А вот еще интересно, где-то логические выводы из данной ветки форума описаны на какой-то странице ранее?

Как самостоятельно догадаться о том, что:

1) Неизвлекаемые ключи могут храниться как минимум в двух разных несовместимых форматах PKCS11 и КриптоПРО5?
Но для носителя Рутокен ЭЦП 2.0 есть readonly исключение из этого правила, когда КриптоПРО5 хотя бы может использовать готовые ключи PKCS11.
И есть непроверенная вероятность работы КриптоАРМ 5 Стандарт как раз через такое исключение из правил.

2) Infotecs CSP может работать с ключами PKCS11 на любом совместимом носителе с аппаратным крипто (не только одной модели Рутокен ЭПЦ 2.0)

3) Онлайн сервисы Диадок и МИГ24 могут работать с ключами PKCS11 без явного участия КриптоПРО.
Причем могут генерировать усовершенствованные подписи в отличии от КриптоАРМ Плюс.
Дополнение: лицензия КриптоАРМ 5 СКЗИ подходит и к более свежим версиям КриптоАРМ 5 Стандарт (НЕ СКЗИ), которые уже совместимы с КриптоПРО 5 CSP, который может работать с аппаратными ключами, созданными в формате PKCS11, причем работать самостоятельно по APDU без PKCS11, но только на Рутокен ЭЦП 2.0.

В целом работоспособность КриптоАРМ 5 Стандарт по такой схеме пока НЕпроверена и результат совместимости неизвестен. Даже Trusted.ru не знает, будет ли это работать, и почему-то ленится проверить самостоятельно :) Возможно потому что даже если и будет работать, то это не поддерживается в Trusted.ru.

4) Считыватель смарткарт SafeTouch PRO позволяет получить авторизацию кнопкой каждой транзакции на подпись PKCS11, пусть хотя бы даже без отображения на дисплее считывателя (без интеграции с ним).
Кстати, это не зависит от используемого CSP? SafeTouch PRO без интеграции просит авторизацию и для Infotecs CSP и для КриптоПРО CSP и через только PKCS11 без CSP тоже, потому что отслеживает низкоуровневые команды APDU?

На выяснение всего этого ушло около месяца (весь июль 2020), почти ежедневно отправлялось по 5-10 сообщений в различные сервисы поддержки, на форумы и т.п.
Мне кажется, даже телепаты не смогли бы сделать это намного быстрее из-за различных технических сложностей, дефицита доступа к специалистам, кто знает все это в комлексе, а не отдельными фрагментами знаний, и отсутствия документации, где бы все это было компактно описано в одном документе.

Почему бы не разместить все это на сайте УЦ (например СКБ Контур) в удобном виде, с опциями в заказе: сертификат ключа PKCS11 с годовой лицензий КриптоПРО 5, правильные смарткарты Rutoken ЭЦП 2.0 с сертификатом ФСБ, SafeTouch PRO (с интеграцией в Диадок, МИГ24 и КриптоАРМ), Диадок/МИГ24 для подписания.
С подробным описанием каждой опции, что и зачем, чтобы можно было заказать за пару минут, а не за один месяц.
Все эти опции в комлпексе были бы проверены и опробованы в техподдержке УЦ, а не в процессе изучения пользователем "А может быть, будет работать".

Отредактировано пользователем 28 июля 2020 г. 1:58:31(UTC)  | Причина: Не указана

Встречаются и порядочные

https://tensor.ru/uc






Притом, что себестоимость у разных сертификатов навряд ли отличается хоть на копейку.

Отредактировано пользователем 28 июля 2020 г. 5:29:19(UTC)  | Причина: Не указана

Я хотел обезопасить свой ключ ЭЦП, слелав его неизвлекаемым. Одно лишь это достаточно сложно.

Попробуйте ради спортивного интереса получить сертификат ЭЦП с ключом PKCS 11 в УЦ отличном от СКБ Контур или НТС Софт.

Да даже в СКБ еще надо знать к кому обратиться и какие волшебные слова при этом говорить, чтобы отсеять глупости про "вам подойдет рутокенS с неэкспортируемыми ключами, ведь они же неэкспортируемые, что вам еще надо ?!?". Представьте какой unhandled exception происходил в любом другом УЦ кроме НТС Софт: http://forum.rutoken.ru/topic/3198/
Я описывал задачу много раз специалистам поддержки разных УЦ: Тензор, Такснет, Такском и т.д. и т.п. - вот это все, только зря потраченное на них время, пустые переговоры, заявки, в результате фига. Некоторые "самые продвинутые" спецы поддержки после мозгового штурма в течение нескольких дней предлагали алкосерт ЕГАИС, но потом каждый раз выяснялось, что он не для физиков.

УЦ НТС единственный, чья поддержка сразу же поняла о чем идет речь, все остальные в том числе и СКБ упорно путали PKCS11 с неэкспортируемым ключом РутокенS, причем навязывали мне его на полном серьезе. Но УЦ НТС слишком маленький, сил и времени у НТС явно не хватает даже на то, чтобы вовремя ответить на вопросы по e-mail, сотрудник ушел в отпуск - все ждем его, автоматического дублирования его функций нет, спартанский УЦ, но зато квалифицированный :) Нет даже количественного биллинга для МИГ24 как у Диадок.

Получается из серьезных крупных надежных и УЦ, у которых тоже есть отдельные квалифицированные специалисты - это только СКБ Контур, один УЦ на всю страну, прекрасно. Возможно УЦ КриптоПро тоже квалифицированный и надежный, но впечатление, что физики ему даром ненужны.

Даже СКБ (К примеру их официальное ОКО надзора) и НТС боятся добавить слово PKCS11 в счет или договор: "Вы после оплаты позвоните поддержке, они там подшаманят и получите свой сертификат, а если забудут подшаманить, то можете подтереться своим счетом или договором".

Как вы себе представляете описание задачи вам, если я не знал о существовании SafeTouch (он кстати тоже один в своем роде на всю страну, и то якобы только банков, т.е. еще попробуй найди его),
а все поддержки кроме вас и Рутокен разводят руками при слове терминал с клавиатурой для смарткарт ЭДО, да даже при слове PKCS11 :)
Поддержка Infotecs к примеру уже второй день не отвечают по поводу совместимости их собственного CSP с ключами PKCS11, сверхсложный вопрос, наверно?
Даже trusted.ru и cryptostore похоже смутно представляют, зачем в ассортименте считыватели с клавиатурой SPE (Secure PIN Entry),
а вот интересно, вы знаете, зачем ? :)



Мне нужен КриптоПро по нескольким причинам:
1) Диадок даже при работе через PKCS11 требует зависимости (вы сами объясняли).
2) Попытка использования ключей PKCS11 в КриптоАРМ Стандарт через КриптоПРО 5.
3) Утилита cryptcp, она работает с ключами PKCS11 на Рутокен ЭЦП 2.0? Может генирировать усовершенствованные подписи?



Вы про чудом обнаруженную с вашей помощью совместимость (без создания новых ключей) КриптоПро5 с ключами PKCS11 на Рутокен ЭЦП 2.0?

Одна из служб поддержки других аппаратных токенов:

Если это утверждение рассматривать в контексте Рутокен ЭЦП 2.0 (который я как раз и собираюсь использовать), я чуть было уже не заказал два сертификата физ. лица, один с ключом PKCS11 для Диадок и другой на Рутокен S для КриптоАРМ Стандарт.
Хотя потом обнаружилось, что Infotecs CSP может использовать и ключи PKCS11, а потом и про исключение из правил для КриптоПРО5 + Рутокен ЭЦП 2.0 + ключи PKCS11.




SafeTouch PRO мне и нужен был как раз хотя бы как Rutoken ECP2 Touch.
Лучше бы конечно с показом заголовка сообщения на дисплее, например по настраиваемой предопределенной подстроке в документе. Что мешает интегрировать SafeTouch с ЭДО аналогично ДБО?

Им интересны только банкиры с заказами на сотни девайсов, даже розница для ЭДО (пусть даже без интеграции) им неинтересна.

Способ получения SafeTouch PRO для ЭДО сегодня - это получение ДБО юр. лица в одном из банков - их партнеров.

Все это походит на какой-то ребус или квест, впечатление, что PKCS11 существует где-то в параллельном мире, а SafeTouch PRO вообще в другой вселенной,
и УЦ оно нафик нинада, и так сойдет.

Отредактировано пользователем 29 июля 2020 г. 14:49:05(UTC)  | Причина: Не указана

Пожалуйста, уточните, как добраться до "Инструменты КриптоПро"? Это в cptools?

Отредактировано пользователем 12 ноября 2020 г. 9:42:12(UTC)  | Причина: Не указана

Почему-то не блокирует :(

https://www.cryptopro.ru...&m=120416#post120416

Отредактировано пользователем 12 ноября 2020 г. 9:51:49(UTC)  | Причина: Не указана