Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#11 Оставлено : 22 июля 2020 г. 12:53:33(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Автор: sanyo Перейти к цитате
Кроме того я надеюсь, что через SafeTouch будут работать и зарубежные смарт карты, особенно интересны с интерфейсом OpenPGP card и поддержкой RSA ключей длиной до 4096 и более (если бывают).

Если он знает их APDU-формат, то вполне может. Правда, если я правильно помню, хэшировать он умеет только по ГОСТ-ами и SHA1.


Возможность хэширования ведь влияет наверно только на теоретическую возможность работоспособности сверки с дисплеем в случае интеграции, а если нужна только кнопка авторизации "в слепую", то хэширование внутри SafeTouch без разницы?

Отредактировано пользователем 22 июля 2020 г. 12:54:42(UTC)  | Причина: Не указана

Offline sanyo  
#12 Оставлено : 22 июля 2020 г. 12:56:35(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Хотелось бы попробовать смарткарту, она дешевле в 2 раза и кроме того можно и попробовать смарткарты других производителей, например, типа Ангара:
https://multisoft.ru/zas...rt-karty-ms-key-k-angara

Неизвлекаемые ключи на Ангаре мы не поддерживаем. Мы давно предлагаем Мультисофту, но пока результата нет.


У Мультисофта вроде бы есть библиотека PKCS11 для Ангары, наверно ее можно задействовать хотя бы для Stunnel и OpenVPN?
Offline sanyo  
#13 Оставлено : 22 июля 2020 г. 12:58:19(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Автор: sanyo Перейти к цитате
Мало кто производит токены со встроенным крипто, и чтобы на них при этом была кнопка авторизациии.

В целом, да. Я знаю два: Рутокен Touch и Инфокрипт VPN-Key-TLS.


Пожалуйста, напомните, где можно посмотреть список совместимых с КриптоПРО CSP 5 аппаратных токенов?

Есть ли среди них такие, которые имеют на борту алгоритмы RSA 4096 и Linux драйвера для интерфейса PKCS11?

Есть ли надежные софтовые шифры по ГОСТу, совместимые с популярными софтовыми туннелями типа OpenVPN, STunnel и т.п.?
Чтобы аутентификация при подключении происходила на аппаратных смарткартах, потом бы вырабатывался симметричный сессионный ключ длиной хотябы от 256 бит и более и шифрование трафика происходило бы софтово на CPU.

Отредактировано пользователем 22 июля 2020 г. 13:03:19(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#14 Оставлено : 22 июля 2020 г. 13:50:12(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Цитата:
Возможность хэширования ведь влияет наверно только на теоретическую возможность работоспособности сверки с дисплеем в случае интеграции, а если нужна только кнопка авторизации "в слепую", то хэширование внутри SafeTouch без разницы?

Должно быть без разницы. Вот Рутокен ПинПад, если что-то не смог распознать, не дает подписать.
Цитата:
У Мультисофта вроде бы есть библиотека PKCS11 для Ангары, наверно ее можно задействовать хотя бы для Stunnel и OpenVPN?

Наверное. Можете у них уточнить.
Цитата:
Пожалуйста, напомните, где можно посмотреть список совместимых с КриптоПРО CSP 5 аппаратных токенов?

В Формуляре или тут: https://www.cryptopro.ru/products/cryptopro-csp
Цитата:
Есть ли среди них такие, которые имеют на борту алгоритмы RSA 4096 и Linux драйвера для интерфейса PKCS11?

Аппаратный RSA мы не поддерживаем. Есть смутные крайне низкоприоритетные идеи поддержать RSA на Рутокенах, но там, вроде, ключ только 1024.
Про PKCS11 спрашивайте у разработчиков карт. Этот интерфейс работает параллельно с CSP, так что нас интересует мало.
Цитата:
Есть ли надежные софтовые шифры по ГОСТу, совместимые с популярными софтовыми туннелями типа OpenVPN, STunnel и т.п.?
Чтобы аутентификация при подключении происходила на аппаратных смарткартах, потом бы вырабатывался симметричный сессионный ключ длиной хотябы от 256 бит и более и шифрование трафика происходило бы софтово на CPU.

Я не знаю. Может, кто-то из коллег подскажет.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
sanyo оставлено 22.07.2020(UTC)
Offline sanyo  
#15 Оставлено : 22 июля 2020 г. 21:23:13(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
.

Отредактировано пользователем 23 июля 2020 г. 10:42:44(UTC)  | Причина: Не указана

Offline sanyo  
#16 Оставлено : 22 июля 2020 г. 21:23:52(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Нет спроса - нет предложения. 99% пользователей устраивают самые дешевые простые пассивные токены. Ради оставшегося 1% довольно сложно найти мотивацию разрабатывать и поддерживать аппаратные решения. Вы еще учтите, что компании-разработчики (что мы, что Аладдин, что Актив) - довольно небольшие организации, которым приходится жестко управлять своими ресурсами.


Во время обсуждения не раз у меня возникал вопрос, почему люди так тщательно пытаются защититься от несанкционированных банковских транзакций, например платежек на несколько тысяч рублей каждая, и совсем не пытаются защититься от несанкционированных подписаний документов, например, несанкционированного создания долговых обязательств или каких-либо инструкций третьим лицам от них на несколько миллионов рублей. Brick wall

Экономика должна быть экономной, ведь SafeTouch PRO стоит цельных 3 тыс. руб.! Shame on you Applause

А час работы юриста и детектива по попытке вернуть все в зад наверно от 3 до 30 тыс. руб. Dancing

Сколько часов, дней, недель работы на это нужно ?!? Не позволим экономике стагнировать, создадим искусственные проблемы сами себе своей беспечностью.

Отредактировано пользователем 23 июля 2020 г. 10:43:23(UTC)  | Причина: Не указана

Offline sanyo  
#17 Оставлено : 26 июля 2020 г. 9:05:25(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Цитата:
Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC ADPU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (неявно на одном из уровней ниже) ADPU?

CSP скармливает в SafeTouch напрямую через APDU-команды подписываемый документ. Когда железка понимает, что ей передали (распарсила), выводит на экран выжимку из документа и просит подтвердить. Затем, когда CSP шлет на токен хэш для подписи, команда перехватывается (устройство знает APDU для подписи на Рутокен) и анализируется: если хэш совпал с тем, что был ранее подтвержден, то всё ок. Если нет, то пользователю говорят, что подписывается что-то нераспознаенное.

Цитата:
Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх ADPU)?

Нет. CSP работает со всеми носителями напрямую через APDU.


Сергей, тогда, пожалуйста, объясните, зачем КриптоПРО (причем необязательно пятый, можно четвертый) нужен в следующей цепочке API для работы Диадок (по словам их поддержки):

Цитата:

Используется плагин, все верно. Во вложении пример установки плагина на Chromium. Можно загрузить на все системы Linux, что были описаны ранее.
На счет https://devuan.org/ - эксперт установил, все работает. Раз на ней работает, то и на более свежей версии 3.0 тоже будет работать. Несколько моментов:
В инструкциях устарела ссылка на Плагин. Там https://h.kontur.ru/plugin/linux , а актуальная https://h.kontur.ru/plugin/beta
Для работы смарт-карт:
1) Надо установить необходимые пакеты через терминал командой sudo apt-get install libccid pcscd libpcsclite1 pcsc-tools
2)Для работы аппаратного токена необходимо установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linux
Плагин пока не умеет работать напрямую с этой библиотекой, есть прямая зависимость от КриптоПро, поэтому ее тоже надо установить. Подойдёте и КриптоПро 4. КриптоПро CSP 5.0 и выше нужен для работы носителей Etoken и Jacarta.


Раз требуется установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linux
то PKCS 11 используется в Диадок? пусть неявно, если верить следующему:

Цитата:
Для работы аппаратного токена необходимо установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linux
Плагин пока не умеет работать напрямую с этой библиотекой, есть прямая зависимость от КриптоПро, поэтому ее тоже надо установить.

Но по вашим словам КриптоПро не использует PKCS11? С моей точки зрения, получается какое-то логическое противоречие между вашими словами и поддержкой Диадок?

Может быть КриптоПро используется для какой-то инициализации, а потом все же плагином используется PKCS11?

Меня смущает то, что я планирую получить в УЦ сертификат для ключа на аппаратном крипто PKCS11, но если в Диадок нужен КриптоПро даже для неизвлекаемых ключей, а КриптоПро (даже КриптоПро v5 для работы с аппаратным крипто) по вашим словам не использует PKCS11, а использует низкоуровневый протокол APDU, то в каком формате должны быть ключи, чтобы они были совместимы одновременно с Диадок, с КриптоПро 4/5, с аппаратным крипто Рутокен ЭЦП 2.0, с PKCS11 и APDU? Такое вообще возможно?

Протокол PKCS11 вообще подразумевает какой-то свой некий формат хранения закрытых ключей?

КриптоПро5 через APDU может работать самостоятельно с таким форматов ключей PKCS11 на аппаратном крипто? Он будет подстраиваться под формат ключей PKCS11 на файловой системе токена?
PKCS11 ведь тоже работает через APDU? Тогда возможно КриптоПро5 содержит внутри себя свою собственную реализацию PKCS11, но использует ее только самостоятельно без экспортирования этого интерфейса наружу за пределы КриптоПро для других программ?

Сертификат мне собираются выпустить следующим образом:

Цитата:
Вам требуется сертификат с аппаратной криптографией.
Обратите внимание, что такой сертификат можно выпустить только на физическое лицо, без включения в сертификат дополнительных областей применения, и мы не можем гарантировать, что такой сертификат будет приниматься во всех нужных вам системах.
Список порталов, которые поддерживают подобный режим работы : https://www.nalog.ru/ , https://www.gosuslugi.ru/ , https://bankrot.fedresurs.ru/ .
Такие сертификаты можно выпустить в рамках тарифа Электронная подпись для физлиц: https://ca.kontur.ru/certificate/51 . Обратите внимание, что если у вас нет носителя Рутокен ЭЦП 2.0, то его можно приобрести отдельно также в нашем сервисном центре.
Чтобы получить электронную подпись, сообщите ИНН, город и регион, где вы находитесь, и номер телефона для связи с вами. Наши сотрудники свяжутся с вами в течение 3-х рабочих часов.
Либо вы можете оставить заявку на указанном сайте, для этого нажмите на кнопку «Перейти к оформлению», отметьте дополнительные услуги по необходимости и заполните предложенную форму. Мы свяжемся с вами в течение рабочего дня.
После оплаты счёта на выпуск сертификата и создания формы, чтобы была возможность выпустить сертификат на аппаратном СКЗИ Рутокена, обратитесь в службу нашей технической поддержки в формате ответного письма или любым другим удобным способом, мы передадим информацию нашим экспертам для внесения изменений в тип криптопровайдера в вашей форме.


Я почему-то не уверен, не будут ли конфликтовать между собой библиотека Rutoken PKCS11 и прямой доступ к тем же данным через КриптоПро APDU, пожалуйста, развейте мои сомнения.

Вот нашел еще немного про интерфейсы смарт карт:
https://security.stackex...omputer-interoperability

Мнение поддержки из Аладдин:

Цитата:
КриптоАРМ Плюс работает и PKI и с ГОСТ. А вот Диадок и МИГ24 вероятнее всего используют КриптоПро CSP. В случае если там поддерживается КриптоПро CSP 5.0, могут применяться в том числе неизвлекаемые ГОСТ-ключи.
К сожалению, формат работы КриптоПро CSP 5.0 с неизвлекаемыми ключами несовместим с pkcs#11.
Для контроля транзакций рекомендуем посмотреть SafeToch PRO, он поддерживает JaCarta-2 ГОСТ.


Все таки непонятно, для чего Диадоку нужен КриптоПро? Однако упоминание того, что для Диадок достаточно КриптоПро4 даже в случае, когда используются неизвлекаемые ключи, намекает на то, что КриптоПро сам не используется непосредственно для работы с ключами, потому что неизвлекаемые ключи поддерживает только КриптоПро 5?

Тогда возникает еще один вопрос, существуют ли УЦ, которые могут выдать сертификат неизвлекаемого ключа, сгенерированного с помощью КриптоПро 5?
Например, СКБ Контур может выдать сертификат как извлекаемого ключа на Rutoken S, так и для неизвлекаемого ключа в формате PKCS11 внутри Рутокен ЭЦП 2.0, а может ли СКБ Контур создать сертификат неизвлекаемого ключа для КриптоПро 5, который якобы несовместим с PKCS11 по словам поддержки Аладдин? Будет ли такой ключ работать в Диадок?

И наверно, есть вероятность, что такой неизвлекаемый ключ для КриптоПро5 будет работать в КриптоАрм стандарт (не плюс)?

Отредактировано пользователем 27 июля 2020 г. 4:04:12(UTC)  | Причина: Не указана

Offline sanyo  
#18 Оставлено : 27 июля 2020 г. 5:13:11(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Offline sanyo  
#19 Оставлено : 27 июля 2020 г. 7:28:31(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
По словам УЦ НТС Софт они делают только сертификаты для неизвлекаемых ключей только типа PKCS 11 и МИГ 24 работает именно с ними.

А сертификаты для неизвлекаемого ключа, сгенерированного КриптоПро5, они никогда не делали и не хотят даже пытаться.

Зачем тогда вообще нужен формат неизвлекаемых ключей КриптоПро 5?
Для неизвлекаемых ключей в формате КриптоПро 5 вообще сертификаты выпускает хоть один УЦ?

Для PKCS11 то и то мало кто выпускает, а с КриптоПро5 наверно вообще глухо?

Отредактировано пользователем 27 июля 2020 г. 8:17:20(UTC)  | Причина: Не указана

Offline sanyo  
#20 Оставлено : 27 июля 2020 г. 8:18:10(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Еще вопрос, как временный вариант такое будет работать?

Ключ в формате совместимости Rutoken S на смарткарте Rutoken MIK51.
Подключить его через SoftTouch PRO к КриптоАРМ стандарт.

Кнопка авторизации SoftTouch PRO будет работать для извлекаемого ключа в формате совместимости Rutoken S?

Можно ли настроить КриптоПро CSP, чтобы он не кэшировал такой ключ в оперативке, а каждый раз подгружал его с токена, чтобы нужно было нажатие кнопки авторизации на считывателе SoftTouch PRO?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
5 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.