Как переписать информацию с дискеты на RUtoken

Доброго Вам дня!!! Подскажите пож-та нигде не могу найти ответ на вопрос как можно записать информацию с дискы на рутокен??? Это возможно?

Re: Как переписать информацию с дискеты на RUtoken

Запись/чтение информации на/с Rutoken должна осуществлять программа работающая  с этой информацией. Если Вы хотите перенести на Rutoken например секретный ключ ЭЦП, то это выполняется обычно программой осуществляющей ЭЦП.

Re: Как переписать информацию с дискеты на RUtoken

Не совсем понятно - чем я могу записать в токен содержимое  транспортного контейнера pkcs12, так, чтобы оно там оказалось в виде нормальных ключей и сертификатов?

Re: Как переписать информацию с дискеты на RUtoken

Ключи и сертификаты сами по себе работать не будут. Для того чтобы подписать сообщение нужна программа, например криптопровайдер который должен проверять подпись под сертификатом находящегося в транспортном контейнере pkcs12, а также  поддерживать работу с внешними носителями секретных ключей (Rutoken).
Работа с Rutoken может осуществляться напрямую или через интерфейс PKCS11

Re: Как переписать информацию с дискеты на RUtoken

Дмитрий Соколов пишет:

Ключи и сертификаты сами по себе работать не будут.

Логично. :)

Для того чтобы подписать сообщение нужна программа, например криптопровайдер который должен проверять подпись под сертификатом находящегося в транспортном контейнере pkcs12, а также  поддерживать работу с внешними носителями секретных ключей (Rutoken).

Насколько я знаю, pkcs12 - это транспортный формат и работать прямо оттуда ключи и сертификаты вооще не должны. :)

Меня интересует - какое ПО обеспечивает следующие функции:

1. Загрузить (импортировать) содержимое контейнера pkcs12 из файла в токен.
2. Иметь возможность посмотреть - что в настоящий момент в токен загружено.
3. Иметь возможность экспорта сертификатов в "системное хранилище Windows" (через IE или оснастку).
4. Иметь возможность удаления ключей и сертификатов из токена.

Т.е., как мы видим, пока никакого "криптопровайдера" мы не задействуем, и, на мой взгляд, эти функции должно выполнять программное обеспечение токена.

Далее, в браузерах вообще, и в IE в частности, есть возможность работы с сертификатами, записанными в токенах и смарт-картах. В случае rutoken - эта возможность как-то реализована?

Работа с Rutoken может осуществляться напрямую или через интерфейс PKCS11

Да вот и хочется понять: какая программа обеспечивает этот "интерфейс"?

Re: Как переписать информацию с дискеты на RUtoken

Andrey Y. Ostanovsky пишет:

Не совсем понятно - чем я могу записать в токен содержимое  транспортного контейнера pkcs12, так, чтобы оно там оказалось в виде нормальных ключей и сертификатов?

Андрей, все зависит от такого о каком именно pkcs12 Вы говорите.

PKCS12 (для Windows такие контейнеры - файлы PFX) представляет собой зашифрованный файл. Содержимое контейнера: ключевая пара, сертификат X509, и некоторая дополнительная информация.
Любая ключевая пара создана по какому либо алгоритму (наиболее распрастранненными являются RSA и ГОСТ 34.10 - 2001, DSA).

Andrey Y. Ostanovsky пишет:

Т.е., как мы видим, пока никакого "криптопровайдера" мы не задействуем, и, на мой взгляд, эти функции должно выполнять программное обеспечение токена.

Далее, в браузерах вообще, и в IE в частности, есть возможность работы с сертификатами, записанными в токенах и смарт-картах. В случае rutoken - эта возможность как-то реализована?

Да вот и хочется понять: какая программа обеспечивает этот "интерфейс"?

В ОС Windows для работы с ключевыми парами и соответсвующими им сертификатами обеспечивают специальные модули - криптопровайдеры. (Cryptographic Service Provider). Некоторое количество криптовайдеров входит в состав OC.
Схема использования сертификатов и ключевых пар любым приложением в ОС Windows следующая:
1. Сертификат должен быть заранее зарегестрирован в локальном хранилище сертификатов. Там же храниться информация о алгоритме и ссылка на ключевой контейнер;
2. Приложение для выполнения ЭЦП или шифрования обращается к сертификату и запрашивает ключевую пару, посредствам обращения к соответсвующему криптопровайдеру (определяется алгоритмом);
3. Криптопровайдер выполняет запрашиваемую криптографическую операцию и возвращает результат приложению.
Где при этом хранится в действительности ключевая пара (на дискете, токене, в реестре и т.д.) приложению совершенно все равно.

Действительно, в состав драйверов Rutoken входит криптопровайдер (Aktiv ruToken CSP v1.0), позволяющий использовать ключевые пары и сертификаты RSA, хранящиеся на Rutoken.
Кроме того в качестве отдельных продуктов существует поддержка криптопровайдеров КриптоПро и СигналКом.

Andrey Y. Ostanovsky пишет:

Меня интересует - какое ПО обеспечивает следующие функции:

1. Загрузить (импортировать) содержимое контейнера pkcs12 из файла в токен.
2. Иметь возможность посмотреть - что в настоящий момент в токен загружено.
3. Иметь возможность экспорта сертификатов в "системное хранилище Windows" (через IE или оснастку).
4. Иметь возможность удаления ключей и сертификатов из токена.

Теперь по ПО:
1. Aktiv ruToken CSP v1.0: позволяет использовать ключевые пары и сертификаты RSA, хранящиеся на Rutoken.
Для просмотра, импорта/экспорта, регистрации сертификатов RSA используется утилита rtCert. Получить ее можно написав письмо в техническую поддержку компании Актив (hotline@rutoken.ru).
2. КриптоПро CSP (все версии): весь этот функционал реализован в панели управления, в оснастке управления КриптоПро. С СигналКом все аналогично.
3. Кроме того существует возможность использовать Rutoken для хранения ключевых пар и сертификатов через интерфейс PKCS11. Отдельного ПО для просмотра, импорта/экспорта, удаления данных в формате PKCS11 на Rutoken нет - все эти операции выполняются на прямую через приложение, в котором используются криптооперации через PKCS11 (например, Mozilla).

Михаил Курский
Руководитель отдела разработки прикладного ПО Rutoken, Компания "Актив"

Re: Как переписать информацию с дискеты на RUtoken

MKurskiy пишет:
Andrey Y. Ostanovsky пишет:

Не совсем понятно - чем я могу записать в токен содержимое  транспортного контейнера pkcs12, так, чтобы оно там оказалось в виде нормальных ключей и сертификатов?

Андрей, все зависит от такого о каком именно pkcs12 Вы говорите.

PKCS12 (для Windows такие контейнеры - файлы PFX) представляет собой зашифрованный файл. Содержимое контейнера: ключевая пара, сертификат X509, и некоторая дополнительная информация.
Любая ключевая пара создана по какому либо алгоритму (наиболее распрастранненными являются RSA и ГОСТ 34.10 - 2001, DSA).

http://en.wikipedia.org/wiki/PKCS, на мой взгляд, достаточно однозначно определяет - что имеется ввиду под pkcs12: ключ плюс сертификатЫ, зашифрованные "транспортным" паролем.

3. Криптопровайдер выполняет запрашиваемую криптографическую операцию и возвращает результат приложению.
Где при этом хранится в действительности ключевая пара (на дискете, токене, в реестре и т.д.) приложению совершенно все равно.

Если бы это действительно было "все равно" - то ключи можно было бы хранить на гораздо более дешевой и емкой флэшке.:) Преимущества токена, как хранилища ключей, в том, что ключ нормальным способом нельзя извлечь из токена, тем самым предотвращается кража персональной информации. Ну, по крайней мере, производителями других токенов такое свойство их продукции анонсировано.

Действительно, в состав драйверов Rutoken входит криптопровайдер (Aktiv ruToken CSP v1.0), позволяющий использовать ключевые пары и сертификаты RSA, хранящиеся на Rutoken.
Кроме того в качестве отдельных продуктов существует поддержка криптопровайдеров КриптоПро и СигналКом.

Отдельные продукты, кроме необходимости установки и обучения персонала, вероятно, стоят отдельных денег? :) А хочется обойтись штатными стредствами, встроенными в "лучшую в мире операционную систему". Судя по документации - там достаточно много встроено для работы со смарт-картами.

1. Aktiv ruToken CSP v1.0: позволяет использовать ключевые пары и сертификаты RSA, хранящиеся на Rutoken.
Для просмотра, импорта/экспорта, регистрации сертификатов RSA используется утилита rtCert. Получить ее можно написав письмо в техническую поддержку компании Актив (hotline@rutoken.ru).

А, если не секрет, что не так с этой утилитой? На этом форуме и на сайте я несколько раз натыкался на упоминание утилиты и на то, что она распространяется только по письменной заявке? Какие-то лицензионные ограничения?

3. Кроме того существует возможность использовать Rutoken для хранения ключевых пар и сертификатов через интерфейс PKCS11. Отдельного ПО для просмотра, импорта/экспорта, удаления данных в формате PKCS11 на Rutoken нет - все эти операции выполняются на прямую через приложение, в котором используются криптооперации через PKCS11 (например, Mozilla).

Вот, именно эта возможность мне и требуется. Надеюсь, на этой неделе нам питерские представители поставят базовый комплект rutoken-а и я смогу это заявление проверить.

Re: Как переписать информацию с дискеты на RUtoken

Andrey Y. Ostanovsky пишет:

http://en.wikipedia.org/wiki/PKCS, на мой взгляд, достаточно однозначно определяет - что имеется ввиду под pkcs12: ключ плюс сертификатЫ, зашифрованные "транспортным" паролем.

Если уж Вы заговорили о стандартах, давайте ссылаться на официальные документы, а не статьи из псевдо-научной энциклопедии.
http://www.rsa.com/rsalabs/node.asp?id=2138

Andrey Y. Ostanovsky пишет:

Если бы это действительно было "все равно" - то ключи можно было бы хранить на гораздо более дешевой и емкой флэшке.:) Преимущества токена, как хранилища ключей, в том, что ключ нормальным способом нельзя извлечь из токена, тем самым предотвращается кража персональной информации. Ну, по крайней мере, производителями других токенов такое свойство их продукции анонсировано.

Да, действительно, абсолютно все равно. Приложение (почтовые клиенты, браузеры, и т.д.), при использовании криптографических операций, даже неможет определить из какого именно места зачитывается ключевая информация.
А вот человеку, использующему криптографические операции для своих нужд шифрования или ЭЦП данных, не должно быть все равно. И есть выбор хранить ключевую информацию безопасно или в открытом виде, как Вы правильно заметили - на флэшке или дискете.
Применение электронных токенов значительно уменьшает вероятность утечки ключевой информации. Конечно, и Rutoken такими свойствами обладает.
Применять такие устройства или нет - это в любом случае выбор человека.

Andrey Y. Ostanovsky пишет:

Отдельные продукты, кроме необходимости установки и обучения персонала, вероятно, стоят отдельных денег? :) А хочется обойтись штатными стредствами, встроенными в "лучшую в мире операционную систему". Судя по документации - там достаточно много встроено для работы со смарт-картами.

О какой именно ОС Вы говорите?
Комплект драйверов Rutoken работает пока только на ОС Windows.
Если, Вы именно о Windows - тогда, как я уже упоминал, в состав драйверов входит CSP, обеспечивающий использование Rutoken в качестве ключевого носителя для стандартных средств, входящих в состав ОС. Работа с Rutoken осуществляется точно так же, как с любой другой смарт-картой.
Подбробнее посмотреть о использовании смарт-карт в Windows можно здесь:
http://www.microsoft.com/technet/securi … fault.mspx
http://msdn2.microsoft.com/en-us/library/aa380142.aspx
Кроме того, компанией Актив разработан продукт "Rutoken для MS Windows". Продукт содержит достаточно подробную документацию по настройке базовых сервисов безопасности в ОС Windows.


Andrey Y. Ostanovsky пишет:

А, если не секрет, что не так с этой утилитой? На этом форуме и на сайте я несколько раз натыкался на упоминание утилиты и на то, что она распространяется только по письменной заявке? Какие-то лицензионные ограничения?

В скором времени будет новая версия в несколько другом виде. Будет входит в состав драйверов.
На текущий момент, эта утилита требуется достатоно ограниченному кругу лиц - высылаем бесплатно, по требованию. Ни каких лицензионных ограничений на использование утилиты rtCert нет.

Михаил Курский
Руководитель отдела разработки прикладного ПО Rutoken, Компания "Актив"

Re: Как переписать информацию с дискеты на RUtoken

Увы, первые попытки использования rutoken - меня разочаровали.

Заливка ключей и сертификатов из файлов pkcs12 в сам токен работает нормально - к этой части пока претензий нет. На работе залили в 32к токен 4 попавшихся под руку сертификата, никаких паролей по-умолчанию не меняли. Приношу токен на домашнюю машину, где до этого не было ни одного ключа. Ставлю ПО с диска, вставляю токен. Радостное мигание лампочками, после чего все четыре сертификата, безо всякого ввода пин-кода, оказываются экспортированными в хранилище серификатов. Во, думаю, качественная защита! Дальше - больше... Браузеры: что firefox, что IE - позволяют просмотреть содержимое токена не спрашивая пин-кода, при попытке авторизации на https сервере - IE в окошке выбора сертификатов не показывает ничего, гораздо интереснее ведет себя firefox - он по 40 секунд (радостно мигая светодиодом) отрабатывает любое обращение к криптоапи, или к чему-то близкому. Страница https, состоящая из нескольких элементов, запрашивает сертификат для каждого из них (и это нормально), но минута бессмысленного мигания на каждый элемент - это уже слишком! В результате - мне так и не удалось авторизоваться ни одним из браузеров.

Токены других производителей по этой схеме работают. Может быть есть более рабочие версии ПО, по сравнению с тем, что идет на диске "Стартового комплекта"?

Re: Как переписать информацию с дискеты на RUtoken

Andrey Y. Ostanovsky пишет:

Радостное мигание лампочками, после чего все четыре сертификата, безо всякого ввода пин-кода, оказываются экспортированными в хранилище серификатов. Во, думаю, качественная защита!

Андрей, сертификат - не секретный объект данных. На Rutoken сертификаты хранятся в открытом виде - это правильно, то есть соответсвует стандартам.
Windows сама перебирает сертификаты с подключенной смарт-карты и РЕГЕСТРИРУЕТ (а не экспортирует, как Вы заметили) их в локальном хранилище. Регистрация сертификата - это процесс сохранения сертификата в локальном хранилище вместе с ссылкой на ключевую пару (т.е. криптопровайдер и имя контейнера).
НИ К КАКОМУ НАРУШЕНИЮ БЕЗОПАСНОСТИ ключевой информации это НЕ приводит. И так это работает со всеми смарт-картами и токенами.

Andrey Y. Ostanovsky пишет:

Дальше - больше... Браузеры: что firefox, что IE - позволяют просмотреть содержимое токена не спрашивая пин-кода...

И это тоже номально. Сертификат - отрытая информация. Еще раз подчеркну, что так это работает со всеми смарт-картами.

Andrey Y. Ostanovsky пишет:

...при попытке авторизации на https сервере - IE в окошке выбора сертификатов не показывает ничего, гораздо интереснее ведет себя firefox - он по 40 секунд (радостно мигая светодиодом) отрабатывает любое обращение к криптоапи, или к чему-то близкому. Страница https, состоящая из нескольких элементов, запрашивает сертификат для каждого из них (и это нормально), но минута бессмысленного мигания на каждый элемент - это уже слишком! В результате - мне так и не удалось авторизоваться ни одним из браузеров.

Если в IE не видно ни чего - значит либо сертификат не подходит для аутенфикации на этом http сервере, либо сертификат не зарегестрирован в локальном хранилище, либо не правильно сконфигурирован http сервер. Для более подробной информации смотрите справку по http серверу или обратитетсь в техническую поддержку компании Актив.

Mozilla работает со смарт-картами по стандарту PKCS11.
В итоге корень проблемы тотже что и в случае с IE - скорее всего сертифитат помещенный на токен не подходит для аутентификации на этом http сервере.

По-поводу минуты моргания: это вопрос к разработчикам Mozilla - насколько оптимально сделано использование смарт-карты. В ПО Rutoken на текущий момент не используется ни какое кэширование (для более высокго уровня безопасности), по этому при доступу к одним и тем же объектам они вновь зачитываются с токена. В ходе наших экспериментов и тестирования таких проблем не возникает.

Andrey Y. Ostanovsky пишет:

Токены других производителей по этой схеме работают.

По какой схеме? Вы, к сожалению, не описали как именно что у Вас настроено. И одни ли и теже сертификаты Вы пробовали? - это вызывает сильное сомнение.

Andrey Y. Ostanovsky пишет:

Может быть есть более рабочие версии ПО, по сравнению с тем, что идет на диске "Стартового комплекта"?

Среди продуктов компании Актив нет продукта под названием "Стартовый комплект". Возможно Вы имели ввиду "Комплект разработчика".
На текущий момент "Комплект разработчика" действительно давно не обновлялся - более свежие версии драйверов можно найти на сайте www.rutoken.ru в разделе Загрузки.

Михаил Курский
Руководитель отдела разработки прикладного ПО Rutoken, Компания "Актив"

Re: Как переписать информацию с дискеты на RUtoken

MKurskiy пишет:
Andrey Y. Ostanovsky пишет:

Дальше - больше... Браузеры: что firefox, что IE - позволяют просмотреть содержимое токена не спрашивая пин-кода...

И это тоже номально. Сертификат - отрытая информация. Еще раз подчеркну, что так это работает со всеми смарт-картами.

Сертификат - несомненно открытая информация, но поведение ключа - не совпадает с тем, что я видел при работе с другими токенами. Да и какой смысл в том, чтобы отдать наружу сертификаты, если я не планирую с ними работать?

Вот, представьте, пришел я на чужую машину, поработал, и там остаются лишние данные о _всех_ сертификатах, имеющихся на моем токене. Информация - не секретная, но и размахивать ей - полная глупость.

Еще раз повторю - смарт-карты, с которыми я работал, ничего не отдают пока пользователь не введет pin-код, и это, на мой взгляд, правильное поведение.

Andrey Y. Ostanovsky пишет:

...при попытке авторизации на https сервере - IE в окошке выбора сертификатов не показывает ничего, гораздо интереснее ведет себя firefox - он по 40 секунд (радостно мигая светодиодом) отрабатывает любое обращение к криптоапи, или к чему-то близкому. Страница https, состоящая из нескольких элементов, запрашивает сертификат для каждого из них (и это нормально), но минута бессмысленного мигания на каждый элемент - это уже слишком! В результате - мне так и не удалось авторизоваться ни одним из браузеров.

Если в IE не видно ни чего - значит либо сертификат не подходит для аутенфикации на этом http сервере, либо сертификат не зарегестрирован в локальном хранилище, либо не правильно сконфигурирован http сервер. Для более подробной информации смотрите справку по http серверу или обратитетсь в техническую поддержку компании Актив.

Mozilla работает со смарт-картами по стандарту PKCS11.
В итоге корень проблемы тотже что и в случае с IE - скорее всего сертифитат помещенный на токен не подходит для аутентификации на этом http сервере.

На других токенах - в окошке выбора IE сертификаты обычно видны независимо от того, подходят они или не подходят. Это в мозилле нужно принудительно выставлять поведение, при котором пользователю будет предложен выбор, и как раз мозилла с установками по-умолчанию начинает долго общаться с сервером - т.е., как Вы выражаетесь, "сертификат подходит для аутентификации". А про регистрацию в локальном хранилище - Вы же сами сказали, что система автоматически РЕГИСТРИРУЕТ.

По-поводу минуты моргания: это вопрос к разработчикам Mozilla - насколько оптимально сделано использование смарт-карты. В ПО Rutoken на текущий момент не используется ни какое кэширование (для более высокго уровня безопасности), по этому при доступу к одним и тем же объектам они вновь зачитываются с токена. В ходе наших экспериментов и тестирования таких проблем не возникает.

Andrey Y. Ostanovsky пишет:

Токены других производителей по этой схеме работают.

По какой схеме? Вы, к сожалению, не описали как именно что у Вас настроено. И одни ли и теже сертификаты Вы пробовали? - это вызывает сильное сомнение.

Ну, сами подумайте - если есть работающая схема аутентификации на апаче, зачем создавать дополнительные сертификаты - проще взять готовый файл с ключами и залить в токен, что и было сделано. :) Нужна возможность записи отладочных логов.

Andrey Y. Ostanovsky пишет:

Может быть есть более рабочие версии ПО, по сравнению с тем, что идет на диске "Стартового комплекта"?

Среди продуктов компании Актив нет продукта под названием "Стартовый комплект". Возможно Вы имели ввиду "Комплект разработчика".
На текущий момент "Комплект разработчика" действительно давно не обновлялся - более свежие версии драйверов можно найти на сайте www.rutoken.ru в разделе Загрузки.

Вероятно, мы с Вами говорим о разных вещах и разных продуктах.:(


Стартовый комплект Rutoken для Windows      1600р.

Re: Как переписать информацию с дискеты на RUtoken

Andrey Y. Ostanovsky пишет:

Сертификат - несомненно открытая информация, но поведение ключа - не совпадает с тем, что я видел при работе с другими токенами. Да и какой смысл в том, чтобы отдать наружу сертификаты, если я не планирую с ними работать?

Вот, представьте, пришел я на чужую машину, поработал, и там остаются лишние данные о _всех_ сертификатах, имеющихся на моем токене. Информация - не секретная, но и размахивать ей - полная глупость.

Еще раз повторю - смарт-карты, с которыми я работал, ничего не отдают пока пользователь не введет pin-код, и это, на мой взгляд, правильное поведение.

1. Это делает система, ОС, а точнее ее компонент Smartcard Service. Смысл в том, чтобы сертификаты вообще можно было использовать под данной учетной записью. А планируете или нет - ОС об этом ни как не узнает. Если подключили смарт-карту (а смарт-карта - устройство персональное!) - значит планируете.
2. Под какой учетной записью Вы работаете на чужой машине? и что значит на чужой? Еще раз подчеркну смарт-карта (как и токен) - устройство персональное.
3. Это не соответсвует действительности. Все смарт-карты в ОС Windows работают практически одинаково, а именно сертификаты в файловой системе лежат в файлах доступных для чтения без пин-кода - это одно из требований к крипто-провайдеру (перебор сертификатов с подклченной смарт-карты должен отрабатывать без участия пользователя). Некоторые производители смарт-карт или токенов включают в свои драйвера дополнительные сервисы, которые несколько модифицируют поводение ОС, например вычищают локальное хранилище от сертификатов, если смарт-карта не подключена. Но еще раз замечу - это не стандартное поводение.

Andrey Y. Ostanovsky пишет:

На других токенах - в окошке выбора IE сертификаты обычно видны независимо от того, подходят они или не подходят. Это в мозилле нужно принудительно выставлять поведение, при котором пользователю будет предложен выбор, и как раз мозилла с установками по-умолчанию начинает долго общаться с сервером - т.е., как Вы выражаетесь, "сертификат подходит для аутентификации". А про регистрацию в локальном хранилище - Вы же сами сказали, что система автоматически РЕГИСТРИРУЕТ.

Локальное хранилище не имеет ни какого отношения к стандарту PKCS11. Локальное хранилище доступно для программных средств работающих с сертификатами через CryptoAPI или Crypto Next Generation интерфейсы (т.е. через криптопровайдер). Mozilla работает через PKCS11 интерфейс. Чтобы Mozilla в принципе увидила сертификаты записанные на Rutoken необходимо сделать дополнительные настройки браузера. Если браузер настроен правильно на работу с конкрентной реализацей PKCS11 (для Rutoken это модуль rtPKCS11.dll), а сертификаты тем не менее не видны - то причина кроется не в ПО токена, а либо в содержимом сертификата, либо в настройках рабоыт с сертификатамы самого браузера.

Andrey Y. Ostanovsky пишет:

Ну, сами подумайте - если есть работающая схема аутентификации на апаче, зачем создавать дополнительные сертификаты - проще взять готовый файл с ключами и залить в токен, что и было сделано. :) Нужна возможность записи отладочных логов.

1. Каким именно образом Вы "заливали" сертификат на Rutoken? Возможно это было сделано не правильно.
2. Каких логов? и каких отладночных средств? и Что Вы собираетесь отлаживать? Пожалуйста, выражайтесь конкретнее.

Andrey Y. Ostanovsky пишет:

Вероятно, мы с Вами говорим о разных вещах и разных продуктах.:(


Стартовый комплект Rutoken для Windows      1600р.

Да действительно, есть продукт "Rutoken для Windows". В его состав входят Драйверы и Документация по настройке основных сервисов безопасности на основе сертификатов в ОС Windows.
Драйверы в этом случае также необходимо обновлять. Это можно сделать скачав драйверы с сайта rutoken.ru

Михаил Курский
Руководитель отдела разработки прикладного ПО Rutoken, Компания "Актив"

Re: Как переписать информацию с дискеты на RUtoken

MKurskiy пишет:

1. Это делает система, ОС, а точнее ее компонент Smartcard Service. Смысл в том, чтобы сертификаты вообще можно было использовать под данной учетной записью. А планируете или нет - ОС об этом ни как не узнает. Если подключили смарт-карту (а смарт-карта - устройство персональное!) - значит планируете.

Но не со всеми же сразу.:)

2. Под какой учетной записью Вы работаете на чужой машине? и что значит на чужой? Еще раз подчеркну смарт-карта (как и токен) - устройство персональное.

Я немножко расскажу - для чего у нас используются токены.

Есть некий ресурс в интернете, где представлена, скажем так, дилерская информация. И есть ограниченный круг лиц, которые хотели бы иметь возможность безопасно пользоваться этим ресурсом из любой точки сети таким образом, чтобы не таскать с собой ноутбук, и, в то же время, не оставлять возможности "заинтересованным лицам" подключиться самостоятельно. Схема, при которой сотрудник приезжает в чужой офис с токеном (и драйверами к нему), и с любого компьютера может сразу оформить заказ и запустить его в работу - всех устраивает. Более того - эта схема уже второй год успешно работает. Просто поставщики тех токенов, которыми мы пользуемся сейчас, начали, на мой взгляд, неоправданно поднимать ценники, а тут на глаза попалась Ваша фирма, которая, ко всему прочему, обладает русскоговорящими техническими специалистами. :)

3. Это не соответсвует действительности. Все смарт-карты в ОС Windows работают практически одинаково, а именно сертификаты в файловой системе лежат в файлах доступных для чтения без пин-кода - это одно из требований к крипто-провайдеру (перебор сертификатов с подклченной смарт-карты должен отрабатывать без участия пользователя). Некоторые производители смарт-карт или токенов включают в свои драйвера дополнительные сервисы, которые несколько модифицируют поводение ОС, например вычищают локальное хранилище от сертификатов, если смарт-карта не подключена. Но еще раз замечу - это не стандартное поводение.

Тогда встречный вопрос - а можно ли будет доработать эту функциональность драйверов (очистка локального хранилища в момент извлечения токена/на следующем цикле опроса токена драйвером)?

Andrey Y. Ostanovsky пишет:

На других токенах - в окошке выбора IE сертификаты обычно видны независимо от того, подходят они или не подходят. Это в мозилле нужно принудительно выставлять поведение, при котором пользователю будет предложен выбор, и как раз мозилла с установками по-умолчанию начинает долго общаться с сервером - т.е., как Вы выражаетесь, "сертификат подходит для аутентификации". А про регистрацию в локальном хранилище - Вы же сами сказали, что система автоматически РЕГИСТРИРУЕТ.

Локальное хранилище не имеет ни какого отношения к стандарту PKCS11. Локальное хранилище доступно для программных средств работающих с сертификатами через CryptoAPI или Crypto Next Generation интерфейсы (т.е. через криптопровайдер). Mozilla работает через PKCS11 интерфейс. Чтобы Mozilla в принципе увидила сертификаты записанные на Rutoken необходимо сделать дополнительные настройки браузера. Если браузер настроен правильно на работу с конкрентной реализацей PKCS11 (для Rutoken это модуль rtPKCS11.dll), а сертификаты тем не менее не видны - то причина кроется не в ПО токена, а либо в содержимом сертификата, либо в настройках рабоыт с сертификатамы самого браузера.

Я думаю, воизбежание путаницы, надо разделить ветки вопросов по двум направлениям IE (CryptoAPI) и мозилла (PKCS11). Сейчас заново установлю систему, свежие драйвера и попробую. При необходимости просто откроем отдельные ветки на форуме.

1. Каким именно образом Вы "заливали" сертификат на Rutoken? Возможно это было сделано не правильно.
2. Каких логов? и каких отладночных средств? и Что Вы собираетесь отлаживать? Пожалуйста, выражайтесь конкретнее.

Заливали с помощью той самой утилиты, которая "высылается по заявке" - на CD она есть и ставится при инсталляции ПО вместе с драйверами. А логи и отладочные средства нужны для того, чтобы ваши специалисты могли проверить - действительно ли "это было сделано неправильно". :) На самом деле, могу рассказать на какие грабли мы встали, когда только начали работать с токенами - оказалось, что ПО одного из токенов смотрит раздел сертификата:

            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Certificate Sign, CRL Sign

и не позволяет работать с сертификатами, сгенерированными без этих параметров. Причем делается это молча, визуально - была на иконке сертификата в хранилище лишняя закорючка-ленточка. И Мозилла и IE, при работе просто из pkcs12 файла - не смотрят на эти параметры и нормально работают. Возможно, что и в случае с rutoken мы встали на подобные грабли, но пока не определились - на какие.

Re: Как переписать информацию с дискеты на RUtoken

Andrey Y. Ostanovsky пишет:

Есть некий ресурс в интернете, где представлена, скажем так, дилерская информация. И есть ограниченный круг лиц, которые хотели бы иметь возможность безопасно пользоваться этим ресурсом из любой точки сети таким образом, чтобы не таскать с собой ноутбук, и, в то же время, не оставлять возможности "заинтересованным лицам" подключиться самостоятельно. Схема, при которой сотрудник приезжает в чужой офис с токеном (и драйверами к нему), и с любого компьютера может сразу оформить заказ и запустить его в работу - всех устраивает. Более того - эта схема уже второй год успешно работает. Просто поставщики тех токенов, которыми мы пользуемся сейчас, начали, на мой взгляд, неоправданно поднимать ценники, а тут на глаза попалась Ваша фирма, которая, ко всему прочему, обладает русскоговорящими техническими специалистами.

Задача понятна - для того чтобы это настроить необходимо изучить документацию к Вашему www server'y и разобраться какими именно свойствами должен обладать сертификат и ключавая пара для аутентификации. Реализовать это в настройках сервера и соответсвующей программы клиента. Если браузер позволяет работать с устройствами типа смарт-карт - должно все работать. Если будут более конкретные технические вопросы - обращайтесь в техническую поддержку.

Andrey Y. Ostanovsky пишет:

Тогда встречный вопрос - а можно ли будет доработать эту функциональность драйверов (очистка локального хранилища в момент извлечения токена/на следующем цикле опроса токена драйвером)?

Да это возможно в перспективе, по срокам пока ни чего сказать не могу.

Andrey Y. Ostanovsky пишет:

Заливали с помощью той самой утилиты, которая "высылается по заявке" - на CD она есть и ставится при инсталляции ПО вместе с драйверами. А логи и отладочные средства нужны для того, чтобы ваши специалисты могли проверить - действительно ли "это было сделано неправильно". :) На самом деле, могу рассказать на какие грабли мы встали, когда только начали работать с токенами - оказалось, что ПО одного из токенов смотрит раздел сертификата:

            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Certificate Sign, CRL Sign

и не позволяет работать с сертификатами, сгенерированными без этих параметров. Причем делается это молча, визуально - была на иконке сертификата в хранилище лишняя закорючка-ленточка. И Мозилла и IE, при работе просто из pkcs12 файла - не смотрят на эти параметры и нормально работают. Возможно, что и в случае с rutoken мы встали на подобные грабли, но пока не определились - на какие.

1. Утилита rtCert включена не пакет драйверов, а в продукт "Rutoken для MS Windows".
2. С момента выхода последнего релиза "Rutoken для MS Windows" утилита претепела ряд изменений - для получения более новой версии следует обращаться в техническую поддержку.
3. Если сертификат помещается на Rutoken с помощью rtCert - то он совершенно точно записан правильно - ни какие логи тут не нужны.
4. PKCS12 - транспортный контейнер, использовать сертификаты прямо из файла формата PKCS12 невозможно. Для начала необходимо поместить сертификат, в случае с IE - в локальное хранилище, и ключевую пару записать в хранилище определенного криптопровайдера (куда именно определяется криптопровайдером), в случае с Firefox в хранилище браузера, либо PKSC11 хранилище. При этом свойства некоторые свойства ключевой пары (например имя контейнера) определяются местом ее хранения. Для разных ключевых носителей эти свойства могут различатся. Следует ознакомиться с документацией браузера и понять поддерживается ли работа с ключевыми парами хранящимися на смарт-карте для целей аутентификации на www server'e.
5. Свойства, описанные Вами - это свойства сертификата и ключевой пары, не зависящие от ключевого носителя, они хранятся в подписанной структуре данных (собственно представление X509), сертификате. Таким образом вполне разумно предположить, что либо набора этих свойств недостаточно, либо есть некоторое несоответсвие в настройках сервера.
6. Для того, чтобы IE позволил использовать сертификат для аутентификации на Web сервере, сертификат должен содержать следующее значение в составе Enhanced Key Usage: Client Authentication (1.3.6.1.5.5.7.3.2).
Для Firefox, по моему (могу ошибится - необходима проверка) в составе Netscape Cert Type: SSL Client Authentication.

Михаил Курский
Руководитель отдела разработки прикладного ПО Rutoken, Компания "Актив"

Re: Как переписать информацию с дискеты на RUtoken

Михаил, такое ощущение, что Вы пытаетесь мне объяснять как это _должно_ работать в теории, а я Вам говорю - как это работает на практике, т.е. то, с чем я или мои коллеги сталкивались лично.