Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Создание ЭКСПОРТИРУЕМОГО контейнера на рутокене по pkcs11 с использованием cades plugin - Как создать ЭКСПОРТИРУЕМЫЙ контейнер на рутокене по pkcs11 с использованием cades plugin + YaBrowser
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline geo_alex  
#1 Оставлено : 21 января 2025 г. 19:19:49(UTC)
geo_alex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.03.2023(UTC)
Сообщений: 10
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Добрый вечер! Имеется следующее окружение:

1) ОС РЕД ОС 8

[root@vm-redos-tst1 ageorgievskiy]# lsb_release -a
LSB Version: :core-4.1-amd64:core-4.1-noarch
Distributor ID: RED SOFT
Description: RED OS release (8.0) MINIMAL Standard Edition
Release: 8.0
Edition: Standard
Codename: n/a

2) Крипто-про 5 R3
[root@vm-redos-tst1 ageorgievskiy]# /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext | sed -n 's/.* Ver:*\([0-9.]\+\).*/\1/p'
5.0.13000

[root@vm-redos-tst1 ageorgievskiy]# rpm -qa | grep cprocsp
lsb-cprocsp-base-5.0.13000-7.noarch
lsb-cprocsp-rdr-64-5.0.13000-7.x86_64
cprocsp-rdr-pcsc-64-5.0.13000-7.x86_64
lsb-cprocsp-kc1-64-5.0.13000-7.x86_64
lsb-cprocsp-capilite-64-5.0.13000-7.x86_64
cprocsp-pki-cades-64-2.0.15000-1.x86_64
cprocsp-rdr-gui-gtk-64-5.0.13000-7.x86_64
cprocsp-pki-plugin-64-2.0.15000-1.x86_64
cprocsp-curl-64-5.0.13000-7.x86_64
lsb-cprocsp-ca-certs-5.0.13000-7.noarch
cprocsp-cptools-gtk-64-5.0.13000-7.x86_64
cprocsp-rdr-cloud-64-5.0.13000-7.x86_64
cprocsp-rdr-cryptoki-64-5.0.13000-7.x86_64
lsb-cprocsp-import-ca-certs-5.0.13000-7.noarch
cprocsp-stunnel-64-5.0.13000-7.x86_64
cprocsp-rdr-emv-64-5.0.13000-7.x86_64
cprocsp-rdr-inpaspot-64-5.0.13000-7.x86_64
cprocsp-rdr-kst-64-5.0.13000-7.x86_64
cprocsp-rdr-mskey-64-5.0.13000-7.x86_64
cprocsp-rdr-novacard-64-5.0.13000-7.x86_64
cprocsp-rdr-edoc-64-5.0.13000-7.x86_64
cprocsp-rdr-rutoken-64-5.0.13000-7.x86_64
cprocsp-rdr-jacarta-64-5.0.13000-7.x86_64
cprocsp-rdr-cpfkc-64-5.0.13000-7.x86_64
cprocsp-rdr-infocrypt-64-5.0.13000-7.x86_64
cprocsp-rdr-rosan-64-5.0.13000-7.x86_64
cprocsp-rdr-rustoken-64-5.0.13000-7.x86_64
lsb-cprocsp-pkcs11-64-5.0.13000-7.x86_64
lsb-cprocsp-kc2-64-5.0.13000-7.x86_64

[root@vm-redos-tst1 ageorgievskiy]# rpm -qa | grep pkcs11
openssl-pkcs11-0.4.12-1.red80.x86_64
pkcs11-helper-1.29.0-2.red80.x86_64
lsb-cprocsp-pkcs11-64-5.0.13000-7.x86_64
librtpkcs11ecp-2.16.1.0-alt1.x86_64

[root@vm-redos-tst1 ageorgievskiy]# rpm -qa | grep rutoken
cprocsp-rdr-rutoken-64-5.0.13000-7.x86_64
rutokenplugin-4.10.1-1.x86_64

[root@vm-redos-tst1 ageorgievskiy]# rpm -qa | grep yandex
yandex-browser-release-2.0-2.red80.noarch
yandex-browser-stable-24.10.4.847-1.x86_64

3) yandex-browser + cades plugin

cades plugin 1.2.13

Версия
24.10.4.847 stable corp (64-bit)

4) Рутокен
[root@vm-redos-tst1 ageorgievskiy]# pkcs11-tool -L --module /usr/lib64/librtpkcs11ecp.so -O -l -p 12345678
Available slots:
Slot 0 (0x0): VMware Virtual USB CCID 00 00
token label : Rutoken ECP <no label>
token manufacturer : Aktiv Co.
token model : Rutoken ECP
token flags : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
hardware version : 54.1
firmware version : 23.0
serial num : 3b6e4a34
pin min/max : 6/32

[root@vm-redos-tst1 ageorgievskiy]# pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so -T
Available slots:
Slot 0 (0x0): \CryptoPro Slot
token label : CryptoPro Token
token manufacturer : cryptopro.ru
token model : CPPKCS 3
token flags : rng, token initialized, PIN initialized, other flags=0x8000
hardware version : 4.0
firmware version : 0.0
serial num : 0000000000000000
pin min/max : 0/0
Slot 1 (0x11): \CryptoPro Slot
token label : CryptoPro Token
token manufacturer : cryptopro.ru
token model : CPPKCS 3
token flags : rng, token initialized, PIN initialized, other flags=0x8000
hardware version : 4.0
firmware version : 0.0
serial num : 0000000000000000
pin min/max : 0/0

При создании запроса на изготовление сертификата с использованием ЯндексБраузера с cades-plugin контейнер зк на Рутокене создается с меткой "экспорт ключа: запрещен" - при этом признак экспортируемости по API передается (т.е цель создать именно экспортируемый контейнер).

Ключ обмена
длина открытого ключа 512
экспорт ключа запрещен
ключ действителен по 21/01/2028 15:03:06 UTC
использование ключа разрешено до окончания срока действия закрытого ключа
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена разрешено

Подскажите, пожалуйста, возможно ли создать контейнер с признаком "экспорт ключа: разрешен" таким способом??? Возможно требуются какие-то дополнительные настройки?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET