Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро .NET
»
Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Так всё таки закрытый ключ создаётся не на сервере? Обычно ЭП подразумевает использование сертификатов, у вас они планируются? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Минск
|
Автор: Максим Коллегин Так всё таки закрытый ключ создаётся не на сервере? Не на сервере, на локале, но на приложение развернутое на IIS сервере не создает локальный контейнер для пользователя. Автор: Максим Коллегин Обычно ЭП подразумевает использование сертификатов, у вас они планируются? "Данный пример демонстрирует использование методов класса SignedXml без использования сертификатов." В примерах SDK есть подпись без использования сертификатов, поэтому не планируются.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Минск
|
Могу ли я с помощью библиотек крипто про, не используя сторонних кроме Microsft библиотек сделать создание контейнера в режиме Silent? Чтобы контейнер у меня создавался по указанному пути и в него ложился ключ. Без использования сертификатов и без появления всплывающих окон? Меня интересует позволяют ли библиотеки Sharpei задавать путь для создания (Не поиска) контейнера? И возможно ли передать из вне случайное число сгенерированное с помощью алгоритма гамма распределения объекту Gost3410CryptoServiceProvider для создания приватного ключа?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,451 Сказал «Спасибо»: 53 раз Поблагодарили: 791 раз в 731 постах
|
Автор: a.shandov Могу ли я с помощью библиотек крипто про, не используя сторонних кроме Microsft библиотек сделать создание контейнера в режиме Silent? Чтобы контейнер у меня создавался по указанному пути и в него ложился ключ. Без использования сертификатов и без появления всплывающих окон? Меня интересует позволяют ли библиотеки Sharpei задавать путь для создания (Не поиска) контейнера? И возможно ли передать из вне случайное число сгенерированное с помощью алгоритма гамма распределения объекту Gost3410CryptoServiceProvider для создания приватного ключа? Здравствуйте. Для создания ключей без использование биологического датчика случайных чисел необходимо использовать аппаратный датчик случайных чисел или внешнюю гамму (см. документ А РМ выработки внешней гаммы из состава дистрибутива КриптоПро CSP). Используемый датчик случайных чисел должен быть настроен через панель КриптоПро CSPвкладка Оборудованиекнопка Настроить ДСЧ... |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Как мне кажется, проще генерацию контейнера и экспорт открытого ключа будет делать на клиенте и пересылать на сервер открытый ключ кодированный в base64. Не уловил зачем на сервере временный контейнер, если реальный контейнер у пользователя. Подписание можно сделать плагином на страничке, открытой на рабочем месте пользователя, а для проверки достаточно открыть криптопровайдер в VERIFY режиме и импортировать открытый ключ. Если говорить дальше, то в принципе открытый ключ должен быть включен в подпись и наличие открытого ключа в БД нужно только для идентификации чья подпись. Тут 2 варианта хранения для идентификации: хранить сам открытый ключ вообще не нужно ключ грузить в криптопровайдер если в БД будет хранится именно в том виде в каком присутствует в подписи - просто двоичное сравнение сделать. Однако ключ большой, может быть разного размера и индексация будет не очень эффективна. Другой вариант хранить в БД идентификатор ключа пользователя - другими словами, хэш открытого ключа. Хэш смотря какой выберите, но он короче самого ключа и уже постоянной длины. Тут можно эффективнее использовать индексацию, если например поделить хэш на кусочки по 4 байта и использовать несколько 4-байтовых полей с индексами. То есть посчитали хэш открытого ключа из подписи в документе, нашли хэш в БД по индексам, вывели какому пользователю он соответствует. Отредактировано пользователем 10 января 2020 г. 6:47:37(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Минск
|
Автор: two_oceans Как мне кажется, проще генерацию контейнера и экспорт открытого ключа будет делать на клиенте и пересылать на сервер открытый ключ кодированный в base64. Не уловил зачем на сервере временный контейнер, если реальный контейнер у пользователя.
Подписание можно сделать плагином на страничке, открытой на рабочем месте пользователя, а для проверки достаточно открыть криптопровайдер в VERIFY режиме и импортировать открытый ключ. Если говорить дальше, то в принципе открытый ключ должен быть включен в подпись и наличие открытого ключа в БД нужно только для идентификации чья подпись.
Тут 2 варианта хранения для идентификации: хранить сам открытый ключ вообще не нужно ключ грузить в криптопровайдер если в БД будет хранится именно в том виде в каком присутствует в подписи - просто двоичное сравнение сделать. Однако ключ большой, может быть разного размера и индексация будет не очень эффективна.
Другой вариант хранить в БД идентификатор ключа пользователя - другими словами, хэш открытого ключа. Хэш смотря какой выберите, но он короче самого ключа и уже постоянной длины. Тут можно эффективнее использовать индексацию, если например поделить хэш на кусочки по 4 байта и использовать несколько 4-байтовых полей с индексами. То есть посчитали хэш открытого ключа из подписи в документе, нашли хэш в БД по индексам, вывели какому пользователю он соответствует. Да все, верно, я не так выразился, генерация и экспорт будет на клиенте происходить. Механизм подписания я реализовал, проблема сейчас в использовании гаммы для генерации контейнера.Я хочу генерировать контейнер и ключи без всплывающих окон. Но не могу найти информацию по использованию КПИМ в качестве ДСЧ. Я видел, что используют bash для вызова утилиты genkpim.exe криптопро для генерации гаммы, но я не знаю где взять или как правильно создать папки db для добавления КПИМ в качестве ДСЧ. И проблема так же, что данную утилиту придется запускать на каждом клиенте, а их может быть тысяча. Хранить ключ в открытом виде не получится, я храню в бд тот хэш которым он зашифрован уже в криптопро.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Не до конца понятно что хотите сделать: соображение 1) если генерацию на клиенте запускает пользователь то ему не сложно мышкой поводить на био-дсч. соображение 2) если генерацию на клиенте запускает программа - то тут проблема да, нужна или гамма или аппаратный дсч. Но чтобы набрать гамму опять же нужен дсч (био или аппаратный). То есть гамма не решает проблему всплывающих окон просто меняет распределение по времени когда и кто мышкой водил. Как по мне наверно раз в год пользователь (или сисадмин компьютера если техсертификат компьютера) может и мышкой поводить, не перетрудится. Есть код автономной страницы генерации запроса для криптопро УЦ, можно генерировать подобной страничкой (без гаммы о всплывающим окном). соображение 3) если вырабатывать гамму на неком сервере и загружать на клиенты - то так скорее всего будут нарушены требования безопасности (нежелательно все же по каналам связи передавать, да и уже будут сомнения в надежности). Однако имеет смысл попробовать при условии что на сервере аппаратный дсч. Цитата:Хранить ключ в открытом виде не получится, я храню в бд тот хэш которым он зашифрован уже в криптопро. Непонятно, опять в терминах путаница. Отредактировано пользователем 13 января 2020 г. 15:14:39(UTC)
| Причина: Не указана
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро .NET
»
Поставщику не удалось выполнить действие, так как запрошено выполнение в автоматическом контексте
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close