Тема от root-token

  • root-token
  • Посетитель
  • Неактивен

Несколько вопросов по Rutoken ЭЦП

Здравствуйте! Меня интересует:
1. Включают ли возможности Rutoken ЭЦП возможности простого Rutoken'а (первой и второй (S) версий), помимо преимуществ, о которых говорится на https://www.rutoken.ru/products/rutokends/ или же это совершенно иного типа продукт?;
2. Возможно ли использовать Rutoken ЭЦП для хранения персонального сертификата WebMoney Keeper Light в линуксе.
3. В полном ли объёме обеспечивается работа Rutoken ЭЦП Свободным ПО (opensc-project.org,  M.U.S.C.L.E.) под линуксом?

Заранее благодарен за ответ.

Ответ от Кирилл Мещеряков

  • Кирилл Мещеряков
  • Посетитель
  • Неактивен

Re: Несколько вопросов по Rutoken ЭЦП

Здравствуйте.

1. Да, на низком уровне (PC/SC) возможности Рутокен ЭЦП включают в себя все возможности, предоставляемые Рутокен S.
Однако, из-за жестких привязок к оборудованию, стороннее программное обеспечение, работающее с Рутокен S, без модификаций с Рутокен ЭЦП работать не сможет.
К сожалению, поддержка Рутокен ЭЦП сторонним прикладным программным обеспечением по большей части находится вне зоны нашей ответственности. Однако, смею Вас заверить, что активная работа в этом направлении ведется и некоторые продукты уже почти готовы и скоро будут доступны.

2. Да. Использование Рутокен в Linux аналогично его использованию в MacOS X


3. Да. И opensc-project.org и M.U.S.C.L.E. полностью поддерживают Рутокен ЭЦП в том числе и под Linux.

Ответ от root-token

  • root-token
  • Посетитель
  • Неактивен

Re: Несколько вопросов по Rutoken ЭЦП

Спасибо за исчерпывающий ответ!

Ответ от UsOnly

  • UsOnly
  • Посетитель
  • Неактивен

Re: Несколько вопросов по Rutoken ЭЦП

Кирилл Мещеряков пишет:

Здравствуйте.

1. Да, на низком уровне (PC/SC) возможности Рутокен ЭЦП включают в себя все возможности, предоставляемые Рутокен S.
Однако, из-за жестких привязок к оборудованию, стороннее программное обеспечение, работающее с Рутокен S, без модификаций с Рутокен ЭЦП работать не сможет.

Не совсем понятно в моем случае работать будет или нет и в каком качестве?:

Пользуюсь несколькими банковскими интернет-интерфейсами и приложениями разных банков, где используется ЭЦП и ключи доступа, в том числе одно приложение и один веб-интерфейс используют Интер-Про v.5. фирмы Сигнал-Ком (ключи ЭЦП формировались через их же программу Админ-ПКИ). На ПК стоит Виста.

1)Все банковские интерфейсы поддерживают Токены в том числе те которые работают на ЯВА-машинах, но ключи то изначально формировались на обычных магнитных носителях! Да и банки обычно предлагают Токены какой то "своей" фирмы. Смогу ли я использовать Рутокен ЭЦП как "обычный" Токен, просто закинув туда готовые ключи?

2)Фирма Сигнал-Ком поддерживает Рутокен ЭЦП, в описании Рутокен ЭЦП указано, что имеется функция импорта пары ключей! Смогу ли я просто закинув в токен готовые ключи использовать полностью защиту "Неизвлекаемого ключа" или в данном случае Токен работает просто как Флешка, а для поддержки функции Неизвлекаемого ключа Пару ключей ЭЦП нужно формировать по новой с использованием Токена? Но я не планирую формировать по-новой ключи, так что посоветуете - преобрести "обычный" Токен (без функции неизвлекаемого ключа)?

3)В Вашем каталоге цен сказано, что при использовании с продуктами Сигнал-Ком необходимо дополнительное лицензирование, что это и как его проходить (на сайте Сигнал-Ком что-то ничего не нашел)? Также, существует ли жесткая привязка данного токена на одно частное лицо или им может пользоваться любой кто знает Пин-код?

Ну и наконец я не до конца понимаю принцип работы Токенов: разница с обычной флешкой - только в наличии ПИН-кода - ввел его - открылась флешка, а дальше пока ты работаешь продвинутый хакер может зайти и хакнуть ее содержимое; если у меня на Токене будет несколько ключей разных банков - я открыв доступ к флешке открываю ему все ключи? -или там как то можно прописаить конкретно какому узлу, какому приложению открывается доступ к какому конкретно файлу (ключу) на Токене?

Ответ от Дмитрий Соколов

  • Дмитрий Соколов
  • Администратор
  • Неактивен

Re: Несколько вопросов по Rutoken ЭЦП

UsOnly пишет:

Не совсем понятно в моем случае работать будет или нет и в каком качестве?:

Пользуюсь несколькими банковскими интернет-интерфейсами и приложениями разных банков, где используется ЭЦП и ключи доступа, в том числе одно приложение и один веб-интерфейс используют Интер-Про v.5. фирмы Сигнал-Ком (ключи ЭЦП формировались через их же программу Админ-ПКИ). На ПК стоит Виста.

1)Все банковские интерфейсы поддерживают Токены в том числе те которые работают на ЯВА-машинах, но ключи то изначально формировались на обычных магнитных носителях! Да и банки обычно предлагают Токены какой то "своей" фирмы. Смогу ли я использовать Рутокен ЭЦП как "обычный" Токен, просто закинув туда готовые ключи?

Рутокен ЭЦП может работать (производить вычисления внутри себя) только с не извлекаемыми ключами. Не извлекаемые ключи могут быть сгенерированы с помощью самого Рутокен ЭЦП или записаны внешними приложениями. Но, разработчики крипто приложений могут использовать Рутокен ЭЦП как устройство для защищенного хранения различных объектов, в том числе секретных ключей подписи. Именно так они и поступают с ключами сгенерированными внешними приложениям, т.е.  записывают их на Рутокен ЭЦП в виде файлов. В этом случае, при вычислении ЭЦП ключи считываются с токена и передаваться в ОС.

UsOnly пишет:

2)Фирма Сигнал-Ком поддерживает Рутокен ЭЦП, в описании Рутокен ЭЦП указано, что имеется функция импорта пары ключей! Смогу ли я просто закинув в токен готовые ключи использовать полностью защиту "Неизвлекаемого ключа" или в данном случае Токен работает просто как Флешка, а для поддержки функции Неизвлекаемого ключа Пару ключей ЭЦП нужно формировать по новой с использованием Токена? Но я не планирую формировать по-новой ключи, так что посоветуете - преобрести "обычный" Токен (без функции неизвлекаемого ключа)?

Вы можете на Рутокен ЭЦП хранить как извлекаемые так и не извлекаемые ключи. С точки зрения безопасности лучше использовать разные носители для разных ключей, с точки зрения удобства все ключи  хранить одном токене, выбирать Вам.

UsOnly пишет:

3)В Вашем каталоге цен сказано, что при использовании с продуктами Сигнал-Ком необходимо дополнительное лицензирование, что это и как его проходить (на сайте Сигнал-Ком что-то ничего не нашел)? Также, существует ли жесткая привязка данного токена на одно частное лицо или им может пользоваться любой кто знает Пин-код?

Для того чтобы Рутокен ЭЦП стал виден в приложениях Сигнал-Ком нужно записать на него их лицензию. Это платная процедура для токенов приобретенных не через компанию Сигнал-Ком.

UsOnly пишет:

Ну и наконец я не до конца понимаю принцип работы Токенов: разница с обычной флешкой - только в наличии ПИН-кода - ввел его - открылась флешка, а дальше пока ты работаешь продвинутый хакер может зайти и хакнуть ее содержимое; если у меня на Токене будет несколько ключей разных банков - я открыв доступ к флешке открываю ему все ключи? -или там как то можно прописаить конкретно какому узлу, какому приложению открывается доступ к какому конкретно файлу (ключу) на Токене?

Рутокен в отличии от Flash диска (флешки), при его подключении не отображается в системе как новое логическое устройство, работу с ним осуществляет специализированное ПО. При каждом обращении к Рутокен запрашивается PIN-код, это позволяет контролировать доступ к данным записанным на него. Для удобства работы PIN-код можно кэшировать для определенного процесса, в этом случае при обращении к токену PIN-код будет запрашиваться только один раз. Например, при кэшировании PIN-кода, и хранении на Рутокен разных ключей используемых разными приложениями, работающими через один и тот же  модуль PKCS11, ПИН-код будет запрашиваться один раз при запуске каждого приложения.

Ответ от UsOnly

  • UsOnly
  • Посетитель
  • Неактивен

Re: Несколько вопросов по Rutoken ЭЦП

Дмитрий Соколов пишет:

Рутокен в отличии от Flash диска (флешки), при его подключении не отображается в системе как новое логическое устройство, работу с ним осуществляет специализированное ПО. При каждом обращении к Рутокен запрашивается PIN-код, это позволяет контролировать доступ к данным записанным на него. Для удобства работы PIN-код можно кэшировать для определенного процесса, в этом случае при обращении к токену PIN-код будет запрашиваться только один раз. Например, при кэшировании PIN-кода, и хранении на Рутокен разных ключей используемых разными приложениями, работающими через один и тот же  модуль PKCS11, ПИН-код будет запрашиваться один раз при запуске каждого приложения.

Большое спасибо за ответ! Многое прояснилось, но есть все таки неясность:

1) Согласно инструкции банка ключи с помощью ПО Сигнал-Ком (Админ-ПКИ) генерировались по алгоритму RSA, я так понял он соответствует формату хранения PKCS8, в то время как работа с неизвлекаемыми ключами ведется по формату PKCS11, то есть получается не соответствие форматов и таким образом, не смотря на то что ПО от Сигнал-КОМ поддерживает Рутокен ЭЦП, я все таки не могу использовать функционал "Рутокен ЭЦП" связанный с применением неизвлекаемых ключей и мне нужен "обычный" рутокен в данном случае?

2) Вы пишите, что для работы с токенами используется специализированное ПО. Какое именно: Ваше или скажем Сигнал-КОМа. Какое ПО необходимо, например, чтобы просто просмотреть содержимое Токена? Если можно примеры.

Ответ от Дмитрий Соколов

  • Дмитрий Соколов
  • Администратор
  • Неактивен

Re: Несколько вопросов по Rutoken ЭЦП

UsOnly пишет:

1) Согласно инструкции банка ключи с помощью ПО Сигнал-Ком (Админ-ПКИ) генерировались по алгоритму RSA, я так понял он соответствует формату хранения PKCS8, в то время как работа с неизвлекаемыми ключами ведется по формату PKCS11, то есть получается не соответствие форматов и таким образом, не смотря на то что ПО от Сигнал-КОМ поддерживает Рутокен ЭЦП, я все таки не могу использовать функционал "Рутокен ЭЦП" связанный с применением неизвлекаемых ключей и мне нужен "обычный" рутокен в данном случае?

PKCS - Public Key Cryptography Standards (Криптографические стандарты открытого ключа) разработанным и опубликованным RSA Laboratories. PKCS 8 описывает формат ключа, а PKCS 11 описывает взаимодействия с токеном.  PKCS 11 v  2.30 адаптирован для работы с ГОСТ-овыми алгоритмами, более ранние версии могли работать только с алгоритмами RSA. ПО Сигнал-КОМ поддерживает взаимодействие с Рутокен ЭЦП через PKCS 11 v 2.30, но функционал Рутокен ЭЦП будет задействован только при генерации ключей внутри токена, ключи сгенерированные вне токен будут просто хранится на токене. Поэтому если Вы не планируете внепланово поменять свои ключи, использование Рутокен ЭЦП может быть не целесообразным, по отношению к обычному токену.

UsOnly пишет:

2) Вы пишите, что для работы с токенами используется специализированное ПО. Какое именно: Ваше или скажем Сигнал-КОМа. Какое ПО необходимо, например, чтобы просто просмотреть содержимое Токена? Если можно примеры.


В данном случае взаимодействие с Рутокен (запись ключей и т.д.) осуществляет Сигнал-КОМ. У нас есть утилиты которые позволяют работать с сертификатами Х.509, но в Вашем случае они не помогут, поскольку Интер-Про использует собственный, отличный от Х.509, формат сертификата.