ФКН

Поскольку "маркетинговая" темапотихоньку перешла в техническую, то продолжим обсуждение здесь.

Получил экземпляр Рутокен ЭЦП 2.0 3000. Хотелось бы для начала перед его использованием получить ответы на такие вопросы:
1) Правильно ли я понимаю, что данный токен может работать во всех трёх режимах: "тупой" носитель, активный в режиме PCKS#11 и ФКН?
2) Правильно ли я понимаю, что в режиме ФКН у каждого ключа свой пароль и юзерский PIN-код, который задаётся через панель управления рутокен на это никак не влияет?

Может быть, эти и другие ответы на ещё незаданные выпросы где-то описаны в документации? Если она есть, то можно ссылочку, а то сходу не нашел.

Re: ФКН

Здравтсвуйте.

  1. Тут все верно, это самый функциональный USB-токен ЭЦП 2.0

  2. Не совсем так — для именно ФКН ключей задается свой, отдельный пароль, но ОДНИН на всех, а для остальных объектов (PKCS#11 или обычные контейнеры КриптоПро CSP) используется привычный PIN-код пользователя

Re: ФКН

Коллеги, простите за задержку, но тут долго выяснял, каким образом Тензор сломал КриптоПро так, что тот перестал работать с ФКНами.

Дошел до генерации ключей. При генерации просит ввести ФКН PUK и сразу поменять его на новый. 12345678 и 87654321 пробовал. Не подходит.

Re: ФКН

Здравствуйте, dmitrmax.

Расскажите, пожалуйста, подробнее как именно ломается КриптоПро в части ФКН и после каких действий? Хотим разобраться.

ФКН PUK - это PIN-код Администратора. Возможно, вы его изменили на нестандартный?

Re: ФКН

Ксения Шаврова пишет:

Здравствуйте, dmitrmax.

Расскажите, пожалуйста, подробнее как именно ломается КриптоПро в части ФКН и после каких действий? Хотим разобраться.

ФКН PUK - это PIN-код Администратора. Возможно, вы его изменили не нестандартный?

Ломается от установки СБИС плагина компании тензор. Так бывает, когда одним программистам неймётся поковырятся в настройках чужого программного продукта через реестр Windows, да ещё и сделать так, чтобы эти изменения восстанавливались после каждой перезагрузки.

Они включили настройку от которой Крипто Про 5 начинает работать только с тупыми ключевыми носителями.

Пароль админа менял. Попробую теперь только вечером

Re: ФКН

Не похоже, чтобы PUK-код совпадал с паролем админа. Не смотря на то, что пароль админа у меня был сменен, PUK-код был 87654321 и я оказывается его угадал ещё утром. Но следом за окном ввода PUK-кода появляется окно ввода пароля - оно абсолютно такое же и я не заметил, что поменялась надпись "PUK-код" на "пароль". Поэтому я решил, что 87654321 - это неправильный PUK и продолжил подбирать. В итоге совсем запутался, потому что перейдя к установке пароля я на самом деле уже задал новый PUK. В итоге отформатировал токен и начал заново.

Коварно то, что два окна подряд практически без отличий. На следующей неделе поеду в УЦ подтверждаться, а пока вопрос: если мне надо будет сменить пароль или PUK, то как мне это сделать? Вроде как через панель рутокен этого не сотворить.

(2019-12-29 19:43:30 отредактировано dmitrmax)

Re: ФКН

И ещё пара вопросов.

1) "Благодаря" хулиганству, которое ПО компании Тензор устроило у меня на компьютере я на пару дней остался без возможности использовать Крипто Про с ранее выпущенным сертификатом на обычном Рутокен ЭЦП 2.0. С удивлением узнал, что не только Личный Кабинет ЮЛ в ФНС можно использовать без Крипто Про, а через криптопровайдер Рутокена (установив Рутокен.Коннект). Кроме того, например, различные сервисы Контур умеют с этим работать (хотя их техподдержка делает ВОТ ТАКИЕ ГЛАЗА узнав об этом). Вопрос: а имеется ли такой же "хак" для работы с сертификатами, ключи которых сгенерированы на ФКН?

2) Протокол SESPAKE, как это видно в RFC, на самом деле не протокол, а некая концепция, предлагающая некий общий подход к имплементации канала для ФКН. А является ли секретом именно реализация этого протокола в Рутокен ЭЦП 2.0 3000? Я имею ввиду спецификация на уровне APDU-команд ISO/IEC 7816-4  для токена?

Re: ФКН

dmitrmax пишет:

а пока вопрос: если мне надо будет сменить пароль или PUK, то как мне это сделать? Вроде как через панель рутокен этого не сотворить.

Изменить PUK-код можно через "КриптоПРО CSP".

dmitrmax пишет:

с ранее выпущенным сертификатом на обычном Рутокен ЭЦП 2.0

Напомните, пожалуйста, какой формат ключей на токене? В "Панели управления Рутокен" на вкладке "Сертификаты" (можете приложить скриншот). Там формат PKCS#11?

dmitrmax пишет:

Протокол SESPAKE, как это видно в RFC, на самом деле не протокол, а некая концепция, предлагающая некий общий подход к имплементации канала для ФКН. А является ли секретом именно реализация этого протокола в Рутокен ЭЦП 2.0 3000? Я имею ввиду спецификация на уровне APDU-команд ISO/IEC 7816-4  для токена?

Верно, протокол открыт, а реализация на уровне APDU является проприетарной.

Re: ФКН

Коллеги, я пока так и не смог выпустить сертификат на ФКНе. Пока дела обстоят так: https://habr.com/ru/post/487246/

В личку мне прислали комментарий о том, что Тензор был пойман за руку на копировании приватного ключа клиента. Что-то происходит...