Номер ключа для записи в журнал учета СКЗИ?- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы<12

Номер ключа для записи в журнал учета СКЗИ?

Опции

Предыдущая тема Следующая тема

nikolkas_spb		#11 Оставлено : 25 ноября 2019 г. 14:39:42(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.01.2017(UTC) Сообщений: 219 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 11 раз Поблагодарили: 41 раз в 40 постах		открыть сертификат, закладка "состав", пункт "серийный номер". в журнал СКЗИ обычно его не вносят. если принципиально знать на каком носителе какой серт, то журнал можно вести в электронном виде, где просто "копировать/вставить" значения. тогда надо четко писать дату внесения или удаления серта с носителя. в принципе,дело неплохое, только муторное.
		Цена свободы - вечная бдительность!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#12 Оставлено : 26 ноября 2019 г. 5:13:09(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах		Автор: Анатолий Колкочев Могу предложить сделать следующее: Если нужен номер ЭП, а не сертификата, то можете взять значение хеш-функции в файле header.key в контейнере закрытого ключа. Если это то о чем я думаю (критерий по которому определяется целостность контейнера), то значение хэш-функции включает в себя только header.key и меняется, например, при установке сертификата (и сертификатов УЦ) в контейнер, при удалении даты действия и т.д. Таким образом, записывать его в журнал немного проблематично, что-то изменится и уже не докажем что это был именно тот контейнер. В принципе больше бы подошло поле "Идентификатор ключа субъекта" из сертификата (это хэш от блоба открытого ключа если не ошибаюсь). Если на тот же открытый ключ выпустить еще один сертификат, то идентификатор будет такой же, но номер сертификата другой. Поэтому наверно более корректно использовать идентификатор чем серийный номер сертификата. Минусы: 1) это хэш SHA-1, не гост; 2) длина хэша 20 байт, многовато. С другой стороны, отправить в УЦ запрос на основе существующего контейнера штатными средствами (openssl в расчет не беру) обычно не получится, почти все штатные утилиты при создании запроса автоматом генерируют и новый контейнер. В итоге, соответствие между идентификатором ключа и номером сертификата практически однозначное при использовании штатных утилит аккредитованных УЦ. Начинал журнал по рекомендациям УЦ ФК и сайта sedkazna, там рекомендовали просто записать номер сертификата. В те времена старый УЦ ФК выдавал номера сертификатов из трех байт (вроде 22 33 44) и это правда было проще. Причем если номер длинный, то рекомендовали записать несколько (4-6) шестнадцатиричных цифр из начала номера, многоточие, несколько (6-4) цифр из конца номера. Сейчас все номера сертификатов аккредитованных УЦ стали длинными и преимущества в длине у номера нет: длина идентификатора 20 байт, попадавшаяся длина номера в сертификатах разных УЦ от 16 до 28 байт.

1 пользователь поблагодарил two_oceans за этот пост.		Valentina оставлено 26.11.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Анатолий Колкочев		#13 Оставлено : 26 ноября 2019 г. 8:14:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 05.07.2018(UTC) Сообщений: 467 Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах		Да, я говорил именно про то значение, по которому определяется целостность контейнера. Просто мне казалось, что если с контейнером изначально провести все необходимые действия, а потом брать значение хеш-функции, то это может считаться за некий уникальный идентификатор ключа. Или можно найти значение хеш-функции от четырех файлов (primary 1, primary 2, masks1, masks2) и его использовать в качестве идентификатора? Т.к., как Вы говорите, и Вы правы, значение хеш-функции в файле header.key меняется в соответствии с его "наполнением", и файл name.key так же может изменяться. Автор: two_oceans Автор: Анатолий Колкочев Могу предложить сделать следующее: Если нужен номер ЭП, а не сертификата, то можете взять значение хеш-функции в файле header.key в контейнере закрытого ключа. Если это то о чем я думаю (критерий по которому определяется целостность контейнера), то значение хэш-функции включает в себя только header.key и меняется, например, при установке сертификата (и сертификатов УЦ) в контейнер, при удалении даты действия и т.д. Таким образом, записывать его в журнал немного проблематично, что-то изменится и уже не докажем что это был именно тот контейнер. В принципе больше бы подошло поле "Идентификатор ключа субъекта" из сертификата (это хэш от блоба открытого ключа если не ошибаюсь). Если на тот же открытый ключ выпустить еще один сертификат, то идентификатор будет такой же, но номер сертификата другой. Поэтому наверно более корректно использовать идентификатор чем серийный номер сертификата. Минусы: 1) это хэш SHA-1, не гост; 2) длина хэша 20 байт, многовато. С другой стороны, отправить в УЦ запрос на основе существующего контейнера штатными средствами (openssl в расчет не беру) обычно не получится, почти все штатные утилиты при создании запроса автоматом генерируют и новый контейнер. В итоге, соответствие между идентификатором ключа и номером сертификата практически однозначное при использовании штатных утилит аккредитованных УЦ. Начинал журнал по рекомендациям УЦ ФК и сайта sedkazna, там рекомендовали просто записать номер сертификата. В те времена старый УЦ ФК выдавал номера сертификатов из трех байт (вроде 22 33 44) и это правда было проще. Причем если номер длинный, то рекомендовали записать несколько (4-6) шестнадцатиричных цифр из начала номера, многоточие, несколько (6-4) цифр из конца номера. Сейчас все номера сертификатов аккредитованных УЦ стали длинными и преимущества в длине у номера нет: длина идентификатора 20 байт, попадавшаяся длина номера в сертификатах разных УЦ от 16 до 28 байт. Отредактировано пользователем 26 ноября 2019 г. 8:26:09(UTC) \| Причина: Не указана
		GithHub: https://github.com/anatolkavassermann/


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#14 Оставлено : 26 ноября 2019 г. 9:46:58(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах		Не спорю, идея хорошая в теории, но не все так просто, как хотелось бы. Автор: Анатолий Колкочев Да, я говорил именно про то значение, по которому определяется целостность контейнера. Просто мне казалось, что если с контейнером изначально провести все необходимые действия, а потом брать значение хеш-функции, то это может считаться за некий уникальный идентификатор ключа. К сожалению, у меня нет уверенности, что значение header.key не изменится в дальнейшем (даже если все действия провести сразу). Причина - криптопровайдер требует доступа на запись к контейнеру, это касается как реестра, так и флешек и жестких дисков. По факту, если сразу установить сертификат в контейнер, сделать копию папки Проводником, а через некоторое время посмотреть даты файлов на "рабочей" флешке у пользователя и на резервной флешке, то на рабочей флешке даты некоторых файлов будут позднее. Содержимое не изучал, но по датам впечатление, что криптопровайдер что-то изменяет в контейнере. Размер вроде бы такой же, но тут есть нюанс, что если данные asn1 стали короче, размер файла не изменяется в меньшую сторону, просто остаются "мусорные данные" после asn1 структуры. Кажется, пробовал удалить дату или сертификаты УЦ утилитой и попутно наткнулся на такое поведение утилиты. Можно что-то записать в конец header.key и контейнер будет нормально работать, игнорируя "лишнее". Вышел бы неплохой шпионский ход, но если данные asn1 снова увеличатся, то "лишнее" будет перезаписано без жалости. Автор: Анатолий Колкочев Или можно найти значение хеш-функции от четырех файлов (primary 1, primary 2, masks1, masks2) и его использовать в качестве идентификатора? Т.к., как Вы говорите, и Вы правы, значение хеш-функции в файле header.key меняется в соответствии с его "наполнением", и файл name.key так же может изменяться. Честно говоря, не вижу почему name.key может измениться, все же нет штатного способа переименовать контейнер, можно только скопировать с новым именем. Возможно только пользователь откроет его в редакторе и поменяет. В сравнении выше, обычно дата name.key не меняется, а вот primary-mask меняются. Предположу, что закрытый ключ время от времени перешифровывается с другим случайным числом. Ну и если посмотреть на вопрос в целом - а если получили контейнер другого криптопровайдера, способ уже не подходит. Поэтому использование идентификатора открытого ключа (хэша от открытого ключа) способ более универсальный. Зачем ломать голову над закрытым форматом контейнера, когда есть открытая спецификация сертификата и известно что любой контейнер с ключевой парой будет содержать открытый ключ. Отредактировано пользователем 26 ноября 2019 г. 10:03:28(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы<12

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close