Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Использование СКПЭП, выпущенного УЦ на ПО КриптоПРо, с криптопровайдерами сторонних производителей
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
Доброго дня! Несколько бредовый вопрос, но тем не менее... Что-то типа "Всё, что вы боялись спросить о..." Руководство озадачило провести эксперимент по выяснению возможности работы "криптопрошного" сертификата с ПО других производителей, в частности - Випнет... Логика возникновения вопроса руководства примерно такова - у випнета бесплатный криптопровайдер и бесплатное же ПО, функционально аналогичное КриптоАрму, и у пользователей УЦ может возникнуть желание сэкономить на платном криптопровайдере от КриптоПро и на платном же КриптоАрме от соответствующего производителя... Очевидны два аспекта - технический и юридический... Ну, с техническим понятно - есть подозрение, что не заработает, но не проблема поставить Випнет на виртуалку и посмотреть, что он скажет про "криптопрошный" сертификат. Но вот если вдруг, вопреки ожиданиям, что-то получится, то вот тут встанут вопросы юридического плана - каков будет статус такой "гибридной" подписи, если её вдруг удастся получить?... Опять же, есть подозрение, что это будет, как бы это в рамках нормативной лексики - не вполне корректно...
Насмешил?...
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,320 Сказал «Спасибо»: 549 раз Поблагодарили: 2207 раз в 1722 постах
|
Автор: avm Доброго дня! Несколько бредовый вопрос, но тем не менее... Что-то типа "Всё, что вы боялись спросить о..." Руководство озадачило провести эксперимент по выяснению возможности работы "криптопрошного" сертификата с ПО других производителей, в частности - Випнет... Логика возникновения вопроса руководства примерно такова - у випнета бесплатный криптопровайдер и бесплатное же ПО, функционально аналогичное КриптоАрму, и у пользователей УЦ может возникнуть желание сэкономить на платном криптопровайдере от КриптоПро и на платном же КриптоАрме от соответствующего производителя... Очевидны два аспекта - технический и юридический... Ну, с техническим понятно - есть подозрение, что не заработает, но не проблема поставить Випнет на виртуалку и посмотреть, что он скажет про "криптопрошный" сертификат. Но вот если вдруг, вопреки ожиданиям, что-то получится, то вот тут встанут вопросы юридического плана - каков будет статус такой "гибридной" подписи, если её вдруг удастся получить?... Опять же, есть подозрение, что это будет, как бы это в рамках нормативной лексики - не вполне корректно...
Насмешил?... Если имеется ввиду издание сертификата в УЦ на базе КриптоПРО, а на стороне клиента ViPNet CSP (или другой) - то проблем нет, генерируется запрос на сертификат (web-форма входит в состав дистрибутива ViPNet), издается сертификат в УЦ на базе КриптоПРО CSP и передается клиенту. Если имеется ввиду использование контейнеров созданных в КриптоПРО на рабочем месте, где только ViPNet - форматы контейнеров разные... |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
avm оставлено 18.09.2013(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC) Сообщений: 195
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 4 раз в 4 постах
|
Автор: Андрей * Если имеется ввиду издание сертификата в УЦ на базе КриптоПРО, а на стороне клиента ViPNet CSP (или другой) - то проблем нет, генерируется запрос на сертификат (web-форма входит в состав дистрибутива ViPNet), издается сертификат в УЦ на базе КриптоПРО CSP и передается клиенту.
Если имеется ввиду использование контейнеров созданных в КриптоПРО на рабочем месте, где только ViPNet - форматы контейнеров разные... Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet? И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,320 Сказал «Спасибо»: 549 раз Поблагодарили: 2207 раз в 1722 постах
|
Автор: avm Автор: Андрей * Если имеется ввиду издание сертификата в УЦ на базе КриптоПРО, а на стороне клиента ViPNet CSP (или другой) - то проблем нет, генерируется запрос на сертификат (web-форма входит в состав дистрибутива ViPNet), издается сертификат в УЦ на базе КриптоПРО CSP и передается клиенту.
Если имеется ввиду использование контейнеров созданных в КриптоПРО на рабочем месте, где только ViPNet - форматы контейнеров разные... Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet? И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!. Конечно, почему нет? В сертификате будет указано - средство ЭП: ViPNet 3.2 (например), а средство ЭП УЦ - КриптоПРО .. Лично выпустил больше сотни, в сторону КриптоПРО CSP (с УЦ на базе ViPNet), так и наоборот |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
avm оставлено 18.09.2013(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267 Откуда: Калининград Сказал «Спасибо»: 51 раз Поблагодарили: 30 раз в 22 постах
|
Автор: avm
Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet? И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.
Вы на vipnet-е создаете закрытый ключ и запрос на сертификат. Этот запрос на сертификат обрабатывается УЦ на базе криптопро и создается открытый ключ (сертификат). Открытый ключ создается по общему стандарту и виден всем. Просто на компьютере пользователя при создании подписи используется закрытый ключ vipnet и сам vipnet csp. Также можно создать веб-форму на УЦ, вручную отредактировать в ней целевой криптопровайдер и по этой форме создать запрос на компе с vipnet. Это позволит использовать шаблоны УЦ. http://www.cryptopro.ru/...sts&t=6599#post41449Отредактировано пользователем 24 сентября 2013 г. 10:07:03(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: Zloy Strelok Автор: avm
Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet? И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.
Вы на vipnet-е создаете закрытый ключ и запрос на сертификат. Этот запрос на сертификат обрабатывается УЦ на базе криптопро и создается открытый ключ (сертификат). Открытый ключ создается по общему стандарту и виден всем. Просто на компьютере пользователя при создании подписи используется закрытый ключ vipnet и сам vipnet csp. Также можно создать веб-форму на УЦ, вручную отредактировать в ней целевой криптопровайдер и по этой форме создать запрос на компе с vipnet. Это позволит использовать шаблоны УЦ. http://www.cryptopro.ru/...sts&t=6599#post41449 Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом. |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267 Откуда: Калининград Сказал «Спасибо»: 51 раз Поблагодарили: 30 раз в 22 постах
|
Автор: Юрий Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.
спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: Zloy Strelok Автор: Юрий Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.
спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре? На последнем - на этапе создания сертификата. То есть на самом деле нет простого равенства "сертификат = запрос + подпись УЦ", на этапе создания сертификата сервер формирует TBS (To Be Signed) часть сертификата в основном на основании данных из присланного запроса, добавляя только специфичные расширения (политики применения, URL списков отзыва и т.д.) и значение поля "Issuer". |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267 Откуда: Калининград Сказал «Спасибо»: 51 раз Поблагодарили: 30 раз в 22 постах
|
Автор: Юрий Автор: Zloy Strelok Автор: Юрий Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.
спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре? На последнем - на этапе создания сертификата. То есть на самом деле нет простого равенства "сертификат = запрос + подпись УЦ", на этапе создания сертификата сервер формирует TBS (To Be Signed) часть сертификата в основном на основании данных из присланного запроса, добавляя только специфичные расширения (политики применения, URL списков отзыва и т.д.) и значение поля "Issuer". ну да. просто считал что "сертификат" (напиример .cer) и открытый ключ синонимами ))) а так то сертификат включает в себя открытый ключ. спасибо за поправку.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: Zloy Strelok Автор: Юрий Автор: Zloy Strelok Автор: Юрий Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.
спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре? На последнем - на этапе создания сертификата. То есть на самом деле нет простого равенства "сертификат = запрос + подпись УЦ", на этапе создания сертификата сервер формирует TBS (To Be Signed) часть сертификата в основном на основании данных из присланного запроса, добавляя только специфичные расширения (политики применения, URL списков отзыва и т.д.) и значение поля "Issuer". ну да. просто считал что "сертификат" (напиример .cer) и открытый ключ синонимами ))) а так то сертификат включает в себя открытый ключ. спасибо за поправку. Почитайте лучше стандарт X.509. Кстати он даже полностью переведен на русский язык: стандарт ITU-T X.509 (+ русский язык). |
С уважением, Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Использование СКПЭП, выпущенного УЦ на ПО КриптоПРо, с криптопровайдерами сторонних производителей
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close