Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
При сертификации КриптоПро CSP проходит сертификационные испытания. Эти испытания проводятся в определенной среде (для iOS -- на не джеилбрейкнутом iPad/iPod/iPhine). Сам факт джеилбрейка очень сильно меняет свойства системы. Последствиями этого могут быть невозможность соблюсти организационные меры безопасности, изменение статистических характеристик ДСЧ и многое другое. При джеилбрейке с системой можно сделать что угодно, полученная среда не будет соответствовать той, в которой проводились испытания, продукт не будет иметь статус сертифицированного.
Правильный сценарий использования -- на iPad формировать запрос на сертификат в формате pkcs10(у нас для этого есть API), а потом отправлять его куда надо и там обрабатывать. АРМ администратора КриптоПро УЦ, служба сертификации Microsoft и вообще большая часть ПО для выпуска сертификатов имеет возможность обработки pkcs10 (это стандартный формат и стандартная функциональность).
Кроме того, если Ваш выпуск сертификатов осуществляется на базе КриптоПро УЦ или службы сертификации Microsoft, на iPad есть готовая панель для взаимодействия с центрами сертификации этого типа. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.04.2010(UTC)
Сообщений: 16
Откуда: Москва
|
Понятно, спасибо. Тогда еще вопросы.
То, что iPad не должен быть джейбрейкнут, оговорено отдельно в документации, которая пошла (пойдет) на сертификацию в ФСБ?
Требование отсутствия джейлбрейка обозначает, что "песочница" iOS считается достаточной защитой для приложения?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
В документации сказано, что ОС должна эксплуатироваться в соответствии с требованиями производителя ОС. Формально, если на iPad хранятся закрытые ключи, с ним нужно обращаться как с ключевым носителем (хранить в сейфе и всё такое). |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.04.2010(UTC)
Сообщений: 16
Откуда: Москва
|
Ок, но Apple не считает джейбрейк противозаконной процедурой и, насколько я знаю, в официальной документации процедура джейбрейка не упоминается вообще. Ведь суть джейбрейка в установлении пароля администратора. Apple этот вопрос вообще не рассматривает. Можно ли в таком случае говорить, что джейлбрейк вступает в противоречие с требованиями производителя?
Насчет ключевого носителя - это очевидно, и джейбрейк не оказывает никакого влияния на эту ситуацию.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.01.2008(UTC) Сообщений: 40  Откуда: Москва Поблагодарили: 3 раз в 2 постах
|
Максимус написал:Ок, но Apple не считает джейбрейк противозаконной процедурой и, насколько я знаю, в официальной документации процедура джейбрейка не упоминается вообще. Говорят, что она не вступает в противоречия с законами США, или каких-то штатов. Я точно не разбираюсь. Но в документации она не описана, соответственно, недокументированно её влияние на систему, в частности, на систему разграничения доступа. Максимус написал:Ведь суть джейбрейка в установлении пароля администратора. Это не совсем так. В частности, модель системы разграничения доступа iOS и Mac OS предполагает, что пользователь root не имеет возможности входа, и все настройки должны осуществляться пользователями из группы администраторов с использованием механизмов повышения привилегий, таких как sudo и пр. Теперь такая практика стала распространена и в других системах: Linux, Windows. Кроме того, насколько мне известно: отключается межсетевой экран;
изменяются права на доступ к объектам ОС и файловых систем;
отключаются механизмы планирования задач, направленные на энергосбережение;
быть может, происходит, что-то ещё;
Максимус написал:Apple этот вопрос вообще не рассматривает. Можно ли в таком случае говорить, что джейлбрейк вступает в противоречие с требованиями производителя?
Грубо говоря, Вы свой iOS превращаете в простой “Linux” :) Батарейка будет садиться существенно быстрее, я так думаю.
Максимус написал:Насчет ключевого носителя - это очевидно, и джейбрейк не оказывает никакого влияния на эту ситуацию.
Без jailbreak, права на доступ ФС запрещали чтение/запись, после него права изменились. Так что влияние налицо :) Вам дали доступ, это хорошо? Кто знает, чем Вы за это заплатите?
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.09.2011(UTC)
Сообщений: 1
Откуда: Москва
|
Планируется ли поддержка других УЦ (в частности, УЦ Валидата)?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Таких планов нет: только КриптоПро УЦ и служба сертификации Microsoft.
По поводу других УЦ: у нас есть API который позволяет создать запрос на сертификат. Получение от пользователя данных для создания запроса(имя, назначение сертификата и т.п.), отправка запроса на УЦ, получение и установка сертификата ложатся на плечи разработчика, который будет писать приложение для iOS. Это сложнее чем с УЦ КриптоПро или MS CA, для которых всё уже готово, но вполне выполнимо. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2011(UTC)
Сообщений: 4
|
Здравствуйте, вы упоминали возможность копирования ключей с носителя на устройство, но могут ли они быть импортированы из пакета формата p12, содержащего сертификаты и привязанные к ним закрытые ключи?
В частности, возникла следующая проблема: нативными средствами iOS можно выбрать сертификат и ключ из пакета, однако получить затем бинарное представление можно лишь сертификата (и он успешно импортируется в store cryptoPro), а на закрытый ключ имеется лишь ссылка типа SecKeyRef. Возможно ли это каким-либо образом обойти и импортировать ключ посредством CryptImortKey()?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Здравствуйте. В данный момент в нашем CSP не реализован импорт/экспорт в pkcs12. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2011(UTC)
Сообщений: 4
|
А возможно ли перенести ключевой контейнер, экспортированный из реестра (как описано в http://www.cryptopro.ru/...spx?g=posts&t=3577)? Если да, то можно ли для импорта использовать стандартные функции импорта (учитывая, что пользователь может лишь сообщить пароль к контейнеру и что к экспортированному контейнеру есть RootRandomSeed), или возможен лишь перенос данных контейнера в Library/Caches/cprocsp/keys/ ?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
