Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Online Андрей Писарев  
#11 Оставлено : 30 августа 2017 г. 19:48:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Цитата:
Ключ обмена доступен
экспорт открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно


Всё работает.

Пароль может не запрашиваться - если его нет или он был запомнен\закэширован.
Также на вкладке Безопасность - включено кэширование?
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#12 Оставлено : 30 августа 2017 г. 20:01:39(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Насчет кэширования - всё равно, необходимо было бы сначала ввести пароль...
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#13 Оставлено : 30 августа 2017 г. 20:14:18(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: dll Перейти к цитате
как теперь можно подписать файл? (это для росреестра)
Спасибо!



Например, с помощью КриптоАРМ
Техническую поддержку оказываем тут
Наша база знаний
Offline dll  
#14 Оставлено : 30 августа 2017 г. 20:55:09(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Андрей * Перейти к цитате
Насчет кэширования - всё равно, необходимо было бы сначала ввести пароль...


Отключено кэширование.
Я так понимаю, что пароль сменить не вопрос. Вопрос - будут ли валидными после этого подписи данным сертификатом.

И еще огромный вопрос - число попыток ввода пароля. Их как бы три. Но потом можно опять все сначала вводить.
Online Андрей Писарев  
#15 Оставлено : 30 августа 2017 г. 22:11:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: dll Перейти к цитате
Автор: Андрей * Перейти к цитате
Насчет кэширования - всё равно, необходимо было бы сначала ввести пароль...


Отключено кэширование.
Я так понимаю, что пароль сменить не вопрос. Вопрос - будут ли валидными после этого подписи данным сертификатом.

И еще огромный вопрос - число попыток ввода пароля. Их как бы три. Но потом можно опять все сначала вводить.



Конечно.
Пароль он нужен для доступа к контейнеру и использованию закрытого ключа.

При проверке ЭП под данными - контейнер не нужен, как и пароль и закрытый ключ.
Техническую поддержку оказываем тут
Наша база знаний
Offline Агафьин Сергей  
#16 Оставлено : 31 августа 2017 г. 9:51:44(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: dll Перейти к цитате

И еще огромный вопрос - число попыток ввода пароля. Их как бы три. Но потом можно опять все сначала вводить.

Это просто неочевидный нюанс реализации. Число попыток ввода определяется носителем. В случае носителей без "настоящего" пароля (Реестр, флешки, жесткий диск), перебор ограничить нельзя. В окне мы выводим "3" по определенным требованиям числа попыток ввода в единичной сессии работы. В другом контекста провайдер их опять будет 3.
В случае с носителям, где есть физический пароль (токены, смарт-карты), как правило, число попыток ввода является конечным. Обычно это что-то около 10-15. Провайдер, как описано выше, в каждом сеансе даёт ввести пароль либо три раза, либо столько, сколько осталось настоящих попыток.
Говоря псевдокодом:
попытки := 3;
если (настоящие_попытки < попытки) попытки := настоящие_попытки;

В общем, можете не переживать. Токен физически не может дать предъявить пароль больше раз, чем это в нем зашито аппаратно.

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline dll  
#17 Оставлено : 31 августа 2017 г. 12:46:56(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Grey Перейти к цитате

Это просто неочевидный нюанс реализации.


Сергей, спасибо - с этим вопросом понятно.

Если Вам не сложно, то не поясните чайнику, как идеологически осуществляется защита ЭЦП?
Я создал контейнер с приватным ключом (под паролем=пин кодом) и что-то потом улетело в УЦ. Где мне потом выдали сертификат.

После этого я подписываю некий файл при помощи связки приватный ключ (из контейнера под паролем=пином) + сертификат.
Получается ЭЦП для файла.

Теперь вопрос. Даже два.

1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна?
2. Я вообще создаю заново и контейнер с приватным ключом и пин к нему. Мой сертификат в него установится? И подпись будет валидна?

Это я к тому, что критически важно для защиты моей подписи? В УЦ сказали, что мол ведь только вы знаете пароль и поэтому никто кроме вас ничего не подпишет.
Но если пароль не важен и можно сертификат куда угодно установить, то критически важным становится сам файл сертификата. Чтобы он ни к кому не попал.

Online Андрей Писарев  
#18 Оставлено : 31 августа 2017 г. 13:02:51(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Цитата:
1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна?


Да.


Цитата:
2. Я вообще создаю заново и контейнер с приватным ключом и пин к нему. Мой сертификат в него установится? И подпись будет валидна?


Нет.
Сертификат содержит открытый ключ, который однозначно связан с закрытым ключом.

При формировании нового контейнера и запроса на сертификат - генерируется новый закрытый ключ.

Установить произвольный сертификат и "использовать" другой закрытый ключ - не получится.

Цитата:

И подпись будет валидна?


Если под подписью понимается эл.подпись под данными, сформированная сертификатом № 1 - то ДА.
Она не может стать невалидной, из-за того, что Вы сформировали еще один контейнер и закрытый ключ.

Цитата:

В УЦ сказали, что мол ведь только вы знаете пароль и поэтому никто кроме вас ничего не подпишет.


Только Вы должны иметь доступ к закрытому ключу, который в контейнере.
Контейнер защищается паролем. Если Вы запомнили пароль (галочку) - то любой, у кого будет доступ к вашему ПК с контейнером - сможет подписать\расшифровать данные.

Поэтому:
а) контейнер хранить на внешнем носителе
б) установить надежный пароль
в) не отмечать опцию "запомнить пароль"
г) служба хранения ключей\кэширования - может предоставить доступ в текущем сеансе работы ОС,
если закрытый ключ был закэширован, не смотря на то, что носитель уже отключен.



Техническую поддержку оказываем тут
Наша база знаний
Offline dll  
#19 Оставлено : 31 августа 2017 г. 13:40:04(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Андрей * Перейти к цитате

Цитата:
1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна?


Да.


Это как-то противоречит утверждению:

Автор: Андрей * Перейти к цитате

Только Вы должны иметь доступ к закрытому ключу, который в контейнере.
Контейнер защищается паролем.


Если пароль можно сбросить и переназначить (без ввода старого пароля и без опции запомнить старый пароль), то получается, что приватный ключ не защищен паролем. По-моему так?

Если я правильно понимаю, то приватный ключ шифруется пином (паролем).
Если пин (пароль) не правильный (либо он новый, т.е. другой) - вот на этом моменте, что происходит?
КриптоПро ругнется, что приватный ключ не расшифрован?
Или он его "расшифрует" в любом случае, не ругнется, но это будет по сути другой приватный ключ. И ЭЦП будет содержать подпись с неверным приватным ключом. Тогда, что покажет, например проверка тут ( https://www.gosuslugi.ru/pgu/eds выбрать — электронного документа. ЭП — отсоединенная, в формате PKCS#7)?


PS

Автор: Андрей * Перейти к цитате

Если под подписью понимается эл.подпись под данными, сформированная сертификатом № 1 - то ДА.
Она не может стать невалидной, из-за того, что Вы сформировали еще один контейнер и закрытый ключ.


Это понятно. Что уже существующие ЭЦП остаются валидными.
Интересует вновь создаваемая ЭЦП из контейнера с новым паролем.
Offline Агафьин Сергей  
#20 Оставлено : 31 августа 2017 г. 13:54:53(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: dll Перейти к цитате
Автор: Андрей * Перейти к цитате

Цитата:
1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна?


Да.


Это как-то противоречит утверждению:

Автор: Андрей * Перейти к цитате

Только Вы должны иметь доступ к закрытому ключу, который в контейнере.
Контейнер защищается паролем.


Если пароль можно сбросить и переназначить (без ввода старого пароля и без опции запомнить старый пароль), то получается, что приватный ключ не защищен паролем. По-моему так?

Если я правильно понимаю, то приватный ключ шифруется пином (паролем).
Если пин (пароль) не правильный (либо он новый, т.е. другой) - вот на этом моменте, что происходит?
КриптоПро ругнется, что приватный ключ не расшифрован?
Или он его "расшифрует" в любом случае, не ругнется, но это будет по сути другой приватный ключ. И ЭЦП будет содержать подпись с неверным приватным ключом. Тогда, что покажет, например проверка тут ( https://www.gosuslugi.ru/pgu/eds выбрать — электронного документа. ЭП — отсоединенная, в формате PKCS#7)?


PS

Автор: Андрей * Перейти к цитате

Если под подписью понимается эл.подпись под данными, сформированная сертификатом № 1 - то ДА.
Она не может стать невалидной, из-за того, что Вы сформировали еще один контейнер и закрытый ключ.


Это понятно. Что уже существующие ЭЦП остаются валидными.
Интересует вновь создаваемая ЭЦП из контейнера с новым паролем.


Возможно, вам поможет понять логику работы ключевых носителей наша статья в блоге: http://cryptopro.ru/blog...asnoe-khranenie-klyuchei

Пароль - это всего лишь механизм доступа к закрытому ключу. Он не меняет сам закрытый ключ и никак от него не зависит.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
Андрей * оставлено 31.08.2017(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.