Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline GroshevEA  
#1 Оставлено : 19 февраля 2014 г. 8:15:05(UTC)
GroshevEA

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2014(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Приветствую!

В гайде Руководство администратора КриптоПро DSS сказано

Цитата:
для хранения ключей и выполнения криптографических операций использует программно-аппаратный криптографический модуль (ПАКМ) «КриптоПро HSM».


А можно вместо HSM использовать СКЗИ «КриптоПро CSP»?

Нашел такую инфу в Правилах пользования HSM

Цитата:
ПАКМ «КриптоПро HSM.» может быть использован в качестве СКЗИ в различных системах/подсистемах криптографической защиты информации (ПКЗИ), поддерживающих криптографический интерфейс (Cryptographic Service Provider (CSP)) Crypto-Pro CSP 3.6 (и выше).

Реализация ПАКМ, поддержка им стандартизированного интерфейса позволяет осуществлять взаимозаменяемость СКЗИ ПАКМ «КриптоПро HSM.» и СКЗИ «КриптоПро CSP».


Если можно, то каковы особенности?
DSS позволит хранить удаленно ЭП?
DSS позволит хранить и генерировать удаленно ЭП?
Offline Мясников Роман  
#2 Оставлено : 19 февраля 2014 г. 13:30:38(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Добрый день.
Программно-аппаратный криптографический модуль (ПАКМ) «КриптоПро HSM» является необходимым элементом архитектуры комплексного решения на базе сервера электронной подписи «КриптоПро DSS».
Использование КриптоПро HSM совместно с КриптоПро DSS значительно повышает их уровень безопасности. Выполняет более безопасное хранение и использование закрытого ключа.
Ключи пользователя СЭП "КриптоПро DSS" хранятся на сервере подписи в базе данных SQL. Безопасность хранения ключей достигает шифрование на ключе, вырабатываемом из Мастер ключа Сервера подписи и секрета пользователя (pin-кода). Мастер ключ хранится в HSM.

Вообще КриптоПро CSP можно использовать, только для демонстрации работы.
thanks 1 пользователь поблагодарил Мясников Роман за этот пост.
GroshevEA оставлено 19.02.2014(UTC)
Offline GroshevEA  
#3 Оставлено : 19 февраля 2014 г. 13:35:26(UTC)
GroshevEA

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2014(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Роман, огромное спасибо за исчерпывающий ответ!

Если сначала использовать КриптоПро CSP, то после, какие мероприятие потребуются для переезда на "железку" КриптоПро HSM?
Offline Мясников Роман  
#4 Оставлено : 19 февраля 2014 г. 13:52:26(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
"КриптоПро HSM" должны установить в соответствии с процедурой, описанной в документации "ЖТЯИ.00046-01 90 02 КриптоПро HSM. Правила пользования", входящий в комплект поставки ПАКМ "КриптоПро HSM".
После удалить в Базе Данных зарегистрированный криптопровайдер "КриптоПро CSP" и зарегистрировать "КриптоПро HSM" (Crypto-Pro HSM Svc CSP).
thanks 1 пользователь поблагодарил Мясников Роман за этот пост.
GroshevEA оставлено 20.02.2014(UTC)
Offline GroshevEA  
#5 Оставлено : 20 февраля 2014 г. 7:46:57(UTC)
GroshevEA

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2014(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Мясников Роман Перейти к цитате

Вообще КриптоПро CSP можно использовать, только для демонстрации работы.


Что есть режим "демонстрация работы"?
Он позволит обеспечить все возможности DSS?
Без HSM это будет централизованное незащищенное хранение закрытых ключей, верно?

Получится всё допилить на CSP, и когда поймем, что все работает, все здорово, установить HSM и обеспечить централизованное, защищенное хранение закрытых ключей пользователей?
Offline Мясников Роман  
#6 Оставлено : 20 февраля 2014 г. 11:52:41(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
КриптоПро CSP позволяет обеспечить все возможности с DSS, но в реестре Windows будет храниться Мастер ключ, безопасность хранения закрытых ключей вырабатывает - Мастер ключ.
Соответственно не кто не гарантирует безопасность Мастер ключа в реестра Windows.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.