Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91  Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: ГОСТface_killah  В общих чертах:
Для взаимодействия с картой (для организации защищённого канала с ней) требуются cv-сертификаты. Cv-сервисы, управляя этими сертификатами, упрощают Вам жизнь. Если по каким-то причинам доступ к данным сервисам невозможен, потребуется получить и установить данные сертификаты самостоятельно и пользоваться картой, пока не истекут.
"но что делать дальше, чтобы получить CV-сертификат, если ФУО в регионе не фурычит" здесь вопрос всё же к uecard.ru
то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо? и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324  Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: neigel
то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо?
и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?
Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто. Вкратце логика работы выглядит так: 1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов. 2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации. 3) В провайдере генерируется ключевая пара (ЗК хранится в реестре). 4) ОК отправляется на центр, где происходит создание CV-сертификатов. 5) Сертификаты возвращаются в провайдер и запоминаются в реестре. В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново. Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Grey
Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто.
Вкратце логика работы выглядит так:
1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов.
2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации.
3) В провайдере генерируется ключевая пара (ЗК хранится в реестре).
4) ОК отправляется на центр, где происходит создание CV-сертификатов.
5) Сертификаты возвращаются в провайдер и запоминаются в реестре.
В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново.
Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен.
О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? ) Или это просто способ держать юзера на поводке? P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить? Отредактировано пользователем 13 апреля 2016 г. 23:09:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: neigel
О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? )
Или это просто способ держать юзера на поводке?
P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить?
А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера. Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91 Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Grey
А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера.
Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает).
Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: neigel
Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )
В целом, закрытая. Но достаточно подробностей доступно и в открытых частях, которые выдает Google по запросу "спецификация уэк filetype:pdf". |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.03.2015(UTC) Сообщений: 5 Откуда: Москва Сказал «Спасибо»: 1 раз
|
 И, что, проблема с Windows 10 так и не решилась в недрах КриптоПро? Если судить по затуханию темы... 
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381  Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.02.2017(UTC)
Сообщений: 5
|
Очень полезная тема, спасибо большое
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
