sanyo пишет:МИГ24 генерит (по словам поддержки) усовершенствованные подписи с использованием аппаратного крипто по PKCS11.
Диадок с такими ключами тоже работает по PKCS11.
Мне важна безопасность сохранности моего ключа.
Псевдонеэкспортируемый ключ сертификата в нынешних условиях виртуализирующих невидимых троянов - это "бомба" замедленного действия, добавьте еще в придачу работу в сервисах подобных Диадок без письменного доп соглашения, как раньше.
Такой ключ "неэкспортируемого" сертификата каждый раз при использовании попадает в оперативную память компьютера пользователя для обработки CSP КриптоПРО, а дальше троян может делать с таким ключом все, что угодно в отличии от неизвлекаемых ключей по протоколу PKCS11.
Например, троян или оператор трояна может выписать от имени владельца сертификата долговую расписку на цать миллионов рублей и ,может быть, даже взять кредит, а потом рассказывайте про безопасность неэкспортируемых ключей банкстерским коллекторам в отделении полиции.
...
Вы слишком преувеличиваете, но доля правды есть.
Хотя если соблюдать минимальные правила безопасности СКЗИ и использовать нормальные АЗИ (а не какие то типа защитники от MS), то даже если кто то ваш неэкспортируемый ключ получит, то не думаю что ему хватит года, чтоб взломать пароль даже из 8 символов, но у вас скорее всего он не меньше 12 и по всем правилам строгости.
Так же вы уверен используете НСД дополнительно по всем таким же правилам, а это еще значит несколько лет задержки получения такого ключа.
И не забывайте ещё использовать СКЗИ-канал, до того ресурса, где используете подпись, а лучше чтоб это было отдельное место без интернета совсем и все механизмы подписания (и не забудьте так же и запроса на ЭП) должны делаться на этом месте, чтоб исключить риски, что подмены запроса и передать потом ваш запрос желательно лично в руки УЦ т.к. канала СКЗИ тоже не надёжные.
Я могу вам прислать даже закрытую часть контейнера (скажите куда) и если вы за год взломаете алгоритм (год я беру по понятной думаю причине, срок жизни сертификата и контейнера), то вся система значит наша полностью требует перестроения и не чего не стоит.
Ключи подобные тому какой вы создать хотите пока имеют только один "+" (и то пока не везде) - они не требуют НЕ КАКОГО стороннего ПО СКЗИ для работы и только.
Но это же и является "-" т.к. не все, а практически только выделенные системы, умеют работать с такими ключами. Сейчас эта тенденция менятся т.к. по ЕГАИС сильно много вовлекли участников ИП и ЮЛ и дороговато использовать лишнее ПО там, и так же пока единственная компания выпустила более менее полноценное ПО КриптоПро 5 которое работает с такими ключами и за счёт этого их теперь можно применять как "обычные" в том числе и в 1С и на других ресурсах.
В остальном от этого ключа не было не какого толка т.к. его негде нельзя было использовать.
А что косается безопасности с такими ключами, то вы наверно не видели то, что по ЕГАИС по всей стране запустили и одобрили же такое ФСБ... там пароли в ini файле если вы не знали и на Win и на Lin и меняйте их хоть на 128 символов (хотя по моему там столько не сможет, надо перечитать ограничение) - все эти КЭП просто....
\ Вот вам и безопасность, а сколько у нас алко точек по России знаете... По хорошему такие алко-ключи должны были выдавать не УЦ аккредитованные, а сам ЕГАИС - развернули бы у себя свой УЦ, не какой акредитации не надо (чтоб потом этот ключ не где не применить), и выдавать его именно для своей ИС своим учасникам. \
Но это к слову, вы хотите другого, уверены, что потом применить этот ключ сможете где вам нужно - почему бы и нет.
И если вам кажется этого метода и правда не достаточно
То конечно не кто не запрещает вам сгенерить на ключ контейнер и использовать его по своему усмотрению
\Я показал пример на "своём ПО" там где вы будите делать запрос интерфейс может отличаться, но смысл нет\
! ВАЖНО ! И только не забудьте уточнить ВСЕ параметры и выставить правильно (на примере показал "Размер ключа" иначе запрос вам обработают легко (УЦ по сути не важно что утверждать), но потом какая то ИС может ответить, что "с длиной такого ключа мы не работаем" и т.п.
В остальном всё легко генерируется и вам надо лишь найти УЦ, который возьмёт на себя обязательства проверить ваш сторонний запрос (т.е. созданный не ими по всем требованиям, которые делаются не просто так) и одобрит вам запрос.
В связи с новыми требованиями от 01.07.2020, вы можете получить КЭП по тарифному плану "ЕГАИС" (который вам все предлагали) и участвовать где хотите с этой подписью. На ИС (открытые конечно) которые будут требовать ещё какие то доп. OID от вас, можете подавать в суд т.к. теперь обязаны принимать КЭП.
А КриптоПро 5 у вас я думаю куплена, потому проблем быть не должно.
И вас будет именно такой ключ, кокой вы хотите.
