From: Леонтьев Сергей Ефимович
Sent: Monday, September 08, 2008 7:50 PM
To: 'DPantsoulaya@....'; support
Cc: Чудов Григорий Сергеевич
Subject: RE: проблема с сертификатом
Здравствуйте Давид,
1) я так понял, что открытый ключ отправителя просто не
предназначен для создания ключа обмена ключами, да? Или
это не может быть причиной такой ошибки?
У ключей ГОСТ Р 34.10-2001 (id-GostR3410-2001 == 1.2.643.2.2.19) есть параметр (ALGORITHM-IDENTIFIER) типа GostR3410-2001-PublicKeyParameters, который определяет:
• параметры группы точек эллиптической кривой: a, b, p, q, x, y;
• параметры хэш-функции ГОСТ Р 34.10-94, которая используется для алгоритма хэш+подпись id-GostR3411-94-with-GostR3410-2001, а так же в выработке . Этот алгоритм используется для ЭЦП самих сертификатов;
• параметры ГОСТ 28147-89, рекомендованные (но не обязательные) для взаимодействия с владельцем закрытого ключа;
Для обеспечения корректной работы алгоритма Диффи-Хелмана требуется совпадение идентификатора параметров алгоритма.
Кроме того, различные СКЗИ могут поддерживать разные наборы операций для разных параметров.
На мой взгляд:
• СКЗИ должно (SHALL) поддерживать, как минимум, набор параметров id-GostR3410-2001-CryptoPro-XchA-ParamSet;
• СКЗИ рекомендуется (RECOMMENDED) поддерживать функции согласования ключей и ЭЦП для id-GostR3410-2001-CryptoPro-XchA-ParamSet и id-GostR3410-2001-CryptoPro-XchB-ParamSet;
• СКЗИ рекомендуется (RECOMMENDED) поддерживать функции ЭЦП для id-GostR3410-2001-CryptoPro-A-ParamSet, id-GostR3410-2001-CryptoPro-B-ParamSet и id-GostR3410-2001-CryptoPro-С-ParamSet;
========
2) в сертификате получателя в KeyUsage : Digital Signature, Non-Repudiation,
Key Encipherment, Data Encipherment, Key Agreement (f8). Использование ключа
ведь никак не связано с этими oid'ами? на форуме нашел только один вопрос без
ответа на эту тему -
http://www.cryptopro.ru/...ro/forum/view.asp?q=6310 Связь между OID и KeyUsage не прямая. Грубо говоря, keyUsage – это ограничения по использованию ключа и сертификата, а OID – это возможность СКЗИ выполнять те или иные операции.
========
3) Где-нибудь можно узнать что-то про эти OBJECTIDENTIFIER ?
[CPALGS] Popov, V., Kurepkin, I., and S. Leontiev, "Additional
Cryptographic Algorithms for Use with GOST 28147-89, GOST
R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94
Algorithms", RFC 4357, January 2006.
<
http://tools.ietf.org/html/rfc4357>
[CPCMS] Leontiev, S. and G. Chudov, "Using the GOST 28147-89, GOST
R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001
Algorithms with Cryptographic Message Syntax (CMS)",
RFC 4490, May 2006.
<
http://tools.ietf.org/html/rfc4490>
[CPPK] Leontiev, S. and D. Shefanovski, "Using the GOST R
34.10-94, GOST R 34.10-2001, and GOST R 34.11-94
Algorithms with the Internet X.509 Public Key
Infrastructure Certificate and CRL Profile", RFC 4491,
May 2006.
<
http://tools.ietf.org/html/rfc4491>