Статус: Новичок
Группы: Участники
Зарегистрирован: 15.07.2008(UTC)
Сообщений: 6
Откуда: Видное
|
Kirill Sobolev написал:По Вашему вопросу - нет, CAPICOM такого не умеет. Спасибо. Значит придется делать свой ActiveX - враппер для CryptSignHash. Kirill Sobolev написал:Это знает, как минимум, разработчик. А разработка таких "железяк" требует лицензию ФСБ, если они предназначены для продажи. Если же для внутреннего пользования - то эти функции должна выполнять внутренняя СБ или ее аналог. Вполне согласен. К сожалению привлеченная организация-разработчик, имеющая лицензию ФСБ на самом деле мало что умеет, приходится разбираться самому... под контролем СБ конечно. Цитата:Сделайте еще проще - подписывайте непосредственно на сервере. А вот это СБ не разрешает - говорят что передача закрытого ключа на сервер - компрометация этого ключа.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
tim128 написал: А вот это СБ не разрешает - говорят что передача закрытого ключа на сервер - компрометация этого ключа. позволю вставить своё слово. Тут я с СБ не согласен. Передачи ключа на сервер нет. Есть использование ключа на сервере. А это две большие разницы. Берете сервер. Вставляете в него электронный замок типа "Соболь-PCI". "Соболь" настраиваете на 2 таблетки доступа. Одна таблетка храниться в СБ, а другая у владельца этого ключа. Опечатываете системный блок сервера. Защищаете сервер межсетевым экраном. И пишите "Инструкцию по порядку использования и защиты ключа на сервере ХХХ". В которой прописываете, в том числе, что никто не может ничего делать на сервере (обновлять ПО, устанавливать серви-паки и т.д.) без присутствия владельца ключа и сотрудника СБ. Т.о. Вы обеспечиваете защиту ключа по классу КС2 по требованиям ФСБ. Всё, и подписывайте на сервере! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.10.2008(UTC)
Сообщений: 1
|
tim128 написал:... Ввиду большого размера некоторых таких документов скачивать их на клиента не хочется. Хочу вычислить хеш на сервере через CryptoAPI и отправить его на клиента. ... интересует этот же вопрос... но из прочитанного не совсем понял.. так нельзя сделать из-за каких-то юридических ограничений... или требуются какие-то дополнительные меры защиты при передаче хэша или его обработке?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
сделать так можно, tim128 даже написал как он будет это делать, но
1) юридические ограничения определяются исключительно требованиями Вашей системой
2) пользователю нужно быть уверенным, что хэш который пришел с сервера и есть хэш подписываемого документа |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
