по выполнению заказа. Типа: не знаешь, что это такое -- отодвинься. Теперь вижу, что кто-то с болезненно изощрённым умом придумал это для системы здравоохранения. Хотя формулировка требования довольно корявая: в каких настройках? где в этих настройках находится этот атрибут? для него предусмотрено только значение TRUE? Почему требование касается настроек именно ПАК УЦ, а не содержания сертификата (шифрование ведь не настройками ПАК осуществляется, а парой ЗК и сертификата)? Почему не указано, ЧТО вследствие этих настроек (поле, ОИД, атрибут и его значение) должно быть в сертификате? Как отмечают все, кого я спрашивал, Гугл тоже бессилен ответить на этот вопрос: что это и где оно? А от представителя разработчика мы ждём ответ: есть оно в ПАК УЦ или его нет вообще? Если нет, то можем ли мы уверенно сослаться на мнение разработчика?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2017(UTC) Сообщений: 216 Откуда: Helsinki Сказал «Спасибо»: 2 раз Поблагодарили: 139 раз в 51 постах
|
Полагаю, речь идет об атрибуте закрытой части ключа, который применяется при его генерации (по умолчанию вроде как значение FALSE) в PKCS #11. ПАК УЦ не причем, нужно смотреть СКЗИ, который планируется применять при генерации (возможно, даже будут использоваться носители с аппаратной реализацией).
|
D2/CB-4+BF2/A-DASH-4+BF2 |
1 пользователь поблагодарил roflanVikared за этот пост.
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,176 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 566 раз в 543 постах
|
Такого параметра нет в КриптоПро УЦ 2.0. Этот параметр относится к ключам. Уточню информацию у разработчиков провайдера. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.02.2012(UTC) Сообщений: 121 Откуда: Смоленск
Сказал(а) «Спасибо»: 104 раз Поблагодарили: 27 раз в 16 постах
|
Если при генерации ЗК применяется СКЗИ КриптоПро CSP, то у него есть свои настройки (к ПАК УЦ они имеют весьма отдалённое отношение). О какой из них конкретно может идти речь?
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.10.2021(UTC) Сообщений: 2 Откуда: Смоленск Сказал(а) «Спасибо»: 1 раз
|
Автор: roflanVikared Полагаю, речь идет об атрибуте закрытой части ключа, который применяется при его генерации (по умолчанию вроде как значение FALSE) в PKCS #11. ПАК УЦ не причем, нужно смотреть СКЗИ, который планируется применять при генерации (возможно, даже будут использоваться носители с аппаратной реализацией).
Вы имеете ввиду носители типа rutoken ECP 2.0 и JaCarta 2-SE c встроенным провайдером, я так понимаю? Я думал о этом, когда искал инфу в глобальной сети,но думал мб ошибочно, но вот так я уже не один думаю, значит) Тобишь и при генирации указывать провайдер встроенный в носитель...
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Есть ли в настройках ПАК УЦ атрибут CKA_DERIVE
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close