Комментарии 20
Работа с СКЗИ и аппаратными ключевыми носителями в Linux
Т.е. речь не идет о токенах с поддержкой интерфейса PKCS#11 и российской криптографии на них? Словосочетание "ключевые носителм" фактически подразумевают хранение ключа на влешке, пусть даже с PIN-кодом?!
Не могли бы вы дополнить «Программное извлечение ключей» сохранение приватного ключа в pem-файл.
Так тут все просто. В общем виде сохранить Java сериализованный ключ можно так:
Только не советую это делать. Да и не вижу реальных пользовательских кейсов для такого в программном обеспечении.
Если надо куда-то скопировать, экспортировать ключи, то лучше это сделать руками в СКЗИ.
В ПО наоборот надо позаботиться о безопасности ключа и пароля от контейнера. Пароль разделяем, шифруем и прячем. Склеиваем, расшифровываем пароль в потоке для одноразового чтения, извлекаем ключ и храним в памяти доли секунды для непосредственного использования.
FileOutputStream fos = new FileOutputStream(new File("key.pem"));
fos.write(Base64.encodeToByte(privateKey.getEncoded(), false));
fos.close();
Только не советую это делать. Да и не вижу реальных пользовательских кейсов для такого в программном обеспечении.
Если надо куда-то скопировать, экспортировать ключи, то лучше это сделать руками в СКЗИ.
В ПО наоборот надо позаботиться о безопасности ключа и пароля от контейнера. Пароль разделяем, шифруем и прячем. Склеиваем, расшифровываем пароль в потоке для одноразового чтения, извлекаем ключ и храним в памяти доли секунды для непосредственного использования.
Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java) в связи с завершением поддержки и поставок производителем — компанией Gemalto, к слову, чуть раньше поглотившей SafeNet, Inc.
Это не совсем корректная информация. Ключи eToken Pro Java продаются и поддерживаются компанией Gemalto. Более того, линейка развивается и выходят новые версии ключей: habr.com/ru/post/281256
Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.
Middleware, наверное, всё же лучше запрашивать у производителя или официального дистрибутора продуктов Gemalto.
Это не совсем корректная информация. Ключи eToken Pro Java продаются и поддерживаются компанией Gemalto. Более того, линейка развивается и выходят новые версии ключей: habr.com/ru/post/281256
Токен, который у нас оказался SafeNet, был куплен в Аладдин Р.Д. Есть номер договора, дата и партия, в которой он состоял.
Первоначально возникло недоразумение, все считали, в том числе поддержка Аладдин Р.Д., что он JaCarta PKI, а факты работы с ним через SAC Tools, а не IDProtect, доказали обратное. И на тот момент он был уже в опломбированном сервере в удаленном ВЦ.
Middleware, наверное, всё же лучше запрашивать у производителя или официального дистрибутора продуктов Gemalto.
Разумное утверждение.
Мы и запросили там, где покупали — у официального дистрибьютора продуктов Gemalto, которым был Аладдин Р.Д вплоть до 1 декабря 2017 года, согласно информации на сайте Аладдин Р.Д
Добрый день.
Хотелось бы некоторые вещи уточнить.
1) Для работы с таким токеном не нужен ни пакет pkcs11, ни emv. Пакет emv предназначен для банковских карт Gemalto (в основном это семейство Optelio), а не токенов.
2) Для работы с JaCarta достаточно поставить пакет cprocsp-rdr-jacarta из состава провайдера.
3) Действительно, существуют некоторые токены компании Аладдин, которые бинарно повторяют токены компании SafeNet и отличить их невозможно. Иногда они работают через софт SafeNet, иногда нет.
4) Официальной поддержки токенов SafeNet на Linux в КриптоПро CSP нет и пока не планируется.
Хотелось бы некоторые вещи уточнить.
1) Для работы с таким токеном не нужен ни пакет pkcs11, ни emv. Пакет emv предназначен для банковских карт Gemalto (в основном это семейство Optelio), а не токенов.
2) Для работы с JaCarta достаточно поставить пакет cprocsp-rdr-jacarta из состава провайдера.
3) Действительно, существуют некоторые токены компании Аладдин, которые бинарно повторяют токены компании SafeNet и отличить их невозможно. Иногда они работают через софт SafeNet, иногда нет.
4) Официальной поддержки токенов SafeNet на Linux в КриптоПро CSP нет и пока не планируется.
Официальным дистрибьютором ключей Gemalto/SafeNet является компания TESSIS, по запросу они предоставляют SAC для различных платформ — Windows, Linux, MacOS.
Фраза «В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а SafeNet Authentication Client eToken PRO с микроконтроллером Gemalto на борту в корпусе JaCarta PKI Nano.» очень интересная :-)
У Gemalto есть своя линейка ключей — eToken Pro, eToken 5100, и актуальные на сегодняшний день eToken 5110. Чипы у Gemalto и JaCarta абсолютно разные, но функциональность ключа определяется не только чипом, но и апплетом, залитым на ключ. И тут есть интересная история… Если ключ JaCarta PKI открыть в приложении SafeNet Authentication Client и посмотреть версию апплета, то, скорее всего, там будет прописано eToken 1.0.37. Это апплет, разработанный компанией aladdin knowledge system (та самая израильская компания, которая является разработчиком eToken, которую купила SafeNet, а затем Gemalto). Это очень старый апплет, который глобально в мире не использовался, но в Россию как-то попал (причем в корпус JaCarta). Историческую справку по данному факту можно посмотреть здесь — zlonov.ru/2017/02/private-opinion
Фраза «В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а SafeNet Authentication Client eToken PRO с микроконтроллером Gemalto на борту в корпусе JaCarta PKI Nano.» очень интересная :-)
У Gemalto есть своя линейка ключей — eToken Pro, eToken 5100, и актуальные на сегодняшний день eToken 5110. Чипы у Gemalto и JaCarta абсолютно разные, но функциональность ключа определяется не только чипом, но и апплетом, залитым на ключ. И тут есть интересная история… Если ключ JaCarta PKI открыть в приложении SafeNet Authentication Client и посмотреть версию апплета, то, скорее всего, там будет прописано eToken 1.0.37. Это апплет, разработанный компанией aladdin knowledge system (та самая израильская компания, которая является разработчиком eToken, которую купила SafeNet, а затем Gemalto). Это очень старый апплет, который глобально в мире не использовался, но в Россию как-то попал (причем в корпус JaCarta). Историческую справку по данному факту можно посмотреть здесь — zlonov.ru/2017/02/private-opinion
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Работа с СКЗИ и аппаратными ключевыми носителями в Linux