Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline colorless  
#11 Оставлено : 4 августа 2020 г. 15:57:44(UTC)
colorless

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Уважаемый two_oceans.

Вы описали именно тот алгоритм, который сейчас поддерживается в нашей системе. Однако для этого используется кастомный плагин, поддержка которого крайне обременительна (firebreath based native messaging plugin), а уж насыщение дополнительными функциями и ГОСТами (которые обязательно появятся в будущем) обязательно станут головной болью разработчиков. Поэтому и есть желание перевести целиком на продукты КриптоПро, благо весь server-side уже на нём.

Цитата:
Однако тут не уверен, возможно упираемся что такой функциональности (перечисления контейнеров, получения открытого ключа из контейнера и подписи ключом без сертификата) не найдется в интерфейсе плагина

Да, вопрос был именно про это. К сожалению сам я ни на форуме ни в доках подобного функционала не нашел, были только запросы 5ти летней давности без ответа.

Вероятно, если такого функционала нет, придется к сожалению вернутся к старой системе аутентификации через логины пароли хеши и токены.
Offline two_oceans  
#12 Оставлено : 5 августа 2020 г. 11:57:07(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Понял Вас.
Цитата:
Вероятно, если такого функционала нет, придется к сожалению вернутся к старой системе аутентификации через логины пароли хеши и токены.
Полагаю, что нужно попросить разработчиков плагина рассмотреть возможность добавления такого функционала. С одной стороны, такие функции уже есть в сертифицированном криптопровайдере (то есть пересертификация не потребуется) и необходимо только добавить некий интерфейс более высокого уровня (уровня плагина) для них.

С другой стороны, Вы справедливо указали что этот интерфейс потом придется поддерживать. Так как это использование не предполагает готовые сертификаты (а оперирует запросами), то оно не регламентировано в законодательстве. Напротив, в законодательство вводится требование об идентификации получателя сертификата в аккредитованном УЦ, а значит удаленной идентификации по отправленному запросу уже недостаточно, как минимум нужен действующий сертификат этого УЦ. Это автоматом означает, что описанный механизм не будет востребован аккредитованными УЦ, а пригодится только для неаккредитованных корпоративных УЦ.

Также в принципе есть косвенная связь с функциональностью интерфейса УЦ Microsoft (с добавкой гост от криптопро) и УЦ КриптоПро, но продвижения по этой области тоже не видно много лет - для гарантированного получения сертификата в тестовом УЦ Криптопро все также требуется заходить из Интернет Эксплорера (и соответственно используются ActiveX классы Microsoft). На новейших Хромиум-based браузерах опять же недостаточно функционала плагина для всех операций с УЦ. Тут наверно можно ждать чего-то от Майкрософт, так как на Десятке Едж переводят на Хромиумовский движок и неизвестно как это обыграют в плане соединения с Microsoft УЦ - возможно перенесут часть функционала ActiveX в некий новый плагин.

В итоге, скорее всего текущая тема обернется "собиранием плюсиков" для оценки востребованности функционала в плагине КриптоПро. Поэтому важно чтобы заинтересованные стороны не просто читали данную тему, а нашли время отозваться "да, нам это нужно".
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.