Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline tim128  
#11 Оставлено : 18 июля 2008 г. 13:09:12(UTC)
tim128

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.07.2008(UTC)
Сообщений: 6
Откуда: Видное

Kirill Sobolev написал:
По Вашему вопросу - нет, CAPICOM такого не умеет.

Спасибо. Значит придется делать свой ActiveX - враппер для CryptSignHash.
Kirill Sobolev написал:
Это знает, как минимум, разработчик. А разработка таких "железяк" требует лицензию ФСБ, если они предназначены для продажи. Если же для внутреннего пользования - то эти функции должна выполнять внутренняя СБ или ее аналог.

Вполне согласен. К сожалению привлеченная организация-разработчик, имеющая лицензию ФСБ на самом деле мало что умеет, приходится разбираться самому... под контролем СБ конечно.
Цитата:
Сделайте еще проще - подписывайте непосредственно на сервере.

А вот это СБ не разрешает - говорят что передача закрытого ключа на сервер - компрометация этого ключа.
Offline Юрий Маслов  
#12 Оставлено : 18 июля 2008 г. 15:59:25(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
tim128 написал:
А вот это СБ не разрешает - говорят что передача закрытого ключа на сервер - компрометация этого ключа.

позволю вставить своё слово. Тут я с СБ не согласен. Передачи ключа на сервер нет. Есть использование ключа на сервере. А это две большие разницы.
Берете сервер. Вставляете в него электронный замок типа "Соболь-PCI". "Соболь" настраиваете на 2 таблетки доступа. Одна таблетка храниться в СБ, а другая у владельца этого ключа. Опечатываете системный блок сервера. Защищаете сервер межсетевым экраном. И пишите "Инструкцию по порядку использования и защиты ключа на сервере ХХХ". В которой прописываете, в том числе, что никто не может ничего делать на сервере (обновлять ПО, устанавливать серви-паки и т.д.) без присутствия владельца ключа и сотрудника СБ. Т.о. Вы обеспечиваете защиту ключа по классу КС2 по требованиям ФСБ. Всё, и подписывайте на сервере!
С уважением,
КРИПТО-ПРО
Offline danila_y  
#13 Оставлено : 23 октября 2008 г. 14:43:21(UTC)
danila_y

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.10.2008(UTC)
Сообщений: 1

tim128 написал:
... Ввиду большого размера некоторых таких документов скачивать их на клиента не хочется. Хочу вычислить хеш на сервере через CryptoAPI и отправить его на клиента. ...
интересует этот же вопрос... но из прочитанного не совсем понял.. так нельзя сделать из-за каких-то юридических ограничений... или требуются какие-то дополнительные меры защиты при передаче хэша или его обработке?
Offline Kirill Sobolev  
#14 Оставлено : 23 октября 2008 г. 18:13:05(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
сделать так можно, tim128 даже написал как он будет это делать, но
1) юридические ограничения определяются исключительно требованиями Вашей системой
2) пользователю нужно быть уверенным, что хэш который пришел с сервера и есть хэш подписываемого документа
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.