Статус: Участник
Группы: Участники
Зарегистрирован: 10.02.2022(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 8 раз
|
Доброго времени суток. Пытаюсь реализовать регистрацию на веб-ресурсе с помощью рутокена. Для этого хочу хранить на сервере публичный ключ, взятый с токена и в дальнейшем использовать его чтобы проверять подпись, тем самым идентифицировать пользователя. Но к сожалению никак не могу найти метод, для получения публичного ключа выбранного сертификата именно с помощью КриптоПро браузер плагин. Аналогичный плагин от рутокен имеет подобный метод, однако этот плагин я не могу использовать. Нашел похожий древний пост, однако без ответа: https://www.cryptopro.ru...aspx?g=posts&t=11938Может быть кто-то сталкивался?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,162   Сказал «Спасибо»: 618 раз
Поблагодарили: 2389 раз в 1880 постах
|
|
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,162 Сказал «Спасибо»: 618 раз
Поблагодарили: 2389 раз в 1880 постах
|
Автор: vicmosin  Доброго времени суток.
Пытаюсь реализовать регистрацию на веб-ресурсе с помощью рутокена. Для этого хочу хранить на сервере публичный ключ
А отпечатка (Thumbprint) не достаточно? + хранить сертификат. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.02.2022(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 8 раз
|
Автор: Андрей * Автор: vicmosin Доброго времени суток.
Пытаюсь реализовать регистрацию на веб-ресурсе с помощью рутокена. Для этого хочу хранить на сервере публичный ключ
А отпечатка (Thumbprint) не достаточно? + хранить сертификат. Спасибо за быстрый ответ. А каким образом отпечаток позволит мне идентифицировать пользователя? Точнее, я понимаю что отпечаток будет идентичным, но насколько это безопасно? Я хотел реализовать механизм, описанный здесь: https://habr.com/ru/post/120990/
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,162 Сказал «Спасибо»: 618 раз
Поблагодарили: 2389 раз в 1880 постах
|
Автор: vicmosin Автор: Андрей * Автор: vicmosin Доброго времени суток.
Пытаюсь реализовать регистрацию на веб-ресурсе с помощью рутокена. Для этого хочу хранить на сервере публичный ключ
А отпечатка (Thumbprint) не достаточно? + хранить сертификат. Спасибо за быстрый ответ. А каким образом отпечаток позволит мне идентифицировать пользователя? Точнее, я понимаю что отпечаток будет идентичным, но насколько это безопасно? Я хотел реализовать механизм, описанный здесь: https://habr.com/ru/post/120990/ Странный вопрос. Это хеш от структуры с открытым ключом. Почему-то по ОК вопроса же такого не возникло? А в базе хранить: отпечаток\данные пользователя\сертификат\прочее.. Проверять (искать\регистрировать) по отпечатку. p.s. можно сделать несколько сертификатов на Одном ключе, но у них будет разный отпечаток. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.02.2022(UTC)
Сообщений: 18
Сказал(а) «Спасибо»: 8 раз
|
Автор: Андрей * Автор: vicmosin Автор: Андрей * Автор: vicmosin Доброго времени суток.
Пытаюсь реализовать регистрацию на веб-ресурсе с помощью рутокена. Для этого хочу хранить на сервере публичный ключ
А отпечатка (Thumbprint) не достаточно? + хранить сертификат. Спасибо за быстрый ответ. А каким образом отпечаток позволит мне идентифицировать пользователя? Точнее, я понимаю что отпечаток будет идентичным, но насколько это безопасно? Я хотел реализовать механизм, описанный здесь: https://habr.com/ru/post/120990/ Странный вопрос. Это хеш от структуры с открытым ключом. Почему-то по ОК вопроса же такого не возникло? А в базе хранить: отпечаток\данные пользователя\сертификат\прочее.. Проверять (искать\регистрировать) по отпечатку. p.s. можно сделать несколько сертификатов на Одном ключе, но у них будет разный отпечаток. Ну я скорее спрашивал с точки зрения уникальности отпечатка. Но если отпечаток уникальный и является хешем структуры ОК, то зачем на сервере хранить отпечаток + сертикат (вы ранее писали)?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,162 Сказал «Спасибо»: 618 раз
Поблагодарили: 2389 раз в 1880 постах
|
Автор: vicmosin
Ну я скорее спрашивал с точки зрения уникальности отпечатка. Но если отпечаток уникальный и является хешем структуры ОК, то зачем на сервере хранить отпечаток + сертикат (вы ранее писали)?
Чтобы в ИС своей смотреть, не только на отпечаток, а на сертификат? |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
Добрый день. Что-то тут не так в рассуждениях: ни хэша структуры ОК, ни отпечатка в сертификате нет. Отпечаток это хэш от сертификата (большей части по крайней мере), туда входит структура ОК и много чего еще. Сам по себе отпечаток автоматом вычисляется, но в сертификате не хранится. Новый сертификат имеет другие даты и потому хэш тоже изменяется даже при том же ключе. Если ключ меняется - тоже отпечаток меняется. Уникальность никак не проверяется, просто полагается на то что отпечаток длинный и совпадающих хешей на одном компьютере не попадется. Поэтому в теории хорошо бы сверять что-то еще - например, серийный номер и издателя (их сочетание регламентировано как уникальное). Ну а на практике если у меня на компьютере старые сертификаты удаляются и актуальных максимум 15, то конечно 160-битный хэш уникален для меня. Для большой же ИС - смотрите сами, сколько у Вас будет сертификатов в БД. Идентификатор ключа - обычно хэш от структуры ОК. Стандарт его предлагает как вариант, но не ограничивает другие способы вычисления идентификатора ключа, как нам уже показывали в одной из тем - идентификатор ключа легкими движениями рук можно задать практически произвольный. Это делается при создании запроса на сертификат и УЦ не может считать это нарушением стандарта, так что все проходит в сертификат без изменений. Отредактировано пользователем 10 февраля 2022 г. 11:29:20(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,162 Сказал «Спасибо»: 618 раз
Поблагодарили: 2389 раз в 1880 постах
|
Автор: two_oceans Добрый день.
Что-то тут не так в рассуждениях: ни хэша структуры ОК, ни отпечатка в сертификате нет. Отпечаток это хэш от сертификата (большей части по крайней мере), туда входит структура ОК и много чего еще. Сам по себе отпечаток автоматом вычисляется, но в сертификате не хранится. Новый сертификат имеет другие даты и потому хэш тоже изменяется даже при том же ключе. Если ключ меняется - тоже отпечаток меняется.
Уникальность никак не проверяется, просто полагается на то что отпечаток длинный и совпадающих хешей на одном компьютере не попадется. Поэтому в теории хорошо бы сверять что-то еще - например, серийный номер и издателя (их сочетание регламентировано как уникальное). Ну а на практике если у меня на компьютере старые сертификаты удаляются и актуальных максимум 15, то конечно 160-битный хэш уникален для меня. Для большой же ИС - смотрите сами, сколько у Вас будет сертификатов в БД.
Идентификатор ключа - обычно хэш от структуры ОК. Стандарт его предлагает как вариант, но не ограничивает другие способы вычисления идентификатора ключа, как нам уже показывали в одной из тем - идентификатор ключа легкими движениями рук можно задать практически произвольный. Это делается при создании запроса на сертификат и УЦ не может считать это нарушением стандарта, так что все проходит в сертификат без изменений. Да. Про ОК - это про Ид ключа. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,162 Сказал «Спасибо»: 618 раз
Поблагодарили: 2389 раз в 1880 постах
|
Автор: two_oceans Отпечаток это хэш от сертификата (большей части по крайней мере) хеш от всего сертификата (если сохранить в der и прохешировать отдельно файл). |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
