Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2014(UTC) Сообщений: 3  Сказал(а) «Спасибо»: 2 раз
|
Приветствую! В гайде Руководство администратора КриптоПро DSS сказано Цитата:для хранения ключей и выполнения криптографических операций использует программно-аппаратный криптографический модуль (ПАКМ) «КриптоПро HSM». А можно вместо HSM использовать СКЗИ «КриптоПро CSP»? Нашел такую инфу в Правилах пользования HSMЦитата:ПАКМ «КриптоПро HSM.» может быть использован в качестве СКЗИ в различных системах/подсистемах криптографической защиты информации (ПКЗИ), поддерживающих криптографический интерфейс (Cryptographic Service Provider (CSP)) Crypto-Pro CSP 3.6 (и выше).
Реализация ПАКМ, поддержка им стандартизированного интерфейса позволяет осуществлять взаимозаменяемость СКЗИ ПАКМ «КриптоПро HSM.» и СКЗИ «КриптоПро CSP». Если можно, то каковы особенности? DSS позволит хранить удаленно ЭП? DSS позволит хранить и генерировать удаленно ЭП?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
Добрый день.
Программно-аппаратный криптографический модуль (ПАКМ) «КриптоПро HSM» является необходимым элементом архитектуры комплексного решения на базе сервера электронной подписи «КриптоПро DSS».
Использование КриптоПро HSM совместно с КриптоПро DSS значительно повышает их уровень безопасности. Выполняет более безопасное хранение и использование закрытого ключа.
Ключи пользователя СЭП "КриптоПро DSS" хранятся на сервере подписи в базе данных SQL. Безопасность хранения ключей достигает шифрование на ключе, вырабатываемом из Мастер ключа Сервера подписи и секрета пользователя (pin-кода). Мастер ключ хранится в HSM.
Вообще КриптоПро CSP можно использовать, только для демонстрации работы.
|
 1 пользователь поблагодарил Мясников Роман за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2014(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 2 раз
|
Роман, огромное спасибо за исчерпывающий ответ!
Если сначала использовать КриптоПро CSP, то после, какие мероприятие потребуются для переезда на "железку" КриптоПро HSM?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
"КриптоПро HSM" должны установить в соответствии с процедурой, описанной в документации "ЖТЯИ.00046-01 90 02 КриптоПро HSM. Правила пользования", входящий в комплект поставки ПАКМ "КриптоПро HSM".
После удалить в Базе Данных зарегистрированный криптопровайдер "КриптоПро CSP" и зарегистрировать "КриптоПро HSM" (Crypto-Pro HSM Svc CSP).
|
1 пользователь поблагодарил Мясников Роман за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2014(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 2 раз
|
Автор: Мясников Роман 
Вообще КриптоПро CSP можно использовать, только для демонстрации работы.
Что есть режим "демонстрация работы"? Он позволит обеспечить все возможности DSS? Без HSM это будет централизованное незащищенное хранение закрытых ключей, верно? Получится всё допилить на CSP, и когда поймем, что все работает, все здорово, установить HSM и обеспечить централизованное, защищенное хранение закрытых ключей пользователей?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
КриптоПро CSP позволяет обеспечить все возможности с DSS, но в реестре Windows будет храниться Мастер ключ, безопасность хранения закрытых ключей вырабатывает - Мастер ключ.
Соответственно не кто не гарантирует безопасность Мастер ключа в реестра Windows.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
