Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что хранится в контейнере, зачем реестр?
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
С моей кочки зрения, владельцу удобнее хранить сертификат в контейнере - не требуется думать о соответствии между контейнерами и сертификатами: "Просмотреть сертификаты в контейнере" и, если надо, "Установить личный сертификат".
Файлы контейнера "пополнеют" на размер сертификата, но пара килобайт, надеюсь, никого не задавит :)
"Вставлен другой носитель", обычно лечится удалением запомненной информации о носителях. Лично я вообще отключаю сохранение такой информации.
Если опасаетесь, что при удалении информации о носителях слетят и запомненные пароли - можно начать с процедуры переустановки личного сертификата и согласиться с перепривязкой сертификата к закрытому ключу.
"Но есть ньюанс" - с опцией "усиленной защиты" контейнера КРИПТО-ПРО требовал, чтобы метка дискеты совпадала с той, что была при генерации ключевой пары. В этом случае "случайно отформатировали" и "скопировали на другую" не работало без дополнительных телодвижений.
Как оно на флэшках и прочих съёмных носителях - не проверял.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393   Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: basid  Автор: Андрей * По-вашему выходит: можно расшифровать любые письма, имея сертификаты других пользователей? Из контекста должно быть понятно, что подразумевалось "адресованные мне". Даже если непонятно, то уточняющий вопрос - много уместнее отсыла к основам. Автор: basid Автор: Lexms У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке. Есть ключевая пара, открытый ключ которой должен быть "максимально доступен". Поэтому можно сказать, что открытый ключ "обёртывается" в сертификат, а вокруг сертификатов строится инфраструктура открытых ключей (ИОК/PKI). Есть раздел личных сертификатов, что означает: "я владелец ключевой пары этих открытых ключей". Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.Ну и так далее. Закрытый ключ каждый криптопровайдер хранит в криптоконтейнере собственного формата и, опционно, может использовать "стандартный транспортный контейнер" - файл формата p12/pfx. Если говорить о КРИПТО-ПРО, то в процессе генерации ключевой пары или при установке личного сертификата в системное хранилище предоставляется возможность скопировать сертификат в криптоконтейнер, что удобно для владельца ключевой пары - нужен только криптоконтейнер. При необходимости, штатная утилита просмотра сертификатов позволяет экспортировать сертификат из хранилища, включая криптоконтейнер, в файл. Таким образом, если сертификат не скопирован в контейнер закрытых ключей - нужен и контейнер и сертификат, если скопирован - достаточно одного контейнера. Уточняющие вопросы: 1. Зачем мне сертификаты "других" пользователей, чтобы расшифровать сообщения "адресованные мне"? 2. Зачем мне судорожно искать сертификаты "других" пользователей, Цитата:когда требуется п(р)очитать их письма. ? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.
P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.11.2015(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 3 раз
|
По поводу "Вставлен другой носитель". Сделал поиск на флешке - нашел контейнер, но при этом криптопро написал как раз это сообщение. Получается, соответствия ему недостаточно, нужен еще и номер носителя (серийный номер флешки или еще какая информация о носителе). Сделал так Автор: basid
Если опасаетесь, что при удалении информации о носителях слетят и запомненные пароли - можно начать с процедуры переустановки личного сертификата и согласиться с перепривязкой сертификата к закрытому ключу.
1. Удалил сертификат из хранилища. 2. Убрал галочку запоминать информацию о носителе. 3. Заново установил сертификат. 4. Привязал сертификат к контейнеру. Если снять галку с запоминать информацию о носителях, происходит и сброс паролей?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: basid Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.
P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести? Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Может кому-то в этой теме будет интересна моя давняя утилитка. Чисто для ознакомления с внутренностями Crypto API. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Андрей * Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? Человек говорит о том, что для расшифрования сообщений от других пользователей необходимо сформировать некий эфимерный ключ, который в свою очередь создаётся на основе публичного ключа отправителя и приватного ключа получателя. Так что да, для расшифровки сообщений от других пользователей необходимо иметь их сертификаты. Кстати по-сути без разницы в каком именно хранилище сертификатов они будут сохранены. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 5 Откуда: Курган
|
Автор: basid Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.
P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести? 1. "Некто" не сможет Вам выслать зашифрованное Сообщение, так как у Вас нет Публичного ключа Отправителя, а у Отправителя нет Вашего Публичного ключа. 2. После обмена с Отправителем Публичными ключами, Вы сможете обмениваться с ним зашифрованными Сообщениями. 3. Для Outlook, все Публичные сертификаты, дополнительно сохраняются в карточке Контакта. Отредактировано пользователем 15 ноября 2015 г. 14:17:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 5 Откуда: Курган
|
Автор: Юрий Автор: Андрей * Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? Человек говорит о том, что для расшифрования сообщений от других пользователей необходимо сформировать некий эфимерный ключ, который в свою очередь создаётся на основе публичного ключа отправителя и приватного ключа получателя. Так что да, для расшифровки сообщений от других пользователей необходимо иметь их сертификаты. Кстати по-сути без разницы в каком именно хранилище сертификатов они будут сохранены. Не совсем так, для обмена зашифрованными Сообщениями, необходимо что бы Отправитель и Получатель, предварительно обменялись Публичными (открытыми) ключами. Отправитель на основе своего закрытого ключа+открытого ключа Получателя, шифрует Сообщение Получателю. Получатель на основе своего закрытого ключа+открытого ключа Отправителя производит расшифровку Сообщения. Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 5 Откуда: Курган
|
Автор: Андрей * Автор: basid Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.
P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести? Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? Да, верная, например в Outlook, все публичные сертификаты, сохраняются в Карточке контакта.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что хранится в контейнере, зачем реестр?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
