Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline avm  
#1 Оставлено : 18 сентября 2013 г. 11:22:46(UTC)
avm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
Доброго дня!
Несколько бредовый вопрос, но тем не менее... Что-то типа "Всё, что вы боялись спросить о..."
Руководство озадачило провести эксперимент по выяснению возможности работы "криптопрошного" сертификата с ПО других производителей, в частности - Випнет...
Логика возникновения вопроса руководства примерно такова - у випнета бесплатный криптопровайдер и бесплатное же ПО, функционально аналогичное КриптоАрму, и у пользователей УЦ может возникнуть желание сэкономить на платном криптопровайдере от КриптоПро и на платном же КриптоАрме от соответствующего производителя...
Очевидны два аспекта - технический и юридический... Ну, с техническим понятно - есть подозрение, что не заработает, но не проблема поставить Випнет на виртуалку и посмотреть, что он скажет про "криптопрошный" сертификат. Но вот если вдруг, вопреки ожиданиям, что-то получится, то вот тут встанут вопросы юридического плана - каков будет статус такой "гибридной" подписи, если её вдруг удастся получить?... Опять же, есть подозрение, что это будет, как бы это в рамках нормативной лексики - не вполне корректно...

Насмешил?...
Offline Андрей Писарев  
#2 Оставлено : 18 сентября 2013 г. 11:34:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,320
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: avm Перейти к цитате
Доброго дня!
Несколько бредовый вопрос, но тем не менее... Что-то типа "Всё, что вы боялись спросить о..."
Руководство озадачило провести эксперимент по выяснению возможности работы "криптопрошного" сертификата с ПО других производителей, в частности - Випнет...
Логика возникновения вопроса руководства примерно такова - у випнета бесплатный криптопровайдер и бесплатное же ПО, функционально аналогичное КриптоАрму, и у пользователей УЦ может возникнуть желание сэкономить на платном криптопровайдере от КриптоПро и на платном же КриптоАрме от соответствующего производителя...
Очевидны два аспекта - технический и юридический... Ну, с техническим понятно - есть подозрение, что не заработает, но не проблема поставить Випнет на виртуалку и посмотреть, что он скажет про "криптопрошный" сертификат. Но вот если вдруг, вопреки ожиданиям, что-то получится, то вот тут встанут вопросы юридического плана - каков будет статус такой "гибридной" подписи, если её вдруг удастся получить?... Опять же, есть подозрение, что это будет, как бы это в рамках нормативной лексики - не вполне корректно...

Насмешил?...


Если имеется ввиду издание сертификата в УЦ на базе КриптоПРО, а на стороне клиента ViPNet CSP (или другой) - то проблем нет, генерируется запрос на сертификат (web-форма входит в состав дистрибутива ViPNet), издается сертификат в УЦ на базе КриптоПРО CSP
и передается клиенту.




Если имеется ввиду использование контейнеров созданных в КриптоПРО на рабочем месте, где только ViPNet - форматы контейнеров разные...
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
avm оставлено 18.09.2013(UTC)
Offline avm  
#3 Оставлено : 18 сентября 2013 г. 12:12:27(UTC)
avm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
Автор: Андрей * Перейти к цитате
Если имеется ввиду издание сертификата в УЦ на базе КриптоПРО, а на стороне клиента ViPNet CSP (или другой) - то проблем нет, генерируется запрос на сертификат (web-форма входит в состав дистрибутива ViPNet), издается сертификат в УЦ на базе КриптоПРО CSP
и передается клиенту.

Если имеется ввиду использование контейнеров созданных в КриптоПРО на рабочем месте, где только ViPNet - форматы контейнеров разные...


Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet?
И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.
Offline Андрей Писарев  
#4 Оставлено : 18 сентября 2013 г. 12:17:39(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,320
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: avm Перейти к цитате
Автор: Андрей * Перейти к цитате
Если имеется ввиду издание сертификата в УЦ на базе КриптоПРО, а на стороне клиента ViPNet CSP (или другой) - то проблем нет, генерируется запрос на сертификат (web-форма входит в состав дистрибутива ViPNet), издается сертификат в УЦ на базе КриптоПРО CSP
и передается клиенту.

Если имеется ввиду использование контейнеров созданных в КриптоПРО на рабочем месте, где только ViPNet - форматы контейнеров разные...


Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet?
И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.



Конечно, почему нет?
В сертификате будет указано - средство ЭП: ViPNet 3.2 (например), а средство ЭП УЦ - КриптоПРО ..
Лично выпустил больше сотни, в сторону КриптоПРО CSP (с УЦ на базе ViPNet), так и наоборот
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
avm оставлено 18.09.2013(UTC)
Offline Zloy Strelok  
#5 Оставлено : 24 сентября 2013 г. 10:05:40(UTC)
Zloy Strelok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.07.2012(UTC)
Сообщений: 267
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
Автор: avm Перейти к цитате


Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet?
И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.


Вы на vipnet-е создаете закрытый ключ и запрос на сертификат. Этот запрос на сертификат обрабатывается УЦ на базе криптопро и создается открытый ключ (сертификат). Открытый ключ создается по общему стандарту и виден всем. Просто на компьютере пользователя при создании подписи используется закрытый ключ vipnet и сам vipnet csp. Также можно создать веб-форму на УЦ, вручную отредактировать в ней целевой криптопровайдер и по этой форме создать запрос на компе с vipnet. Это позволит использовать шаблоны УЦ.
http://www.cryptopro.ru/...sts&t=6599#post41449

Отредактировано пользователем 24 сентября 2013 г. 10:07:03(UTC)  | Причина: Не указана

Offline Юрий  
#6 Оставлено : 24 сентября 2013 г. 10:26:23(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Zloy Strelok Перейти к цитате
Автор: avm Перейти к цитате


Т.е. в первом случае контейнер с ключами создаётся средствами ViPNet, потом в него опять же средствами ViPNet добавляется выпущенный УЦ на КриптоПро сертификат, и это всё может использоваться с ViPNet?
И выполненная с помощью этого "метиса" ЭП будет квалифицированной?!.


Вы на vipnet-е создаете закрытый ключ и запрос на сертификат. Этот запрос на сертификат обрабатывается УЦ на базе криптопро и создается открытый ключ (сертификат). Открытый ключ создается по общему стандарту и виден всем. Просто на компьютере пользователя при создании подписи используется закрытый ключ vipnet и сам vipnet csp. Также можно создать веб-форму на УЦ, вручную отредактировать в ней целевой криптопровайдер и по этой форме создать запрос на компе с vipnet. Это позволит использовать шаблоны УЦ.
http://www.cryptopro.ru/...sts&t=6599#post41449

Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.
С уважением,
Юрий Строжевский
Offline Zloy Strelok  
#7 Оставлено : 24 сентября 2013 г. 10:50:37(UTC)
Zloy Strelok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.07.2012(UTC)
Сообщений: 267
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
Автор: Юрий Перейти к цитате

Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.

спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре?
Offline Юрий  
#8 Оставлено : 24 сентября 2013 г. 10:57:06(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Zloy Strelok Перейти к цитате
Автор: Юрий Перейти к цитате

Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.

спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре?

На последнем - на этапе создания сертификата. То есть на самом деле нет простого равенства "сертификат = запрос + подпись УЦ", на этапе создания сертификата сервер формирует TBS (To Be Signed) часть сертификата в основном на основании данных из присланного запроса, добавляя только специфичные расширения (политики применения, URL списков отзыва и т.д.) и значение поля "Issuer".
С уважением,
Юрий Строжевский
Offline Zloy Strelok  
#9 Оставлено : 25 сентября 2013 г. 0:38:37(UTC)
Zloy Strelok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.07.2012(UTC)
Сообщений: 267
Мужчина
Российская Федерация
Откуда: Калининград

Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
Автор: Юрий Перейти к цитате
Автор: Zloy Strelok Перейти к цитате
Автор: Юрий Перейти к цитате

Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.

спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре?

На последнем - на этапе создания сертификата. То есть на самом деле нет простого равенства "сертификат = запрос + подпись УЦ", на этапе создания сертификата сервер формирует TBS (To Be Signed) часть сертификата в основном на основании данных из присланного запроса, добавляя только специфичные расширения (политики применения, URL списков отзыва и т.д.) и значение поля "Issuer".

ну да. просто считал что "сертификат" (напиример .cer) и открытый ключ синонимами ))) а так то сертификат включает в себя открытый ключ.
спасибо за поправку.
Offline Юрий  
#10 Оставлено : 25 сентября 2013 г. 7:49:48(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Zloy Strelok Перейти к цитате
Автор: Юрий Перейти к цитате
Автор: Zloy Strelok Перейти к цитате
Автор: Юрий Перейти к цитате

Если сертификата делается по переданному ему запросу то публичный ключ передается в самом запросе. Его УЦ не делает, УЦ только подписывает запрос своим ключом.

спасибо, буду знать теперь =). Только вопрос - а на каком этапе в сертификат добавляется информация о подписавшем удостоверяющем центре?

На последнем - на этапе создания сертификата. То есть на самом деле нет простого равенства "сертификат = запрос + подпись УЦ", на этапе создания сертификата сервер формирует TBS (To Be Signed) часть сертификата в основном на основании данных из присланного запроса, добавляя только специфичные расширения (политики применения, URL списков отзыва и т.д.) и значение поля "Issuer".

ну да. просто считал что "сертификат" (напиример .cer) и открытый ключ синонимами ))) а так то сертификат включает в себя открытый ключ.
спасибо за поправку.

Почитайте лучше стандарт X.509. Кстати он даже полностью переведен на русский язык: стандарт ITU-T X.509 (+ русский язык).
С уважением,
Юрий Строжевский
thanks 1 пользователь поблагодарил Юрий за этот пост.
Zloy Strelok оставлено 29.09.2013(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.