Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

asoldatov пишет:

sanyo, день добрый.
А чем Вас не устраивает сценарий, обсуждаемый в ветке?

Создаете запрос в активном апплете Рутокен-а, с использованием того же cryptcp из состава КриптоПро CSP 5.0. Затем передаете запрос в УЦ. Полученный сертификат устанавливаете с привязкой к ключу.

Все, Вы получаете неизвлекаемый ключ. Плюс - получаете возможность использовать данный ключ в связке с КриптоПро CSP 5.0 на всех ресурсах, где возможна работа и с извлекаемыми ключами пассивного апплета. Что, на мой взгляд, намного лучше создания ключа на ra.rutoken.ru и отсутствии возможности использовать такой ключ на ресурсах, где нет поддержки протокола pkcs#11.

У меня нет "лишних" денег (1 т.р. годовая сейчас или 2900 без срочная, для КриптоПро 5) для примера и это только для одного места как бы по хорошему или постоянно с собой носить и устанавливать....

Потому меня КриптоПро 5 устравиват, но поверьте не все ресурсы готовы к сожалению с такой связкой работать.
Вот и приходится выбирать или - или.
И думаю это будет вечно.

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Vintik, день добрый!
Рад, что Вы представляете sanyo как доверенное лицо на данном форуме:)
Касательно лицензии на право использования КриптоПро CSP - да, без нее никуда.

Vintik пишет:

но поверьте не все ресурсы готовы к сожалению с такой связкой работать

Если ключ создан на активном аплете Рутокен-а через провайдер КриптоПро CSP - такой ключ можно использовать везде, где принимаются извлекаемые ключи, созданные через тот же КриптоПро CSP. А это - 90% всех систем. Не поручусь за ЕГАИС, но, насколько я помню, sanyo работать в данной системе и не требовалось.

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Да я могу :-)))
И не все сервисы к сожалению ещё работают..
есть некоторые ресурсы со своими плагинами, и вот они кривовато работают пока, это наверно и есть те самый 10%

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Поправьте, если не прав, но Криптопро 5 умеет работать и с подписью егаиса и таким образом решается задача универсальности аппаратной подписи на Рутокен ЭЦП 2.0, верно же?

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Sammy пишет:

Поправьте, если не прав, но Криптопро 5 умеет работать и с подписью егаиса и таким образом решается задача универсальности аппаратной подписи на Рутокен ЭЦП 2.0, верно же?

Да, но мы ваше с кем то определили 90% (на глаз) т.е. есть риски ещё 10%, каких то "самопальных" плагинов (не от КриптоПро на пример и Рутокен), где может не работать такая связка.

У вас всегда есть как раз на это 90 дней на проверку (КриптоПро благо даёт) и потому если есть сомнения то можно поставить, проверить и если всё устроило и начинаете полноценно юридически значимую работу, то докупаете лицензию и работаете.

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

asoldatov пишет:

Если ключ создан на активном аплете Рутокен-а через провайдер КриптоПро CSP - такой ключ можно использовать везде, где принимаются извлекаемые ключи, созданные через тот же КриптоПро CSP. А это - 90% всех систем. Не поручусь за ЕГАИС, но, насколько я помню, sanyo работать в данной системе и не требовалось.

Не, если я правильно понял, тут речь про аппаратную подпись, сделанную именно через криптопро. А есть тоже аппаратные подписи для ЕГАИС, которые выпускаются без дополнительного ПО, но через криптопро 5 ими можно пользоваться и на других площадках.

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Да, в любом случае верно вы поняли - если у вас ключ Рутокен ЭЦП 2.0 и контейнер сделан именно "аппаратным СКЗИ" на ключе который, то с КриптоПро CSP 5.0 вы его можете использоваться для работы через API как с любым другим "программным" СКЗИ.

https://content.foto.my.mail.ru/mail/securitytest/69/h-71.jpg

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Если вам ещё актуально... клиент обратился по модели 2100, уточнял зачем и говорил у нас 2000...
И потом они сказали Випент.

Тут сказал если Випнет - то скопировать от него не получится

https://content.foto.my.mail.ru/mail/securitytest/38/h-72.jpg

Но про генерацию не уверен и когда проверил - оказалось всё можно
и он становится не извлекаемый сразу, вот такие механизмы сделаны
у VipNet CSP. И это не аппаратное СКЗИ и привязана.
https://content.foto.my.mail.ru/mail/securitytest/38/h-74.jpg

(2020-08-03 14:44:38 отредактировано sanyo)

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

asoldatov пишет:

А чем Вас не устраивает сценарий, обсуждаемый в ветке?

Создаете запрос в активном апплете Рутокен-а, с использованием того же cryptcp из состава КриптоПро CSP 5.0. Затем передаете запрос в УЦ. Полученный сертификат устанавливаете с привязкой к ключу.

Если бы вы предложили хоть один УЦ, который работает по схеме создания сертификатов для упомянутых вами запросов, то возможно я бы в будущем попытался воспользоваться услугами такого УЦ.

asoldatov пишет:

Все, Вы получаете неизвлекаемый ключ. Плюс - получаете возможность использовать данный ключ в связке с КриптоПро CSP 5.0 на всех ресурсах, где возможна работа и с извлекаемыми ключами пассивного апплета. Что, на мой взгляд, намного лучше создания ключа на ra.rutoken.ru и отсутствии возможности использовать такой ключ на ресурсах, где нет поддержки протокола pkcs#11.

Возможно ли такой (не PKCS11) неизвлекаемый ключ  использовать  с ресурсами, которые требуют обязательно PKCS11 по схеме типа такой:

https://www.cryptopro.ru/forum2/default … 69&p=2

Если человек хочет использовать PKCS#11 и наш CSP: например для того, чтобы можно было работать через тот самый единый PKCS#11-интерфейс с ключами на всех считывателях, поддерживаемых CSP: реестр, таблетки, пассивные носители, ФКН, то можно взять нашу реализацию PKCS#11 - cppkcs11.dll:

софт -> [PKCS#11-интерфейс] -> cppkcs11.dll -> [CryptoAPI] -> КриптоПро CSP -> модули поддержки

Но ведь по словам Сергея Агафьина из КриптоПРО:

Теперь к вашему вопросу про работу с ключами на Рутокен ЭЦП 2.0.
Как видите из моих пояснений, в итоге при работе с токеном всё равно всё сводится к APDU. Если бы CSP знал команды, которые используются pkcs#11-библиотекой Рутокен, он мог бы использовать ключи, которые через неё созданы. Для CSP 5.0 мы как раз этому и научили провайдер. Если кто-то создал через любой софт, использующий pkcs11-библиотеку, ключ на Рутокен ЭЦП 2.0, CSP этот ключ увидит и сможет использовать. Речь только об этом конкретном токене! Для других производителей формата APDU, используемых pkcs11-библиотеками, у нас нет

в случае использования связки КриптоПРО5 + Рутокен ЭЦП 2.0, CSP сможет использовать ключи созданные ранее в формате PKCS11, тогда какая разница в каком формате создавать ключ, в формате КриптоПРО5 или в формате PKCS11?

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

sanyo, вам уже ответили не раз, возьмите себе КЭП по тарифным планам ЕГАИС, там всё настроено на работу с Рутокен ЭЦП 2.0 и не мучайте больше не кого :-)

А ещё лучше подождите ещё 10-15 лет и должны квантовые ключи появится, вроде Инфотекс уже тел такой сделали))) Китайцы тоже что то и до вас дойдёт квантовое шифрование - вот тогда может будет для вас самое то ;-)

(2020-08-03 18:34:16 отредактировано sanyo)

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Vintik пишет:

sanyo, вам уже ответили не раз

По поводу чего конкретно? Вопросов то ведь много было.

Vintik пишет:

возьмите себе КЭП по тарифным планам ЕГАИС, там всё настроено на работу с Рутокен ЭЦП 2.0 и не мучайте больше не кого :-)

Может быть, мне еще алкоточку открыть под это дело? Как-то раз насмешили меня русские краудфандеры, мол черновик проекта у них оставил для open source non-profit проекта  и не опубликовал проект, как же так, все навсего надо было им заплатить почти $100 USD, да еще и только для ООО или ИП, а не для физ. лиц, юмористы.

Vintik пишет:

А ещё лучше подождите ещё 10-15 лет и должны квантовые ключи появится, вроде Инфотекс уже тел такой сделали))) Китайцы тоже что то и до вас дойдёт квантовое шифрование - вот тогда может будет для вас самое то ;-)

Да, правильно, не надо нам никаких буржуиновских Utimaco! лучше подождем 15 лет.

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

sanyo пишет:

Может быть, мне еще алкоточку открыть под это дело? .....

А почему бы и нет, тогда выполнить "пункт" - Без бутылки тут не разобраться - было бы выполнить легче простого :-)

А по тарифу там КЭП и только не структурирование КПП вам напишут если надо, если не надо то не осудят.
И всё сгенерите свой не извлекаемый в любом УЦ.

(2020-08-05 16:25:10 отредактировано sanyo)

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

asoldatov пишет:

sanyo, день добрый.
А чем Вас не устраивает сценарий, обсуждаемый в ветке?

Создаете запрос в активном апплете Рутокен-а, с использованием того же cryptcp из состава КриптоПро CSP 5.0. Затем передаете запрос в УЦ. Полученный сертификат устанавливаете с привязкой к ключу.

Все, Вы получаете неизвлекаемый ключ. Плюс - получаете возможность использовать данный ключ в связке с КриптоПро CSP 5.0 на всех ресурсах, где возможна работа и с извлекаемыми ключами пассивного апплета. Что, на мой взгляд, намного лучше создания ключа на ra.rutoken.ru и отсутствии возможности использовать такой ключ на ресурсах, где нет поддержки протокола pkcs#11.

Добрый день,

Ответ СКБ Контур по этому поводу:

На сегодняшний день есть два пути генерации ключа:
1.  Выдача ключа в авторизованном сервисном центре. Выдача производится на автоматизированном рабочем месте, аттестованном на соответствие требованиям по технической защите конфиденциальной информации, размещенном в аттестованном помещении Центра выдачи, доступ в которое ограничен.
2.  Генерация в личном кабинете удостоверяющего центра: https://i.kontur-ca.ru/ .

Схемы, с генерацией ключа через различные утилиты с передачей запроса - не поддерживаются.

Re: Пожалуйста, посоветуйте УЦ для сертификата с неизвлекаемым ключом

Vintik пишет:

А почему бы и нет, тогда выполнить "пункт" - Без бутылки тут не разобраться - было бы выполнить легче простого :-)

Если бы самозанятым можно было бы обойтись одним пузырьком, а то ведь еще надо юр. лицо, всякие лицензии на торговлю пойлом, помещение на цать соток для этого. Так что ЕГАИС не самый лучший вариант.