Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline 17dufa  
#11 Оставлено : 10 сентября 2024 г. 10:14:42(UTC)
17dufa

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2024(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате


расшифровать можно имея "на руках" закрытый ключ,
сертификат служит не для этого. На сторону клиента передавать зашифрованные данные (скрытое поле, base64) и расшифровывать через плагин.


Я рассчитывал, что файл сертификата содержит закрытый ключ

К сожалению, насколько я сейчас вижу, вариант с передачей данных сломает нам текущее взаимодействие через SDK. Использование SDK не предполагает, что я могу сам расшифровать токен, установить его и далее вызывать методы SDK. Или все через SDK, или все голыми HTTP запросами.

Отредактировано пользователем 10 сентября 2024 г. 10:18:05(UTC)  | Причина: Не указана

Offline Андрей *  
#12 Оставлено : 10 сентября 2024 г. 10:16:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
js:
Код:
 var oEnvelopedData = yield cadesplugin.CreateObjectAsync("CAdESCOM.CPEnvelopedData");
 yield oEnvelopedData.propset_ContentEncoding(cadesplugin.CADESCOM_BASE64_TO_BINARY); 
 var Decrypted = yield oEnvelopedData.Decrypt(EnvelopedBase64);
 расшифрованные данные в base64 = yield oEnvelopedData.Content;  
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#13 Оставлено : 10 сентября 2024 г. 10:18:54(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: 17dufa Перейти к цитате
Автор: Андрей * Перейти к цитате


расшифровать можно имея "на руках" закрытый ключ,
сертификат служит не для этого. На сторону клиента передавать зашифрованные данные (скрытое поле, base64) и расшифровывать через плагин.


Я рассчитывал, что файл сертификата содержит закрытый ключ

К сожалению, насколько я сейчас вижу, вариант с передачей данных сломает нам текущее взаимодействие. Использование SDK не предполагает, что я могу сам расшифровать токен, установить его и далее вызывать методы SDK. Или все через SDK, или все голыми HTTP запросами.


Сертификат - публичен и не содержит закрытый ключ.
Тогда смысл шифрования и ЭП - если любой мог бы сделать описанное без наличия закрытого ключа (который связан матеметически с открытым из сертификата)?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#14 Оставлено : 10 сентября 2024 г. 10:23:21(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: 17dufa Перейти к цитате


К сожалению, насколько я сейчас вижу, вариант с передачей данных сломает нам текущее взаимодействие через SDK. Использование SDK не предполагает, что я могу сам расшифровать токен, установить его и далее вызывать методы SDK. Или все через SDK, или все голыми HTTP запросами.


на сервере - сохранить зашифрованные данные,
передать их, по запросу из браузера.

При поступлении от клиента расшифрованных данных - продолжить обработку (взаимодействие с другой ИС).

Ничего сложно. Сервер - в роли прокси.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#15 Оставлено : 10 сентября 2024 г. 10:25:32(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: 17dufa Перейти к цитате
Использование SDK не предполагает, что я могу сам расшифровать токен, установить его и далее вызывать методы SDK. Или все через SDK, или все голыми HTTP запросами.


SDK - клиентский получается, с намертво зашитым кодом?
java библиотека сама расшифровывает данные по переданному сертификату? Это точно?
И при этом она на сервере, всё так?
Техническую поддержку оказываем тут
Наша база знаний
Offline 17dufa  
#16 Оставлено : 10 сентября 2024 г. 10:30:50(UTC)
17dufa

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2024(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
Автор: 17dufa Перейти к цитате
Использование SDK не предполагает, что я могу сам расшифровать токен, установить его и далее вызывать методы SDK. Или все через SDK, или все голыми HTTP запросами.


SDK - клиентский получается, с намертво зашитым кодом?
java библиотека сама расшифровывает данные по переданному сертификату? Это точно?
И при этом она на сервере, всё так?


Код SDK открытый. Насколько я читаю код - все так. SDK сам расшифровывает и нет "дырки", куда я бы мог ему подпихнуть расшифрованный токен.

По Вашим ответам, хотел бы уточнить, правильно я понимаю, что USB-токен собственно хранит закрытый ключ и достать его оттуда никак нельзя?
Offline Андрей *  
#17 Оставлено : 10 сентября 2024 г. 10:38:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: 17dufa Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: 17dufa Перейти к цитате
Использование SDK не предполагает, что я могу сам расшифровать токен, установить его и далее вызывать методы SDK. Или все через SDK, или все голыми HTTP запросами.


SDK - клиентский получается, с намертво зашитым кодом?
java библиотека сама расшифровывает данные по переданному сертификату? Это точно?
И при этом она на сервере, всё так?


Код SDK открытый. Насколько я читаю код - все так. SDK сам расшифровывает и нет "дырки", куда я бы мог ему подпихнуть расшифрованный токен.

По Вашим ответам, хотел бы уточнить, правильно я понимаю, что USB-токен собственно хранит закрытый ключ и достать его оттуда никак нельзя?



через плагин - в принципе нельзя, запрещен метод экспорта,
ключ может быть неизвлекаемым и извлекаемым. Первое - не обсуждается, криптография на токене, второе - программная реализация,
но и тут ключ обычно имеет флаг запрета экспорта. Обходные пути не обсуждаются.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#18 Оставлено : 10 сентября 2024 г. 10:40:12(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: 17dufa Перейти к цитате

Код SDK открытый. Насколько я читаю код - все так. SDK сам расшифровывает и нет "дырки", куда я бы мог ему подпихнуть расшифрованный токен.


Тогда пишите автору, чтобы сделал инициализацию токена снаружи.
И java библиотека поддерживает текущие алгоритмы шифрования (Магма\Кузнечик) или там только ГОСТ 89 разрешён на входе?

Техническую поддержку оказываем тут
Наша база знаний
Offline 17dufa  
#19 Оставлено : 10 сентября 2024 г. 10:41:24(UTC)
17dufa

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2024(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате


через плагин - в принципе нельзя, запрещен метод экспорта,
ключ может быть неизвлекаемым и извлекаемым. Первое - не обсуждается, криптография на токене, второе - программная реализация,
но и тут ключ обычно имеет флаг запрета экспорта. Обходные пути не обсуждаются.


Обходные не интересуют, спасибо. Теперь более-менее улеглось, а то с одной стороны вроде как есть usb-токен и он один, с другой файл сертификата и его можно и передавать, зачем тогда usb-токен непонятно.
Offline Андрей *  
#20 Оставлено : 10 сентября 2024 г. 11:03:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: 17dufa Перейти к цитате
Автор: Андрей * Перейти к цитате


через плагин - в принципе нельзя, запрещен метод экспорта,
ключ может быть неизвлекаемым и извлекаемым. Первое - не обсуждается, криптография на токене, второе - программная реализация,
но и тут ключ обычно имеет флаг запрета экспорта. Обходные пути не обсуждаются.


Обходные не интересуют, спасибо. Теперь более-менее улеглось, а то с одной стороны вроде как есть usb-токен и он один, с другой файл сертификата и его можно и передавать, зачем тогда usb-токен непонятно.


Почитайте основы PKI, кратко:
сертификат - содержит открытый ключ + описание владельца (реквизиты)
и данные по УЦ, его подпись под этим всем.

Зачем нам нужен открытый ключ из сертификата?
Для проверки подписи.
Для шифрования данных.
Для поиска среди контейнеров подходящего(низкоуровневое API).

Зачем нам нужен сертификат?
Для понимания - кто\откуда\какой УЦ выдал\период действия\статус (OCSP\CRL)
Для поиска (на стороне владельца) - контейнера, в котором лежит закрытый ключ, чтобы им:
- подписывать
- расшифровывать


В плагине всё внутри скрыто, снаружи простые методы и несколько строк кода на js для расшифрования.


Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.