Комментарии 4
Вопрос немного оффтоп: чем технически казтокен отличается от рутокена-эцп? На вид это одинаковые устройства (с разными шильдиками), NCALayer определяет рутокен как казтокен и предлагает использовать его как хранилище. Как я понимаю, вся работа с ключами в обоих случаях происходит по PKCS#11, поэтому разработчики сочли достаточным определять базовый id устройства, вне зависимости от бренда, и всё считать казтокеном.
Я не рискнул выпускать сертификаты на рутокен, но, думаю, ничего бы не сломалось.
И вдогонку ещё вопрос, для меня уже неактуальный, но разобраться всё ещё хочу. Вот вы в статье приводите цифры от НУЦ по количеству защищенных хранилищ по годам. Вы же понимаете, что это очень хитрые цифры, и откуда они берутся?) Не все, естественно, но, имхо, большая часть таких носителей - это смарткарты на удостоверениях личности. Гражданин очередной раз меняет документ, ему выпускают ключ и заботливые сотрудники ЦОНа устанавливают в качестве пин-кода год рождения гражданина. Вернее, он сам без задней мысли вводит свой год рождения на пинпаде, когда сотрудник его об этом просит. Не знаю, как сейчас обстоят дела с этим регламентом (есть надежда, что поменяли в лучшую сторону, так как наконец-то в этом году появились правила по силе пароля для файлового хранилища, может, и с пинами объяснили служащим на местах, как правильно) - но с самого появления смарткарт на удостоверениях и вплоть до 2019 года (я тогда в последний раз его получал) пины у граждан соответствовали годам рождения. Естественно, считать такой носитель защищенным нельзя. Более того! Поменять пин мне так и не удалось, ни через ЦОН, ни через 1414, ни через попытки общения с картой по PC/SC. То ли это аппаратное ограничение, то ли я был не слишком настойчив. Единственный выход в такой ситуации - отзыв сертификата в НУЦ.
Есть еще на что посетовать, например, с текущей версией eGov mobile, но это прям совсем оффтоп, не буду)
Так. Прошу прощения! Перешел по ссылке на статистику, удостоверения личности там отдельной таблицей. Так что ваши предпосылки вполне оправданы.
По поводу удостоверений личности - на мой взгляд даже в таком формате, который Вы описываете, удостоверение личности лучше файловой системы, так как файл можно скопировать (то есть копия файла может быть у злоумышленника в то время, когда пользователь об этом ничего не подразумевает), а закрытый ключ из удостоверения личности не получится (по крайней мере нам так говорят).
По поводу того, что NCALayer воспринимает другие устройства как KAZTOKEN, к сожалению ничего пояснить не смогу, тут нужно смотреть код NCALayer. С практической точки зрения KAZTOKEN - это сертифицированные (по СТ РК 1073-2007) в РК устройства.
К сожалению у меня нет вашего токена.
А так можно было бы с ним поиграться в утилите cryptoarmpkcs и ответить на вопрос up40k :
чем технически казтокен отличается от рутокена-эцп?
Принудительно добавляем поддержку защищенных носителей (токенов и карт) в недоработанные порталы Республики Казахстан