Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#1 Оставлено : 20 июля 2020 г. 11:06:13(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Добрый день,

Пожалуйста, посоветуйте, какие считыватели с интегрированной на них цифровой клавиатурой могут работать в паре с КриптоПро 5 для подтверждения транзакций плоских смарт карт Рутокен ЭЦП 2.0 ?

Такие:

https://cryptostore.ru/search/?q=spe&s=

не подойдут?

КриптоПро вообще поддерживает считыватели с SPE (Secure PIN Entry) ?

Отредактировано пользователем 20 июля 2020 г. 11:08:36(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#2 Оставлено : 20 июля 2020 г. 11:41:37(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
Добрый день,

Пожалуйста, посоветуйте, какие считыватели с интегрированной на них цифровой клавиатурой могут работать в паре с КриптоПро 5 для подтверждения транзакций плоских смарт карт Рутокен ЭЦП 2.0 ?

Такие:

https://cryptostore.ru/search/?q=spe&s=

не подойдут?

КриптоПро вообще поддерживает считыватели с SPE (Secure PIN Entry) ?


Добрый день.
Нет, не поддерживаем. Более того, весьма вероятно, что и сами карты Рутокен ЭЦП с данными считывателями не совместимы.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#3 Оставлено : 20 июля 2020 г. 18:15:33(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Может быть, тогда хотя бы вот эти:

https://www.usmartcards....bridge-ct700-reader.html

https://www.aladdin-rd.r...log/antifraud#specialist

считыватели вы поддерживаете?

Если опять нет, то предложите тогда свои варианты поддерживаемых считывателей хотя бы с одной кнопкой авторизации.

Еще одно обсуждение на форуме Рутокен:
http://forum.rutoken.ru/topic/3209/

https://www.windows-soft...minal-po-dostupnoy-tsene

Цитата:
Основными областями применения "Антифрод-терминала" являются:

защита систем электронного документооборота и электронных сервисов от атак киберпреступников, направленных на подписание поддельных документов на ключах ЭП легального пользователя и последующее навязывание этих документов системе или сервису.


Рутокеновцы рекомендуют:
https://safe-tech.ru/wp-...019/09/safetouch-pro.pdf

Цитата:
Корректно работать "Антифрод-терминал" скорее всего не будет с нашими смарт-картами.
Можем предложить попробовать использовать SafeTouch PRO(https://safe-tech.ru/safetouch-pro/), данное устройство работает с Рутокен и PKCS#11.


Точно будет работать с плоской картой Рутокен ЭЦП2 + КриптоПРО 5 по PKCS 11?

Какие еще варианты, неужели всего один на всю страну?

Отредактировано пользователем 20 июля 2020 г. 18:33:17(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#4 Оставлено : 21 июля 2020 г. 11:43:17(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
https://www.usmartcards.com/gemalto-id-bridge-ct700-reader.html

Тот же ответ, что ранее - скорее всего, даже карта не поддерживает его.

Насколько я вижу, это не считыватель, а пинпад со встроенным журналом.

Автор: sanyo Перейти к цитате
Если опять нет, то предложите тогда свои варианты поддерживаемых считывателей хотя бы с одной кнопкой авторизации.

Точно работают и поддерживаются нами:
- Safetech SafeTouch: https://safe-tech.ru/safetouch-pro/
- Актив Рутокен ПинПад: https://www.rutoken.ru/p...ucts/all/rutoken-pinpad/

Автор: sanyo Перейти к цитате
Точно будет работать с плоской картой Рутокен ЭЦП2 + КриптоПРО 5 по PKCS 11?

Да, будет. Вы уверены, что в этой связке нужен PKCS#11? CSP напрямую работает с SafeTouch, который напрямую работает с картой. Если ваша система требует PKCS#11, то можно использовать наш модуль, но для базовых задач это чаще всего избыточно.
Автор: sanyo Перейти к цитате
Какие еще варианты, неужели всего один на всю страну?

К сожалению, да, если не считать Рутокен ПинПад. Производителям не очень интересно тратить ресурсы на поддержку того, что не имеет спроса.

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#5 Оставлено : 22 июля 2020 г. 9:06:24(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Насколько я вижу, это не считыватель, а пинпад со встроенным журналом.


Судя по:
https://zlonov.ru/catalo...0%b0%d0%bb-digipass-920/
это все же картридер,

Цитата:
Нотификация на ввоз Антифрод-терминал / DIGIPASS 920

Наименование товара: Карт-ридер с дисплеем и клавиатурой c функциями шифрования (PinPad-терминал) DIGIPASS 920 xxx, где xxx – номер версии прошивки, не влияющий на криптографические характеристики товара
Номер нотификации: RU0000013396


Автор: Агафьин Сергей Перейти к цитате

Автор: sanyo Перейти к цитате
Точно будет работать с плоской картой Рутокен ЭЦП2 + КриптоПРО 5 по PKCS 11?

Да, будет. Вы уверены, что в этой связке нужен PKCS#11? CSP напрямую работает с SafeTouch, который напрямую работает с картой. Если ваша система требует PKCS#11, то можно использовать наш модуль, но для базовых задач это чаще всего избыточно.


Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC APDU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (на одном из уровней ниже) APDU?

Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх APDU)?

Лично мне нужна работа с OpenSSH через OpenSC-PKCS11 и с cryptcp предположительно через КриптоПРО 5 (который далее уже работает через без разницы что).
Cryptcp и OpenSSH будут работать с Рутокен ЭЦП2 через SafeTouch PRO?

А кроме банков где-то можно прикупить современную версию SafeTouch PRO? Старую версию не PRO достаточно легко найти в продаже на вторичке.

Отредактировано пользователем 12 ноября 2020 г. 9:31:34(UTC)  | Причина: Не указана

Offline sanyo  
#6 Оставлено : 22 июля 2020 г. 9:25:05(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
В документации тоже упоминается наличие считывателя:

https://developer.aladdi...escription/terminal.html

Цитата:
Состав устройства

Терминал снабжён:

Четырёхстрочным матричным дисплеем, позволяющим отобразить (с учетом прокрутки) до 400 символов
Встроенной цифровой клавиатурой с кнопками OK (кнопка подтверждения), C (кнопка отмены) и кнопками прокрутки отображаемых данных
Слотом для ISO-7816 совместимой смарт-карты, которая может быть использована в качестве средства ЭП
Встроенным криптографическим чипом AT90SC25672RCT с функционирующим в его составе СКЗИ “Криптотокен”, в котором реализована российская криптография
Кабелем для подключения к порту USB.



https://developer.aladdi....0/description/sign.html

Цитата:
Поддерживаемые типы средств ЭП

На платформе Microsoft Windows в качестве средства ЭП могут быть использованы:

USB-токены (рекомендуются JaCarta-2 ГОСТ или JaCarta ГОСТ);
Смарт-карты ISO 7816 (рекомендуются JaCarta-2 ГОСТ или JaCarta ГОСТ).

Отредактировано пользователем 22 июля 2020 г. 9:25:39(UTC)  | Причина: Не указана

Offline sanyo  
#7 Оставлено : 22 июля 2020 г. 9:30:12(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Не пойму, почему все так запутанно и неочевидно, поддержка даже производителей-перепродавцов терминалов типа Аладдин часто сама не знает сначала о их существовании, а потом с чем они совместимы, особенно со стороны софта. Поддержка Аладдина "осчастливила", что их терминал совместим только с их картами, а про совместимый софт и вовсе ничего.

CryptoStore и Secure-Market тоже не в курсе, несмотря на то, что у них есть в наличии на сайте считыватели с SPE (Secure PIN Entry) пинпадами, но эти считыватели даже не подходят для ГОСТовых смарткарт, а для каких смарт карт подходят - тоже неизвестно.

На вопрос есть ли смарткарты с авторизацией кнопкой типа Rutoken ECP2 Touch получаю сначала ответ на форуме Рутокена, что такого не бывает.

Однако уже через неделю удается накопать инфу по заветному SafeTouch PRO, благодаря их же форуму Рутокен. Получается, что такое все таки возможно, но почему это пришлось выпрашивать и выспрашивать с пристрастием?

Многое приходится пробивать самостоятельно, время ответа на каждый вопрос бывает измеряется несколькими днями.

Итого в сумме я уже ЦЕЛЫЙ МЕСЯЦ интересуюсь различными аспектами получения сертификата ЭЦП на аппаратном крипто, защитой его от несанкционированного использования,
а УЦ даже боятся дать гарантии, что смогут сделать такой сертификат кроме ЕГАИС для алкашей.

Почему нельзя "одним кликом" за пару минут получить сертификат физ. лица с неизвлекаемым ключом по PKCS 11 и чтобы был автоматически предложен вариант добавить в заказ смарткарту с сертификатом ФСБ и терминал SafeTouch PRO. Почему нужно тратить месяц?
Если было бы пару минут, то это был бы прорыв :) Но уже месяц на раскачку, а воз и ныне там.

При этом SafeTouch героически производит свой малопопулярный продукт, о существовании которого мало кто догадывается акромя банкиров, а у обычных пользователей тем временем почти ноль шансов найти решение для защиты дополнительной кнопкой от несанкционированных транзакций через смарткарты в КриптоАРМ из-за его необычности, незнания о нем поддержки (вероятно даже в trusted.ru), отсутствия инфы на сайтеках мракетологов, далеко не у каждого есть месяц времени на поиски, да еще и УЖЕ с базовыми знаниями по настройке криптософта до начала этого квеста.

А уж чтобы разработчики КриптоАРМ сами еще лет 5 назад бы интегрировали (отображение подписываемого документа на дисплее терминала) свой КриптоАРМ с SafeTouch и АнтифродТерминалом Аладдина и разместили бы у себя ссылки на УЦ, которые делают сертификаты для ключей PKCS 11 - это и вовсе фантастика.

По сути то ведь на данный момент, несмотря на предположительные отличия совместимости терминалов с КриптоПРО, оба терминала - SafeTouch и Аладдин ведь нацелены на один и тот же сектор рынка - защиты ДБО юридических лиц.

Отредактировано пользователем 22 июля 2020 г. 11:38:19(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#8 Оставлено : 22 июля 2020 г. 11:42:43(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Цитата:
Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC ADPU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (неявно на одном из уровней ниже) ADPU?

CSP скармливает в SafeTouch напрямую через APDU-команды подписываемый документ. Когда железка понимает, что ей передали (распарсила), выводит на экран выжимку из документа и просит подтвердить. Затем, когда CSP шлет на токен хэш для подписи, команда перехватывается (устройство знает APDU для подписи на Рутокен) и анализируется: если хэш совпал с тем, что был ранее подтвержден, то всё ок. Если нет, то пользователю говорят, что подписывается что-то нераспознаенное.

Цитата:
Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх ADPU)?

Нет. CSP работает со всеми носителями напрямую через APDU.

Цитата:
Лично мне нужна работа с OpenSSH через OpenSC-PKCS11 и с cryptcp предположительно через КриптоПРО 5 (который далее уже работает через без разницы что).
Cryptcp и OpenSSH будут работать с Рутокен ЭЦП2 через SafeTouch PRO?

cryptcp работать будет. SafeTouch уверенно распознает запросы на сертификат и PKCS#7-подписи. Насчет OpenSSH гарантии не дам, но проблемы быть не должно.

Цитата:
А кроме банков где-то можно прикупить современную версию SafeTouch PRO? Старую версию не PRO достаточно легко найти в продаже на вторичке.

Напишите в SafeTech, может, подскажут. Вообще, эта железка специально для банков (скорее всего, прямо конкретных) и умеет распознавать считанное число форматов. Не нужно рассчитывать, что при подписи, например, pdf она что-то покажет кроме "подписывается непонятно что". А если вас устроит и такая операция аппаратного подтверждения, то токены с кнопкой не сильно хуже.

Цитата:
Не пойму, почему все так запутанно и неочевидно, поддержка даже производителей-перепродавцов терминалов типа Аладдин часто сама не знает сначала о их существовании, а потом с чем они совместимы.

Нет спроса - нет предложения. 99% пользователей устраивают самые дешевые простые пассивные токены. Ради оставшегося 1% довольно сложно найти мотивацию разрабатывать и поддерживать аппаратные решения. Вы еще учтите, что компании-разработчики (что мы, что Аладдин, что Актив) - довольно небольшие организации, которым приходится жестко управлять своими ресурсами.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
sanyo оставлено 22.07.2020(UTC)
Offline sanyo  
#9 Оставлено : 22 июля 2020 г. 11:55:52(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Цитата:
А кроме банков где-то можно прикупить современную версию SafeTouch PRO? Старую версию не PRO достаточно легко найти в продаже на вторичке.

Напишите в SafeTech, может, подскажут. Вообще, эта железка специально для банков (скорее всего, прямо конкретных) и умеет распознавать считанное число форматов. Не нужно рассчитывать, что при подписи, например, pdf она что-то покажет кроме "подписывается непонятно что". А если вас устроит и такая операция аппаратного подтверждения, то токены с кнопкой не сильно хуже.

Мне попался предположительно проблемный токен Rutoken ECP2 Touch:
http://forum.rutoken.ru/post/14449/#p14449
Хотелось бы попробовать смарткарту, она дешевле в 2 раза и кроме того можно и попробовать смарткарты других производителей, например, типа Ангара:
https://multisoft.ru/zas...rt-karty-ms-key-k-angara
Мало кто производит токены со встроенным крипто, и чтобы на них при этом была кнопка авторизациии.
Кроме того я надеюсь, что через SafeTouch будут работать и зарубежные смарт карты, особенно интересны с интерфейсом OpenPGP card и поддержкой RSA ключей длиной до 4096 и более (если бывают).

Автор: Агафьин Сергей Перейти к цитате

Цитата:
Не пойму, почему все так запутанно и неочевидно, поддержка даже производителей-перепродавцов терминалов типа Аладдин часто сама не знает сначала о их существовании, а потом с чем они совместимы.

Нет спроса - нет предложения. 99% пользователей устраивают самые дешевые простые пассивные токены. Ради оставшегося 1% довольно сложно найти мотивацию разрабатывать и поддерживать аппаратные решения. Вы еще учтите, что компании-разработчики (что мы, что Аладдин, что Актив) - довольно небольшие организации, которым приходится жестко управлять своими ресурсами.


При отсутствии предложения, спрос тоже не появится :)
С моей точки зрения Safetouch PRO могли бы хотя бы поделить рыночную нишу с Rutoken ECP2 Touch.
Конуренция важна для достижения успеха, при избытке ресурсов и мотивации развитие застопорится, впрочем при недостатке ресурсов тоже.

Почему бы не попытаться интегрировать программы подписания документов (в т.ч. и в системах документооборота) с отображением на дисплее SafeTouch на уровне КриптоПРО CSP, а не на уровне каждой отдельно взятой программы типа CryptCP, КриптоАРМ, Диадок (CSP Browser Plugin) и т.п., которых много хороших и разных? И такая фича возможно была бы вам бы дополнительным преимуществом над конкурентами.

А комплект КриптоТРИ 2.0 из КриптоПРО, сертификата ключа вашего УЦ на аппаратном крипто и SafeTouch PRO был бы поистине уникальным :)

Отредактировано пользователем 25 июля 2020 г. 0:38:57(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#10 Оставлено : 22 июля 2020 г. 12:35:38(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
Хотелось бы попробовать смарткарту, она дешевле в 2 раза и кроме того можно и попробовать смарткарты других производителей, например, типа Ангара:
https://multisoft.ru/zas...rt-karty-ms-key-k-angara

Неизвлекаемые ключи на Ангаре мы не поддерживаем. Мы давно предлагаем Мультисофту, но пока результата нет.
Автор: sanyo Перейти к цитате
Мало кто производит токены со встроенным крипто, и чтобы на них при этом была кнопка авторизациии.

В целом, да. Я знаю два: Рутокен Touch и Инфокрипт VPN-Key-TLS.
Автор: sanyo Перейти к цитате
Кроме того я надеюсь, что через SafeTouch будут работать и зарубежные смарт карты, особенно интересны с интерфейсом OpenPGP card и поддержкой RSA ключей длиной до 4096 и более (если бывают).

Если он знает их APDU-формат, то вполне может. Правда, если я правильно помню, хэшировать он умеет только по ГОСТ-ами и SHA1.

Цитата:
При отсутствии предложения, спрос тоже не появится :) Вот лично мне сейчас негде купить Safetouch PRO, только старые модели на барахолках.
С моей точки зрения Safetouch PRO могли бы хотя бы поделить рыночную нишу с Rutoken ECP2 Touch.

У меня есть большие сомнения по поводу размера этой ниши.

Цитата:
Почему бы не попытаться интегрировать системы документооборота с отображением на дисплее SafeTouch на уровне КриптоПРО CSP, а не на уровне КриптоАРМ, Диадок и т.п.?

Это вопрос к разработчикам ЭДО. Если речь о подписи простых документов, то она есть в "Инструментах КриптоПро", где всё отлично работает с SafeTouch.

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
sanyo оставлено 22.07.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
5 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.