Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline Lexms  
#1 Оставлено : 4 ноября 2015 г. 22:11:27(UTC)
Lexms

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.11.2015(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Здравствуйте. Недавно занялся вопросом криптопро, т.к. нужно организации, где я работаю. На некоторые вопросы нашел ответы в гугле, но не все. Надеюсь, вы поможете в разъяснении - в вопросе совсем не разбираюсь.

Вопросы:
1. Сертификат (*.cer) - открытый ключ, папка с файлами *.key - закрытый ключ.

2. Открытый и закрытый ключи (пара) хранятся в контейнере ключей. Одна пара - один контейнер.
Но. Видел, пользуются флешкой для подписи документов и для входа на госзакупки. Получается, что не вся пара хранится в контейнере. Что где хранится, как в общем случае выглядит процедура (что с чем сравнивается в хранилище и флешке) и почему они хранятся не вместе?

3. Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Здесь на форуме прочитал, что закрытый ключ хранится в реестре. Думал, криптопровайдеры не только занимаются шифрованием/дешифрованием и прочими алгоритмами, но и являются зашифрованным хранилищем, типа как сейф в реальном мире, а программно - как зашифрованное пространство на диске, внутри которого лежат контейнеры с ключами. А тут реестр...
Offline Андрей Писарев  
#2 Оставлено : 5 ноября 2015 г. 7:37:21(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,393
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Lexms Перейти к цитате
Здравствуйте. Недавно занялся вопросом криптопро, т.к. нужно организации, где я работаю. На некоторые вопросы нашел ответы в гугле, но не все. Надеюсь, вы поможете в разъяснении - в вопросе совсем не разбираюсь.

Вопросы:
1. Сертификат (*.cer) - открытый ключ, папка с файлами *.key - закрытый ключ.

2. Открытый и закрытый ключи (пара) хранятся в контейнере ключей. Одна пара - один контейнер.
Но. Видел, пользуются флешкой для подписи документов и для входа на госзакупки. Получается, что не вся пара хранится в контейнере. Что где хранится, как в общем случае выглядит процедура (что с чем сравнивается в хранилище и флешке) и почему они хранятся не вместе?

3. Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Здесь на форуме прочитал, что закрытый ключ хранится в реестре. Думал, криптопровайдеры не только занимаются шифрованием/дешифрованием и прочими алгоритмами, но и являются зашифрованным хранилищем, типа как сейф в реальном мире, а программно - как зашифрованное пространство на диске, внутри которого лежат контейнеры с ключами. А тут реестр...



1. Да, папка с файлами - это и есть контейнер.
2. Сертификат устанавливается в хранилище, софт использует его (и высокоуровневые функции для "прозрачной" работы с закрытым ключом, функции находят соответствие сертификата и контейнера сами), либо софт сам работает с контейнером и закрытым ключом, без обращения к сертификату.
3. > Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Нет, контейнеры хранятся на носителях. Криптопровайдер - это ПО.


Реестр - это набор файлов на диске. Чем отличается хранение в реестре от хранения на флешке\дискете? Ничем.
Для защиты контейнера используется пароль.

>криптопровайдеры
это программное обеспечение, а не "зашифрованное хранилище".
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Lexms оставлено 10.11.2015(UTC)
Offline Андрей Писарев  
#3 Оставлено : 5 ноября 2015 г. 7:42:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,393
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Техническую поддержку оказываем тут
Наша база знаний
Offline Lexms  
#4 Оставлено : 9 ноября 2015 г. 20:42:47(UTC)
Lexms

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.11.2015(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Андрей * Перейти к цитате


1. Да, папка с файлами - это и есть контейнер.
2. Сертификат устанавливается в хранилище, софт использует его (и высокоуровневые функции для "прозрачной" работы с закрытым ключом, функции находят соответствие сертификата и контейнера сами), либо софт сам работает с контейнером и закрытым ключом, без обращения к сертификату.
3. > Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Нет, контейнеры хранятся на носителях. Криптопровайдер - это ПО.

Ваши файлы же не хранятся в ОС Windows? Они хранятся на носителе информации.


Правильно ли я понял:
1. Крипто про НЕ создает хранилище, а хранит все на диске (не в своем пространстве)? А как же все эти установки сертификата в хранилище, когда в крипто про выбираем "Установить сертификат": личные, доверенные?
2. Открытый ключ крипто про шифрует куда-то помещает, а закрытый ключ - только шифрует паролем? Где хочешь, там его и храни? Думал, ценность представляет как раз закрытый ключ.

У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке.

Автор: Андрей * Перейти к цитате

Реестр - это набор файлов на диске. Чем отличается хранение в реестре от хранения на флешке\дискете? Ничем.
Для защиты контейнера используется пароль.

Думал, реест - типа текстового файла с настройками для программ и как справочная.
Offline Lexms  
#5 Оставлено : 9 ноября 2015 г. 20:44:02(UTC)
Lexms

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.11.2015(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Андрей * Перейти к цитате

Читал. Но, видимо, умудрился понять неправильно либо не понять.
Offline basid  
#6 Оставлено : 10 ноября 2015 г. 4:54:04(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
Автор: Lexms Перейти к цитате
У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке.
Есть ключевая пара, открытый ключ которой должен быть "максимально доступен".
Поэтому можно сказать, что открытый ключ "обёртывается" в сертификат, а вокруг сертификатов строится инфраструктура открытых ключей (ИОК/PKI).
Есть раздел личных сертификатов, что означает: "я владелец ключевой пары этих открытых ключей".
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Ну и так далее.

Закрытый ключ каждый криптопровайдер хранит в криптоконтейнере собственного формата и, опционно, может использовать "стандартный транспортный контейнер" - файл формата p12/pfx.

Если говорить о КРИПТО-ПРО, то в процессе генерации ключевой пары или при установке личного сертификата в системное хранилище предоставляется возможность скопировать сертификат в криптоконтейнер, что удобно для владельца ключевой пары - нужен только криптоконтейнер.
При необходимости, штатная утилита просмотра сертификатов позволяет экспортировать сертификат из хранилища, включая криптоконтейнер, в файл.

Таким образом, если сертификат не скопирован в контейнер закрытых ключей - нужен и контейнер и сертификат, если скопирован - достаточно одного контейнера.
thanks 1 пользователь поблагодарил basid за этот пост.
Lexms оставлено 10.11.2015(UTC)
Offline Андрей Писарев  
#7 Оставлено : 10 ноября 2015 г. 7:12:58(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,393
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: basid Перейти к цитате
Автор: Lexms Перейти к цитате
У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке.
Есть ключевая пара, открытый ключ которой должен быть "максимально доступен".
Поэтому можно сказать, что открытый ключ "обёртывается" в сертификат, а вокруг сертификатов строится инфраструктура открытых ключей (ИОК/PKI).
Есть раздел личных сертификатов, что означает: "я владелец ключевой пары этих открытых ключей".
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Ну и так далее.

Закрытый ключ каждый криптопровайдер хранит в криптоконтейнере собственного формата и, опционно, может использовать "стандартный транспортный контейнер" - файл формата p12/pfx.

Если говорить о КРИПТО-ПРО, то в процессе генерации ключевой пары или при установке личного сертификата в системное хранилище предоставляется возможность скопировать сертификат в криптоконтейнер, что удобно для владельца ключевой пары - нужен только криптоконтейнер.
При необходимости, штатная утилита просмотра сертификатов позволяет экспортировать сертификат из хранилища, включая криптоконтейнер, в файл.

Таким образом, если сертификат не скопирован в контейнер закрытых ключей - нужен и контейнер и сертификат, если скопирован - достаточно одного контейнера.


Предлагаю Вам все же ознакомиться с основами криптографии.
По-вашему выходит: можно расшифровать любые письма, имея сертификаты других пользователей?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#8 Оставлено : 10 ноября 2015 г. 7:38:05(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,393
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Lexms Перейти к цитате

Думал, реест - типа текстового файла с настройками для программ и как справочная.


Предлагаю к ознакомлению.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Lexms оставлено 10.11.2015(UTC)
Offline basid  
#9 Оставлено : 10 ноября 2015 г. 18:56:23(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
Автор: Андрей * Перейти к цитате
По-вашему выходит: можно расшифровать любые письма, имея сертификаты других пользователей?
Из контекста должно быть понятно, что подразумевалось "адресованные мне".
Даже если непонятно, то уточняющий вопрос - много уместнее отсыла к основам.
Offline Lexms  
#10 Оставлено : 10 ноября 2015 г. 23:12:29(UTC)
Lexms

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.11.2015(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Вроде бы понимаю.
Лучше хранить сертификат не в контейнере или без разницы? Какие-нибудь проблемы, неожиданности?

Сегодня возникла ситуация: при попытке зайти на закупки с помощью ключа, написал "Вставлен другой носитель" (та самая флешка с ключами). До этого: случайно флешку форматнули. К счастью, была копия сертификата и контейнера - их скопировали на эту флешку. Но, видимо, что-то не доделали. Криптопро, после того как в него добавляют сертификат и указывают соответствие с контейнером, в сертификат или контейнер добавляет информацию о носителе? То есть из-за чего может быть такое сошбщение? Какую-то информацию он точно куда-то добавляет, чтобы в следующие разы автоматически находить контейнер, когда пользователь выбирает сертификат.

Отредактировано пользователем 10 ноября 2015 г. 23:15:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.