Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: dll Автор: Андрей * Цитата: 1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна? Да. Это как-то противоречит утверждению: Автор: Андрей * Только Вы должны иметь доступ к закрытому ключу, который в контейнере. Контейнер защищается паролем.
Если пароль можно сбросить и переназначить (без ввода старого пароля и без опции запомнить старый пароль), то получается, что приватный ключ не защищен паролем. По-моему так? В чем же противоречие? Утром был пароль: 1, подписали документ 1 В обед сменили пароль: 2, подписали документ 2 Как валидность созданной подписи может меняться от пароля? Никак. Вы путаете "сброс пароля" с понятием "установить пустой пароль" (после ввода\предъявления текущего, если он был вообще задан ранее)? >без ввода старого пароля и без опции запомнить старый пароль у Вас разве так получилось? "Сброс пароля" - это ... вот у меня есть чей-то контейнер, Я не знаю пароля (который был задан, а не "пустой"), нажимаю кнопку "волшебную "Сбросить пароль"" и ... получаю доступ? Такого нет. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Спасибо, почитал. Автор: Grey Пароль - это всего лишь механизм доступа к закрытому ключу. Он не меняет сам закрытый ключ и никак от него не зависит.
Вам, конечно, виднее. Но если приватный ключ, например, зашифрован простейшим XOR-шифрованием по значению пароля, то вводя разные значения пароля, мы будем получать разные значения закрытого ключа. И правильный приватный ключ мы получим только после правильного ввода пароля. КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут? В соседнем посте я подписываю документ через консоль. Один документ я подписываю БЕЗ пароля csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached а другой документ я подписываю с паролем csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached -password пин_код_от_контейнераВ ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Андрей * у Вас разве так получилось?
Мне показалось, что да. Но в первом контейнере (настоящем) я не сбрасывал пароль. Просто он "вдруг" стал работать, хотя до этого не работал. А во втором контейнере (тестовом) я действительно установил пустой пароль и он сбросился без предупреждений.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: dll Спасибо, почитал. Автор: Grey Пароль - это всего лишь механизм доступа к закрытому ключу. Он не меняет сам закрытый ключ и никак от него не зависит.
Вам, конечно, виднее. Но если приватный ключ, например, зашифрован простейшим XOR-шифрованием по значению пароля, то вводя разные значения пароля, мы будем получать разные значения закрытого ключа. И правильный приватный ключ мы получим только после правильного ввода пароля. КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут? В соседнем посте я подписываю документ через консоль. Один документ я подписываю БЕЗ пароля csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached а другой документ я подписываю с паролем csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached -password пин_код_от_контейнераВ ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть? Пароль не является частью закрытого ключа. Пароль является частью механизма, дающего доступ к закрытому ключу. Точно также изменение комбинации на замке сейфа никак не влияет на содержимое документов, в нем хранящихся. Если же используется какой-то механизм, в рамках которого пароль используется для шифрования закрытого ключа (например, как у нас с носителем Реестр), то перед использованием этого ключа он расшифровывается. То есть, говоря о вашем примере с XOR, сначала снимается парольная маска, затем производится вычисление подписи. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Grey перед использованием этого ключа он расшифровывается. Вот поэтому я и задал два вопроса: 1) КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут? 2) В ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть? Может быть у меня и первый контейнер был с пустым паролем (сомнительно, но я не исключаю)? И в этом случае добавление пароля при создании ЭЦП не "портит" ЭЦП?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: dll Автор: Grey перед использованием этого ключа он расшифровывается. Вот поэтому я и задал два вопроса: 1) КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут? 2) В ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть? Может быть у меня и первый контейнер был с пустым паролем (сомнительно, но я не исключаю)? И в этом случае добавление пароля при создании ЭЦП не "портит" ЭЦП? 1) CSP подпишет тем ключом, который находится в криптоконтейнере. Вопрос его стойкости к искажениям решается определенными техническими мерами. С ситуациями, когда даже эти меры не помогали защитить ключ от повреждения, мы не сталкивались. К парольной защите этот вопрос не имеет отношения. 2) А что такого? Вы подписали документ одним и тем же ключом. Давайте еще раз. У вас есть два сейфа: один с кодовым замком, второй с поломанной дверцей. От того, куда вы положите документы, не зависит их содержимое, а зависит только уровень их защиты: сколько времени потребуется грабителю, чтобы их изъять из сейфа. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Grey 2) А что такого? Вы подписали документ одним и тем же ключом. Давайте еще раз. У вас есть два сейфа: один с кодовым замком, второй с поломанной дверцей. От того, куда вы положите документы, не зависит их содержимое, а зависит только уровень их защиты: сколько времени потребуется грабителю, чтобы их изъять из сейфа. Ну вот я пытаюсь понять, что не так с сейфом. Сейф-то один. И я думал, что я сейф запер на замок (пин-код). А оказывается сейф открыт. Или не запирается.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах
|
Автор: dll Автор: Grey 2) А что такого? Вы подписали документ одним и тем же ключом. Давайте еще раз. У вас есть два сейфа: один с кодовым замком, второй с поломанной дверцей. От того, куда вы положите документы, не зависит их содержимое, а зависит только уровень их защиты: сколько времени потребуется грабителю, чтобы их изъять из сейфа. Ну вот я пытаюсь понять, что не так с сейфом. Сейф-то один. И я думал, что я сейф запер на замок (пин-код). А оказывается сейф открыт. Или не запирается. Но задаёте вопросы совершенно о другом. Что конкретно вас смущает? Что подпись проходит после удаления пароля? Это штатное поведение. Что подпись без смены пароля может проходить как с паролем, так и без пароля? Это тоже довольно часто штатное поведение: провайдер даёт широкие возможности по сохранению и кэшированию паролей. Более того, есть токены и смарт-карты (например, Рутокен), у которых бывает дефолтный пароль, его токен предъявляет сам. Бывает карты, которые сами достраивают пароль до нужной маски. Например, для Магистры пустой пароль, "1" и "11111111" эквивалентны. |
|
1 пользователь поблагодарил Grey за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.08.2017(UTC) Сообщений: 11
|
Автор: Grey Что подпись проходит после удаления пароля? Это штатное поведение. Что подпись без смены пароля может проходить как с паролем, так и без пароля? Это тоже довольно часто штатное поведение Я, конечно понимаю, что основная моя беда в том, что я не запомнил достоверно пароль к контейнеру с приватным ключем. И я пытаюсь понять по поведению программы, какой же мой пароль на самом деле: пустой или тот, который я сейчас использую? При установке сертификата не брал никакой пароль один день, и на другой день не брал вначале. Потом что-то случилось и пароль (не пустой) был принят с надписью, что ранее сертификат уже был установлен (я об этом выше писал). И я до сих пор не уверен, что тот пароль (не пустой) верен. Галочки кэширования и запоминания пароля были все время отключены. Почему это волнует? Хочу, знать, как сделать, чтобы подпись можно было сделать только при вводе пароля. Но сейчас, когда много неизвестных факторов я это не могу сделать. Т.к. тут уже действует правило: работает - не трожь. )))
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close