Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Писарев  
#21 Оставлено : 31 августа 2017 г. 14:09:54(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Автор: dll Перейти к цитате
Автор: Андрей * Перейти к цитате

Цитата:
1. Если я сбросил пароль в контейнере. А потом назначил новый пароль на контейнер. Что далее случится, если я опять буду подписывать файл? Новая ЭЦП (из-под нового пина-пароля) будет валидна?


Да.


Это как-то противоречит утверждению:

Автор: Андрей * Перейти к цитате

Только Вы должны иметь доступ к закрытому ключу, который в контейнере.
Контейнер защищается паролем.


Если пароль можно сбросить и переназначить (без ввода старого пароля и без опции запомнить старый пароль), то получается, что приватный ключ не защищен паролем. По-моему так?




В чем же противоречие?
Утром был пароль: 1, подписали документ 1
В обед сменили пароль: 2, подписали документ 2
Как валидность созданной подписи может меняться от пароля? Никак.

Вы путаете "сброс пароля" с понятием "установить пустой пароль" (после ввода\предъявления текущего, если он был вообще задан ранее)?


>без ввода старого пароля и без опции запомнить старый пароль
у Вас разве так получилось?


"Сброс пароля" - это ... вот у меня есть чей-то контейнер,
Я не знаю пароля (который был задан, а не "пустой"), нажимаю кнопку "волшебную "Сбросить пароль"" и ... получаю доступ?
Такого нет.



Техническую поддержку оказываем тут
Наша база знаний
Offline dll  
#22 Оставлено : 31 августа 2017 г. 14:55:43(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Спасибо, почитал.

Автор: Grey Перейти к цитате

Пароль - это всего лишь механизм доступа к закрытому ключу. Он не меняет сам закрытый ключ и никак от него не зависит.


Вам, конечно, виднее.
Но если приватный ключ, например, зашифрован простейшим XOR-шифрованием по значению пароля, то вводя разные значения пароля, мы будем получать разные значения закрытого ключа. И правильный приватный ключ мы получим только после правильного ввода пароля.

КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут?

В соседнем посте я подписываю документ через консоль.
Один документ я подписываю БЕЗ пароля
csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached
а другой документ я подписываю с паролем
csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached -password пин_код_от_контейнера

В ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть?

Offline dll  
#23 Оставлено : 31 августа 2017 г. 15:12:33(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Андрей * Перейти к цитате

у Вас разве так получилось?


Мне показалось, что да.
Но в первом контейнере (настоящем) я не сбрасывал пароль. Просто он "вдруг" стал работать, хотя до этого не работал.
А во втором контейнере (тестовом) я действительно установил пустой пароль и он сбросился без предупреждений.
Offline Агафьин Сергей  
#24 Оставлено : 31 августа 2017 г. 15:15:59(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: dll Перейти к цитате
Спасибо, почитал.

Автор: Grey Перейти к цитате

Пароль - это всего лишь механизм доступа к закрытому ключу. Он не меняет сам закрытый ключ и никак от него не зависит.


Вам, конечно, виднее.
Но если приватный ключ, например, зашифрован простейшим XOR-шифрованием по значению пароля, то вводя разные значения пароля, мы будем получать разные значения закрытого ключа. И правильный приватный ключ мы получим только после правильного ввода пароля.

КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут?

В соседнем посте я подписываю документ через консоль.
Один документ я подписываю БЕЗ пароля
csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached
а другой документ я подписываю с паролем
csptest -sfsign -sign -in путь_к_исходной.xml -out путь_к_подписи.xml.sig -my ФИО_владельца_сертификата -addsigtime -add -detached -password пин_код_от_контейнера

В ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть?



Пароль не является частью закрытого ключа. Пароль является частью механизма, дающего доступ к закрытому ключу. Точно также изменение комбинации на замке сейфа никак не влияет на содержимое документов, в нем хранящихся.
Если же используется какой-то механизм, в рамках которого пароль используется для шифрования закрытого ключа (например, как у нас с носителем Реестр), то перед использованием этого ключа он расшифровывается.
То есть, говоря о вашем примере с XOR, сначала снимается парольная маска, затем производится вычисление подписи.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline dll  
#25 Оставлено : 31 августа 2017 г. 15:28:32(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Grey Перейти к цитате
перед использованием этого ключа он расшифровывается.


Вот поэтому я и задал два вопроса:

1) КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут?
2) В ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть?

Может быть у меня и первый контейнер был с пустым паролем (сомнительно, но я не исключаю)? И в этом случае добавление пароля при создании ЭЦП не "портит" ЭЦП?
Offline Агафьин Сергей  
#26 Оставлено : 1 сентября 2017 г. 9:27:27(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: dll Перейти к цитате
Автор: Grey Перейти к цитате
перед использованием этого ключа он расшифровывается.


Вот поэтому я и задал два вопроса:

1) КриптоПро откажется создавать ЭЦП, если приватный ключ не правильный или он тупо подпишет с неправильным приватным ключом, и то, что ЭЦП неправильная, пользователь поймет много позднее, когда ему ее завернут?
2) В ОБОИХ случаях росреестр говорит, что ЭЦП верна! Как такое может быть?

Может быть у меня и первый контейнер был с пустым паролем (сомнительно, но я не исключаю)? И в этом случае добавление пароля при создании ЭЦП не "портит" ЭЦП?


1) CSP подпишет тем ключом, который находится в криптоконтейнере. Вопрос его стойкости к искажениям решается определенными техническими мерами. С ситуациями, когда даже эти меры не помогали защитить ключ от повреждения, мы не сталкивались. К парольной защите этот вопрос не имеет отношения.
2) А что такого? Вы подписали документ одним и тем же ключом. Давайте еще раз. У вас есть два сейфа: один с кодовым замком, второй с поломанной дверцей. От того, куда вы положите документы, не зависит их содержимое, а зависит только уровень их защиты: сколько времени потребуется грабителю, чтобы их изъять из сейфа.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline dll  
#27 Оставлено : 1 сентября 2017 г. 11:26:59(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Grey Перейти к цитате

2) А что такого? Вы подписали документ одним и тем же ключом. Давайте еще раз. У вас есть два сейфа: один с кодовым замком, второй с поломанной дверцей. От того, куда вы положите документы, не зависит их содержимое, а зависит только уровень их защиты: сколько времени потребуется грабителю, чтобы их изъять из сейфа.


Ну вот я пытаюсь понять, что не так с сейфом. Сейф-то один. И я думал, что я сейф запер на замок (пин-код). А оказывается сейф открыт. Или не запирается.


Offline Агафьин Сергей  
#28 Оставлено : 1 сентября 2017 г. 13:28:33(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: dll Перейти к цитате
Автор: Grey Перейти к цитате

2) А что такого? Вы подписали документ одним и тем же ключом. Давайте еще раз. У вас есть два сейфа: один с кодовым замком, второй с поломанной дверцей. От того, куда вы положите документы, не зависит их содержимое, а зависит только уровень их защиты: сколько времени потребуется грабителю, чтобы их изъять из сейфа.


Ну вот я пытаюсь понять, что не так с сейфом. Сейф-то один. И я думал, что я сейф запер на замок (пин-код). А оказывается сейф открыт. Или не запирается.


Но задаёте вопросы совершенно о другом.
Что конкретно вас смущает?
Что подпись проходит после удаления пароля? Это штатное поведение.
Что подпись без смены пароля может проходить как с паролем, так и без пароля? Это тоже довольно часто штатное поведение: провайдер даёт широкие возможности по сохранению и кэшированию паролей. Более того, есть токены и смарт-карты (например, Рутокен), у которых бывает дефолтный пароль, его токен предъявляет сам. Бывает карты, которые сами достраивают пароль до нужной маски. Например, для Магистры пустой пароль, "1" и "11111111" эквивалентны.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
Андрей * оставлено 01.09.2017(UTC)
Offline dll  
#29 Оставлено : 1 сентября 2017 г. 14:50:44(UTC)
dll

Статус: Участник

Группы: Участники
Зарегистрирован: 30.08.2017(UTC)
Сообщений: 11

Автор: Grey Перейти к цитате
Что подпись проходит после удаления пароля? Это штатное поведение.
Что подпись без смены пароля может проходить как с паролем, так и без пароля? Это тоже довольно часто штатное поведение


Я, конечно понимаю, что основная моя беда в том, что я не запомнил достоверно пароль к контейнеру с приватным ключем.
И я пытаюсь понять по поведению программы, какой же мой пароль на самом деле: пустой или тот, который я сейчас использую?

При установке сертификата не брал никакой пароль один день, и на другой день не брал вначале. Потом что-то случилось и пароль (не пустой) был принят с надписью, что ранее сертификат уже был установлен (я об этом выше писал).
И я до сих пор не уверен, что тот пароль (не пустой) верен. Галочки кэширования и запоминания пароля были все время отключены.

Почему это волнует?
Хочу, знать, как сделать, чтобы подпись можно было сделать только при вводе пароля.
Но сейчас, когда много неизвестных факторов я это не могу сделать. Т.к. тут уже действует правило: работает - не трожь. )))
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.