Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что хранится в контейнере, зачем реестр?
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.11.2015(UTC) Сообщений: 9  Сказал(а) «Спасибо»: 3 раз
|
Здравствуйте. Недавно занялся вопросом криптопро, т.к. нужно организации, где я работаю. На некоторые вопросы нашел ответы в гугле, но не все. Надеюсь, вы поможете в разъяснении - в вопросе совсем не разбираюсь.
Вопросы:
1. Сертификат (*.cer) - открытый ключ, папка с файлами *.key - закрытый ключ.
2. Открытый и закрытый ключи (пара) хранятся в контейнере ключей. Одна пара - один контейнер.
Но. Видел, пользуются флешкой для подписи документов и для входа на госзакупки. Получается, что не вся пара хранится в контейнере. Что где хранится, как в общем случае выглядит процедура (что с чем сравнивается в хранилище и флешке) и почему они хранятся не вместе?
3. Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Здесь на форуме прочитал, что закрытый ключ хранится в реестре. Думал, криптопровайдеры не только занимаются шифрованием/дешифрованием и прочими алгоритмами, но и являются зашифрованным хранилищем, типа как сейф в реальном мире, а программно - как зашифрованное пространство на диске, внутри которого лежат контейнеры с ключами. А тут реестр...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393  Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Lexms  Здравствуйте. Недавно занялся вопросом криптопро, т.к. нужно организации, где я работаю. На некоторые вопросы нашел ответы в гугле, но не все. Надеюсь, вы поможете в разъяснении - в вопросе совсем не разбираюсь.
Вопросы:
1. Сертификат (*.cer) - открытый ключ, папка с файлами *.key - закрытый ключ.
2. Открытый и закрытый ключи (пара) хранятся в контейнере ключей. Одна пара - один контейнер.
Но. Видел, пользуются флешкой для подписи документов и для входа на госзакупки. Получается, что не вся пара хранится в контейнере. Что где хранится, как в общем случае выглядит процедура (что с чем сравнивается в хранилище и флешке) и почему они хранятся не вместе?
3. Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Здесь на форуме прочитал, что закрытый ключ хранится в реестре. Думал, криптопровайдеры не только занимаются шифрованием/дешифрованием и прочими алгоритмами, но и являются зашифрованным хранилищем, типа как сейф в реальном мире, а программно - как зашифрованное пространство на диске, внутри которого лежат контейнеры с ключами. А тут реестр... 1. Да, папка с файлами - это и есть контейнер. 2. Сертификат устанавливается в хранилище, софт использует его (и высокоуровневые функции для "прозрачной" работы с закрытым ключом, функции находят соответствие сертификата и контейнера сами), либо софт сам работает с контейнером и закрытым ключом, без обращения к сертификату. 3. > Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP). Нет, контейнеры хранятся на носителях. Криптопровайдер - это ПО.
Ваши файлы же не хранятся в ОС Windows? Они хранятся на носителе информации.
Реестр - это набор файлов на диске. Чем отличается хранение в реестре от хранения на флешке\дискете? Ничем. Для защиты контейнера используется пароль. >криптопровайдеры это программное обеспечение, а не "зашифрованное хранилище". |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
Lexms оставлено 10.11.2015(UTC)
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.11.2015(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 3 раз
|
Автор: Андрей *
1. Да, папка с файлами - это и есть контейнер.
2. Сертификат устанавливается в хранилище, софт использует его (и высокоуровневые функции для "прозрачной" работы с закрытым ключом, функции находят соответствие сертификата и контейнера сами), либо софт сам работает с контейнером и закрытым ключом, без обращения к сертификату.
3. > Контейнеры хранятся в хранилище контейнеров - в криптопровайдере (CSP).
Нет, контейнеры хранятся на носителях. Криптопровайдер - это ПО.
Ваши файлы же не хранятся в ОС Windows? Они хранятся на носителе информации.
Правильно ли я понял: 1. Крипто про НЕ создает хранилище, а хранит все на диске (не в своем пространстве)? А как же все эти установки сертификата в хранилище, когда в крипто про выбираем "Установить сертификат": личные, доверенные? 2. Открытый ключ крипто про шифрует куда-то помещает, а закрытый ключ - только шифрует паролем? Где хочешь, там его и храни? Думал, ценность представляет как раз закрытый ключ. У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке. Автор: Андрей *
Реестр - это набор файлов на диске. Чем отличается хранение в реестре от хранения на флешке\дискете? Ничем.
Для защиты контейнера используется пароль.
Думал, реест - типа текстового файла с настройками для программ и как справочная.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.11.2015(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 3 раз
|
Автор: Андрей * Читал. Но, видимо, умудрился понять неправильно либо не понять.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Автор: Lexms У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке. Есть ключевая пара, открытый ключ которой должен быть "максимально доступен". Поэтому можно сказать, что открытый ключ "обёртывается" в сертификат, а вокруг сертификатов строится инфраструктура открытых ключей (ИОК/PKI). Есть раздел личных сертификатов, что означает: "я владелец ключевой пары этих открытых ключей". Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма. Ну и так далее. Закрытый ключ каждый криптопровайдер хранит в криптоконтейнере собственного формата и, опционно, может использовать "стандартный транспортный контейнер" - файл формата p12/pfx. Если говорить о КРИПТО-ПРО, то в процессе генерации ключевой пары или при установке личного сертификата в системное хранилище предоставляется возможность скопировать сертификат в криптоконтейнер, что удобно для владельца ключевой пары - нужен только криптоконтейнер. При необходимости, штатная утилита просмотра сертификатов позволяет экспортировать сертификат из хранилища, включая криптоконтейнер, в файл. Таким образом, если сертификат не скопирован в контейнер закрытых ключей - нужен и контейнер и сертификат, если скопирован - достаточно одного контейнера.
|
1 пользователь поблагодарил basid за этот пост.
|
Lexms оставлено 10.11.2015(UTC)
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: basid Автор: Lexms У нас сейчас на флешке и сертификат, и папка с закрытыми ключами. Поэтому не знаю, что забирает криптопро, а что остается на флешке. Есть ключевая пара, открытый ключ которой должен быть "максимально доступен". Поэтому можно сказать, что открытый ключ "обёртывается" в сертификат, а вокруг сертификатов строится инфраструктура открытых ключей (ИОК/PKI). Есть раздел личных сертификатов, что означает: "я владелец ключевой пары этих открытых ключей". Есть раздел "сертификаты других пользователей", где хранятся сертификаты, обеспечивающие расшифровку сообщений данных отправителей. Чтобы не искать судорожно их сертификаты каждый раз, когда требуется п(р)очитать их письма.Ну и так далее. Закрытый ключ каждый криптопровайдер хранит в криптоконтейнере собственного формата и, опционно, может использовать "стандартный транспортный контейнер" - файл формата p12/pfx. Если говорить о КРИПТО-ПРО, то в процессе генерации ключевой пары или при установке личного сертификата в системное хранилище предоставляется возможность скопировать сертификат в криптоконтейнер, что удобно для владельца ключевой пары - нужен только криптоконтейнер. При необходимости, штатная утилита просмотра сертификатов позволяет экспортировать сертификат из хранилища, включая криптоконтейнер, в файл. Таким образом, если сертификат не скопирован в контейнер закрытых ключей - нужен и контейнер и сертификат, если скопирован - достаточно одного контейнера. Предлагаю Вам все же ознакомиться с основами криптографии. По-вашему выходит: можно расшифровать любые письма, имея сертификаты других пользователей? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,393 Сказал «Спасибо»: 550 раз
Поблагодарили: 2225 раз в 1735 постах
|
Автор: Lexms
Думал, реест - типа текстового файла с настройками для программ и как справочная.
Предлагаю к ознакомлению. |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
Lexms оставлено 10.11.2015(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,107
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Автор: Андрей * По-вашему выходит: можно расшифровать любые письма, имея сертификаты других пользователей? Из контекста должно быть понятно, что подразумевалось "адресованные мне". Даже если непонятно, то уточняющий вопрос - много уместнее отсыла к основам.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.11.2015(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 3 раз
|
Вроде бы понимаю. Лучше хранить сертификат не в контейнере или без разницы? Какие-нибудь проблемы, неожиданности? Сегодня возникла ситуация: при попытке зайти на закупки с помощью ключа, написал "Вставлен другой носитель" (та самая флешка с ключами). До этого: случайно флешку форматнули. К счастью, была копия сертификата и контейнера - их скопировали на эту флешку. Но, видимо, что-то не доделали. Криптопро, после того как в него добавляют сертификат и указывают соответствие с контейнером, в сертификат или контейнер добавляет информацию о носителе? То есть из-за чего может быть такое сошбщение? Какую-то информацию он точно куда-то добавляет, чтобы в следующие разы автоматически находить контейнер, когда пользователь выбирает сертификат. Отредактировано пользователем 10 ноября 2015 г. 23:15:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Что хранится в контейнере, зачем реестр?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
