Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline nikolkas_spb  
#11 Оставлено : 25 ноября 2019 г. 14:39:42(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
открыть сертификат, закладка "состав", пункт "серийный номер".
в журнал СКЗИ обычно его не вносят. если принципиально знать на каком носителе какой серт, то журнал можно вести в электронном виде, где просто "копировать/вставить" значения.
тогда надо четко писать дату внесения или удаления серта с носителя. в принципе,дело неплохое, только муторное.
Цена свободы - вечная бдительность!
Offline two_oceans  
#12 Оставлено : 26 ноября 2019 г. 5:13:09(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: Анатолий Колкочев Перейти к цитате
Могу предложить сделать следующее:
Если нужен номер ЭП, а не сертификата, то можете взять значение хеш-функции в файле header.key в контейнере закрытого ключа.
Если это то о чем я думаю (критерий по которому определяется целостность контейнера), то значение хэш-функции включает в себя только header.key и меняется, например, при установке сертификата (и сертификатов УЦ) в контейнер, при удалении даты действия и т.д. Таким образом, записывать его в журнал немного проблематично, что-то изменится и уже не докажем что это был именно тот контейнер.

В принципе больше бы подошло поле "Идентификатор ключа субъекта" из сертификата (это хэш от блоба открытого ключа если не ошибаюсь). Если на тот же открытый ключ выпустить еще один сертификат, то идентификатор будет такой же, но номер сертификата другой. Поэтому наверно более корректно использовать идентификатор чем серийный номер сертификата. Минусы: 1) это хэш SHA-1, не гост; 2) длина хэша 20 байт, многовато.

С другой стороны, отправить в УЦ запрос на основе существующего контейнера штатными средствами (openssl в расчет не беру) обычно не получится, почти все штатные утилиты при создании запроса автоматом генерируют и новый контейнер. В итоге, соответствие между идентификатором ключа и номером сертификата практически однозначное при использовании штатных утилит аккредитованных УЦ.

Начинал журнал по рекомендациям УЦ ФК и сайта sedkazna, там рекомендовали просто записать номер сертификата. В те времена старый УЦ ФК выдавал номера сертификатов из трех байт (вроде 22 33 44) и это правда было проще. Причем если номер длинный, то рекомендовали записать несколько (4-6) шестнадцатиричных цифр из начала номера, многоточие, несколько (6-4) цифр из конца номера. Сейчас все номера сертификатов аккредитованных УЦ стали длинными и преимущества в длине у номера нет: длина идентификатора 20 байт, попадавшаяся длина номера в сертификатах разных УЦ от 16 до 28 байт.

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Valentina оставлено 26.11.2019(UTC)
Offline Анатолий Колкочев  
#13 Оставлено : 26 ноября 2019 г. 8:14:07(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Да, я говорил именно про то значение, по которому определяется целостность контейнера. Просто мне казалось, что если с контейнером изначально провести все необходимые действия, а потом брать значение хеш-функции, то это может считаться за некий уникальный идентификатор ключа.

Или можно найти значение хеш-функции от четырех файлов (primary 1, primary 2, masks1, masks2) и его использовать в качестве идентификатора? Т.к., как Вы говорите, и Вы правы, значение хеш-функции в файле header.key меняется в соответствии с его "наполнением", и файл name.key так же может изменяться.


Автор: two_oceans Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате
Могу предложить сделать следующее:
Если нужен номер ЭП, а не сертификата, то можете взять значение хеш-функции в файле header.key в контейнере закрытого ключа.
Если это то о чем я думаю (критерий по которому определяется целостность контейнера), то значение хэш-функции включает в себя только header.key и меняется, например, при установке сертификата (и сертификатов УЦ) в контейнер, при удалении даты действия и т.д. Таким образом, записывать его в журнал немного проблематично, что-то изменится и уже не докажем что это был именно тот контейнер.

В принципе больше бы подошло поле "Идентификатор ключа субъекта" из сертификата (это хэш от блоба открытого ключа если не ошибаюсь). Если на тот же открытый ключ выпустить еще один сертификат, то идентификатор будет такой же, но номер сертификата другой. Поэтому наверно более корректно использовать идентификатор чем серийный номер сертификата. Минусы: 1) это хэш SHA-1, не гост; 2) длина хэша 20 байт, многовато.

С другой стороны, отправить в УЦ запрос на основе существующего контейнера штатными средствами (openssl в расчет не беру) обычно не получится, почти все штатные утилиты при создании запроса автоматом генерируют и новый контейнер. В итоге, соответствие между идентификатором ключа и номером сертификата практически однозначное при использовании штатных утилит аккредитованных УЦ.

Начинал журнал по рекомендациям УЦ ФК и сайта sedkazna, там рекомендовали просто записать номер сертификата. В те времена старый УЦ ФК выдавал номера сертификатов из трех байт (вроде 22 33 44) и это правда было проще. Причем если номер длинный, то рекомендовали записать несколько (4-6) шестнадцатиричных цифр из начала номера, многоточие, несколько (6-4) цифр из конца номера. Сейчас все номера сертификатов аккредитованных УЦ стали длинными и преимущества в длине у номера нет: длина идентификатора 20 байт, попадавшаяся длина номера в сертификатах разных УЦ от 16 до 28 байт.

Отредактировано пользователем 26 ноября 2019 г. 8:26:09(UTC)  | Причина: Не указана

Offline two_oceans  
#14 Оставлено : 26 ноября 2019 г. 9:46:58(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Не спорю, идея хорошая в теории, но не все так просто, как хотелось бы.
Автор: Анатолий Колкочев Перейти к цитате
Да, я говорил именно про то значение, по которому определяется целостность контейнера. Просто мне казалось, что если с контейнером изначально провести все необходимые действия, а потом брать значение хеш-функции, то это может считаться за некий уникальный идентификатор ключа.
К сожалению, у меня нет уверенности, что значение header.key не изменится в дальнейшем (даже если все действия провести сразу). Причина - криптопровайдер требует доступа на запись к контейнеру, это касается как реестра, так и флешек и жестких дисков. По факту, если сразу установить сертификат в контейнер, сделать копию папки Проводником, а через некоторое время посмотреть даты файлов на "рабочей" флешке у пользователя и на резервной флешке, то на рабочей флешке даты некоторых файлов будут позднее.
Автор: Анатолий Колкочев Перейти к цитате
Или можно найти значение хеш-функции от четырех файлов (primary 1, primary 2, masks1, masks2) и его использовать в качестве идентификатора? Т.к., как Вы говорите, и Вы правы, значение хеш-функции в файле header.key меняется в соответствии с его "наполнением", и файл name.key так же может изменяться.
Честно говоря, не вижу почему name.key может измениться, все же нет штатного способа переименовать контейнер, можно только скопировать с новым именем. Возможно только пользователь откроет его в редакторе и поменяет. В сравнении выше, обычно дата name.key не меняется, а вот primary-mask меняются. Предположу, что закрытый ключ время от времени перешифровывается с другим случайным числом.

Ну и если посмотреть на вопрос в целом - а если получили контейнер другого криптопровайдера, способ уже не подходит. Поэтому использование идентификатора открытого ключа (хэша от открытого ключа) способ более универсальный. Зачем ломать голову над закрытым форматом контейнера, когда есть открытая спецификация сертификата и известно что любой контейнер с ключевой парой будет содержать открытый ключ.

Отредактировано пользователем 26 ноября 2019 г. 10:03:28(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.