Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что хранится в контейнере, зачем реестр?
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393   Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Жук Майский  Автор: Юрий Автор: Андрей * Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? Человек говорит о том, что для расшифрования сообщений от других пользователей необходимо сформировать некий эфимерный ключ, который в свою очередь создаётся на основе публичного ключа отправителя и приватного ключа получателя. Так что да, для расшифровки сообщений от других пользователей необходимо иметь их сертификаты. Кстати по-сути без разницы в каком именно хранилище сертификатов они будут сохранены. Не совсем так, для обмена зашифрованными Сообщениями, необходимо что бы Отправитель и Получатель, предварительно обменялись Публичными (открытыми) ключами. Отправитель на основе своего закрытого ключа+открытого ключа Получателя, шифрует Сообщение Получателю. Получатель на основе своего закрытого ключа+открытого ключа Отправителя производит расшифровку Сообщения. Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации. У меня нет личного сертификата. У меня есть сертификат получателя. Я могу зашифровать сообщение получателю. Получатель может расшифровать такое сообщение, не имея моего сертификата. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Жук Майский Автор: Андрей * Автор: basid Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.
P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести? Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? Да, верная, например в Outlook, все публичные сертификаты, сохраняются в Карточке контакта. А в программе ХХХ, сколько угодно раз очищая хранилище " сертификаты других пользователей" - т.е. не имея сертификата отправителя, можно все равно расшифровать сообщение, которое отправитель зашифровал с использованием моего открытого ключа (из файла\из сертификата). Будем и далее рассматривать частности? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Провел эксперимент: Взял в качестве примера ПО: MS Outlook Express. Создал письмо. Своего сертификата у меня - нет, есть только сертификат получателя - указал его. Программа меня честно предупредила - если продолжу, письмо будет зашифровано и я не смогу его прочитать в исходящих. Да, согласился, мне же нужно на стороне получателя расшифровать. Отправил. На стороне получателя - получил и успешно расшифровал письмо. Еще раз замечу - не имея сертификата Отправителя. Да и зачем он мне? Если с почтового сервера я получил s/mime данные, извлек из тела сообщения зашифрованное сообщение (smime.p7m), обернутое в base64. Декодировал из base64, получил CMS. Прочитал заголовок - да, это зашифрованное сообщение. Цитата:
------------ ASN1------------
0 $30 SEQUENCE:
2 $06 OBJID: 1.2.840.113549.1.7.3 = Enveloped-data
Прочитал перечень серийных номеров получателей + названия ЦС, в котором выданы сертификаты: Цитата:
368 $0C UTF8String: CRYPTEX
377 $02 INT: 01CF8A64231539B00000000A1AA20002 - такой есть в хранилище со ссылкой на закрытый ключ - пробуем его!
нашел подходящий, связанный с закрытый ключом и вызвал функцию для расшифровки. Получил исходное сообщение ... не имея сертификата отправителя.
Цитата:This is a multi-part message in MIME format. ------=_NextPart_000_0006_01D11FBF.B89BAE00 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: quoted-printable 1 ------=_NextPart_000_0006_01D11FBF.B89BAE00 Content-Type: text/html; charset="koi8-r" Content-Transfer-Encoding: quoted-printable <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content=3D"text/html; charset=3Dkoi8-r" http-equiv=3DContent-Type> <META name=3DGENERATOR content=3D"MSHTML 8.00.6001.23588"> <STYLE></STYLE> </HEAD> <BODY bgColor=3D#ffffff> <DIV><FONT size=3D2 face=3DArial>1</FONT></DIV></BODY></HTML> ------=_NextPart_000_0006_01D11FBF.B89BAE00--
Все это делает и MS Outlook Express, выбранный в качестве "эталонного ПО". |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Жук Майский Автор: Андрей * Автор: basid Если некто прислал мне зашифрованное сообщение, почтовый клиент автоматически импортирует его сертификат в хранилище "сертификаты других пользователей".
Аналогично, как я понимаю, поступит и любой другой софт, работающий с шифрованием "на сертификатах".
Если удаляется сертификат из хранилища "сертификаты других пользователей", то появляется предупреждение о возможной потере доступа к сообщениям этого пользователя.
Разумеется это не трагедия и сертификат можно импортировать повторно, но не факт, что это будет сделано автоматически, а значит - понадобятся какие-то дополнительные действия.
P.S. В чём вообще проблема: позанудствовать хочется или квалификационный тест провести? Цитата:
Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.
Это верная информация? Да, верная, например в Outlook, все публичные сертификаты, сохраняются в Карточке контакта. А обоснование? Или потому что " Outlook помещает сертификаты в карточку"? А для чего, Вам известно? Для "расшифрования"? Еще раз задам вопросы, раз участников "обсуждения" уже три. 1. Если Я удалю свой закрытый ключ, связанный с открытым ключом из моего сертификата (который отправитель использовал при шифровании сообщения) - смогу, имея сертификат Отправителя в каком-то там хранилище - расшифровать сообщение? Мой ответ: Нет. 2. Если Я удалю все "сторонние" сертификаты (пользователей\ЦС) во всех хранилищах, кроме своего, связанного с моим закрытым ключом - смогу расшифровать сообщение? Мой ответ: Да. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Жук Майский
Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации. А зачем здесь еще затронут СОС? (САС - Список аннулированных сертификатов по 63 ФЗ, ст. 13), он же CRL (Certificate Revocation List), Вероятно, вместо СОС - имелось ввиду: "кросс-сертификаты, сертификаты промежуточных ЦС"? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Жук Майский Не совсем так, для обмена зашифрованными Сообщениями, необходимо что бы Отправитель и Получатель, предварительно обменялись Публичными (открытыми) ключами. Отправитель на основе своего закрытого ключа+открытого ключа Получателя, шифрует Сообщение Получателю. Получатель на основе своего закрытого ключа+открытого ключа Отправителя производит расшифровку Сообщения.
Каждый Сертификат должен находиться там, где ему предписано быть, личный сертификат - в Личные сертификаты, других получателей - в Другие пользователи, СОС - в Промежуточные центры сертификации. Мои высказывания по обмену ключами основываются на моей работе над PKIjs, где я "вручную" реализовал все схемы обмена ключами для CMS Enveloped Data с применением чистого JavaScript. Мои высказывания по поводу контейнеров сертификатов основываются на моём "скромном" 12-ти летнем опыте работы с Crypto API. Любой сертификат может находится в любом контейнере. Стандартные контейнеры нужно просто чтобы стандартные программы стандартно искали нужные сертификаты. А вообще-то можно даже свой контейнер сертификатов сделать, и запихать туда всё, что угодно. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Андрей * Провел эксперимент: Взял в качестве примера ПО: MS Outlook Express. Создал письмо. Своего сертификата у меня - нет, есть только сертификат получателя - указал его. Программа меня честно предупредила - если продолжу, письмо будет зашифровано и я не смогу его прочитать в исходящих. Да, согласился, мне же нужно на стороне получателя расшифровать. Отправил. На стороне получателя - получил и успешно расшифровал письмо. Еще раз замечу - не имея сертификата Отправителя. Да и зачем он мне? Если с почтового сервера я получил s/mime данные, извлек из тела сообщения зашифрованное сообщение (smime.p7m), обернутое в base64. Декодировал из base64, получил CMS. Прочитал заголовок - да, это зашифрованное сообщение. Цитата:
------------ ASN1------------
0 $30 SEQUENCE:
2 $06 OBJID: 1.2.840.113549.1.7.3 = Enveloped-data
Прочитал перечень серийных номеров получателей + названия ЦС, в котором выданы сертификаты: Цитата:
368 $0C UTF8String: CRYPTEX
377 $02 INT: 01CF8A64231539B00000000A1AA20002 - такой есть в хранилище со ссылкой на закрытый ключ - пробуем его!
нашел подходящий, связанный с закрытый ключом и вызвал функцию для расшифровки. Получил исходное сообщение ... не имея сертификата отправителя.
Цитата:This is a multi-part message in MIME format. ------=_NextPart_000_0006_01D11FBF.B89BAE00 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: quoted-printable 1 ------=_NextPart_000_0006_01D11FBF.B89BAE00 Content-Type: text/html; charset="koi8-r" Content-Transfer-Encoding: quoted-printable <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content=3D"text/html; charset=3Dkoi8-r" http-equiv=3DContent-Type> <META name=3DGENERATOR content=3D"MSHTML 8.00.6001.23588"> <STYLE></STYLE> </HEAD> <BODY bgColor=3D#ffffff> <DIV><FONT size=3D2 face=3DArial>1</FONT></DIV></BODY></HTML> ------=_NextPart_000_0006_01D11FBF.B89BAE00--
Все это делает и MS Outlook Express, выбранный в качестве "эталонного ПО". В стандартной схеме обмена ключами действительно используется закрытый ключ отправителя и открытый получателя. Но с алгоритмами RSA есть одна проблема: при постоянстве этих двух ключей производный эфимерный ключ также будет постоянным. То есть при достаточно интенсивном обмене зашифрованными сообщениями между двумя сторонами потенциально можно их все расшифровать, через какое-то время. Поэтому в современных схемах используется эфимерный же (постоянно заново регенерируемый) приватный ключ отправителя. Таким образом и получается, что не имея своего сертификата можно послать кому-то зашифрованное сообщение. |
С уважением,
Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Юрий Автор: Андрей * Провел эксперимент: Взял в качестве примера ПО: MS Outlook Express. Создал письмо. Своего сертификата у меня - нет, есть только сертификат получателя - указал его. Программа меня честно предупредила - если продолжу, письмо будет зашифровано и я не смогу его прочитать в исходящих. Да, согласился, мне же нужно на стороне получателя расшифровать. Отправил. На стороне получателя - получил и успешно расшифровал письмо. Еще раз замечу - не имея сертификата Отправителя. Да и зачем он мне? Если с почтового сервера я получил s/mime данные, извлек из тела сообщения зашифрованное сообщение (smime.p7m), обернутое в base64. Декодировал из base64, получил CMS. Прочитал заголовок - да, это зашифрованное сообщение. Цитата:
------------ ASN1------------
0 $30 SEQUENCE:
2 $06 OBJID: 1.2.840.113549.1.7.3 = Enveloped-data
Прочитал перечень серийных номеров получателей + названия ЦС, в котором выданы сертификаты: Цитата:
368 $0C UTF8String: CRYPTEX
377 $02 INT: 01CF8A64231539B00000000A1AA20002 - такой есть в хранилище со ссылкой на закрытый ключ - пробуем его!
нашел подходящий, связанный с закрытый ключом и вызвал функцию для расшифровки. Получил исходное сообщение ... не имея сертификата отправителя.
Цитата:This is a multi-part message in MIME format. ------=_NextPart_000_0006_01D11FBF.B89BAE00 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: quoted-printable 1 ------=_NextPart_000_0006_01D11FBF.B89BAE00 Content-Type: text/html; charset="koi8-r" Content-Transfer-Encoding: quoted-printable <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content=3D"text/html; charset=3Dkoi8-r" http-equiv=3DContent-Type> <META name=3DGENERATOR content=3D"MSHTML 8.00.6001.23588"> <STYLE></STYLE> </HEAD> <BODY bgColor=3D#ffffff> <DIV><FONT size=3D2 face=3DArial>1</FONT></DIV></BODY></HTML> ------=_NextPart_000_0006_01D11FBF.B89BAE00--
Все это делает и MS Outlook Express, выбранный в качестве "эталонного ПО". В стандартной схеме обмена ключами действительно используется закрытый ключ отправителя и открытый получателя. Но с алгоритмами RSA есть одна проблема: при постоянстве этих двух ключей производный эфимерный ключ также будет постоянным. То есть при достаточно интенсивном обмене зашифрованными сообщениями между двумя сторонами потенциально можно их все расшифровать, через какое-то время. Поэтому в современных схемах используется эфимерный же (постоянно заново регенерируемый) приватный ключ отправителя. Таким образом и получается, что не имея своего сертификата можно послать кому-то зашифрованное сообщение. Вот об этом и была речь. Спасибо, Юрий. |
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что хранится в контейнере, зачем реестр?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
