Использование СУБД в качестве хранилища сертификатов и CRL

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Использование СУБД в качестве хранилища сертификатов и CRL

Опции

Предыдущая тема Следующая тема

cipher		#1 Оставлено : 26 июня 2009 г. 13:28:12(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.05.2009(UTC) Сообщений: 28		Здравтсвуйте! В продолжении темы... http://www.cryptopro.ru/....aspx?g=posts&t=1474 Скажите пожалуйста... возможно ли в качестве хранилища сертификатов и CRL использовать какую-нибудь СУБД? Заранее спасибо всем ответившим!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Юрий Маслов		#2 Оставлено : 26 июня 2009 г. 13:36:13(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		Здравствуйте! Продолжаем тут... :-) В штатной комплектации ПАК "КриптоПро УЦ" нет средств экспорта сертификатов и CRL в СУБД. Но, эксплуатирующая организация, может сама разработать модуль экспорта сертификатов по SDK, предсотавляемому нами и тогда он подключиться к программному обеспечению "КриптоПро УЦ" и будет использоваться для экспорта. В собственном модуле экспорта, Вы можете экспортировать сертификаты и CRL куда угодно! Возникнет другой вопрос. Вот Вы экспортируете в какую-нибудь СУБД. А зачем? Наверное для того, что бы пользователи и/или приложения могли получать из хранилища сертификаты и CRL. Значит Вам ещё нужно будет написать интерфейс для получения из какого-нибудь СУБД хранящуюся информацию.
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

cipher		#3 Оставлено : 26 июня 2009 г. 13:52:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.05.2009(UTC) Сообщений: 28		Спасибо за поддержку... Да, СУБД мы расматриваем как место публикации, хранения и последующего использования клиентами. Почему СУБД... СУБД умеют осуществлять репликацию своего содержимого между собой. (Но это пока предварительный частный вариант решения). Также нами рассматриваются решения по организации LDAP каталогов. Среди списка реализаций (предоставленого вами)... OpenLDAP и Directory Server от компании iPlanet и IDDS фирмы Innosoft и NDS eDirectory Server for NT от Novell и Global Directory Server от Critical Path и eTrust Directory от Computer Associates и DirX корпорации Siemens и Oracle Internet Directory... 1. Если я правильно понимаю... то написание такого же модуля потребуется и для случая использования LDAP-каталогов? Но в этом случает не требуется написание модуля для получения из него сертификатов и CRL? 2. Не подскажете... обладает ли какой-нибудь из продуктов в вышеприведённом списке возможностями: - централизованного управления - синхронизации содержимого между собой (при территориальном распределении) - прозрачность получения доступа к содержимому каталогово (т.е. если не доступна одна точка, то чтобы автоматиески было обращение к другой ближайшей точке доступа) Заранее спасибо за ответ!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#4 Оставлено : 26 июня 2009 г. 14:03:16(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		cipher написал: 1. Если я правильно понимаю... то написание такого же модуля потребуется и для случая использования LDAP-каталогов? Но в этом случает не требуется написание модуля для получения из него сертификатов и CRL? Да, Вы правильно понимаете. cipher написал: 2. Не подскажете... обладает ли какой-нибудь из продуктов в вышеприведённом списке возможностями: - централизованного управления - синхронизации содержимого между собой (при территориальном распределении) - прозрачность получения доступа к содержимому каталогово (т.е. если не доступна одна точка, то чтобы автоматиески было обращение к другой ближайшей точке доступа) Как я Вам уже отвечал тут http://www.cryptopro.ru/....aspx?g=posts&t=1474 , "тут мы не копенгагены" :-(
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

IK		#5 Оставлено : 26 июня 2009 г. 15:12:46(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.03.2008(UTC) Сообщений: 60 Откуда: Москва		cipher написал: Скажите пожалуйста... возможно ли в качестве хранилища сертификатов и CRL использовать какую-нибудь СУБД? Я сделал хранение и сертификатов и контейнеров в MSSQL. Для резервного хранения. Для простоты учета. Для дополнительных проверок при приеме документов Для разбора конфликтных ситуаций: и подписи и сами последовательности байтов, что было подписаны, т.е. сырые документы (канонический вид) храняться тоже в MSSQL. Для быстрого восстановления на любой машине (система клиент-банк) Перед сохранением bin2hex и сохраняю как varchar Перед использованием hex2bin Очень удобно. Интерфейс, правда, приходиться писать самому. Но результатами доволен Все данные клиент запрашивает как раз из MSSQL Единственная проблема - синхронизация MSSQL и хранилищ сертификатов на машине, где работате сервер. Два подхода (работатют совместно) - если сертификат не найден в хранилище, он динамически загружается из MSSQL и дальше проверка подписи. - есть процедура, что выгружает все необходимые сертификаты в хранилища из MSSQL Сначала все удаляются (фильтр по издателю) потом все действующие выгружаются Ночью она 1 раз запускается
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#6 Оставлено : 26 июня 2009 г. 15:56:43(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		IK написал: Я сделал хранение и сертификатов и контейнеров в MSSQL. Интересное решение! А почему Вам сертификат подписи не сохранять прямо в неподписанных атрибутах самой подписи, если Вы её формируете в PKCS#7 SignedData? Тогда не придется искать сертификат для проверки ни в хранилище сертификатов ни в базе данных. Как я понял, Вы ключевой контейнер тоже сохраняете в базе данных? А зачем? Согласно документа ФСБ России "Требования по информационной безопасности удостоверяющих центров" резервное копирование ключей запрещается. А согласно Приказа № 152, утвержившего "Инструкцию", передача ключей по каналу связи (не защищенному) тоже запрещается.
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

IK		#7 Оставлено : 26 июня 2009 г. 16:10:05(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.03.2008(UTC) Сообщений: 60 Откуда: Москва		Цитата: А почему Вам сертификат подписи не сохранять прямо в неподписанных атрибутах самой подписи Если я правильно понимаю это вот этот код, включающий сертификат в подпись Код: `!Сами сертификаты не включаем в сообщение !gSignPara.cMsgCert = 1 !gSignPara.rgpMsgCert = address(loc:PtrCertSender)` Если да, то я отказался от него по причине объема. Размер подписи увеличивается намного. Может я неправ. Цитата: Как я понял, Вы ключевой контейнер тоже сохраняете в базе данных? Только "свои", банковские. Мне очень нужно простое резервное восстановление В данном случае я просто ветку реетра записываю из MSSQL и у меня на новой машине появляются контейнеры в реестре для сервера Клиент-Банка. Цитата: А согласно Приказа № 152, утвержившего "Инструкцию", передача ключей по каналу связи (не защищенному) тоже запрещается. Ключи не передаются. Только запросы на сертификат от клиента и сами сертификаты обратно клиенту. Канал защищен шифрованием техническими ключами. Это если клиент ну ни как не может в банк приехать, Отредактировано пользователем 26 июня 2009 г. 16:11:20(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Юрий Маслов		#8 Оставлено : 26 июня 2009 г. 19:29:22(UTC)
Статус: Активный участник Группы: Администраторы Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах		Размер подписи увеличивается на размер сертификата ключа подписи т.е. около 1 Кбайта. Это вроде не так много. По ключам понятно и тоже красиво. Поздравляю с хорошим результатом!
		С уважением, КРИПТО-ПРО
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

IK		#9 Оставлено : 26 июня 2009 г. 20:20:18(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.03.2008(UTC) Сообщений: 60 Откуда: Москва		Юрий Маслов написал: Размер подписи увеличивается на размер сертификата ключа подписи т.е. около 1 Кбайта. Это вроде не так много. Сама подпись 884 + сертификат + bin2hex ~ 4 кб Умножить на кол-во документов в пачке Таблица на сервере будет расти уж очень быстро. Сам -то документ 330 байт, а подпись выходит на 1,5 кб Да и избыточно это. Все равно дополнительные проверки делать Есть этот сертификат в базе, не задизейблин ли, есть ли этому физ.лицу соответствие в банковской карточке, не просрочена ли сама карточка с образцами подписей и т.д. За оценку спасибо Почти полноценный УЦ получился Самому нравиться.
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close