Форум Рутокен / Для разработчиков систем ИБ

Linuх (kеrnеl spacе)

slot — Fri, 20 Jan 2012 15:52:33 +0000

Возможна ли запись/считавыние данных во внутреннюю память RuToken ЭЦП на уровне ядра (модуль ядра) Linuх? Если да, то подскажите что "ковырять".

Предыдущую тему про "RuToken ЭЦП, запись файлов во встроенную память" читал.

Rutoken для асимметричного шифрования данных. Вопросы по спецификации

IgorA — Thu, 29 Dec 2011 17:25:37 +0000

на сайте сообщается:

"Использование Rutoken для асимметричного шифрования данных и для работы с цифровыми сертификатами из любых smartcard-приложений"

в спецификациях известных токенов приводится максимальная длинна ключа с которой может работать чип.

Способен ли рутокен вообще выполнять операции с открытым ключом на чипе?
Или он используется только для криптозащищенного хранения пар ключей?

PS документация по Rutoken ЭЦП говорит про поддержку алгоритма RSA, с ключами до 2048 бит.
Это касается обработки на чипе токена?

Рутокен ЭЦП в Linux и Mac OS X

Кирилл Мещеряков — Thu, 15 Dec 2011 13:28:00 +0000

Рутокен ЭЦП - это устройство поддерживающее стандарт CCID
http://www.usb.org/developers/devclass_ … Rev110.pdf

В операционных системах GNU/Linux и Apple Mac OS X за поддержку стандарта CCID в pcsc-lite отвечает модуль libccid.

У libccid существует конфигурационный файл в котором описаны идентификаторы тех устройств, которые проверены автором libccid на совместимость.

Если Вы пользуетесь Apple OS X 10.7 Lion или новым и часто обновляемым дистрибутивом GNU/Linux то ничего делать не нужно. Рутокен ЭЦП заработает сам собой.

Пользователям более ранних версий Mac OS X и пользователям стабильных и консервативных дистрибутивов GNU/Linux нужно будет добавить в конфигурационный файл запись о Рутокене ЭЦП.

В Apple Mac OS X он находится в /usr/libexec/SmartCardServices/drivers/ifd-ccid.bundle/Contents/Info.plist

В GNU/Linux обычно в /usr/lib/pcsc/drivers/ifd-bundle/Contents/Info.plist

Это обычный текстовый файл, открыв его в любом текстовом редакторе в него нужно добавить следующие строки

в массиве ifdVendorID
добавить 0x0A89

в массиве ifdProductID
добавить 0x0030

в массиве ifdFriendlyName
добавить Aktiv Rutoken ECP

Поддержка Рутокен ЭЦП в OpenSSL

Виктор Ткаченко — Mon, 05 Dec 2011 10:21:01 +0000

Открываем проект по поддержке Рутокен ЭЦП в OpenSSL.

Цель – позволить через стандартный интерфейс OpenSSL выполнять по российским криптографическим стандартам на “борту” Рутокен ЭЦП базовые криптографические операции:

симметричное шифрование и имитовставка по ГОСТ 28147-89
хэширование по ГОСТ Р 34-11.94
электронная подпись по ГОСТ Р 34-10.2001
распределение ключей VKO 34.10-2001

и высокоуровневые криптографические операции и протоколы

электронная подпись и шифрование PKCS#7, CMS, S/MIME
заявки на сертификаты PKCS#10
сертификаты X.509 и списки отзыва
функциональность PKI
протокол TLS
онлайн-проверка статуса сертификата (OCSP)
временные метки (TSP)

Поддержка российских стандартов в OpenSSL сделана в соответствии с RFC, что обеспечивает совместимость c продуктами различных производителей:

используются параметры российских алгоритмов в соответствии с RFC 4357 в
- электронной подписи ГОСТ Р 34.10-2001
- распределении ключей VKO 34.10-2001
- хэшировании ГОСТ Р 34-11.94
поддержка защищенных сообщений CMS, PKCS#7, S/MIME с использованием российских алгоритмов в соответствии с RFC 4490
функциональность PKI c укладкой открытого ключа ГОСТ Р 34-10.2001 по RFC 4491
реализован протокол TLS с поддержкой шифрсьютов с российскими алгоритмами в соответствии с draft-chudov-cryptopro-cptls.

На текущий момент времени существует альфа-версия “плагина” к OpenSSL – engine PKCS11_GOST, которая поддерживает работу с OpenSSL версии 1.0.0 и выше.

На форуме будут описываться различные варианты использования OpenSSL c Рутокен ЭЦП через утилиту openssl и приводиться программные примеры использования OpenSSL c Рутокен ЭЦП.

JCP + openct 0.6.20 + linux

vega — Thu, 10 Nov 2011 10:33:23 +0000

Добрый день.

При использовании связки JCP + Рутокен + openct 0.6.20 в linux, при попытке создания ключа через панель управления JCP, возникает ошибка: java.security.KeyStoreException: Unexpected Error.

Поиском по форуму, нашел тему: http://forum.rutoken.ru/topic/1537/

То есть, получается, пользователей придется откатывать на более раннюю версию openct. Планируется ли новая версия Рутокен для КриптоПро JCP с поддержкой текущей версии openct? Если да, то в какое время она должна появиться?

проблема с Рутокен-ЭЦП (opensc-pkcs11 в linux)

drzlo — Mon, 07 Nov 2011 14:01:05 +0000

Здравствуйте!
Есть проблемы с использованием Рутокен-ЭЦП в линуксе через opensc-pkcs11
1. Попытка подписать хеш вызовом C_Sign (механизм CKM_GOSTR3410) заканчивается успешно, но последующая попытка проверить полученную только что подпись через C_Verify заканчивается ошибкой CKR_FUNCTION_NOT_SUPPORTED. Поведение не зависит от того, стоят ли параметры хеша в механизме или нет.
2. Попытка создать ЭЦП механизмом CKM_GOSTR3410_WITH_GOSTR3411 валится на этапе C_SignInit с ошибкой CKR_MECHANISM_INVALID. Поведение не зависит от того, стоят ли параметры хеша в механизме или нет.
Рутокен ЭЦП инициализировался как написано здесь: http://www.opensc-project.org/opensc/wi … RutokenECP.
Ключи генерировались вызовом C_GenerateKeyPair (механизм CKM_GOSTR3410_KEY_PAIR_GEN), атрибуты выставлялись такие:

    CK_OBJECT_CLASS pub_class = CKO_PUBLIC_KEY;
    CK_KEY_TYPE key_type = CKK_GOSTR3410;
    CK_UTF8CHAR pub_label[] = "gost public key";
    CK_BBOOL true = CK_TRUE;
    CK_ATTRIBUTE pkey_attr[] = {
        {CKA_LABEL, &pub_label, sizeof(pub_label)-1},
        {CKA_CLASS, &pub_class, sizeof(pub_class)},
        {CKA_KEY_TYPE, &key_type, sizeof(key_type)},
        {CKA_TOKEN, &true, sizeof(true)},
        {CKA_GOSTR3410_PARAMS, g3410par, sizeof(g3410par)},
        {CKA_GOSTR3411_PARAMS, g3411par, sizeof(g3411par)},
        {CKA_ID, id, sizeof(id)},
    };
    CK_OBJECT_CLASS priv_class = CKO_PRIVATE_KEY;
    CK_UTF8CHAR priv_label[] = "gost private key";
    CK_ATTRIBUTE skey_attr[] = {
        {CKA_LABEL, &priv_label, sizeof(priv_label)-1},
        {CKA_CLASS, &priv_class, sizeof(priv_class)},
        {CKA_KEY_TYPE, &key_type, sizeof(key_type)},
        {CKA_TOKEN, &true, sizeof(true)},
        {CKA_SENSITIVE, &true, sizeof(true)},
        {CKA_SIGN, &true, sizeof(true)},
        {CKA_GOSTR3410_PARAMS, g3410par, sizeof(g3410par)},
        {CKA_GOSTR3411_PARAMS, g3411par, sizeof(g3411par)},
        {CKA_ID, id, sizeof(id)},
    };

Как пытался решать:
1. Пробовал явно загрузить криптопараметры (CKO_DOMAIN_PARAMETERS), как написано в спецификации pkcs11, но C_CreateObject вернула CKR_FUNCTION_NOT_SUPPORTED
2. Подумал было что проблема в идентификаторах CKA_ID - в rutoken_ecp.profile написано, что идентификатор закрытого ключа должен быть {0x01, 0xNN}, а соответствующего ему открытого {0x02, 0xNN}. Однако, при генерации идентификатор закрытого ключа берется из шаблона для открытого и они одинаковы, следовательно, проблема не в идентификаторах.

Вероятно, где-то я что-то делаю не так. В чем может быть проблема?

RuToken ЭЦП, запись файлов во встроенную память.

929121 — Sat, 22 Oct 2011 05:49:23 +0000

возможно ли записать/считать произвольный файл во внутреннюю память (которая 64КБ) RuToken ЭЦП? Т.е. возможно ли хранение на токене не только ключей но и некой служибной информации определяемой пользовательским приложением? Если да, то с помощью каких программных интерфейсов можно получить доступ к встроенной памяти для осуществления данной задачи?

P.S. Про Рутокен Flash и Рутокен ЭЦП Flash знаю, интересует имено RuToken ЭЦП.

Java

Юрий — Fri, 09 Sep 2011 10:59:42 +0000

Нужно из Java работать с ruToken.
Возможно ли такое?
Если возможно, то хотелось бы увидеть примерчик подписания потока (набора байт) через ruToken?

Скорость шифрования Rutoken ЭЦП

raf — Tue, 19 Jul 2011 08:34:12 +0000

По данному вопросу нет никакой информации ни на сайте, ни в спецификации к устройству, не в документации для разработчика.
Уточните, какая скорость шифрования и расшифровки данных с применением ГОСТ алгоритмов?
Спасибо.

CryptoPro JCP

griZZZly — Mon, 20 Jun 2011 10:09:57 +0000

Здравствуйте, где можно посмотреть пример работы с RuToken через CryptoPro JCP?

Убедиться, что в данном MS Server 2008 [R2] CA есть сертификат ОК

sergn-n — Tue, 24 May 2011 07:57:34 +0000

Как программно проверить на клиенте, что для данного хранящегося в рутокен секретного ключа опубликован и действителен сертификат(ы) открытого ключа в данном CA под MS Server 2008 [R2] AD CS?
А также узнать срок действия сертификата ОК.

SDK для Рутокен ЭЦП

slames — Wed, 20 Apr 2011 14:30:24 +0000

Где скачать SDK для Рутокен ЭЦП? Подходит ли для него SDK для обычного Рутокен?

Количесто Контейнеров на одном RUToken-е

IK — Fri, 15 Apr 2011 11:46:07 +0000

Добрый день
Пролистал форум - не нашел ответа на вопрос новичка:
сколько контейнеров может уместиться на одном RUToken-е?

Пример
на RUToken-Flash устанавливаем клиентское место Клиент-Банка (полная установка 5 мегабайт)
с, например, 10-ю предприятиями - нашими клиентами (корпоративный)

Поместятся ли на токене 10 контейнеров для этих 10 организаций?

С уважением
Игорь

pkcs#12

AntonE34 — Tue, 22 Feb 2011 05:38:52 +0000

Подскажите пожалуйста.
Как импортировать в рутокен пару из pkcs#12 *.pfx

Аутентификация на www через x.509

MidNight^er — Sun, 12 Dec 2010 22:11:21 +0000

Здравствуйте, каким образом можно произвести аутентификацию на www через x.509 в токене с помощью APDU команд? У меня есть детальный лог аутентификации на www с помощью Firefox, в котором подключен доступ к токену через opensc-pkcs11.so. В логе набор APDU команд, но мне непонятно что они означают. Можно получить информацию по APDU командам, или хотя бы по некоторым из них? Мне это нужно для организации аутентификации через perl.