Тема от sanyo (2015-11-03 17:12:18 отредактировано sanyo)

  • sanyo
  • Посетитель
  • Неактивен

Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Добрый день,

Пожалуйста, подскажите, правильно ли я понимаю, что криптографический Рутокен (ЭЦП/КП) может использоваться в такой связке софта для генерации ЭЦП:

Вариант 1:
Сертифицированный КриптоАрм V4 СКЗИ   ->   MS Crypto API   ->  VIPNet CSP (Софт)-> протокол PCKS11 -> Ваш криптографический Рутокен ЭЦП.

что с функциональной точки зрения будет похоже на использование такой связки:

Вариант 2:
Сертифицированный КриптоАрм V4 СКЗИ   ->   MS Crypto API   ->  КриптоПро Рутокен CSP (Софт) -> протокол КриптоПРО ФКН -> Ваш криптографический Рутокен КП под брэндом КриптоПРО

Правильно ли я понимаю, что оба варианта позволят относительно старому но сертифицированному софту типа КриптоАРМ V4 отправлять данные по протоколу MS CryptoAPI на внутреннюю обработку в аппаратные криптотокены, что обычно бывает доступно только для нового софта с поддержкой PCKS 11 типа КриптоАРМ V5?

Ответ от sanyo (2015-11-03 19:11:35 отредактировано sanyo)

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

и еще такой вопрос:
какие преимущества у вашего Рутокен CSP по сравнению с другими криптотокенами типа JaCarta ГОСТ, etoken ГОСТ и т.п. ?

особенно интересует, есть ли преимущества у вашего ФКН токена

т.е. у КриптоПРО Рутокен CSP по сравнению с КриптоПро еТокен CSP
http://www.aladdin-rd.ru/catalog/etoken/csp/

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

sanyo пишет:

Пожалуйста, подскажите, правильно ли я понимаю, что криптографический Рутокен (ЭЦП/КП) может использоваться в такой связке софта для генерации ЭЦП:

Здравствуйте.
Уточните пожалуйста, в каком смысле Вы употребляете выражение "может использоваться"?
Вариант 1 - в смысле технической возможности
Вариант 2 - в смысле правомерности использования с т.з. законодательства и руководящих документов

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

sanyo пишет:

Правильно ли я понимаю, что оба варианта позволят относительно старому но сертифицированному софту типа КриптоАРМ V4 отправлять данные по протоколу MS CryptoAPI на внутреннюю обработку в аппаратные криптотокены, что обычно бывает доступно только для нового софта с поддержкой PCKS 11 типа КриптоАРМ V5?

Вы заблуждаетесь, когда говорите о PKCS#11 и софте, который использует этот интерфейс, как о чем-то более новом, чем Crypto API.
Технически оба обсуждаемых варианта позволяют задействовать криптографические возможности токенов, однако делают это разными способами.

Ответ от sanyo

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Vladimir Ivanov пишет:
sanyo пишет:

Пожалуйста, подскажите, правильно ли я понимаю, что криптографический Рутокен (ЭЦП/КП) может использоваться в такой связке софта для генерации ЭЦП:

Здравствуйте.
Уточните пожалуйста, в каком смысле Вы употребляете выражение "может использоваться"?
Вариант 1 - в смысле технической возможности
Вариант 2 - в смысле правомерности использования с т.з. законодательства и руководящих документов

интересует и техническая возможность

и сертифицированность встраивания хотя бы варианта ФКН в КриптоАРМ
если у КриптоАрм есть сертификат встраивания КриптоПро 3.6, из этого не следует, что КриптоПро Рутокен CSP туда тоже корректно встроен?

Ответ от sanyo

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Vladimir Ivanov пишет:
sanyo пишет:

Правильно ли я понимаю, что оба варианта позволят относительно старому но сертифицированному софту типа КриптоАРМ V4 отправлять данные по протоколу MS CryptoAPI на внутреннюю обработку в аппаратные криптотокены, что обычно бывает доступно только для нового софта с поддержкой PCKS 11 типа КриптоАРМ V5?

Вы заблуждаетесь, когда говорите о PKCS#11 и софте, который использует этот интерфейс, как о чем-то более новом, чем Crypto API.
Технически оба обсуждаемых варианта позволяют задействовать криптографические возможности токенов, однако делают это разными способами.

я подразумевал в рамках приложения КриптоАРМ:

они сначала в версии 4 реализовали поддержку CryptoAPI и даже сертифицировали встраивание софтового КриптоПро CSP 3.6

и только в 5-ой версии реализовали поддержку PCKS11 и сертифицироваться встраивание PCKS11 в КриптоАРМ в ближайшее время не будет по словам поддержки КриптоАРМ

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

sanyo пишет:

сертифицированность встраивания хотя бы варианта ФКН в КриптоАРМ
если у КриптоАрм есть сертификат встраивания КриптоПро 3.6, из этого не следует, что КриптоПро Рутокен CSP туда тоже корректно встроен?

Совершенно верно, КриптоПро CSP 3.6 и КриптоПро Рутокен CSP являются разными продуктами. У каждого из них свой сертификат.
И дело тут не в корректности встраивания. Встроен он может быть и корректно, но по документам использовать его нельзя.

Если у Вас есть сертифицированный КриптоАРМ 4, возьмите документ, например вот этот: http://www.trusted.ru/wp-content/upload … rmular.pdf, и прочитайте там пункт 3 "ОБЩИЕ СВЕДЕНИЯ И ОСНОВНЫЕ ТЕХНИЧЕСКИЕ ДАННЫЕ".
Там вполне однозначно все описано.

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

sanyo пишет:

и еще такой вопрос:
какие преимущества у вашего Рутокен CSP по сравнению с другими криптотокенами типа JaCarta ГОСТ, etoken ГОСТ и т.п. ?

особенно интересует, есть ли преимущества у вашего ФКН токена

т.е. у КриптоПРО Рутокен CSP по сравнению с КриптоПро еТокен CSP
http://www.aladdin-rd.ru/catalog/etoken/csp/

Надежность в эксплуатации, производительность, стоимость.

Ответ от sanyo (2015-11-05 17:09:39 отредактировано sanyo)

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Vladimir Ivanov пишет:
sanyo пишет:

и еще такой вопрос:
какие преимущества у вашего Рутокен CSP по сравнению с другими криптотокенами типа JaCarta ГОСТ, etoken ГОСТ и т.п. ?

особенно интересует, есть ли преимущества у вашего ФКН токена

т.е. у КриптоПРО Рутокен CSP по сравнению с КриптоПро еТокен CSP
http://www.aladdin-rd.ru/catalog/etoken/csp/

Надежность в эксплуатации, производительность, стоимость.

обычно бывает из преимуществ  либо надежность в эксплуатации и производительность

либо  стоимость.

http://gkspr.ru/katalog/index.php?categoryID=60
цена токенов примерно одинаковая, eToken CSP смарткарта немного дешевле

но  у eToken есть PCKS11 и возможность обновления внутреннего софта или плагинов, что в общем то настрораживает, наверно можно и плагин типа троян туда установить

мне кажется, что есть высокая вероятность сертификации встраивания ФКН токенов в комлект КриптоАРМ v5 в будущем, в связи с тем, что они сертифицировали ранее КриптоАРМ+КриптоПРО

а вероятность сертификации КриптоАРМ в паре с PCKS11 около 0 в ближайшее время

Ответ от Vladimir Ivanov

  • Vladimir Ivanov
  • Администратор
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

sanyo пишет:

eToken стоит дешевле вашего Рутокен CSP примерно в полтора раза

Вы заблуждаетесь. По прайс-листу компании Криптопро стоимость продуктов такова:
КриптоПро Рутокен CSP - 2 350
КриптоПро ФКН с USB-токеном eToken - 2 530
То, что стоит в полтора раза дешевле, это
КриптоПро ФКН со смарт-картой eToken - 1880
Добавьте к этой цене еще стоимость считывателя смарт-карт, тогда можно сравнивать.
см. https://www.cryptopro.ru/sites/default/ … /price.pdf

sanyo пишет:

кроме того у него есть PCKS11

Рутокен ЭЦП и Рутокен КП тоже работают с интерфейсом PKCS#11
Практически все смарт-карты и токены работают через этот интерфейс.

sanyo пишет:

и возможность обновления внутреннего софта или плагинов, что в общем то настрораживает, наверно можно и плагин типа троян туда установить

В чем выгода от этой возможности для конечного пользователя? Он не сможет ей воспользоваться.

sanyo пишет:

мне кажется, что есть высокая вероятность сертификации встраивания ФКН токенов в комлект КриптоАРМ v5 в будущем, в связи с тем, что они сертифицировали ранее КриптоАРМ+КриптоПРО
а вероятность сертификации КриптоАРМ в паре с PCKS11 около 0 в ближайшее время

О планах сертификации продуктов КриптоАРМ лучше всего узнавать у разработчика - компании "Цифровые технологии" (http://www.trusted.ru/ ). Гадание на вероятностях тут не работает.

Ответ от sanyo (2015-11-05 17:32:14 отредактировано sanyo)

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Vladimir Ivanov пишет:

Рутокен ЭЦП и Рутокен КП тоже работают с интерфейсом PKCS#11
Практически все смарт-карты и токены работают через этот интерфейс.

на странице продукта Рутокен CSP нет ни слова про PCKS11:
https://www.cryptopro.ru/products/fkc/rutoken

пожалуйста, дайте ссылку на какой-нибудь более менее надежный сайт или документацию, где упоминается поддержка PCKS11 в спецификации Рутокен CSP

у eToken CSP поддержка PCKS11 везде указывается


мне надо универсальный токен, который и по CryptoAPI работает со старым КриптоАРМ v4

и по PCKS11 с линуксовыми Open SSH/SSL/VPN и т.п.

про Рутокен ЭЦП все понятно, вопрос про "КриптоПРО Рутокен CSP"

Ответ от sanyo

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Vladimir Ivanov пишет:
sanyo пишет:

eToken стоит дешевле вашего Рутокен CSP примерно в полтора раза

Вы заблуждаетесь. По прайс-листу компании Криптопро стоимость продуктов такова:
КриптоПро Рутокен CSP - 2 350
КриптоПро ФКН с USB-токеном eToken - 2 530
То, что стоит в полтора раза дешевле, это
КриптоПро ФКН со смарт-картой eToken - 1880

да вы правы
я исправил свое сообщение еще до появления вашего ответа:

sanyo пишет:

http://gkspr.ru/katalog/index.php?categoryID=60
цена токенов примерно одинаковая, eToken CSP смарткарта немного дешевле

Ответ от sanyo

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

еще интересный вопрос возник, можно ли сгенерировать ключ снаружи на обычном компе в каком нибудь CSP СКЗИ и потом этот закрытый ключ внедрить внутрь токена, и понятно, чтобы обратно он не экспортировался

Например, сгенерировать ключ в сертифицированном СКЗИ КриптоАРМ v4 и  потом скопировать ключ внутрь криптотокена

такая возможность однонаправленного копирования закрытого ключа только внутрь токена существует, например у  зарубежных моделей:
https://www.yubico.com/products/yubikey-hardware/

понятно, что они несертифицированы, но фича интересная

Ответ от sanyo (2015-11-07 02:52:29 отредактировано sanyo)

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

В вашем Рутокен ЭЦП привлекает хорошая поддержка open source программ в Linux:
http://habrahabr.ru/company/aktiv-company/blog/139183/

хорошая поддержка по телефону и на форуме
и блог есть на хабре:
http://habrahabr.ru/company/aktiv-company/blog/

В Алладин по телефону даже не стали разговаривать, предложили написать им e-mail.

Но все же хотелось бы и для КриптоАРМ v4 хранить ключи в токене, хотя бы в простеньком с извлекаемыми ключами

Когда я спрашивал поддержку КриптоАРМ, будет ли JaCarta ГОСТ (криптотокен) работать в упрощенном режиме с КриптоАРМ v4, они сказали, что будет, но аналогично JaCarta PKI, т.е. если я правильно понял, ключи будут извлекаться из токена в реестр или кэш CryptoAPI ненадолго и потом уничтожаться, режим работы подобный всем простеньким токенам с извлекаемыми ключами.

Все же это лучше, чем просто хранить ключи в реестре Windows.

Вопрос:

Может ли ваш криптотокен Рутокен ЭЦП работать в упрощенном режиме аналогичном Рутокен Light, когда ключи ненадолго временно извлекаются из токена для обработки в софтовом CSP КриптоПРО?

Т.е. хотелось бы, чтобы Рутокен ЭЦП поддерживал работу с двумя типами ключей:
1) Как обычно для криптотокена неизвлекаемыми, сгенерированными в нем самом. По протоколам OpenSC и PCKS11.
2) Импортированными в брелок из софтового CSP, которые могли бы использоваться аналогично Light, т.е. извлекаемые.

наверно, надо смотреть строку "Запрет экспорта закрытых и симметричных ключей" в таблице
http://developer.rutoken.ru/pages/viewp … Id=2228237
?

и когда примерно ожидается сертификат ФСБ для Рутокен ЭЦП 2 ГОСТ 2012 ?

Ответ от sanyo (2015-11-07 08:46:42 отредактировано sanyo)

  • sanyo
  • Посетитель
  • Неактивен

Re: Аппаратный криптотокен БЕЗ ИЗВЛЕЧЕНИЯ КЛЮЧЕЙ для случая "без PCKS11"

Vladimir Ivanov пишет:

Рутокен ЭЦП и Рутокен КП тоже работают с интерфейсом PKCS#11
Практически все смарт-карты и токены работают через этот интерфейс.

Мне подсказали ветку:
https://forum.rutoken.ru/topic/2247/

Судя по ней, функционал Рутокен ЭЦП типа PCKS11 присутствует в Рутокен CSP, но на усмотрение компании КриптоПро.
На сайте КриптоПро не нашел упоминания о поддержке PCKS11, значит текущая его поддержка - недокументированная возможность, унаследованная от Рутокен ЭЦП?
Т.е. если внезапно КриптоПро решит убрать поддержку PCKS11, то в одном из следующих релизов токена его может не оказаться и мы даже вовремя об этом не узнаем?

Поэтому если нужна надежная поддержка протоколов типа OpenSC, PCKS11, но без ФКН, то лучше обратить внимание на Рутокен ЭЦП?

Меня заинтересовала версия 2 с поддержкой ГОСТ 2012.
http://www.secure-market.ru/product/rutoken-etsp-2-0
Эта модель так же как и первая версия Рутокен ЭЦП хорошо поддерживается в Linux через библиотеку OpenSC?