Рутокен ЭЦП

Добрый день!
Начал работать с вашими продуктами, появились вопросы:
1. В каких случаях выполняется аппаратная реализация электронной подписи? Нужно ли для этого специальное программное обеспечение, заточенное под работу с РутокенЭЦП, или же подойдет любое ПО для создания ЭЦП?
2. При использовании РутокенЭЦП в качестве обычного ключевого носителя, операции создания ключевой пары так же проходят аппаратно или выполняются "на стороне"? Если да, то какой криптопровайдер надо выбрать при создании?
3. В чем особенности aktiv rutoken csp v1.0?

Re: Рутокен ЭЦП

Здравствуйте!
Во-первых, нужно определиться, какая именно подпись - RSA или ГОСТ.
Если подпись ГОСТ:
1. Аппаратная подпись может быть реализована при работе через библиотеку PKCS#11(rtPKCS11ECP.*) Библиотек можно использовать напрямую из своего приложения, либо через Рутокен плагин https://www.rutoken.ru/products/all/rutoken-plugin/. Так же существуют криптосервис-провайдеры, которые задейсвуют аппаратную подпись на неизвлекаемых ключах (Signal-COM SCP, VipNET CSP, Lissi и т.п.)
2. Применение Рутокен ЭЦП в качестве "обычного ключевого носителя" подразумевает его использование именно в качестве носителя, то есть криптография "на борту" токена не задействуется, поскольку если пара генерируется "на борту", то и подпись должна происходить "на борту", ведь закрытый ключ является неизвлекаемым.

Если подпись RSA:
3. aktiv rutoken csp работает только с RSA подписью, в том числе "на борту", включая генерацию ключей, для Рутокен ЭЦП
Через PKCS#11 также можно задействовать RSA подпись, например в Mozilla, Chrome и т.д.

Re: Рутокен ЭЦП

То есть, я правильно Вас понял, что использовать РутокенЭЦП для создания корневого сертификата не есть хорошая идея, из-за неизвлекаемости закрытого ключа?

Re: Рутокен ЭЦП

Romato пишет:

То есть, я правильно Вас понял, что использовать РутокенЭЦП для создания корневого сертификата не есть хорошая идея, из-за неизвлекаемости закрытого ключа?

В целом да, наверное не очень хорошая идея. Для удостоверяющего центра лучше использовать HSM, конечно. Рутокен ЭЦП - это все-таки клиентское персональное устройство.
Можете поподробнее рассказать о технической стороне проекта?

Re: Рутокен ЭЦП

Руководство поставило задачу "протестировать" пришедшие Рутокены. В комплекте шли Рутокен S, Рутокен Lite, Рутокен LiteSC и уже упомянутый Рутокен ЭЦП. В частности интересовало сможет ли Рутокен ЭЦП адекватно взаимодействовать с приобретённым Блокхост-ЭЦП на аппаратном уровне.  Если с "S" серией опыт работы был, то остальные в руках держались впервые, поэтому приходится собирать информацию "с мира по нитке".

Re: Рутокен ЭЦП

Ещё один вопрос: какой максимальный размер ключа поддерживается Вашими продуктами?

Re: Рутокен ЭЦП

Romato пишет:

Ещё один вопрос: какой максимальный размер ключа поддерживается Вашими продуктами?

Максимальный размер ключа для какого алгоритма? Ключ извлекаемый или неизвлекаемый?

Re: Рутокен ЭЦП

Romato пишет:

В частности интересовало сможет ли Рутокен ЭЦП адекватно взаимодействовать с приобретённым Блокхост-ЭЦП на аппаратном уровне.

Получилось ли что-нибудь хорошее?

Re: Рутокен ЭЦП

Vladimir Ivanov пишет:

Максимальный размер ключа для какого алгоритма? Ключ извлекаемый или неизвлекаемый?

RSA, для обоих типов ключей.

Vladimir Ivanov пишет:

Получилось ли что-нибудь хорошее?

Проблем с использованием Рутокен ЭЦП не было. Создание запроса на сертификат силами программы и подпись файлов через Aktive RuToken CSP происходят аппаратно - со слов разработчиков Блокхост-ЭЦП.

Re: Рутокен ЭЦП

Romato пишет:
Vladimir Ivanov пишет:

Максимальный размер ключа для какого алгоритма? Ключ извлекаемый или неизвлекаемый?

RSA, для обоих типов ключей.

Рутокен ЭЦП поддерживает неизвлекаемые ключи (генерируемые и импортируемые) до 2048 бит.
Рутокен S и Lite поддерживают извлекаемые RSA ключи до 16K

Re: Рутокен ЭЦП

Vladimir Ivanov пишет:

Здравствуйте!

2. Применение Рутокен ЭЦП в качестве "обычного ключевого носителя" подразумевает его использование именно в качестве носителя, то есть криптография "на борту" токена не задействуется, поскольку если пара генерируется "на борту", то и подпись должна происходить "на борту", ведь закрытый ключ является неизвлекаемым.

Добрый день! Подскажите пожалуйста, возможно ли импортировать уже созданную электронную подпись на Рутокен ЭЦП с возможностью запрета дальнейшего экспорта закрытого ключа ЭЦП?

Re: Рутокен ЭЦП

Xayk пишет:

Добрый день! Подскажите пожалуйста, возможно ли импортировать уже созданную электронную подпись на Рутокен ЭЦП с возможностью запрета дальнейшего экспорта закрытого ключа ЭЦП?

Здравствуйте!

Это зависит от тех средств, которые были использованы для генерации ключевой информации. Если использовался КриптоПро CSP, импортировать на Рутокен ЭЦП закрытый ключ без возможности экспорта и так, чтобы им можно было пользоваться из КриптоПро CSP, средствами КриптоПро CSP нельзя. Такая функция не предусмотрена в КриптоПро CSP.
Для работы с неизвлекаемыми ключами существует КриптоПро Рутокен CSP, он поддерживает криптографические возможности токена Рутокен ЭЦП.

Re: Рутокен ЭЦП

Vladimir Ivanov пишет:

Здравствуйте!

Это зависит от тех средств, которые были использованы для генерации ключевой информации. Если использовался КриптоПро CSP, импортировать на Рутокен ЭЦП закрытый ключ без возможности экспорта и так, чтобы им можно было пользоваться из КриптоПро CSP, средствами КриптоПро CSP нельзя. Такая функция не предусмотрена в КриптоПро CSP.
Для работы с неизвлекаемыми ключами существует КриптоПро Рутокен CSP, он поддерживает криптографические возможности токена Рутокен ЭЦП.

Правильно ли я понимаю, что используя КриптоПРО рутокен CSP, я могу импортировать на этот токен ключ электронной подписи и заблокировать возможность его экспорта?

Re: Рутокен ЭЦП

Xayk пишет:

Правильно ли я понимаю, что используя КриптоПРО рутокен CSP, я могу импортировать на этот токен ключ электронной подписи и заблокировать возможность его экспорта?

При помощи КриптоПро Рутокен CSP можно сгенерировать только новую ключевую пару с неизвлекаемым закрытым ключом и получить новый сертификат открытого ключа.
Либо при помощи обычного КриптоПро CSP сгенерировать новую ключевую пару с неэкспортируемым закрытым ключом. Но в этом случае достаточно Рутокен S или Рутокен Lite.

Re: Рутокен ЭЦП

Спасибо за информацию!