Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#11 Оставлено : 24 декабря 2019 г. 12:16:06(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Так всё таки закрытый ключ создаётся не на сервере?
Обычно ЭП подразумевает использование сертификатов, у вас они планируются?
Знания в базе знаний, поддержка в техподдержке
Offline a.shandov  
#12 Оставлено : 24 декабря 2019 г. 12:19:42(UTC)
a.shandov

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Беларусь
Откуда: Минск

Автор: Максим Коллегин Перейти к цитате
Так всё таки закрытый ключ создаётся не на сервере?

Не на сервере, на локале, но на приложение развернутое на IIS сервере не создает локальный контейнер для пользователя.

Автор: Максим Коллегин Перейти к цитате
Обычно ЭП подразумевает использование сертификатов, у вас они планируются?

"Данный пример демонстрирует использование методов класса SignedXml без использования сертификатов."
В примерах SDK есть подпись без использования сертификатов, поэтому не планируются.

Offline a.shandov  
#13 Оставлено : 25 декабря 2019 г. 18:04:56(UTC)
a.shandov

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Беларусь
Откуда: Минск

Могу ли я с помощью библиотек крипто про, не используя сторонних кроме Microsft библиотек сделать создание контейнера в режиме Silent?
Чтобы контейнер у меня создавался по указанному пути и в него ложился ключ. Без использования сертификатов и без появления всплывающих окон?
Меня интересует позволяют ли библиотеки Sharpei задавать путь для создания (Не поиска) контейнера?
И возможно ли передать из вне случайное число сгенерированное с помощью алгоритма гамма распределения объекту Gost3410CryptoServiceProvider для создания приватного ключа?
Offline Александр Лавник  
#14 Оставлено : 25 декабря 2019 г. 18:12:01(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,451
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 791 раз в 731 постах
Автор: a.shandov Перейти к цитате
Могу ли я с помощью библиотек крипто про, не используя сторонних кроме Microsft библиотек сделать создание контейнера в режиме Silent?
Чтобы контейнер у меня создавался по указанному пути и в него ложился ключ. Без использования сертификатов и без появления всплывающих окон?
Меня интересует позволяют ли библиотеки Sharpei задавать путь для создания (Не поиска) контейнера?
И возможно ли передать из вне случайное число сгенерированное с помощью алгоритма гамма распределения объекту Gost3410CryptoServiceProvider для создания приватного ключа?

Здравствуйте.

Для создания ключей без использование биологического датчика случайных чисел необходимо использовать аппаратный датчик случайных чисел или внешнюю гамму (см. документ АРМ выработки внешней гаммы из состава дистрибутива КриптоПро CSP).

Используемый датчик случайных чисел должен быть настроен через

панель КриптоПро CSP
вкладка Оборудование
кнопка Настроить ДСЧ...
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#15 Оставлено : 10 января 2020 г. 6:42:58(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Как мне кажется, проще генерацию контейнера и экспорт открытого ключа будет делать на клиенте и пересылать на сервер открытый ключ кодированный в base64. Не уловил зачем на сервере временный контейнер, если реальный контейнер у пользователя.

Подписание можно сделать плагином на страничке, открытой на рабочем месте пользователя, а для проверки достаточно открыть криптопровайдер в VERIFY режиме и импортировать открытый ключ. Если говорить дальше, то в принципе открытый ключ должен быть включен в подпись и наличие открытого ключа в БД нужно только для идентификации чья подпись.

Тут 2 варианта хранения для идентификации: хранить сам открытый ключ вообще не нужно ключ грузить в криптопровайдер если в БД будет хранится именно в том виде в каком присутствует в подписи - просто двоичное сравнение сделать. Однако ключ большой, может быть разного размера и индексация будет не очень эффективна.

Другой вариант хранить в БД идентификатор ключа пользователя - другими словами, хэш открытого ключа. Хэш смотря какой выберите, но он короче самого ключа и уже постоянной длины. Тут можно эффективнее использовать индексацию, если например поделить хэш на кусочки по 4 байта и использовать несколько 4-байтовых полей с индексами. То есть посчитали хэш открытого ключа из подписи в документе, нашли хэш в БД по индексам, вывели какому пользователю он соответствует.

Отредактировано пользователем 10 января 2020 г. 6:47:37(UTC)  | Причина: Не указана

Offline a.shandov  
#16 Оставлено : 10 января 2020 г. 10:36:19(UTC)
a.shandov

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Беларусь
Откуда: Минск

Автор: two_oceans Перейти к цитате
Как мне кажется, проще генерацию контейнера и экспорт открытого ключа будет делать на клиенте и пересылать на сервер открытый ключ кодированный в base64. Не уловил зачем на сервере временный контейнер, если реальный контейнер у пользователя.

Подписание можно сделать плагином на страничке, открытой на рабочем месте пользователя, а для проверки достаточно открыть криптопровайдер в VERIFY режиме и импортировать открытый ключ. Если говорить дальше, то в принципе открытый ключ должен быть включен в подпись и наличие открытого ключа в БД нужно только для идентификации чья подпись.

Тут 2 варианта хранения для идентификации: хранить сам открытый ключ вообще не нужно ключ грузить в криптопровайдер если в БД будет хранится именно в том виде в каком присутствует в подписи - просто двоичное сравнение сделать. Однако ключ большой, может быть разного размера и индексация будет не очень эффективна.

Другой вариант хранить в БД идентификатор ключа пользователя - другими словами, хэш открытого ключа. Хэш смотря какой выберите, но он короче самого ключа и уже постоянной длины. Тут можно эффективнее использовать индексацию, если например поделить хэш на кусочки по 4 байта и использовать несколько 4-байтовых полей с индексами. То есть посчитали хэш открытого ключа из подписи в документе, нашли хэш в БД по индексам, вывели какому пользователю он соответствует.


Да все, верно, я не так выразился, генерация и экспорт будет на клиенте происходить.

Механизм подписания я реализовал, проблема сейчас в использовании гаммы для генерации контейнера.Я хочу генерировать контейнер и ключи без всплывающих окон. Но не могу найти информацию по использованию КПИМ в качестве ДСЧ. Я видел, что используют bash для вызова утилиты genkpim.exe криптопро для генерации гаммы, но я не знаю где взять или как правильно создать папки db для добавления КПИМ в качестве ДСЧ.

И проблема так же, что данную утилиту придется запускать на каждом клиенте, а их может быть тысяча.

Хранить ключ в открытом виде не получится, я храню в бд тот хэш которым он зашифрован уже в криптопро.
Offline two_oceans  
#17 Оставлено : 13 января 2020 г. 14:52:13(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Не до конца понятно что хотите сделать:
соображение 1) если генерацию на клиенте запускает пользователь то ему не сложно мышкой поводить на био-дсч.
соображение 2) если генерацию на клиенте запускает программа - то тут проблема да, нужна или гамма или аппаратный дсч. Но чтобы набрать гамму опять же нужен дсч (био или аппаратный). То есть гамма не решает проблему всплывающих окон просто меняет распределение по времени когда и кто мышкой водил.

Как по мне наверно раз в год пользователь (или сисадмин компьютера если техсертификат компьютера) может и мышкой поводить, не перетрудится. Есть код автономной страницы генерации запроса для криптопро УЦ, можно генерировать подобной страничкой (без гаммы о всплывающим окном).
соображение 3) если вырабатывать гамму на неком сервере и загружать на клиенты - то так скорее всего будут нарушены требования безопасности (нежелательно все же по каналам связи передавать, да и уже будут сомнения в надежности). Однако имеет смысл попробовать при условии что на сервере аппаратный дсч.
Цитата:
Хранить ключ в открытом виде не получится, я храню в бд тот хэш которым он зашифрован уже в криптопро.
Непонятно, опять в терминах путаница.

Отредактировано пользователем 13 января 2020 г. 15:14:39(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.