1 Тема от tideymiem

  • tideymiem
  • Посетитель
  • Неактивен

Работа с ключем РУТОКЕН в облаке

Коллеги, здравствуйте

Могли бы Вы проконсультировать по следующим вопросам:
У меня есть положительный опыт ручной работы в среде Windows связки РуТокен от УЦ + софт от CryptoPRO.
Сейчас стоит задача создать набор сервисов, для автоматизации интеграции с гос. системой
Сервисы работают в облачной среде Linux, написаны на Java.
Для того, чтобы подписывать передаваемые данные, мне нужен набор криптографических ключей.
Насколько я понимаю, закрытые ключи не экспортируемы с физического носителя и предназначены для работы только в режиме браузера\COM-объектов, т.е. предполагается размещение ключа на конкретной машине, и использование программного решения там же.

Вопросы:
-->Можно ли как-то использовать физический ключ для работы из облака, где нет возможностью подключить флешку?
-->Существует ли набор ключей в «облачном формате», которые можно купить\выпустить дополнительно?
-->Есть ли у Вас рекомендации по использованию криптографических ключей для облачных систем?

Заранее спасибо

С уважением,
Юрий

2 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Что посоветовать решение в этом случае, нам надо больше подробностей.
У вас на Linux серверах софт от КритоПро и судя по Вашим сообщениям подпись Вы хотите создавать и проверять на них же.
А как пользователь будет с этой системой работать? Будет подключаться к серверам? По каким протоколам?
Или он будет работать из браузера с Web-интерфейсом? Или работать через API?

3 Ответ от tideymiem

  • tideymiem
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Владимир, добрый день

Для автоматизации множественных процессов, точка с конкретным пользователем, который руками куда-то авторизается и что-то делает это "bottleneck", который необходимо исключить.
Т.е. идея автоматизации в том, чтобы конкретный пользователь ничего в ситеме не делал.
Разрабатываемая система на основании тригеров сама будет соединяться с гос. системой по API, отправлять подписаные запросы, получать ответы и агрегировать полученные данные внутри своей собственной базы.

4 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

То есть, Вы хотите автоматически подписывать какие-то запросы без ведома пользователя по триггеру?

5 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Вопрос ещё актуален?

6 Ответ от tideymiem

  • tideymiem
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Владимир Салыкин пишет:

Добрый день, tideymiem.

То есть, Вы хотите автоматически подписывать какие-то запросы без ведома пользователя по триггеру?

Добрый день, Владимир

Да, именно так.
Задача стоит автоматизировать работу с системой.
Для обращения к гос.системе требуется подписывать API вызовы ключем. т.е. ключ необходимо интегрировать в облачное решеение, т.к. флешку воткнуть некуда.
Для автоматизации будет использоваться отдельно выпущенный ключ, специально для работы системы (т.е. не чей-то, чтобы без ведома пользователя, но специально для системы).
Вопрос, в том, как можно использовать RuToken в облачном окружении Java?
Есть ли специальные "облачные ключи", выпущенные сразу в формате jks?
Или может быть есть официальные рекомендации по конвертации экспортированных PFX --> pem -->jks?
Заранее спасибо

7 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Если это некоторая специальная подпись, то похоже она не должна быть квалифицированная. Тогда Вы можете использовать любую библиотеку для программной подписи. Для Java тот же BouncyCastle

8 Ответ от tideymiem

  • tideymiem
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Владимир Салыкин пишет:

Добрый день, tideymiem.

Если это некоторая специальная подпись, то похоже она не должна быть квалифицированная. Тогда Вы можете использовать любую библиотеку для программной подписи. Для Java тот же BouncyCastle

К сожалению, сервис, с которым необходим обмен данными принимает только запросы подписаные "квалифицированной подписью"
Я имел в виду, что планируется выпустить отдельный сертификат, который будет использоваться в работе автоматической системы, но этот сертификат будет выпущен для конкретного пользователя т.к. это требования сервиса.

https://forum.rutoken.ru/post/12592/#p12592
Дефакто получается да, пользователь, на которого будет выпущен сертификат, не будет знать, что и в какой момент конкретно запрашивала автоматическая система с помощью его подписи, но он безусловно будет знать, что его подпись используется в работе автоматической системы.

Т.е. вопросы остаются прежними:
-->Можно ли использовать RuToken в облачном окружении Java?
-->Есть ли специальные "облачные ключи", выпущенные сразу в формате jks?
-->Есть ли официальные рекомендации по конвертации экспортированных PFX --> pem -->jks?

Заранее спасибо

9 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Если в системе "Дефакто получается да, пользователь, на которого будет выпущен сертификат, не будет знать, что и в какой момент конкретно запрашивала автоматическая система с помощью его подписи" то, Вы хотите создать систему, которая будет противоречить приказу ФСБ РФ от 27.12.2011 № 796.

Цитирую:
" При создании ЭП средства ЭП должны:
- показывать лицу, подписывающему электронный документ, содержание информации, которую он
подписывает;
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по
созданию ЭП;
- однозначно показывать, что ЭП создана."

В этом случае подпись становится не легитимной и потеряет свою квалифицированность. Если Вы планируете игнорировать требования закона, то просто используйте BouncyCastle.

10 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

tideymiem, дополнительно:

  • PFX --> pem -->jks. Официальных рекомендаций нет. jks очень редко используемая вещь. У меня вообще нет уверенности, что в jks будут работать все сценарии с GOST. Мы для Java предлагаем другой набор интерфейсов по работе с ключами.

  • Можно ли использовать RuToken в облачном окружении Java? - токен, как вы понимаете физическое устройство. Оно может быть проброшено на любой сервер, в том числе облачный, чтобы там шла работа с ключами, в том случае если нет физической возможности его туда вставить. Это весьма распространенный сценарий.

  • Есть ли специальные "облачные ключи", выпущенные сразу в формате jks? - у нас точно нет. Я не слышал, чтобы такое делали производители СКЗИ в России, так как, повторюсь, jks очень редкий формат

11 Ответ от tideymiem (2019-02-07 13:23:41 отредактировано tideymiem)

  • tideymiem
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Владимир Салыкин пишет:

tideymiem, дополнительно:

  • PFX --> pem -->jks. Официальных рекомендаций нет. jks очень редко используемая вещь. У меня вообще нет уверенности, что в jks будут работать все сценарии с GOST. Мы для Java предлагаем другой набор интерфейсов по работе с ключами.

Владимир, добрый день

Спасибо за подробные ответы!
Теперь придется крепко подумать, что и как делать, чтобы быть legally compliant и не уходить в серые зоны морали...=\
Скажите пожалуйста, есть ли ссылочка, где можно ознакомиться с набором интерфейсов по работе с ключами, которые Вы предлагаете для работы в JAVA окружении?
Заранее спасибо!

12 Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Вы можете найти наши интерфейсы в SDK (https://www.rutoken.ru/developers/sdk/).