Комментарии 48
Пожалуйста заведите себе твиттер, чтобы следить за результатами ваших успехов. Материал может быть маленьким для статьи, но для твиттера самое то.
Меня давно интересует вопрос — возможно-ли самому сформировать тайный ключ и сгенерировать запрос на сертификат? Что-бы никто, в принципе, не владел моим ключем хотя-бы какое-то время.
Почему Вы думаете, что к Вашему закрытому ключу у кого-то был доступ?
Ну, вам, ведь, его выдают готовым и с пин-кодом по умолчанию? Значит, как минимум, у девушки, которая вам его выдает, какое-то время этот доступ есть.
Насколько я понял, алгоритм формирования приватного ключа зашит в брелок, девочка дает лишь команду «сформировать». А дальше производитель брелка дает гарантию, что после этой команды публичный ключ вытащится, а приватный останется на брелке никому недоступным.
Т.е. его формируют прямо в твоем присутствии? А сертификат когда делают? Сразу-же?
Да, сударыня достала из сейфа брелок, воткнула в порт, произвела некоторые манипуляции, выдернула из порта, записала номер брелка в ведомость, отдала.
Еще-бы была уверенность что она именно генерацию ключа делала.
Я, честно говоря, не представляю, как сделать иначе так, чтобы в сейфе заранее появился брелок, в сертификате которого было бы сказано, что это Е. Иванов, его владелец вот-вот за ним зайдет.
Нет, я давно работаю со смарткартами и прочим подобным барахлом, с этой стороны все чисто, хотя, честно говоря, сам до конца не представляю физику того, что на некий носитель можно нечто заприсать и при этом с этого носителя нельзя это считать, это для меня, мягко говоря, пока удивительно. Впрочем, вплотную я не занимался этим вопросом.
Нет, я давно работаю со смарткартами и прочим подобным барахлом, с этой стороны все чисто, хотя, честно говоря, сам до конца не представляю физику того, что на некий носитель можно нечто заприсать и при этом с этого носителя нельзя это считать, это для меня, мягко говоря, пока удивительно. Впрочем, вплотную я не занимался этим вопросом.
Не — сертификат так сделать, конечно, нереально. Я имею ввиду только уникальность и отсутствие дублей закрытых ключей у ФСБ или кого-то еще.
А вот это кстати вопросец. Если есть уязвимость в алгоритме генерирования ключевой пары на носителе, то тогда получится, что все без исключения выданные ключи потенциально скомпроментированны.
Но, честно говоря, вот смотрите, есть ФГУП Атлас, который это все дело по указке ФСБ сертифицирует, он там лезет в дебри выискивает огрехи, ищет уязвимости. Работают ли там некомпетентные дармоеды? Да, подозреваю, что есть и такие. Но других-то средств у нас нет. У меня лично не хватает компетенции в этом вопросе: проверять аппаратные ключи на уязвимости. Наблюдения окружающей российской действительности мне говорят, что да, может быть и так, что я неоправданно рискнул, получив вот этот вот токен. Но работать мне приходится с тем материалом, что у меня имеется, не больше, не меньше.
Но, честно говоря, вот смотрите, есть ФГУП Атлас, который это все дело по указке ФСБ сертифицирует, он там лезет в дебри выискивает огрехи, ищет уязвимости. Работают ли там некомпетентные дармоеды? Да, подозреваю, что есть и такие. Но других-то средств у нас нет. У меня лично не хватает компетенции в этом вопросе: проверять аппаратные ключи на уязвимости. Наблюдения окружающей российской действительности мне говорят, что да, может быть и так, что я неоправданно рискнул, получив вот этот вот токен. Но работать мне приходится с тем материалом, что у меня имеется, не больше, не меньше.
Ну, такая опасность тоже присутствует. Но я имею ввиду возможность генерирования секретных ключей снаружи и «заливки» их в брелок. Тогда оказывается что одна копия секретного ключа где-то там хранится.
Насколько мне помнится, стандарт pkcs#11 не дает записывать ключевую пару на носитель, а лишь генерировать. Что же касается доступа вне стандарта, честно говоря, черт знает, а вдруг да, есть «закладка»?
Ваш сертификат, полностью декодированный:
Как пример полезного заявления, попробуйте найти куда можно обратится по поводу некачественного ремонта дороги. После 2-ух заявлений составленных через росяму ямы засыпали смесью щебенки с землей… Надо заставить сделать нормально. Наверняка этот пример пригодится кому-то еще.
Что-то мне подсказывает, лицензирование ФСТЭК вам не избежать. Средство СКЗИ должно быть лицензировано. И ФСБ не рекомендует, он прямо говорит, что делать. Почему каждый год надо платить? Дело в том, что люди выдающие вам подпись и разрабатывающие ПО хотят кушать.
А так начинания хороши, глядишь вы получите лицензии и будите продавать ПО дешевле конкурентов :)
А так начинания хороши, глядишь вы получите лицензии и будите продавать ПО дешевле конкурентов :)
Да не, СКЗИ это брелок, все алгоритмы там, я лишь лью туда пачку байт, а потом сливаю оттуда пачку байт, все криптографические преобразования происходят там. По аналогии с автомобилем, если выдернуть оттуда руль и педали, то вряд ли машина останется на ходу, а если водителя — запросто. Граница СКЗИ проходит по кромке usb-порта.
Не ну куда мне до вас со своим дипломом специалиста защиты информации :) У вас лишь отпадает лицензия ФСБ. Т.к. преобразования идут в ключе. А сама программа которая выдернула сертификат должна иметь лицензию ФСТЭК. Это лучше у них проконсультироваться. Ещё в 2009 году на лекции был спор со специалистом этой организации по этому поводу. Мне тогда не до ЭЦП конечно было, но смысыл сводился к тому, что все начнут покупать только ключи и сертификаты, а программу начнут писать сами и продавать за меньшие деньги. 2500 против 1000 для физ лица значительно. Вообще всю «котавасию» нам пояснили, и кроме как обработке бабла смысла ни кто не видит.
Есть постановление правительства, которое дает определение СКЗИ, ключевое словосочетание там «на основе криптографических преобразований». Мое приложение не работает на основе криптографических преобразований, в списке его алгоритмов нет ни одного такового.
В общем выдёргивать центр определения очень не рекомендовано, т.к. вы упустили его смысл. В общем по порядку. Вы правильно указали приказы, вы правильно указали приложения. Но тут вспоминается высказывание «Я вам про Фому, вы мне про Ерёму.». Вы работаете с Электронной подписью, и при этому каким-то образом опустили закон Федеральный закон от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» (с изменениями от 1 июля 2011 г.) это вообще, как понимать??? Спор именно за это! Вы минусуйте меня дальше, но реч идёт не о понятии СКЗИ «Средства криптографической защиты информации», а о понятии «средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;» Идём дальше:
«Статья 12. Средства электронной подписи
1. Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.
2. При создании электронной подписи средства электронной подписи должны:
1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3) однозначно показывать, что электронная подпись создана.» Т.е. тут уже нарушения, процесс подписания у вас не опубликован.
Дальше Статья 10, пункт 4
«использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»
Вы нажали в своей программе кнопку подписать, тем самым создаёте в этом документе цифровую подпись. Об этом говориться в Статье 12.
Ну и теперь пирожки: Вы Приказ ФСБ РФ от 9 февраля 2005 г. N 66 тож упустить думаете?
Нужное для вас подчёркиваю:
«в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;»
Не вы первый, не вы последний. Я тоже считаю, что для подписи на сайте для физ лиц, моглиб придумать бесплатный продукт. По слухам компания КриптоПро, модуль всё таки сделает для пары сайтов в бесплатном варианте.
Относительно цены ключа, что мол дорого, а по факту она создала ключ и всё. Нет, она в течении года обеспечивает в рабочем состоянии реестр всех сертификатов. Поэтому к примеру, если подпись действительна и занесена в реестры многих ресурсов, то и цена её будет повышаться.
Я пишу, потому что столкнулись с почти такой же проблемой. Консультировались с ФСТЭК и ФСБ. Они по русски сказали: "— делать вы можете, что угодно. Но в случаи возникновения споров, подпись признают не действительной, а документ не имеющий юридическую силу. " Поэтому я и предлагаю вам проконсультироваться в вашем случаи. После того, как доделаете программу выслать её в Минсвязь. И они тогда официально ответят.
«Статья 12. Средства электронной подписи
1. Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.
2. При создании электронной подписи средства электронной подписи должны:
1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3) однозначно показывать, что электронная подпись создана.» Т.е. тут уже нарушения, процесс подписания у вас не опубликован.
Дальше Статья 10, пункт 4
«использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»
Вы нажали в своей программе кнопку подписать, тем самым создаёте в этом документе цифровую подпись. Об этом говориться в Статье 12.
Ну и теперь пирожки: Вы Приказ ФСБ РФ от 9 февраля 2005 г. N 66 тож упустить думаете?
Нужное для вас подчёркиваю:
«в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;»
Не вы первый, не вы последний. Я тоже считаю, что для подписи на сайте для физ лиц, моглиб придумать бесплатный продукт. По слухам компания КриптоПро, модуль всё таки сделает для пары сайтов в бесплатном варианте.
Относительно цены ключа, что мол дорого, а по факту она создала ключ и всё. Нет, она в течении года обеспечивает в рабочем состоянии реестр всех сертификатов. Поэтому к примеру, если подпись действительна и занесена в реестры многих ресурсов, то и цена её будет повышаться.
Я пишу, потому что столкнулись с почти такой же проблемой. Консультировались с ФСТЭК и ФСБ. Они по русски сказали: "— делать вы можете, что угодно. Но в случаи возникновения споров, подпись признают не действительной, а документ не имеющий юридическую силу. " Поэтому я и предлагаю вам проконсультироваться в вашем случаи. После того, как доделаете программу выслать её в Минсвязь. И они тогда официально ответят.
Первое, я не минусую, мне это неинтересно, шалости с кармой для детишек. Второе, закон я не пропустил, а коснулся его в первой части. Но если уж говорить о нем, то и не пропускайте статью 12, где описаны четыре критерия признания электронной подписи, как видите, они выполняются. Третье. Приказ ФСБ слизан с еще старого закона, а формулировка из старого плавно перекочевала в новый, ее вы заметите в пункте 9 второй статьи. Но спор был про сертификацию СКЗИ. А это прямо течет из положения о лицензировании деятельности по распространению шифровальных криптографических средств. А утверждено положение правительством постановлением за номером 957 29 декабря 2007 года. А в положении дается перечень того, что является СКЗИ и применительно к ЭП это звучит так:
К шифровальным (криптографическим) средствам (средствам криптографической защиты информации) относятся…
средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
У меня не раз возникали моменты, когда ребята правда не из ФСБ и ФСТЭК, а из других, но не менее федеральных ведомств били себя пяткой в нос, а потом в вышестоящих инстанциях, а один раз даже в суде садились в лужу, потому что неверно читали свои же нормативные акты, тоже люди, тоже ошибаются. Конечно, я обязательно воспользуюсь советом, и пару писем отпишу, и, конечно, уберу мелкие огрехи типа непоказывания документа перед подписью, это важно. Но все равно уверен, криптография криптографией, а интерфейс интерфейсом. Это и стройно, и логично.
К шифровальным (криптографическим) средствам (средствам криптографической защиты информации) относятся…
средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
У меня не раз возникали моменты, когда ребята правда не из ФСБ и ФСТЭК, а из других, но не менее федеральных ведомств били себя пяткой в нос, а потом в вышестоящих инстанциях, а один раз даже в суде садились в лужу, потому что неверно читали свои же нормативные акты, тоже люди, тоже ошибаются. Конечно, я обязательно воспользуюсь советом, и пару писем отпишу, и, конечно, уберу мелкие огрехи типа непоказывания документа перед подписью, это важно. Но все равно уверен, криптография криптографией, а интерфейс интерфейсом. Это и стройно, и логично.
Про карму я для остальных написал. :) Я отправил запрос в ФСБ по вашей программе. Вы надеюсь не против :) Дело в том, что до этого интересовались относительно использования юр лицами. А под постановление 957 29 декабря 2007 года ваша программа не попадает по причине, что вы физ лицо.
А тогда получается замкнутый круг, как физик я не могу получить лицензию на разработку скзи (то же постановление, только другое положение), но при этом должен якобы получить сертификат.
Тут есть еще одна логичная штука. Пункт в) первой статьи упомянутого мной положения «о лицензировании деятельности по распространению»… прямо выводит распространение таких вот криптотокенов из сферы этого положения. Таким вот образом правительство говорит нам «Эй, дружок, может пользователь менять криптоалгоритмы на устройстве? Тогда одни правила. Не может? Ну тогда другие.» Это косвенно, конечно, но вполне вписывается в логику того, что интерфейс идет отдельно, а криптография отдельно.
По поводу запроса чекистам я, конечно же, не против. Сейчас отпишусь в минкомсвязь и ФСТЭК, а потом поделимся ответами. Правда вне зависимости от того, что ответят правовые управления федеральных органов исполнительной власти нашей необъятной родины, я бы не стал их ответы принимать как истину в последней инстанции. Но, конечно, не ознакомиться с их мнением тоже грех.
Тут есть еще одна логичная штука. Пункт в) первой статьи упомянутого мной положения «о лицензировании деятельности по распространению»… прямо выводит распространение таких вот криптотокенов из сферы этого положения. Таким вот образом правительство говорит нам «Эй, дружок, может пользователь менять криптоалгоритмы на устройстве? Тогда одни правила. Не может? Ну тогда другие.» Это косвенно, конечно, но вполне вписывается в логику того, что интерфейс идет отдельно, а криптография отдельно.
По поводу запроса чекистам я, конечно же, не против. Сейчас отпишусь в минкомсвязь и ФСТЭК, а потом поделимся ответами. Правда вне зависимости от того, что ответят правовые управления федеральных органов исполнительной власти нашей необъятной родины, я бы не стал их ответы принимать как истину в последней инстанции. Но, конечно, не ознакомиться с их мнением тоже грех.
НЛО прилетело и опубликовало эту надпись здесь
Есть у нас на работе сотрудники с таким же дипломами. И вы очень к месту поставили смайлик! На собеседовании товарищи плавали и в сертификатах, и в шифровании, и в хэшировани.
Совершенно верно, смайлик там к месту :)) Дело в том, что у нас к примеру всё это пролетается в формате «Галопом по европам». + Есть преподаватели которые сами путаются. Вот примеру мне человек выше ответил: «ключевое словосочетание там «на основе криптографических преобразований»», но он даже не привёл определение полностью, тем самым потерял смысл определения. Так и у нас в учёбе было, мне не до лекции, там ещё парочке товарищей не до неё, в итоге смысл упустили. Как я называю нашу специальность «Говорун по защите информации». Смысл понимаем, конкретных методов не осознаём. :)
Я думаю что менять вам его придется, либо обновлять сертификат и за это платить. Удостоверяющему центру надо работать, что бы подтверждать что подписанные вами документы подписаны именно вами.
К тому же прогресс не стоит на месте. Еще пару лет назад сертификаты выдавали (юрикам) на флешку, потом ввели етокины, через год и они обновились, при том за деньги. Почему вы решили что для физиков это будет бесплатно?
Так что сертификаты на 1 год — гарантия что у населения будет либо актуальные средства защиты либо их не будет вовсе.
К тому же прогресс не стоит на месте. Еще пару лет назад сертификаты выдавали (юрикам) на флешку, потом ввели етокины, через год и они обновились, при том за деньги. Почему вы решили что для физиков это будет бесплатно?
Так что сертификаты на 1 год — гарантия что у населения будет либо актуальные средства защиты либо их не будет вовсе.
Наверное из поста не очень понятно, но я говорил о разумности суммы. Неразумно брать 660 рублей за год за штампование ключевой пары (это пассивная система, один раз сделали и гуляй, Вася) тогда, когда, допустим, банки за обслуживание пластиковой карты (это уже активная — банкоматы, переводы, все дела) берут примерно триста.
Если я не ошибаюсь, то срок действия сертификата связан с сроком годности приватного ключа (1 год).
Skydrive обиделся на хабрэффект и заблокировал файл. Может выложите исходники на github?
Добавлю с вашего позволения про этот токен:
Type: eToken PRO (Java) 72Kb, ГОСТ алгоритм реализован апплетом.
USB ID 0529:0620 Aladdin Knowledge Systems
ATR: 3b d5 18 00 81 31 fe 7d 80 73 c8 21 10 f4
NOT supported by OpenSC/OpenCT (видит но ничего не умеет)
Под Линукс существует некая «SafeNet Authentication Client 8.0» работающая через pcsc-lite, но просто так скачать ее невозможно.
Type: eToken PRO (Java) 72Kb, ГОСТ алгоритм реализован апплетом.
USB ID 0529:0620 Aladdin Knowledge Systems
ATR: 3b d5 18 00 81 31 fe 7d 80 73 c8 21 10 f4
NOT supported by OpenSC/OpenCT (видит но ничего не умеет)
Под Линукс существует некая «SafeNet Authentication Client 8.0» работающая через pcsc-lite, но просто так скачать ее невозможно.
А можно в этот etoken закинуть несколько сертификатов?
Просто у меня уже есть один с работы, на нем стоит сертификат, чтобы не покупать новый, закинуть в etoken еще один от госуслуг.
Просто у меня уже есть один с работы, на нем стоит сертификат, чтобы не покупать новый, закинуть в etoken еще один от госуслуг.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Электронная подпись физического лица (часть 2)