(2020-10-21 01:32:19 отредактировано sanyo)

Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Добрый день,

1) Отличия экземпляров смарткарт Rutoken ECP2 2100 разных годов выпуска. В чем проявляется наличие сертификата ФСБ.

Судя по:
https://forum.rutoken.ru/post/14953/#p14953
ATR у экземпляров карты одной и той же модели разных годов выпуска одинаковый.

А чем отличаются аппаратно смарткарты такой модели Rutoken ECP2 2100 с сертификатом ФСБ от аналогичных без сертификата?
У них есть отличие хоть в одном байте информации в прошивке, в ATR или где-то еще кроме серийных номеров?
Какой-нибудь софт типа rtadmin или использующий API PKCS11 или КриптоПРО их может отличать друг от друга?

Сертифицировання версия смарткарты отличима от несертифицированной по каким-либо признакам кроме наличия твердой копии сертификата ФСБ на руках владельца смарткарты?
У Рутокенов, наверно есть серийный номер. Он где-то прописывается в сертификате ФСБ и/или в сгенерированной подписи?

Возможно у вас в компании хранится реестр соответствия серийников смарткарт и наличия у них сертификатов ФСБ?

Насколько я знаю, информация об использованном CSP в сгенерированной ЭЦП все же хранится.
Вопрос, насколько она детальная для года выпуска смарткарты 2100, о том был ли у карты сертификат изначально? Сгенерированная ЭЦП будет где-то содержать информацию  о том, был ли аппаратный CSP Rutoken ECP 2100 сертифицирован на момент генерации или вообще хоть однажды при производстве?

Если у меня к примеру, были бы две смарткарты: одна Rutoken 2100 с сертификатом ФСБ и вторая Rutoken 2100 без сертификата ФСБ, то экспертиза смогла бы по сгенерированной подписи определить какая именно из этих двух смарткарт была использована для генерации ЭЦП только лишь по самой подписи,  не анализируя при этом счетчики и логи аппаратных смарткарт? 

По факту из смарткарт Рутокенов у меня есть только одна смарткарта 2100 с сертификатом ФСБ и одна смарткарт 2151 ессно без сертификата.

2) Rutoken 2151.

А смогут ли эксперты отличить использованную смарткарту Rutoken 2151 без сертификата ФСБ от Rutoken 2100 с сертификатом ФСБ опять же только лишь по сгенерированной подписи без физического доступа к моим аппаратным смарткартам?

Планируется ли и примерно когда сертификация смарткарты Rutoken 2151?

3) Совместимость смарткарт со считывателем SafeTouch PRO 2018.

Любые ваши исправные (без дефектов) смарткарты Rutoken 2100, неважно в каком году произведенные например с 2018 по 2022, точно совместимы с исправным SafeTouch PRO 2018?
А что со смарткартой Rutoken 2151? Она совместима с SafeTouch PRO 2018?

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

1. Сертифицированная версия смарт-карты отличается от несертифицированной наличием сертификата с серийным номером смарт-карты или токена.
При утере данного сертификата устройство становится несертифицированным.
Если устройство не сертифицировано, то оно не может быть использовано для хранения и вычисления КЭП.
По сгенерированной CMS подписи с вложенным сертификатом подписанта можно узнать УЦ, который выдал сертификат. И после этого связаться с УЦ и выяснить, есть ли данный сертификат в реестре выданных.
2. Сертификат на Рутокен 2151 ожидаем в 2021 году.
3. Совместимость смарт-карт Рутокен 2100 со считывателем SafeTouch Pro 2018 уточняем.
Рутокен 2151 не совместима с SafeTouch Pro 2018.

(2020-10-21 14:51:19 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:

1. Сертифицированная версия смарт-карты отличается от несертифицированной наличием сертификата с серийным номером смарт-карты или токена.
При утере данного сертификата устройство становится несертифицированным.
Если устройство не сертифицировано, то оно не может быть использовано для хранения и вычисления КЭП.
По сгенерированной CMS подписи с вложенным сертификатом подписанта можно узнать УЦ, который выдал сертификат. И после этого связаться с УЦ и выяснить, есть ли данный сертификат в реестре выданных.

Рассмотрим такую ситуацию:

Генерируем подпись смарткартой с бумажным сертификатом ФСБ (есть накладная, где указан сертификат) и личным ключом с квалифицированным сертификатом,полученным в УЦ СКБ Контур. Сгенерированная подпись - действительная, согласны?

Потом теряем свою копию бумажного сертификата ФСБ, подпись остается действительной?
Как доказывать, что она была сгенерирована с помощью СКЗИ или наоборот не СКЗИ?
Ведь копия сертификата ФСБ, если ее специально не уничтожить (например, сжиганием или в шредере) в некотором смысле остается в состоянии "в наличии", просто к ней затруднен доступ владельца.

По сгенерированной подписи можно узнать серийный номер смарткарты, которым она сгенерирована?

Если не ошибаюсь, в случае использования софтового CSP типа КриптоПро лицензионный серийник CSP прописывается в одно из полей сгенерированной подписи, а в случае использования CSP смарткарты - аналогично?

(2020-10-21 14:52:03 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:

При утере данного сертификата устройство становится несертифицированным.

Как мне восстановить свою бумажную копию сертификата ФСБ для своей смарткарты 2100 в случае утери такой моей копии сертификата?

Можно ли докупить копию сертфиката ФСБ по мере его появления для купленной ранее несертифицированной смарткарты 2151?

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

sanyo пишет:

Генерируем подпись смарткартой с бумажным сертификатом ФСБ (есть накладная, где указан сертификат) и личным ключом с квалифицированным сертификатом,полученным в УЦ СКБ Контур. Сгенерированная подпись - действительная, согласны?

Потом теряем свою копию бумажного сертификата ФСБ, подпись остается действительной?
Как доказывать, что она была сгенерирована с помощью СКЗИ или наоборот не СКЗИ?
Ведь копия сертификата ФСБ, если ее специально не уничтожить (например, сжиганием или в шредере) в некотором смысле остается в состоянии "в наличии", просто к ней затруднен доступ владельца.

Подпись остается действительной до окончания срока действия сертификата подписанта. Но если будут вопросы к средству подписи, то без сертификата будет сложно доказать сертифицированность СКЗИ.

sanyo пишет:

По сгенерированной подписи можно узнать серийный номер смарткарты, которым она сгенерирована?

Нет

sanyo пишет:

Как мне восстановить свою бумажную копию сертификата ФСБ для своей смарткарты 2100 в случае утери такой моей копии сертификата?

Если устройство куплено у нас в единичном экземпляре, то никак. Сертификат выдается один раз на одно устройство.
Если вы покупали устройство, например, в УЦ и они вам дали копию сертификата на партию устройств, то можете обратиться в место покупки устройства.

sanyo пишет:

Можно ли докупить копию сертфиката ФСБ по мере его появления для купленной ранее несертифицированной смарткарты 2151?

Нет.

(2020-10-22 15:23:57 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:
sanyo пишет:

Как мне восстановить свою бумажную копию сертификата ФСБ для своей смарткарты 2100 в случае утери такой моей копии сертификата?

Если устройство куплено у нас в единичном экземпляре, то никак. Сертификат выдается один раз на одно устройство.
Если вы покупали устройство, например, в УЦ и они вам дали копию сертификата на партию устройств, то можете обратиться в место покупки устройства.

sanyo пишет:

Можно ли докупить копию сертфиката ФСБ по мере его появления для купленной ранее несертифицированной смарткарты 2151?

Нет.

А почему тогда возможно следующее:

Ксения Шаврова пишет:
sanyo пишет:

1) Я смогу использовать свою уже приобретенную смарткарту еще примерно +3 года для генерации с помощью встроенного в нее СКЗИ юридически значимых подписей - квалифицированных ЭЦП? Понятно, что при условии получения сертификата в УЦ.

Мы своевременно обновляем сертификаты на свою продукцию. С продлением сертификата соответствия вы продолжите использовать устройство. Можете распечатать обновленный сертификат с нашего сайта. При желании, вы можете запросить у нас оригинал обновленного сертификата - мы направим его по почте.


? Вы Кирилл вообще сами согласны с этим утверждением?

(2020-10-22 15:26:11 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:

3. Совместимость смарт-карт Рутокен 2100 со считывателем SafeTouch Pro 2018 уточняем.

Пожалуйста, уточните, когда примерно можно ожидать решения данного вопроса?

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

sanyo пишет:

А почему тогда возможно следующее:

Ксения Шаврова пишет:
sanyo пишет:

1) Я смогу использовать свою уже приобретенную смарткарту еще примерно +3 года для генерации с помощью встроенного в нее СКЗИ юридически значимых подписей - квалифицированных ЭЦП? Понятно, что при условии получения сертификата в УЦ.

Мы своевременно обновляем сертификаты на свою продукцию. С продлением сертификата соответствия вы продолжите использовать устройство. Можете распечатать обновленный сертификат с нашего сайта. При желании, вы можете запросить у нас оригинал обновленного сертификата - мы направим его по почте.

? Вы Кирилл вообще сами согласны с этим утверждением?

При приобретении сертифицированного Рутокена вам помимо самого устройства передают сертификат на бумажном носителе с голограммой и указанием серийного номера вашего устройства. Если такой сертификат будет утерян, устройство автоматически становится несертифицированным. Повторно запросить у нас оригинал или копию этого сертификата нельзя.

При заказе крупных партий мы выдаем один сертификат на, допустим, 1000 устройств, с указанием списка всех серифных номеров. Тогда оригинал сертификата находится у партнера. А копию сертификата нужно запрашивать у партнера.

За несколько месяцев до даты окончания сертификата, мы продляем его и продленные сертификаты можно загрузить с нашего сайта - https://www.rutoken.ru/products/certified/ Если клиенту хочется получить оригинал продленного сертификата - тогда по запросу мы отправим сертификат по почте.

Но, повторюсь, при утере оригинального сертификата устройство будет считаться несертифицированным.

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

sanyo пишет:
Аверченко Кирилл пишет:

3. Совместимость смарт-карт Рутокен 2100 со считывателем SafeTouch Pro 2018 уточняем.

Пожалуйста, уточните, когда примерно можно ожидать решения данного вопроса?

В связи с высокой загруженностью специалистов отдела тестирования, точных сроков назвать не сможем

(2020-10-23 10:57:05 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Ксения Шаврова пишет:

Но, повторюсь, при утере оригинального сертификата устройство будет считаться несертифицированным.

Если серийник смарткарты не прописывается в генерируемую подпись, то как тогда пытаться выявлять такие подписи, сгенерированные смарткартами с утерянными сертификатами?


Предположим:

1) Некий Вася приобрел смарткарту Rutoken ECP2 2100 с сертификатом ФСБ.
2) Он подписал этим СКЗИ важные для него документы, например нотаризацию своих прав на интеллектуальную собственность.
3) Некие злодеи украли у него бумажную копию сертификата ФСБ на смарткарту.
4) Васе нужно защищать свои права, обеспеченные подписанным документом в суде, а сертификат ФСБ куда-то делся ...
5) Вася покупает второй экземпляр смарткарты Rutoken ECP2 2100 тоже с сертификатом ФСБ.
6) Вася утверждает, что не помнит, какой точно смарткартой он подписал документ, но скорее всего второй смарткартой с неукраденным сертификатом ФСБ.

Внимание вопросы:

1) Кому и зачем нужен этот цирк?
2) Если у сотрудника ФСБ украдут бумажный экземпляр лицензии на Microsoft Windows Server 20xx, то будет ли фирма Microsoft считать, что ее программное обеспечение использовалось незаконно или у продавцов хранится реестр и достаточно найти в нем соответствующую запись для получения копии разрешительного документа взамен пропавшего(лицензии на программное обеспечение)?

Или предлагаете делать нотариально заверенные копии сертификатов ФСБ и хранить их у нотариуса ? :)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

sanyo пишет:

5) Вася покупает второй экземпляр смарткарты Rutoken ECP2 2100 с сертификатом ФСБ.
6) Вася утверждает, что не помнит, какой точно смарткартой он подписал документ, но скорее всего второй смарткартой с неукраденным сертификатом ФСБ.

На смарт-карте должен быть сертификат, которым подписывали. Скопировать сертификат не получится.

(2020-10-23 11:12:21 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:

На смарт-карте должен быть сертификат, которым подписывали. Скопировать сертификат не получится.

Вы имеете ввиду закрытый неизвлекаемый ключ личного квалифицированного сертификата пользователя, полученный в УЦ, на смарткарте? Почему он там должен быть?

Вася может заявить (и это может быть чистейшей правдой), что уже после подписания документов ЭЦП он отформатировал свою смарткарту программой rtadmin -f (причем обе смарткарты), потому что больше не планировал подписывать своим сертификатом другие документы. И записал на смарткарты более нужные ему другие ключи для работы, например, в OpenSSH.

Квалифицированный личный сертификат Васи, о котором вы писали, - это упрощенно открытая часть ключа Васи и подпись ключа Васи сертификатом  удостоверяющего центра (закрытым ключом УЦ), верно? Так вот, сертификат Васи не является публично недоступным секретным файлом (если Вася того пожелает) и может храниться отдельно от смарткарты, кроме того он может использоваться другими пользователями для шифрования сообщений в адрес Васи и проверки подписи Васи вне зависимости от наличия закрытого ключа сертификата Васи на его смарткарте. Собственно это базовые основы криптографии с асимметричными ключами при использовании их в инфраструктуре PKI УЦ.

Кроме того если речь идет о генерации подписей Cades X Long, например, в Диадок через PKCS11,
то подпись получается долгохранимой, в нее включается все используемые при проверке сертификаты и подписываются сервером штампов времени, если упрощенно.

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

sanyo пишет:

Вы имеете ввиду закрытый неизвлекаемый ключ личного квалифицированного сертификата пользователя, полученный в УЦ, на смарткарте? Почему он там должен быть?

Вася может заявить (и это может быть чистейшей правдой), что уже после подписания документов ЭЦП он отформатировал свою смарткарту программой rtadmin -f (причем обе смарткарты), потому что больше не планировал подписывать своим сертификатом другие документы. И записал на смарткарты более нужные ему другие ключи для работы, например, в OpenSSH.

Согласно 63 ФЗ "6.1. Удостоверяющий центр аннулирует сертификат ключа проверки электронной подписи в следующих случаях:

1) не подтверждено, что владелец сертификата ключа проверки электронной подписи владеет ключом электронной подписи, соответствующим ключу проверки электронной подписи, указанному в таком сертификате;"

А подпись признается действительной по тому же закону в следующих случаях:
"Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:

1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;

2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;

3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;"
Таким образом, подпись со штампом времени будет действительной, но вы не сможете доказать, что сертификат принадлежит вам без закрытого ключа.

sanyo пишет:

Или предлагаете делать нотариально заверенные копии сертификатов ФСБ и хранить их у нотариуса ? :)

Отличный вариант.

(2020-11-05 08:57:20 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:

Таким образом, подпись со штампом времени будет действительной, но вы не сможете доказать, что сертификат принадлежит вам без закрытого ключа.

Бумажных документов из УЦ недостаточно? Да и без них в электронном сертификате ведь указана вся информация, необходимая для идентификации личности, и причем подписана она самим УЦ?

А как можно говорить о действительности подписи при неизвестности подписанта с юридической точки зрения?

Необходимость хранения и возможности предъявления закрытого ключа для доказательства владения сертификатом - это очередная дикость закона об использовании ЭЦП?

Какие широкие возможности для злоумышленников для воздействия на юридическую значимость подписей:
1) Стащить бумажный сертификат ФСБ для СКЗИ
2) Стащить физический токен с закрытым ключом пользователя

А что с отозванными квалифицированным сертификатами физ. лиц, к ним тоже нужно хранить ключи для подписей, сгенерированных до даты отзыва сертификата?

Прямо рай для спецслужб хороших и разных.

(2020-11-05 08:54:24 отредактировано sanyo)

Re: Отличия Rutoken ECP2 2100 разных годов выпуска для ЭЦП и SafeTouch PRO

Аверченко Кирилл пишет:
sanyo пишет:

Или предлагаете делать нотариально заверенные копии сертификатов ФСБ и хранить их у нотариуса ? :)

Отличный вариант.

А как делать нотариальную копию неизвлекаемого закрытого ключа пользователя?