Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline cipher  
#1 Оставлено : 26 июня 2009 г. 13:28:12(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Здравтсвуйте!

В продолжении темы... http://www.cryptopro.ru/....aspx?g=posts&t=1474

Скажите пожалуйста... возможно ли в качестве хранилища сертификатов и CRL использовать какую-нибудь СУБД?

Заранее спасибо всем ответившим!
Offline Юрий Маслов  
#2 Оставлено : 26 июня 2009 г. 13:36:13(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Продолжаем тут... :-)

В штатной комплектации ПАК "КриптоПро УЦ" нет средств экспорта сертификатов и CRL в СУБД. Но, эксплуатирующая организация, может сама разработать модуль экспорта сертификатов по SDK, предсотавляемому нами и тогда он подключиться к программному обеспечению "КриптоПро УЦ" и будет использоваться для экспорта.
В собственном модуле экспорта, Вы можете экспортировать сертификаты и CRL куда угодно!

Возникнет другой вопрос. Вот Вы экспортируете в какую-нибудь СУБД. А зачем? Наверное для того, что бы пользователи и/или приложения могли получать из хранилища сертификаты и CRL. Значит Вам ещё нужно будет написать интерфейс для получения из какого-нибудь СУБД хранящуюся информацию.
С уважением,
КРИПТО-ПРО
Offline cipher  
#3 Оставлено : 26 июня 2009 г. 13:52:05(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Спасибо за поддержку...

Да, СУБД мы расматриваем как место публикации, хранения и последующего использования клиентами. Почему СУБД... СУБД умеют осуществлять репликацию своего содержимого между собой. (Но это пока предварительный частный вариант решения).

Также нами рассматриваются решения по организации LDAP каталогов.
Среди списка реализаций (предоставленого вами)... OpenLDAP и Directory Server от компании iPlanet и IDDS фирмы Innosoft и NDS eDirectory Server for NT от Novell и Global Directory Server от Critical Path и eTrust Directory от Computer Associates и DirX корпорации Siemens и Oracle Internet Directory...

1. Если я правильно понимаю... то написание такого же модуля потребуется и для случая использования LDAP-каталогов? Но в этом случает не требуется написание модуля для получения из него сертификатов и CRL?

2. Не подскажете... обладает ли какой-нибудь из продуктов в вышеприведённом списке возможностями:
- централизованного управления
- синхронизации содержимого между собой (при территориальном распределении)
- прозрачность получения доступа к содержимому каталогово (т.е. если не доступна одна точка, то чтобы автоматиески было обращение к другой ближайшей точке доступа)

Заранее спасибо за ответ!
Offline Юрий Маслов  
#4 Оставлено : 26 июня 2009 г. 14:03:16(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
cipher написал:
1. Если я правильно понимаю... то написание такого же модуля потребуется и для случая использования LDAP-каталогов? Но в этом случает не требуется написание модуля для получения из него сертификатов и CRL?

Да, Вы правильно понимаете.

cipher написал:
2. Не подскажете... обладает ли какой-нибудь из продуктов в вышеприведённом списке возможностями:
- централизованного управления
- синхронизации содержимого между собой (при территориальном распределении)
- прозрачность получения доступа к содержимому каталогово (т.е. если не доступна одна точка, то чтобы автоматиески было обращение к другой ближайшей точке доступа)

Как я Вам уже отвечал тут http://www.cryptopro.ru/....aspx?g=posts&t=1474 , "тут мы не копенгагены" :-(
С уважением,
КРИПТО-ПРО
Offline IK  
#5 Оставлено : 26 июня 2009 г. 15:12:46(UTC)
IK

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.03.2008(UTC)
Сообщений: 60
Откуда: Москва

cipher написал:
Скажите пожалуйста... возможно ли в качестве хранилища сертификатов и CRL использовать какую-нибудь СУБД?


Я сделал хранение и сертификатов и контейнеров в MSSQL.
Для резервного хранения.
Для простоты учета.
Для дополнительных проверок при приеме документов
Для разбора конфликтных ситуаций:
и подписи и сами последовательности байтов, что было подписаны, т.е. сырые документы (канонический вид)
храняться тоже в MSSQL.

Для быстрого восстановления на любой машине
(система клиент-банк)

Перед сохранением bin2hex и сохраняю как varchar
Перед использованием hex2bin

Очень удобно.
Интерфейс, правда, приходиться писать самому.
Но результатами доволен
Все данные клиент запрашивает как раз из MSSQL

Единственная проблема - синхронизация MSSQL и хранилищ сертификатов на машине, где работате
сервер.
Два подхода (работатют совместно)
- если сертификат не найден в хранилище, он динамически
загружается из MSSQL и дальше проверка подписи.

- есть процедура, что выгружает все необходимые сертификаты
в хранилища из MSSQL
Сначала все удаляются (фильтр по издателю)
потом все действующие выгружаются
Ночью она 1 раз запускается




Offline Юрий Маслов  
#6 Оставлено : 26 июня 2009 г. 15:56:43(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
IK написал:
Я сделал хранение и сертификатов и контейнеров в MSSQL.

Интересное решение!
А почему Вам сертификат подписи не сохранять прямо в неподписанных атрибутах самой подписи, если Вы её формируете в PKCS#7 SignedData? Тогда не придется искать сертификат для проверки ни в хранилище сертификатов ни в базе данных.

Как я понял, Вы ключевой контейнер тоже сохраняете в базе данных? А зачем? Согласно документа ФСБ России "Требования по информационной безопасности удостоверяющих центров" резервное копирование ключей запрещается. А согласно Приказа № 152, утвержившего "Инструкцию", передача ключей по каналу связи (не защищенному) тоже запрещается.
С уважением,
КРИПТО-ПРО
Offline IK  
#7 Оставлено : 26 июня 2009 г. 16:10:05(UTC)
IK

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.03.2008(UTC)
Сообщений: 60
Откуда: Москва

Цитата:
А почему Вам сертификат подписи не сохранять прямо в неподписанных атрибутах самой подписи



Если я правильно понимаю это вот этот код, включающий сертификат в подпись

Код:
  
  !Сами сертификаты не включаем в сообщение
  !gSignPara.cMsgCert                       = 1
  !gSignPara.rgpMsgCert                     = address(loc:PtrCertSender)


Если да, то я отказался от него по причине объема.
Размер подписи увеличивается намного.
Может я неправ.

Цитата:
Как я понял, Вы ключевой контейнер тоже сохраняете в базе данных?


Только "свои", банковские. Мне очень нужно простое резервное восстановление
В данном случае я просто ветку реетра записываю из MSSQL и у меня на новой машине
появляются контейнеры в реестре для сервера Клиент-Банка.


Цитата:
А согласно Приказа № 152, утвержившего "Инструкцию", передача ключей по каналу связи (не защищенному) тоже запрещается.


Ключи не передаются.
Только запросы на сертификат от клиента и сами сертификаты обратно клиенту.
Канал защищен шифрованием техническими ключами.
Это если клиент ну ни как не может в банк приехать,




Отредактировано пользователем 26 июня 2009 г. 16:11:20(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#8 Оставлено : 26 июня 2009 г. 19:29:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Размер подписи увеличивается на размер сертификата ключа подписи т.е. около 1 Кбайта. Это вроде не так много.
По ключам понятно и тоже красиво.
Поздравляю с хорошим результатом!
С уважением,
КРИПТО-ПРО
Offline IK  
#9 Оставлено : 26 июня 2009 г. 20:20:18(UTC)
IK

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.03.2008(UTC)
Сообщений: 60
Откуда: Москва

Юрий Маслов написал:
Размер подписи увеличивается на размер сертификата ключа подписи т.е. около 1 Кбайта. Это вроде не так много.


Сама подпись 884 + сертификат + bin2hex ~ 4 кб
Умножить на кол-во документов в пачке
Таблица на сервере будет расти уж очень быстро.

Сам -то документ 330 байт, а подпись выходит на 1,5 кб

Да и избыточно это. Все равно дополнительные проверки делать
Есть этот сертификат в базе, не задизейблин ли, есть ли этому физ.лицу
соответствие в банковской карточке, не просрочена ли сама карточка с образцами подписей и т.д.


За оценку спасибо
Почти полноценный УЦ получился
Самому нравиться.


RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.