Удостоверяющие центры для неизвлекаемого ключа

Здравствуйте!

Подскажите, пожалуйста, УЦ, которые выдают сертификаты для неизвлекаемой ключевой пары.
При этом что бы у этого УЦ была возможность использовать службу OCSP.

Re: Удостоверяющие центры для неизвлекаемого ключа

А вы OCSP собираетесь использовать для чего?
Для проверки подписи на клиенте с помощью плагина?

Re: Удостоверяющие центры для неизвлекаемого ключа

Для проверки сертификата на стороне сервера.
На клиенте только подпись. При этом сертификат грузим на сервер чуть ранее. Далее на сервере проверяем сертификат в УЦ, которым была сделана подпись и пакуем всё это дело.

Re: Удостоверяющие центры для неизвлекаемого ключа

Центры выдачи УЦ должны быть в каких городах?

Или речь идет не об организации, а о софте "УЦ"?

Re: Удостоверяющие центры для неизвлекаемого ключа

В Москве.

Re: Удостоверяющие центры для неизвлекаемого ключа

В принципе не обязательно в Москве. Если у УЦ есть возможность выпустить сертификат по запросу, то не важно где он находится. Но пока я таких вообще не встречал.
По большому счету практически все УЦ выдают ключи в формате контейнера криптопро.
Знаю только один УЦ (сигнал-ком), который готов выдать токен с генерированной у них неизвлекаемой ключевой парой и сертификатом к ней. Но у них нет OCSP.

Re: Удостоверяющие центры для неизвлекаемого ключа

Ответил в личку

Re: Удостоверяющие центры для неизвлекаемого ключа

E.Konstantin, хочется отметить один момент.

Возможно, для решения вашей задачи использование протокола OCSP является, так сказать, избыточной сложностью.
В сертификате, выдаваемом УЦ  СигналКома, прописан так называемый "crl distribution point", откуда вы можете загрузить актуальный CRL и на его основе проверить статус сертификата.

Re: Удостоверяющие центры для неизвлекаемого ключа

Виктор Ткаченко пишет:

Ответил в личку

А можно мне тоже в личку про УЦ, которые могут выписать сертификат для КП где приватный ключ неизвлекаем?

Re: Удостоверяющие центры для неизвлекаемого ключа

Пообщавшись с разными УЦ выяснилось, что в принципе любой УЦ может выдавать такие ключи. По крайней мере, если я правильно понял, в пак крипто-про уц, это дело одного чекбокса.
Единственное, что нужно обязательно к ним приезжать, т.к. по запросу (удаленно) они выдавать не будут. Да и сложность у самого УЦ с поддержкой разных токенов (драйвера нужно ставить и т.д.). Обычно уц работают с ограниченным числом токенов и часто без аппаратной криптографии.

Вместо с тем, мне удалось найти один уц, который создаёт неизвлекаемые ключи и даже на токен пользователя. Правда он в МО.
ca.soft.lissi.ru

(2015-08-13 14:23:42 отредактировано Ксения Шаврова)

Re: Удостоверяющие центры для неизвлекаемого ключа

abn пишет:

А можно мне тоже в личку про УЦ, которые могут выписать сертификат для КП где приватный ключ неизвлекаем?

Здравствуйте, abn.

Еще из известных нам УЦ:

E-notary http://www.e-notary.ru/
УЦ "Инфотекс Траст" http://iitrust.ru/
Национальный удостоверяющий центр http://www.nucrf.ru/
КриптоПро УЦ http://www.cryptopro.ru/products/ca

Re: Удостоверяющие центры для неизвлекаемого ключа

E.Konstantin пишет:

Пообщавшись с разными УЦ выяснилось, что в принципе любой УЦ может выдавать такие ключи. По крайней мере, если я правильно понял, в пак крипто-про уц, это дело одного чекбокса.
Единственное, что нужно обязательно к ним приезжать, т.к. по запросу (удаленно) они выдавать не будут. Да и сложность у самого УЦ с поддержкой разных токенов (драйвера нужно ставить и т.д.). Обычно уц работают с ограниченным числом токенов и часто без аппаратной криптографии.

Вместо с тем, мне удалось найти один уц, который создаёт неизвлекаемые ключи и даже на токен пользователя. Правда он в МО.
ca.soft.lissi.ru

Спасибо за наводку!

Все УЦ, с которыми мне приходилось общаться, не могли мне твёрдо гарантировать, что ключ будет неизвлекаемым. КриптоПро УЦ может и имеет такой чекбокс, но непонятно, действительно ли он генерирует ключи средствами токена и с атрибутом неизвлекаемости. Пока не пройдешь процедуру выписки, скорее всего, не поймёшь.

Что касается невозможности удалённой выписки, то так и должно быть, ведь УЦ должен действительно удостовериться что я - это я, а не кто-нибудь другой. Если УЦ декларировал бы возможность удалённой выписки, то я к нему и не стал бы обращаться. Другое дело, что если бы у меня уже был валидный сертификат от какого-нибудь УЦ, тогда да, можно было бы и выписать новый сертификат удалённо. Но, опять же, ни один УЦ даже не предоставляет услуг продления срока действия сертификата по такой процедуре, обязательно надо являться в офис самому.

Re: Удостоверяющие центры для неизвлекаемого ключа

Ксения Климанова пишет:
abn пишет:

А можно мне тоже в личку про УЦ, которые могут выписать сертификат для КП где приватный ключ неизвлекаем?

Здравствуйте, abn.

Еще из известных нам УЦ:

E-notary http://www.e-notary.ru/
УЦ "Инфотекс Траст" http://iitrust.ru/
Национальный удостоверяющий центр http://www.nucrf.ru/
КриптоПро УЦ http://www.cryptopro.ru/products/ca

Спасибо, Ксения!

Эта информация из реального опыта выписки сертификатов?

Re: Удостоверяющие центры для неизвлекаемого ключа

E-notary http://www.e-notary.ru/ точно должны уметь.
УЦ "Инфотекс Траст" http://iitrust.ru/ - вроде как раз они и говорили, что это дело одного чекбокса. Но не проверяли.
Еще с http://www.garantexpress.ru/services/el … on_center/ общались. Выдавать неизвлекаемые на тот момент не могли, но говорили что при достаточном объёме могут заморочиться.

Re: Удостоверяющие центры для неизвлекаемого ключа

Еще по идее умеет Тензор  http://tensor.ru/