Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2014(UTC) Сообщений: 136  Откуда: Город Сказал(а) «Спасибо»: 11 раз
|
Автор: Агафьин Сергей  Цитата:Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC ADPU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (неявно на одном из уровней ниже) ADPU? CSP скармливает в SafeTouch напрямую через APDU-команды подписываемый документ. Когда железка понимает, что ей передали (распарсила), выводит на экран выжимку из документа и просит подтвердить. Затем, когда CSP шлет на токен хэш для подписи, команда перехватывается (устройство знает APDU для подписи на Рутокен) и анализируется: если хэш совпал с тем, что был ранее подтвержден, то всё ок. Если нет, то пользователю говорят, что подписывается что-то нераспознаенное. Цитата:Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх ADPU)? Нет. CSP работает со всеми носителями напрямую через APDU. Сергей, тогда, пожалуйста, объясните, зачем КриптоПРО (причем необязательно пятый, можно четвертый) нужен в следующей цепочке API для работы Диадок (по словам их поддержки): Цитата:Используется плагин, все верно. Во вложении пример установки плагина на Chromium. Можно загрузить на все системы Linux, что были описаны ранее. На счет https://devuan.org/ - эксперт установил, все работает. Раз на ней работает, то и на более свежей версии 3.0 тоже будет работать. Несколько моментов: В инструкциях устарела ссылка на Плагин. Там https://h.kontur.ru/plugin/linux , а актуальная https://h.kontur.ru/plugin/betaДля работы смарт-карт: 1) Надо установить необходимые пакеты через терминал командой sudo apt-get install libccid pcscd libpcsclite1 pcsc-tools 2)Для работы аппаратного токена необходимо установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linuxПлагин пока не умеет работать напрямую с этой библиотекой, есть прямая зависимость от КриптоПро, поэтому ее тоже надо установить. Подойдёте и КриптоПро 4. КриптоПро CSP 5.0 и выше нужен для работы носителей Etoken и Jacarta. Раз требуется установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linuxто PKCS 11 используется в Диадок? пусть неявно, если верить следующему: Цитата:Для работы аппаратного токена необходимо установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linuxПлагин пока не умеет работать напрямую с этой библиотекой, есть прямая зависимость от КриптоПро, поэтому ее тоже надо установить. Но по вашим словам КриптоПро не использует PKCS11? С моей точки зрения, получается какое-то логическое противоречие между вашими словами и поддержкой Диадок? Может быть КриптоПро используется для какой-то инициализации, а потом все же плагином используется PKCS11? Меня смущает то, что я планирую получить в УЦ сертификат для ключа на аппаратном крипто PKCS11, но если в Диадок нужен КриптоПро даже для неизвлекаемых ключей, а КриптоПро (даже КриптоПро v5 для работы с аппаратным крипто) по вашим словам не использует PKCS11, а использует низкоуровневый протокол APDU, то в каком формате должны быть ключи, чтобы они были совместимы одновременно с Диадок, с КриптоПро 4/5, с аппаратным крипто Рутокен ЭЦП 2.0, с PKCS11 и APDU? Такое вообще возможно? Протокол PKCS11 вообще подразумевает какой-то свой некий формат хранения закрытых ключей? КриптоПро5 через APDU может работать самостоятельно с таким форматов ключей PKCS11 на аппаратном крипто? Он будет подстраиваться под формат ключей PKCS11 на файловой системе токена? PKCS11 ведь тоже работает через APDU? Тогда возможно КриптоПро5 содержит внутри себя свою собственную реализацию PKCS11, но использует ее только самостоятельно без экспортирования этого интерфейса наружу за пределы КриптоПро для других программ? Сертификат мне собираются выпустить следующим образом: Цитата:Вам требуется сертификат с аппаратной криптографией. Обратите внимание, что такой сертификат можно выпустить только на физическое лицо, без включения в сертификат дополнительных областей применения, и мы не можем гарантировать, что такой сертификат будет приниматься во всех нужных вам системах. Список порталов, которые поддерживают подобный режим работы : https://www.nalog.ru/ , https://www.gosuslugi.ru/ , https://bankrot.fedresurs.ru/ . Такие сертификаты можно выпустить в рамках тарифа Электронная подпись для физлиц: https://ca.kontur.ru/certificate/51 . Обратите внимание, что если у вас нет носителя Рутокен ЭЦП 2.0, то его можно приобрести отдельно также в нашем сервисном центре. Чтобы получить электронную подпись, сообщите ИНН, город и регион, где вы находитесь, и номер телефона для связи с вами. Наши сотрудники свяжутся с вами в течение 3-х рабочих часов. Либо вы можете оставить заявку на указанном сайте, для этого нажмите на кнопку «Перейти к оформлению», отметьте дополнительные услуги по необходимости и заполните предложенную форму. Мы свяжемся с вами в течение рабочего дня. После оплаты счёта на выпуск сертификата и создания формы, чтобы была возможность выпустить сертификат на аппаратном СКЗИ Рутокена, обратитесь в службу нашей технической поддержки в формате ответного письма или любым другим удобным способом, мы передадим информацию нашим экспертам для внесения изменений в тип криптопровайдера в вашей форме. Я почему-то не уверен, не будут ли конфликтовать между собой библиотека Rutoken PKCS11 и прямой доступ к тем же данным через КриптоПро APDU, пожалуйста, развейте мои сомнения. Вот нашел еще немного про интерфейсы смарт карт: https://security.stackex...omputer-interoperabilityМнение поддержки из Аладдин: Цитата: КриптоАРМ Плюс работает и PKI и с ГОСТ. А вот Диадок и МИГ24 вероятнее всего используют КриптоПро CSP. В случае если там поддерживается КриптоПро CSP 5.0, могут применяться в том числе неизвлекаемые ГОСТ-ключи.
К сожалению, формат работы КриптоПро CSP 5.0 с неизвлекаемыми ключами несовместим с pkcs#11.
Для контроля транзакций рекомендуем посмотреть SafeToch PRO, он поддерживает JaCarta-2 ГОСТ. Все таки непонятно, для чего Диадоку нужен КриптоПро? Однако упоминание того, что для Диадок достаточно КриптоПро4 даже в случае, когда используются неизвлекаемые ключи, намекает на то, что КриптоПро сам не используется непосредственно для работы с ключами, потому что неизвлекаемые ключи поддерживает только КриптоПро 5? Тогда возникает еще один вопрос, существуют ли УЦ, которые могут выдать сертификат неизвлекаемого ключа, сгенерированного с помощью КриптоПро 5? Например, СКБ Контур может выдать сертификат как извлекаемого ключа на Rutoken S, так и для неизвлекаемого ключа в формате PKCS11 внутри Рутокен ЭЦП 2.0, а может ли СКБ Контур создать сертификат неизвлекаемого ключа для КриптоПро 5, который якобы несовместим с PKCS11 по словам поддержки Аладдин? Будет ли такой ключ работать в Диадок? И наверно, есть вероятность, что такой неизвлекаемый ключ для КриптоПро5 будет работать в КриптоАрм стандарт (не плюс)? Отредактировано пользователем 27 июля 2020 г. 4:04:12(UTC)
| Причина: Не указана
|
