Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Цитата:Ключ обмена доступен экспорт открытого ключа успешно импорт открытого ключа успешно подпись успешно проверка успешно создание ключа обмена успешно Всё работает. Пароль может не запрашиваться - если его нет или он был запомнен\закэширован. Также на вкладке Безопасность - включено кэширование? |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Насчет кэширования - всё равно, необходимо было бы сначала ввести пароль... |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: dll как теперь можно подписать файл? (это для росреестра) Спасибо!
Например, с помощью КриптоАРМ |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Андрей * Насчет кэширования - всё равно, необходимо было бы сначала ввести пароль... Отключено кэширование. Я так понимаю, что пароль сменить не вопрос. Вопрос - будут ли валидными после этого подписи данным сертификатом. И еще огромный вопрос - число попыток ввода пароля. Их как бы три. Но потом можно опять все сначала вводить.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: dll Автор: Андрей * Насчет кэширования - всё равно, необходимо было бы сначала ввести пароль... Отключено кэширование. Я так понимаю, что пароль сменить не вопрос. Вопрос - будут ли валидными после этого подписи данным сертификатом. И еще огромный вопрос - число попыток ввода пароля. Их как бы три. Но потом можно опять все сначала вводить. Конечно. Пароль он нужен для доступа к контейнеру и использованию закрытого ключа. При проверке ЭП под данными - контейнер не нужен, как и пароль и закрытый ключ. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: dll И еще огромный вопрос - число попыток ввода пароля. Их как бы три. Но потом можно опять все сначала вводить.
Это просто неочевидный нюанс реализации. Число попыток ввода определяется носителем. В случае носителей без "настоящего" пароля (Реестр, флешки, жесткий диск), перебор ограничить нельзя. В окне мы выводим "3" по определенным требованиям числа попыток ввода в единичной сессии работы. В другом контекста провайдер их опять будет 3. В случае с носителям, где есть физический пароль (токены, смарт-карты), как правило, число попыток ввода является конечным. Обычно это что-то около 10-15. Провайдер, как описано выше, в каждом сеансе даёт ввести пароль либо три раза, либо столько, сколько осталось настоящих попыток. Говоря псевдокодом: попытки := 3; если (настоящие_попытки < попытки) попытки := настоящие_попытки; В общем, можете не переживать. Токен физически не может дать предъявить пароль больше раз, чем это в нем зашито аппаратно. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Grey Это просто неочевидный нюанс реализации.
Сергей, спасибо - с этим вопросом понятно. Если Вам не сложно, то не поясните чайнику, как идеологически осуществляется защита ЭЦП? Я создал контейнер с приватным ключом (под паролем=пин кодом) и что-то потом улетело в УЦ. Где мне потом выдали сертификат. После этого я подписываю некий файл при помощи связки приватный ключ (из контейнера под паролем=пином) + сертификат. Получается ЭЦП для файла. Теперь вопрос. Даже два. 1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна? 2. Я вообще создаю заново и контейнер с приватным ключом и пин к нему. Мой сертификат в него установится? И подпись будет валидна? Это я к тому, что критически важно для защиты моей подписи? В УЦ сказали, что мол ведь только вы знаете пароль и поэтому никто кроме вас ничего не подпишет. Но если пароль не важен и можно сертификат куда угодно установить, то критически важным становится сам файл сертификата. Чтобы он ни к кому не попал.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Цитата: 1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна? Да. Цитата:2. Я вообще создаю заново и контейнер с приватным ключом и пин к нему. Мой сертификат в него установится? И подпись будет валидна? Нет. Сертификат содержит открытый ключ, который однозначно связан с закрытым ключом. При формировании нового контейнера и запроса на сертификат - генерируется новый закрытый ключ. Установить произвольный сертификат и "использовать" другой закрытый ключ - не получится. Цитата: И подпись будет валидна?
Если под подписью понимается эл.подпись под данными, сформированная сертификатом № 1 - то ДА. Она не может стать невалидной, из-за того, что Вы сформировали еще один контейнер и закрытый ключ. Цитата: В УЦ сказали, что мол ведь только вы знаете пароль и поэтому никто кроме вас ничего не подпишет.
Только Вы должны иметь доступ к закрытому ключу, который в контейнере. Контейнер защищается паролем. Если Вы запомнили пароль (галочку) - то любой, у кого будет доступ к вашему ПК с контейнером - сможет подписать\расшифровать данные. Поэтому: а) контейнер хранить на внешнем носителе б) установить надежный пароль в) не отмечать опцию "запомнить пароль" г) служба хранения ключей\кэширования - может предоставить доступ в текущем сеансе работы ОС, если закрытый ключ был закэширован, не смотря на то, что носитель уже отключен. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Андрей * Цитата: 1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна? Да. Это как-то противоречит утверждению: Автор: Андрей * Только Вы должны иметь доступ к закрытому ключу, который в контейнере. Контейнер защищается паролем.
Если пароль можно сбросить и переназначить (без ввода старого пароля и без опции запомнить старый пароль), то получается, что приватный ключ не защищен паролем. По-моему так? Если я правильно понимаю, то приватный ключ шифруется пином (паролем). Если пин (пароль) не правильный (либо он новый, т.е. другой) - вот на этом моменте, что происходит?КриптоПро ругнется, что приватный ключ не расшифрован? Или он его "расшифрует" в любом случае, не ругнется, но это будет по сути другой приватный ключ. И ЭЦП будет содержать подпись с неверным приватным ключом. Тогда, что покажет, например проверка тут ( https://www.gosuslugi.ru/pgu/eds выбрать — электронного документа. ЭП — отсоединенная, в формате PKCS#7)? PSАвтор: Андрей * Если под подписью понимается эл.подпись под данными, сформированная сертификатом № 1 - то ДА. Она не может стать невалидной, из-за того, что Вы сформировали еще один контейнер и закрытый ключ.
Это понятно. Что уже существующие ЭЦП остаются валидными. Интересует вновь создаваемая ЭЦП из контейнера с новым паролем.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: dll Автор: Андрей * Цитата: 1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна? Да. Это как-то противоречит утверждению: Автор: Андрей * Только Вы должны иметь доступ к закрытому ключу, который в контейнере. Контейнер защищается паролем.
Если пароль можно сбросить и переназначить (без ввода старого пароля и без опции запомнить старый пароль), то получается, что приватный ключ не защищен паролем. По-моему так? Если я правильно понимаю, то приватный ключ шифруется пином (паролем). Если пин (пароль) не правильный (либо он новый, т.е. другой) - вот на этом моменте, что происходит?КриптоПро ругнется, что приватный ключ не расшифрован? Или он его "расшифрует" в любом случае, не ругнется, но это будет по сути другой приватный ключ. И ЭЦП будет содержать подпись с неверным приватным ключом. Тогда, что покажет, например проверка тут ( https://www.gosuslugi.ru/pgu/eds выбрать — электронного документа. ЭП — отсоединенная, в формате PKCS#7)? PSАвтор: Андрей * Если под подписью понимается эл.подпись под данными, сформированная сертификатом № 1 - то ДА. Она не может стать невалидной, из-за того, что Вы сформировали еще один контейнер и закрытый ключ.
Это понятно. Что уже существующие ЭЦП остаются валидными. Интересует вновь создаваемая ЭЦП из контейнера с новым паролем. Возможно, вам поможет понять логику работы ключевых носителей наша статья в блоге: http://cryptopro.ru/blog...asnoe-khranenie-klyucheiПароль - это всего лишь механизм доступа к закрытому ключу. Он не меняет сам закрытый ключ и никак от него не зависит. |
|
1 пользователь поблагодарил Grey за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close