Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Писарев  
#21 Оставлено : 15 ноября 2015 г. 14:46:44(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,394
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Жук Майский Перейти к цитате
Автор: Юрий Перейти к цитате
Автор: Андрей * Перейти к цитате

Цитата:

Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.


Это верная информация?

Человек говорит о том, что для расшифрования сообщений от других пользователей необходимо сформировать некий эфимерный ключ, который в свою очередь создаётся на основе публичного ключа отправителя и приватного ключа получателя. Так что да, для расшифровки сообщений от других пользователей необходимо иметь их сертификаты. Кстати по-сути без разницы в каком именно хранилище сертификатов они будут сохранены.


Не совсем так, для обмена зашифрованными Сообщениями, необходимо что бы Отправитель и Получатель, предварительно обменялись Публичными (открытыми) ключами. Отправитель на основе своего закрытого ключа+открытого ключа Получателя, шифрует Сообщение Получателю. Получатель на основе своего закрытого ключа+открытого ключа Отправителя производит расшифровку Сообщения.
Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации.


У меня нет личного сертификата.
У меня есть сертификат получателя.
Я могу зашифровать сообщение получателю.
Получатель может расшифровать такое сообщение, не имея моего сертификата.


Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#22 Оставлено : 15 ноября 2015 г. 15:11:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,394
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Жук Майский Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: basid Перейти к цитате
Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.

P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести?



Цитата:

Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.


Это верная информация?


Да, верная, например в Outlook, все публичные сертификаты, сохраняются в Карточке контакта.


А в программе ХХХ, сколько угодно раз очищая хранилище "сертификаты других пользователей" - т.е. не имея сертификата отправителя, можно все равно расшифровать сообщение, которое отправитель зашифровал с использованием моего открытого ключа (из файла\из сертификата).

Будем и далее рассматривать частности?


Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#23 Оставлено : 15 ноября 2015 г. 15:29:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,394
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Провел эксперимент:
Взял в качестве примера ПО: MS Outlook Express.
Создал письмо.
Своего сертификата у меня - нет, есть только сертификат получателя - указал его.
Программа меня честно предупредила - если продолжу, письмо будет зашифровано и я не смогу его прочитать в исходящих.
Да, согласился, мне же нужно на стороне получателя расшифровать.
Отправил.
На стороне получателя - получил и успешно расшифровал письмо.
Еще раз замечу - не имея сертификата Отправителя.
Да и зачем он мне?
Если с почтового сервера я получил s/mime данные, извлек из тела сообщения зашифрованное сообщение (smime.p7m), обернутое в base64.
Декодировал из base64, получил CMS.
Прочитал заголовок - да, это зашифрованное сообщение.
Цитата:

------------ ASN1------------
0 $30 SEQUENCE:
2 $06 OBJID: 1.2.840.113549.1.7.3 = Enveloped-data



Прочитал перечень серийных номеров получателей + названия ЦС, в котором выданы сертификаты:

Цитата:

368 $0C UTF8String: CRYPTEX
377 $02 INT: 01CF8A64231539B00000000A1AA20002 - такой есть в хранилище со ссылкой на закрытый ключ - пробуем его!


нашел подходящий, связанный с закрытый ключом и вызвал функцию для расшифровки.
Получил исходное сообщение ... не имея сертификата отправителя.



Все это делает и MS Outlook Express, выбранный в качестве "эталонного ПО".
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Вавилов оставлено 16.11.2015(UTC)
Offline Андрей Писарев  
#24 Оставлено : 15 ноября 2015 г. 15:42:10(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,394
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Жук Майский Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: basid Перейти к цитате
Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.

P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести?



Цитата:

Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.


Это верная информация?


Да, верная, например в Outlook, все публичные сертификаты, сохраняются в Карточке контакта.


А обоснование? Или потому что " Outlook помещает сертификаты в карточку"?

А для чего, Вам известно? Для "расшифрования"?

Еще раз задам вопросы, раз участников "обсуждения" уже три.

1. Если Я удалю свой закрытый ключ, связанный с открытым ключом из моего сертификата (который отправитель использовал при шифровании сообщения) - смогу, имея сертификат Отправителя в каком-то там хранилище - расшифровать сообщение?
Мой ответ: Нет.

2. Если Я удалю все "сторонние" сертификаты (пользователей\ЦС) во всех хранилищах,
кроме своего, связанного с моим закрытым ключом - смогу расшифровать сообщение?
Мой ответ: Да.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#25 Оставлено : 15 ноября 2015 г. 15:53:13(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,394
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Жук Майский Перейти к цитате

Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации.


А зачем здесь еще затронут СОС? (САС - Список аннулированных сертификатов по 63 ФЗ, ст. 13),
он же CRL (Certificate Revocation List),

Вероятно, вместо СОС - имелось ввиду: "кросс-сертификаты, сертификаты промежуточных ЦС"?
Техническую поддержку оказываем тут
Наша база знаний
Offline Юрий  
#26 Оставлено : 15 ноября 2015 г. 19:04:39(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Жук Майский Перейти к цитате
Не совсем так, для обмена зашифрованными Сообщениями, необходимо что бы Отправитель и Получатель, предварительно обменялись Публичными (открытыми) ключами. Отправитель на основе своего закрытого ключа+открытого ключа Получателя, шифрует Сообщение Получателю. Получатель на основе своего закрытого ключа+открытого ключа Отправителя производит расшифровку Сообщения.
Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации.

Мои высказывания по обмену ключами основываются на моей работе над PKIjs, где я "вручную" реализовал все схемы обмена ключами для CMS Enveloped Data с применением чистого JavaScript.

Мои высказывания по поводу контейнеров сертификатов основываются на моём "скромном" 12-ти летнем опыте работы с Crypto API. Любой сертификат может находится в любом контейнере. Стандартные контейнеры нужно просто чтобы стандартные программы стандартно искали нужные сертификаты. А вообще-то можно даже свой контейнер сертификатов сделать, и запихать туда всё, что угодно.

С уважением,
Юрий Строжевский
Offline Юрий  
#27 Оставлено : 15 ноября 2015 г. 19:08:28(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Андрей * Перейти к цитате
Провел эксперимент:
Взял в качестве примера ПО: MS Outlook Express.
Создал письмо.
Своего сертификата у меня - нет, есть только сертификат получателя - указал его.
Программа меня честно предупредила - если продолжу, письмо будет зашифровано и я не смогу его прочитать в исходящих.
Да, согласился, мне же нужно на стороне получателя расшифровать.
Отправил.
На стороне получателя - получил и успешно расшифровал письмо.
Еще раз замечу - не имея сертификата Отправителя.
Да и зачем он мне?
Если с почтового сервера я получил s/mime данные, извлек из тела сообщения зашифрованное сообщение (smime.p7m), обернутое в base64.
Декодировал из base64, получил CMS.
Прочитал заголовок - да, это зашифрованное сообщение.
Цитата:

------------ ASN1------------
0 $30 SEQUENCE:
2 $06 OBJID: 1.2.840.113549.1.7.3 = Enveloped-data



Прочитал перечень серийных номеров получателей + названия ЦС, в котором выданы сертификаты:

Цитата:

368 $0C UTF8String: CRYPTEX
377 $02 INT: 01CF8A64231539B00000000A1AA20002 - такой есть в хранилище со ссылкой на закрытый ключ - пробуем его!


нашел подходящий, связанный с закрытый ключом и вызвал функцию для расшифровки.
Получил исходное сообщение ... не имея сертификата отправителя.



Все это делает и MS Outlook Express, выбранный в качестве "эталонного ПО".


В стандартной схеме обмена ключами действительно используется закрытый ключ отправителя и открытый получателя. Но с алгоритмами RSA есть одна проблема: при постоянстве этих двух ключей производный эфимерный ключ также будет постоянным. То есть при достаточно интенсивном обмене зашифрованными сообщениями между двумя сторонами потенциально можно их все расшифровать, через какое-то время. Поэтому в современных схемах используется эфимерный же (постоянно заново регенерируемый) приватный ключ отправителя. Таким образом и получается, что не имея своего сертификата можно послать кому-то зашифрованное сообщение.
С уважением,
Юрий Строжевский
thanks 1 пользователь поблагодарил Юрий за этот пост.
Вавилов оставлено 16.11.2015(UTC)
Offline Андрей Писарев  
#28 Оставлено : 16 ноября 2015 г. 8:35:20(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,394
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
Автор: Юрий Перейти к цитате
Автор: Андрей * Перейти к цитате
Провел эксперимент:
Взял в качестве примера ПО: MS Outlook Express.
Создал письмо.
Своего сертификата у меня - нет, есть только сертификат получателя - указал его.
Программа меня честно предупредила - если продолжу, письмо будет зашифровано и я не смогу его прочитать в исходящих.
Да, согласился, мне же нужно на стороне получателя расшифровать.
Отправил.
На стороне получателя - получил и успешно расшифровал письмо.
Еще раз замечу - не имея сертификата Отправителя.
Да и зачем он мне?
Если с почтового сервера я получил s/mime данные, извлек из тела сообщения зашифрованное сообщение (smime.p7m), обернутое в base64.
Декодировал из base64, получил CMS.
Прочитал заголовок - да, это зашифрованное сообщение.
Цитата:

------------ ASN1------------
0 $30 SEQUENCE:
2 $06 OBJID: 1.2.840.113549.1.7.3 = Enveloped-data



Прочитал перечень серийных номеров получателей + названия ЦС, в котором выданы сертификаты:

Цитата:

368 $0C UTF8String: CRYPTEX
377 $02 INT: 01CF8A64231539B00000000A1AA20002 - такой есть в хранилище со ссылкой на закрытый ключ - пробуем его!


нашел подходящий, связанный с закрытый ключом и вызвал функцию для расшифровки.
Получил исходное сообщение ... не имея сертификата отправителя.



Все это делает и MS Outlook Express, выбранный в качестве "эталонного ПО".


В стандартной схеме обмена ключами действительно используется закрытый ключ отправителя и открытый получателя. Но с алгоритмами RSA есть одна проблема: при постоянстве этих двух ключей производный эфимерный ключ также будет постоянным. То есть при достаточно интенсивном обмене зашифрованными сообщениями между двумя сторонами потенциально можно их все расшифровать, через какое-то время. Поэтому в современных схемах используется эфимерный же (постоянно заново регенерируемый) приватный ключ отправителя. Таким образом и получается, что не имея своего сертификата можно послать кому-то зашифрованное сообщение.


Вот об этом и была речь.
Спасибо,
Юрий.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.