Извлечение ключа из токена с неизвлекаемым ключом / Хабрахабр. Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ Крипто. ПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или Ja. Carta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 1. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент. Версия: v. 4. 1. 0.
Скачать КриптоПРО бесплатно, КриптоАРМ, Драйвер eToken и другое ПО для. КриптоПро CSP 3.9 R2, Скачать. WHQL- certified. Единый Клиент Ja. Carta и Ja. Carta Secur. Logon. Версия 2. 9. Крипто. АРМ Стандарт Плюс 5. Версия 5. 2. 0. 8. Версия 1. 9. 0. 2. Ja. Carta ГОСТ. Номер модели JC0. Криптопро 3.9 Ключ 2017F0. 9 v. 2. 1. Методика тестирования. Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО: генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа; после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат; сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом; с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям; после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации. Затем скопируем ключевую информацию на Рутокен ЭЦП и Ja. Carta ГОСТ, изготовив рабочие ключевые документы. После этого уничтожим исходный ключевой документ, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр. ![]() Проведение тестирования. Создадим исходный ключевой документ. Скопируем ключевую информацию из рабочих ключевых документов. Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам. Матчасть. То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера. Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по- другому, CSP). Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т. По- новому взглянем на наш тестовый стенд. В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию: В последней строке указана фраза «Поддержка Крипто. ПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ Крипто. ПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна. Аналогичная ситуация и с Ja. Carta ГОСТ. Более того, СКЗИ Крипто. ПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа. Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ Крипто. ПРО CSP на чистую машину без драйверов от токенов и подключить токен Ja. Carta ГОСТ. ОС Windows 7 обнаружит токен Ja. Carta ГОСТ как «Устройство чтения смарт- карт Microsoft Usbccid (WUDF)». Весь функционал СКЗИ успешно отработает. Как сделать, чтобы все было хорошо? Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ Крипто. ПРО Рутокен CSP. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать Крипто. ПРО Рутокен CSP или Крипто. Про ФКН CSP соответственно. Получается, что Рутокен ЭЦП и Ja. Carta ГОСТ не являются токенами с неизвлекаемым ключом? Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ Крипто. ПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть Крипто. АРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере Крипто. АРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или e. Token GOST. Это и позволит использовать токен как ФКН. Выводы. Не верьте продавцам, чушь вам городящим. Использование обычных версий криптопровайдера Крипто. ПРО CSP и обычных Рутокен ЭЦП или Ja. Carta ГОСт не позволяют реализовать технологию ФКН. Для использования технологии ФКН совместно с продуктами ООО «КРИПТО- ПРО» необходимы как специально подготовленные токены, содержащие апплет, с которым умеет работать СКЗИ, так и специальные версии криптопровайдера Крипто. ПРО CSP, которые умеют работать с апплетом на токенах. Рутокен ЭЦП и Ja. Carta ГОСТ умеет самостоятельно реализовывать технологию ФКН, но для этого необходим специальный софт. Серийный номер Крипто. Про CSP (СКЗИ 3. 6, 3. Удостоверяющий центр СКБ Контур. Информация о приобретенной лицензии Крипто. Про CSP доступна в договоре на абонентское обслуживание на отдельном приложении «Лицензия на использование программного продукта Крипто. Про CSP». Если данный документ отсутствует, вы можете обратиться в сервисный центр по месту подключения (найти свой сервисный центр). Для ввода лицензии на Крипто. Про CSP версии 3. Выбрать меню Пуск /Все программы/Крипто. Про/Крипто. Про PKIВ окне консоли PKI необходимо выбрать пункт Управление лицензиями и раскрыть его двойным щелчком. Необходимо кликнуть правой кнопкой мыши на пункт Крипто. Про CSP и выбрать Все задачи / Ввести серийный номер. В открывшемся окне необходимо заполнить предложенные поля и кликнуть по кнопке Ок. Срок действия Крипто. Про CSP истек, что делать. В официальном руководстве по эксплуатации СКЗИ написано, как обновить лицензию Крипто. Про самостоятельно. Для того, чтобы далее пользоваться программным обеспечением, необходимо приобрести лицензию (продление) и ввести при запуске программы серийный номер. Откроется список из модулей ПО в том числе и пункт «Управление лицензиями Крипто. Про PKI». Выбрав его, в появившемся окне нужно выбрать продукт, для которого требуется обновление. Вводя ключ лицензии, нужно в меню нажать на кнопку «Все задачи - Ввести серийный номер». Необходимо будет добавить сведения о пользователе и непосредственно серийный номер. После того, как вы нажали ОК, лицензии будут обновлены. Купить Лицензия СКЗИ Крипто. Про CSP 3. 9 (Бессрочная) за 2 1. Назначение Крипто. Про CSPКриптопровайдер Крипто. Про CSP предназначен для: авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 3. ГОСТ Р 3. 4. 1. 1- 9. ГОСТ Р 3. 4. 1. 0- 2. ГОСТ 2. 81. 47- 8. TLS; контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования; управления ключевыми элементами системы в соответствии с регламентом средств защиты. Ключевые носители для Крипто. Про CSPКрипто. Про CSP может использоваться совместно с множеством ключевых носителей, но чаще всего в качестве ключевых носителей используются реестр Windows, флешки и токены. Они позволяют удобно и безопасно хранить ваши сертификаты электронной подписи. Токены устроены таким образом, что даже в случае кражи, никто не сможет воспользоваться вашим сертификатом. Если вы еще не приобрели сертификат цифровой подписи, рекомендуем вам купить ЭЦП на этой странице. Срок действия ключа зависит от выбранной лицензии. Крипто. Про CSP может распространятся в двух вариантах: с годовой лицензией или бессрочной. Если же вы купите годовую лицензию, вы получите серийный номер Крипто. Про CSP, который будет действовать в течение года после покупки.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
November 2017
Categories |