anatolyb, можем обсудить возможность добавлению корня доверия в эл. почте. Напишите нам на hotline@rutoken.ru.

Так же можем предложить вам альтернативный вариант. Компания А разворачивает у себя Центр регистрации для компании B. Сотрудники компании B заходят на этот портал, регистрируются, генерируют RSA-ключи, и портал сохраняет открытый ключ + серийный номер на сервере. Для работы с криптографией в браузер можно использовать Рутокен Плагин.

Встретился жизненный пример.

Выпускается сертификат подписи кода, компания GlobalSign прислала курьером РутокенЭЦП 3.0 для генерации/хранения на нем ключа.

В процессе выпуска сертификата у них нет никакого подтверждения, что ключ сгенерирован именно на Рутокен, а не программно с помощью openssl. Будут верить "на слово"...

Так же можем предложить вам альтернативный вариант. Компания А разворачивает у себя Центр регистрации для компании B. Сотрудники компании B заходят на этот портал, регистрируются, генерируют RSA-ключи, и портал сохраняет открытый ключ + серийный номер на сервере. Для работы с криптографией в браузер можно использовать Рутокен Плагин.

anatolyb, расскажите, пожалуйста, подробнее, какую задачу вы решаете?

Рассматривается такая задача.

Есть компании A и B, между ними нет полного доверия. Компания A доверяет компании "Актив" и использует её Рутокены ЭЦП. Компания A планирует выдать доступ к своим ресурсам компании B по SSH и у компании A в политике безопасности записано, что ключ доступа должен быть сгенерирован и хранится в защищенном криптографическом токене.

Что бы соблюсти свою политику безопасности и исключить ее нарушение с умыслом или из-за некомпетентности контрагента, компания A должна сама сгенерировать ключ на Рутокен ЭЦП (A доверяет самой себе) и физической почтой отправить его компании B.

Если бы была возможность каким-либо образом проверить аутентичность ключа (его локальность и неэкспортируемость), то компания A могла бы просто получить в электронном виде от компании B открытый ключ, сгенерированный Рутокен ЭЦП с подтверждением его происхождения. В качестве корня доверия предполагается использовать компанию "Актив" (производитель Рутокен ЭЦП).

Можем предложить вам следующий вариант:
1. У вас есть корень доверия: ключевая пара (+ сертификат) Администратора, которой вы доверяете
2. На остальных токенах, на которых есть ключевая пара, вы:
2.1. Проверяете наличие атрибута CKA_LOCAL - это гарантия того, что пара была сгенерирована внутри криптоядра устройства.
2.2. Собираете с токена его серийный номер + открытый ключ пользовательской пары и затем подписываете парой из п.1. Результат сохраняете у Администратора.

Требуется доказать третьей стороне, что ключевая пара была создана на устройстве Рутокен ЭЦП x.x.

По сути, на основании какого-то внутреннего ключа производителя должен быть подписан документ, в котором указан серийный номер и сгенерированный открытый ключ.

Как вариант, Рутокеном для локально созданных ключевых пар генерируется ссылка на xxx.rutoken.ru, при переходе по которой отображается открытый ключ (решение отдаленно напоминает функцию некоторых NFC-меток).

Интересна ли эта идея для реализации?