Сообщение Re[11]: Новая ЭЦП от ФНС от 21.07.2022 9:08
Изменено 21.07.2022 9:10 sanyo1234
Re[11]: Новая ЭЦП от ФНС
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Независимый микрокомпьютер имеет любой носитель типа smart card — eToken, RuToken, JaCarta и т.п.
Причем тут другие вендоры, у них точно также как у Rutoken вероятно есть аналоги Rutoken Lite и Rutoken ECP.
Я вам про то, что не только лишь все модели умеют самостоятельно на борту микрокомпьютера без помощи хоста персоналки генерить ключи и подписывать ими так, чтобы ключи НЕ покидали пределы токена.
Lite НЕ умеет, а ECP умеет, как вы не можете понять? Хотите оспорить или просто троллите?
S>>Работать с такими ключами снаружи с персоналки можно только по некоторым протоколам типа PKCS11 в режиме клиент-сервер (запрос-ответ), которые не позволяют вычитать ключ, если внутри прошивки стоит запрет экспорта такого ключа.
ЕМ>Все это верно для любой smart card. Проблема лишь в том, что большинство аппаратно поддерживает только RSA, а КриптоПро нужен ГОСТ.
Lite такое умеет?
S>>Считается, что снаружи не взломать внутреннюю прошивку токена, и не заставить ее экспортировать ключ, у которого стоит признак неэкспортируемый. Такой ключ никогда не покидает токен и не попадает на персональный комп через USB.
ЕМ>Это верно при использовании шифрования, аппаратно поддерживаемого носителем. Если носитель не поддерживает ГОСТ аппаратно, то КриптоПро использует его сугубо в качестве контейнера, и читает из него "неэкспортируемый" секретный ключ при каждом использовании подписи. А вот пользователю КриптоПро не дает экспортировать ключ. В этом и состоит "защита от честных людей".
Так я вам твержу с первого своего сообщения про модель Rutoken ECP2, которая ессно поддерживает ГОСТ 2012 и которую КриптоПро поддерживает именно полностью в аппаратном режиме. При всем желании КриптоПро не сможет вычитать такой ключ из токена по USB, токен просто не разрешит такую операцию. И в таком случае нечего будет экспортировать из КриптоПро хоть честным, хоть нечестным людям. Вы правда не понимаете, или делаете вид?
ЕМ>Независимый микрокомпьютер имеет любой носитель типа smart card — eToken, RuToken, JaCarta и т.п.
Причем тут другие вендоры, у них точно также как у Rutoken вероятно есть аналоги Rutoken Lite и Rutoken ECP.
Я вам про то, что не только лишь все модели умеют самостоятельно на борту микрокомпьютера без помощи хоста персоналки генерить ключи и подписывать ими так, чтобы ключи НЕ покидали пределы токена.
Lite НЕ умеет, а ECP умеет, как вы не можете понять? Хотите оспорить или просто троллите?
S>>Работать с такими ключами снаружи с персоналки можно только по некоторым протоколам типа PKCS11 в режиме клиент-сервер (запрос-ответ), которые не позволяют вычитать ключ, если внутри прошивки стоит запрет экспорта такого ключа.
ЕМ>Все это верно для любой smart card. Проблема лишь в том, что большинство аппаратно поддерживает только RSA, а КриптоПро нужен ГОСТ.
Lite такое умеет?
S>>Считается, что снаружи не взломать внутреннюю прошивку токена, и не заставить ее экспортировать ключ, у которого стоит признак неэкспортируемый. Такой ключ никогда не покидает токен и не попадает на персональный комп через USB.
ЕМ>Это верно при использовании шифрования, аппаратно поддерживаемого носителем. Если носитель не поддерживает ГОСТ аппаратно, то КриптоПро использует его сугубо в качестве контейнера, и читает из него "неэкспортируемый" секретный ключ при каждом использовании подписи. А вот пользователю КриптоПро не дает экспортировать ключ. В этом и состоит "защита от честных людей".
Так я вам твержу с первого своего сообщения про модель Rutoken ECP2, которая ессно поддерживает ГОСТ 2012 и которую КриптоПро поддерживает именно полностью в аппаратном режиме. При всем желании КриптоПро не сможет вычитать такой ключ из токена по USB, токен просто не разрешит такую операцию. И в таком случае нечего будет экспортировать из КриптоПро хоть честным, хоть нечестным людям. Вы правда не понимаете, или делаете вид?
Re[11]: Новая ЭЦП от ФНС
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Независимый микрокомпьютер имеет любой носитель типа smart card — eToken, RuToken, JaCarta и т.п.
Причем тут другие вендоры, у них точно также как у Rutoken вероятно есть аналоги Rutoken Lite и Rutoken ECP.
Я вам про то, что не только лишь все модели умеют самостоятельно на борту микрокомпьютера без помощи хоста персоналки генерить ключи и подписывать ими так, чтобы ключи НЕ покидали пределы токена.
Lite НЕ умеет, а ECP умеет, как вы не можете понять? Хотите оспорить или просто троллите?
S>>Работать с такими ключами снаружи с персоналки можно только по некоторым протоколам типа PKCS11 в режиме клиент-сервер (запрос-ответ), которые не позволяют вычитать ключ, если внутри прошивки стоит запрет экспорта такого ключа.
ЕМ>Все это верно для любой smart card. Проблема лишь в том, что большинство аппаратно поддерживает только RSA, а КриптоПро нужен ГОСТ.
Lite такое умеет?
S>>Считается, что снаружи не взломать внутреннюю прошивку токена, и не заставить ее экспортировать ключ, у которого стоит признак неэкспортируемый. Такой ключ никогда не покидает токен и не попадает на персональный комп через USB.
ЕМ>Это верно при использовании шифрования, аппаратно поддерживаемого носителем. Если носитель не поддерживает ГОСТ аппаратно, то КриптоПро использует его сугубо в качестве контейнера, и читает из него "неэкспортируемый" секретный ключ при каждом использовании подписи. А вот пользователю КриптоПро не дает экспортировать ключ. В этом и состоит "защита от честных людей".
Так я вам твержу с первого своего сообщения про модель Rutoken ECP2, которая ессно поддерживает ГОСТ 2012 именно внутри токена аппаратно (т.е. сам токен ECP1/ECP2/ECP3 является полноценным аппаратным СКЗИ в отличии от Lite — который чуть сложнее обычной флэшки) и которую КриптоПро поддерживает именно полностью в аппаратном режиме. При всем желании КриптоПро не сможет вычитать такой ключ из токена по USB, токен просто не разрешит такую операцию. И в таком случае нечего будет экспортировать из КриптоПро хоть честным, хоть нечестным людям. Вы правда не понимаете, или делаете вид?
ЕМ>Независимый микрокомпьютер имеет любой носитель типа smart card — eToken, RuToken, JaCarta и т.п.
Причем тут другие вендоры, у них точно также как у Rutoken вероятно есть аналоги Rutoken Lite и Rutoken ECP.
Я вам про то, что не только лишь все модели умеют самостоятельно на борту микрокомпьютера без помощи хоста персоналки генерить ключи и подписывать ими так, чтобы ключи НЕ покидали пределы токена.
Lite НЕ умеет, а ECP умеет, как вы не можете понять? Хотите оспорить или просто троллите?
S>>Работать с такими ключами снаружи с персоналки можно только по некоторым протоколам типа PKCS11 в режиме клиент-сервер (запрос-ответ), которые не позволяют вычитать ключ, если внутри прошивки стоит запрет экспорта такого ключа.
ЕМ>Все это верно для любой smart card. Проблема лишь в том, что большинство аппаратно поддерживает только RSA, а КриптоПро нужен ГОСТ.
Lite такое умеет?
S>>Считается, что снаружи не взломать внутреннюю прошивку токена, и не заставить ее экспортировать ключ, у которого стоит признак неэкспортируемый. Такой ключ никогда не покидает токен и не попадает на персональный комп через USB.
ЕМ>Это верно при использовании шифрования, аппаратно поддерживаемого носителем. Если носитель не поддерживает ГОСТ аппаратно, то КриптоПро использует его сугубо в качестве контейнера, и читает из него "неэкспортируемый" секретный ключ при каждом использовании подписи. А вот пользователю КриптоПро не дает экспортировать ключ. В этом и состоит "защита от честных людей".
Так я вам твержу с первого своего сообщения про модель Rutoken ECP2, которая ессно поддерживает ГОСТ 2012 именно внутри токена аппаратно (т.е. сам токен ECP1/ECP2/ECP3 является полноценным аппаратным СКЗИ в отличии от Lite — который чуть сложнее обычной флэшки) и которую КриптоПро поддерживает именно полностью в аппаратном режиме. При всем желании КриптоПро не сможет вычитать такой ключ из токена по USB, токен просто не разрешит такую операцию. И в таком случае нечего будет экспортировать из КриптоПро хоть честным, хоть нечестным людям. Вы правда не понимаете, или делаете вид?