А работа с сертификатами ГОСТ как понимаю только чрез криптопровайдера пока.

Также возможна работа с ключами и сертификатами ГОСТ через библиотеки PKCS#11

Для ГОСТ авторизации нужны криптопровайдеры:
не могли бы вы подсказать список криптопровайдеров реализующих авторизацию по ГОСТ
бесплатные и платные?

Их довольно много. Наиболее распространенные:
КриптоПро CSP
Signal-COM CSP
ViPNet CSP
Также можно поизучать информацию о наших технологических партнерах: https://www.rutoken.ru/partners/tech/
Существует также класс решений для защиты от НСД, называемый "электронные замки". Туда относятся такие продукты, как
Верба, Соболь, Криптон и т.д.

Vladimir Ivanov пишет:

sergey-x пишет:

каким образом интегрировать использование рутокенов для работы с почтовым клиентом рунтенбёрд от мозилы?
при приёмке и отправке писем

В почтовом клиенте Thunderbird (если это именно он имелся в виду) работа с токенами и смарт-картами
обеспечивается подключением библиотеки PKCS#11 для конкретного токена
(https://support.mozillamessaging.com/en … rtificates). Соответствующие библиотеки
для Рутокен входят в комплект драйверов.

к сожалению при попытке регистрации этих новых библиотек через regsvr32 показывается ошибка не найдена точка входа DLLRegisterServer

драйвера rtDrivers.x64.v.2.87.00.0479 ошибка воспроизводиться

rtDrivers.x86.v.2.86.00.0460 - всё нормально без ошибок работало???!!! вин8 проф х64

Для подключения библиотек к Thunderbird совершенно не нужно регистрировать их при помощи regsvr32.
Достаточно через GUI Thunderbird указать библиотеку, которую он должен использовать.

Сразу вопрос через панель управления рутокена можно записать сертификат ГОСТ (2001), т.к. утилита rtCert поддерживала только RSA сертификаты.

И есть ли в панели управления рутокенами выбор работы с сертификатами (ГОСТ или RSA).
т.е. хотелось бы увидеть до конца законченный цикл продукта.

при выборе того или иного режима работы с сертификатами (ГОСТ или RSA) панель управления рутокенами сама подгружала бы необходимые бибилиотеки для совершения операций с импортом\экспортом сертификатов на токены.

Через Панель управления в нынешнем ее релизном состоянии можно работать с ГОСТами следующим образом:
- просматривать сертификаты КриптоПро;
- назначать сертификат на уже существующую на токене ключевую пару КриптоПро;
- помещать сертификат КриптоПро с токена в личное хранилище.
Это все.
И только с КриптоПро CSP/КриптоПро Рутокен CSP при условии установленного в системе криптопровайдера. С другими криптопровайдерами, работающими с ГОСТами, наша Панель не работает.
Никакого выбора работы с сертификатами не существует. Панель либо позволяет ограниченно работать с сертификатами КриптоПро, если КриптоПро CSP установлен, либо не позволяет, если КриптоПро не установлен и работает только с нашими родными (Рутокен CSP) RSA.

Если я купил комплект разработчика SDK мне просто даётся возможность использовать ключи рутокен и "панели управления рутокен" в рамках одной организации?
вкладышь лицензии
правильно ли я понимаю?

Возможно ли мне внедрять продукт если я просто работаю в компании, а сама компания не приобретала комплект разработчика и лицензию на использование?

не мог ли бы вы предоставить ссылку где я могу получить ссылку для скачки обновлений
комплекта разработчика я его приобрёл около года назад.

Комплект разработчика распространяется бесплатно. Он доступен для загрузки здесь: https://www.rutoken.ru/developers/sdk/

Комплект драйверов и библиотек, в который входит апплет Панели управления также распространяется бесплатно и доступен для загрузки здесь: https://www.rutoken.ru/support/download … r-windows/

как я понял Рутокен CSP это и есть "панель управления рутокен?
правильно ли я понимаю?

Нет, не правильно. Апплет "Панели управления" - это высокоуровневый интерфейс для выполнения сервисных операций.
Сам Рутокен CSP реализует интерфейс Crypto API и является библиотекой (точнее набором библиотек).

на рутокен ЭЦП происходит генерация только закрытого ключа
или сразу ключ+сертификат УЦ и\или конечного пользователя?
возможно ли генерировать ключ в рутокен ЭЦП, а сам сертификат во внешней системе

Токен генерирует ключевую пару - открытый и закрытый ключи.
Сертификат в процессе генерации ключевой пары не генерируется - токен не является удостоверяющим центром.
Программно возможно реализовать генерацию ключевой пары на токене и выпуск самоподписанного сертификата,
если будет на то желание.
Обычно производится генерация ключевой пары и выработка CSR, а сам сертификат выдается удостоверяющим центром.

Ключи RSA длиной 4096 байт Рутокен ЭЦП аппаратно не поддерживаются.

т.е. для реализации RSA сертификации нужно на контролёре домена поднять службу "сертификации", иначе никак как я понял.

Для организации аутентификации с использованием сертификатов обычно так и делают. Без того или иного "центра сертификации" PKI не работает.

Для отдельных рабочих станций Windows не предоставляет встроенных сервисов для двухфакторной аутентификации.
В этом случае придется использовать дополнительный софт третьих производителей.

Функциональность разделения секретных ключей скорее относится к криптопровайдерам.
Например, в КриптоПро, насколько мне известно, такая функция реализована.
Относительно других провайдеров нужно уточнять.
Уточните пожалуйста, для чего Вы планируете использовать эту функцию?

для подписывания дочерних сертификатов своей структуры PKI (связанное с УЦ)
и для подписывания конечных сертификатов.

Сразу вопрос через панель управления рутокена можно записать сертификат ГОСТ (2001), т.к. утилита rtCert поддерживала только RSA сертификаты.

И есть ли в панели управления рутокенами выбор работы с сертификатами (ГОСТ или RSA).
т.е. хотелось бы увидеть до конца законченный цикл продукта.

при выборе того или иного режима работы с сертификатами (ГОСТ или RSA) панель управления рутокенами сама подгружала бы необходимые бибилиотеки для совершения операций с импортом\экспортом сертификатов на токены.

к сожалению при попытке регистрации этих новых библиотек через regsvr32 показывается ошибка не найдена точка входа DLLRegisterServer

драйвера rtDrivers.x64.v.2.87.00.0479 ошибка воспроизводиться

rtDrivers.x86.v.2.86.00.0460 - всё нормально без ошибок работало???!!! вин8 проф х64
------

А работа с сертификатами ГОСТ как понимаю только чрез криптопровайдера пока.
-----

как я понял Рутокен CSP это и есть "панель управления рутокен?
правильно ли я понимаю?

Если я купил комплект разработчика SDK мне просто даётся возможность использовать ключи рутокен и "панели управления рутокен" в рамках одной организации?
вкладышь лицензии
правильно ли я понимаю?

Возможно ли мне внедрять продукт если я просто работаю в компании, а сама компания не приобретала комплект разработчика и лицензию на использование?
-----
т.е. для реализации RSA сертификации нужно на контролёре домена поднять службу "сертификации", иначе никак как я понял.

Для рабочих станций или подключиться к домену или никак, я вроде правильно понял.
-----
Для ГОСТ авторизации нужны криптопровайдеры:
не могли бы вы подсказать список криптопровайдеров реализующих авторизацию по ГОСТ
бесплатные и платные?
----
не мог ли бы вы предоставить ссылку где я могу получить ссылку для скачки обновлений
комплекта разработчика я его приобрёл около года назад.

на рутокен ЭЦП происходит генерация только закрытого ключа или сразу
ключ+сертификат УЦ и\или конечного пользователя?

Возможно ли использовать закрытый ключ 4Кб?
возможно ли генерировать ключ в рутокен ЭЦП, а сам сертификат во внешней системе
и какие параметры использовать для этого если будет использоваться библиотеки openssl.org,
openssl.cfg
какие параметры в них указывать?

и можно ли указывать при генерации ключа и сертификата рутокен ЭЦП, свои доп поля и указывать на их критичность?

Задача:
возможно  ли разрезать закрытый ключ сертификата на несколько разных рутокенов.
и только при предъявлении всех рутокенов будет возможна подпись закрытым ключом данных?

возможно ли реализовать это в виде:
2 главных рутокена
сколько угодно дочерних
разделяется закрытый ключ между всеми токенами
но складывание и предьявление его системе происходит используя только
один из главных рутокенов внутри этих рутокенов без извлечения закрытых ключей во внешнюю среду

Функциональность разделения секретных ключей скорее относится к криптопровайдерам.
Например, в КриптоПро, насколько мне известно, такая функция реализована.
Относительно других провайдеров нужно уточнять.
Уточните пожалуйста, для чего Вы планируете использовать эту функцию?

если утилиты распиливания pfx или p12 файла или просто запись ключа и сертификата отдельно в рутокен
и вохможность через драйвер рутокена выполнить помещение открытого ключа в контейнер "личное" OC Win
и прописать символическую ссылку на закрытый ключ расположенный на рутокене испоользуя функционал
дравера рутокен и доп утилиту для этого?

Возможность импорта ключей и сертификатов на токен имеется. Для этого можно использовать
Панель упраления Рутокен, там предусмотрена функциональность для работы с сертификатами.
В том числе и установка в локальное хранилище.

каким образом интегрировать использование рутокенов для работы с почтовым клиентом рунтенбёрд от мозилы?
при приёмке и отправке писем

В почтовом клиенте Thunderbird (если это именно он имелся в виду) работа с токенами и смарт-картами
обеспечивается подключением библиотеки PKCS#11 для конкретного токена
(https://support.mozillamessaging.com/en … rtificates). Соответствующие библиотеки
для Рутокен входят в комплект драйверов.

правильно ли я понимаю что для реализации возможности авторизации при входе в систему мне нужно помимо самих ключей приобретать ещё и криптопровайдер:
- крипто про CSP
- рутокен CSP
и я немогу воспользоваться встроенными функциями в windows для работы с ключами рутокен.

Если необходима аутентификация по ГОСТ, встроенная функциональность Windows не поможет.
Необходимо использовать криптопровайдер, поддерживающий ГОСТ (платный или бесплатный - не суть).
Если речь об RSA, то в домене вполне достаточно имеющейся функциональности Windows + Рутокен CSP,
который покупать не надо - он входит в комплект драйверов Рутокен и поставляется бесплатно.

Для RSA и в домене вся перечисленная функциональность реализуется средствами Windows и Рутокен CSP.
При удаленном доступе в домен шифрование трафика обеспечивается средствами VPN.
Информацию о настройке домена, центра сертификации и т.п. можно найти на ресурсах Microsoft,
либо в нашем стартовом комплекте "Рутокен для Windows".
Если часть пользователей и машин вообще никаким образом не имеют отношения к имеющемуся домену
и не пользуются его ресурсами даже удаленно, придется использовать дополнительные средства
аутентификации, поддерживающие Рутокен.

Для ГОСТа тоже можно найти решение, если это необходимо.

возможно ли использовать сертификаты ГОСТ на рутокенах S?
или надо покупать рутокены ЭЦП?

Рутокен S, в отличие от Рутокен ЭЦП, не имеет аппаратной реализации алгоритмов подписи.
В связи с этим его можно использовать в качестве ключевого носителя и носителя сертификата
для программных криптопровайдеров типа КриптоПро CSP.
Поэтому вопрос лучше рассматривать в ином контексте.
Если Вам необходимо обязательно вычислять подпись "на борту" токена на неизвлекаемом ключе,
нужно использовать Рутокен ЭЦП.
Если это не обязательно, можно использовать программные криптосредства и Рутокен S в качестве носителя.

То же самое относится к RSA.

Таблицы замены, а точнее узлы замены или S-блоки, используются в симметричном шифре ГОСТ 28147-89.
Сертификат выдается на открытый ключ асимметричного алгоритма подписи ГОСТ Р 34.10-2001.
Я ведь правильно понимаю, что речь тут конкретно о ГОСТовых алгоритмах?
Поскольку в алгоритме подписи узлы замены не используются, некорректно говорить о том, что узлы замены
имеют отношение к сертификатам.
Однако могу предположить, что Вас интересуют именно свои собственные узлы замены для ГОСТ 28147-89.
Теоретически мы можем выпускать токены с любыми узлами замены, но технической возможности
устанавливать пользователю свои собственные узлы замены самостоятельно не предоставляется.
Как Вы планируете их получать? Рассматриваетели Вы вопросы, связанные с совместимостью?
Если Вы предполагаете генерировать узлы замены самостоятельно, имеются ли у Вас средства
проверки на предмет их силы или слабости? Интересуетли Вас мнение регуляторов по этому вопросу?