Здравствуйте, kov_serg, Вы писали:

_>Если его генерит криптопро то он будет лежать в контейнере криптопро. А если токен то внутри токена.

Что именно Вы называете "контейнером КриптоПро", и что именно понимаете под "внутри токена"? Контейнеры КриптоПро, записанные в память токена — это "внутри" или "не внутри"?

_>если вы получаете сертификат через интернет, то секретный ключ генерируете вы и потом отправляете запрос на получения сертификата

Вы описываете каноническую процедуру ("как должно быть"). Откуда у Вас сведения о фактически выполняемой процедуре ("как есть")?

_>Секретный ключ это просто случайное число, просто длинное.

Спасибо, кэп.

_>Еще раз получите сертификат, генерируйте ключ не токеном, а криптопрой.

Скажите, насколько Вы знакомы с техникой выпуска КЭП в ЛК ФНС? У меня крепнет подозрение, что Вы с нею попросту не сталкивались.

Здравствуйте, vsb, Вы писали:

vsb> Если там программное ограничение, то это жуткая халтура, я не думаю, что такое может существовать.

И таких вендоров надо гноить и рассказывать всем, что они ни от чего не защищают и это просто профанация.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Что именно Вы называете "контейнером КриптоПро", и что именно понимаете под "внутри токена"? Контейнеры КриптоПро, записанные в память токена — это "внутри" или "не внутри"?
Чего не понятного, у крипто про есть внутренние контейнеры, которые хранятся на машие. А есть внешние которые хранятся в токенах.
Но токены если используются как токены, а не флешки. Генерируют приватные ключи сами и наружу ими не светят. А с теми что на машие можно делать что угодно.

ЕМ>Скажите, насколько Вы знакомы с техникой выпуска КЭП в ЛК ФНС? У меня крепнет подозрение, что Вы с нею попросту не сталкивались.
С последними веяньями именно ФНС незнаком. У них просто токены физически забирали. Но несколько лет сношались с технокадом, там такая же садомия, выпуск через личный кабинет, но только ещё надо всё в бумажном виде и для отзыва лично им юриста присылать в москву. В общем послали их лесом.

ps:
— Шеф у нас дыра в безопасности
— Слава богу, хоть что-то у нас в безопасности.

Здравствуйте, BlackEric, Вы писали:

BE>https://github.com/fladna9/PKCS11Explorer и далее.

Спасибо, побаловался с PKCS#11 через eToken.dll. Только без толку — на токенах, где лежат сертификаты в формате КриптоПро, есть всего три объекта PKCS#11, и все они — CKO_MECHANISM, нулевого размера. И КриптоПро вообще не работает с eToken через eToken.dll — только через свою (safenet.dll), а как та взаимодействует с токеном — пока не понял.

Здравствуйте, Anton Batenev, Вы писали:

AB>И таких вендоров надо гноить и рассказывать всем, что они ни от чего не защищают и это просто профанация.

Вендоров чего именно? Если выяснится, что сам токен честно поддерживает нужные аппаратные функции, а тот же КриптоПро их не использует, просто организуя хранилище в памяти токена — кого будем гноить?

И рассказывать тоже без толку — после того, как ФНС стала требовать от УЦ выдавать КЭП только на токенах, их долгое время выдавали в том же "контейнерном" формате, когда секретный ключ можно было без проблем извлечь и сохранить средствами самого КриптоПро. И сами секретные ключи генерились, разумеется, на компьютерах УЦ. Все, кто мало-мальски интересовался, об этом знали, а толку?

Здравствуйте, kov_serg, Вы писали:

_>у крипто про есть внутренние контейнеры, которые хранятся на машие. А есть внешние которые хранятся в токенах.
_>Но токены если используются как токены, а не флешки. Генерируют приватные ключи сами и наружу ими не светят. А с теми что на машие можно делать что угодно.

И с теми, что на "токенах, как флешках", тоже можно делать, что угодно. И без понимания внутренней кухни отличить те, что "как токены", от тех, что "как флешки", невозможно. Даже если интерфейс пользовательского режима отвечает, что секретный ключ неизвлекаемый, эту пометку может ставить и ядерный драйвер токена, и сам его контроллер, а при использовании нужных функций драйвера/контроллера ключ вполне себе может оказаться извлекаемым. А поскольку протоколов контроллера и драйвера производитель не раскрывает, понять это можно только предметным реверсингом.

_>С последними веяньями именно ФНС незнаком. У них просто токены физически забирали.

Тогда Вы должны помнить, что поначалу КЭП выдавали на дискете/флешке, без какой-либо защиты секретного ключа, затем стали выдавать только на токенах, мотивируя это "повышением уровня безопасности", но фактически ключи там лежали, "как на флешках", опять-таки без защиты. Теперь КриптоПро не позволяет копировать секретный ключ, но это не гарантирует того, что ключ нельзя извлечь на более низких уровнях.

А теперь, при перевыпуске КЭП через ЛК, они еще и не дают скачать новый сертификат, пока не отзовешь старый. То есть, если вдруг какой глюк с установкой/использованием нового, то решать его только ногами через отделение ФНС.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>И без понимания внутренней кухни отличить те, что "как токены", от тех, что "как флешки", невозможно. Даже если интерфейс пользовательского режима отвечает, что секретный ключ неизвлекаемый, эту пометку может ставить и ядерный драйвер токена, и сам его контроллер, а при использовании нужных функций драйвера/контроллера ключ вполне себе может оказаться извлекаемым. А поскольку протоколов контроллера и драйвера производитель не раскрывает, понять это можно только предметным реверсингом.
Я немогу до вас донести простую вещь. Генерируёте и сохраняёте ключ не на токене, а в контейнере криптопро. Тогда вы спокойно можете делать бэкапы ключей.
Если хочется как положено то, надо выпускать несколько ключей на разных токенах. То что это не даёт ФНС это не повод растраиваться. Т.к. вы можете выпустить ключ в другой акредетованной конторе. Там просто должно быть шифрование гост256 и ваш инн.

ЕМ>Тогда Вы должны помнить, что поначалу КЭП выдавали на дискете/флешке...
Теперь ФНС выдаёт токены с неизвлекаемым приватным ключом. Но если вы генерируете через личный кабинет у вас есть выбор использовать токен или просто файлк.

ЕМ>А теперь, при перевыпуске КЭП через ЛК, они еще и не дают скачать новый сертификат, пока не отзовешь старый. То есть, если вдруг какой глюк с установкой/использованием нового, то решать его только ногами через отделение ФНС.
Это притенении к бюрократии, эта ещё лайтовая версия. А вот когда на любоё отзыв сертификата надо лично с документами удостоверяющими личность и доверенностями ехать в центральный офис вот где каргокульт.

Здравствуйте, kov_serg, Вы писали:

_>Я немогу до вас донести простую вещь.

Я тоже не могу донести до Вас простую вещь — подобными предложениями Вы демонстрируете свою оторванность от текущей реальности, а упорством — нежелание эту реальность осознать.

_>Генерируёте и сохраняёте ключ не на токене, а в контейнере криптопро.

Когда мне требуется самоподписанный ключ, которым я распоряжаюсь по своему усмотрению, я именно так и делаю.

_>вы можете выпустить ключ в другой акредетованной конторе.

Не могу. Все, кто имеет к этому отношение, отлично знают, что еще прошлого года ключи выдает только ФНС.

_>если вы генерируете через личный кабинет у вас есть выбор использовать токен или просто файлк.

Не могу. Там нет такого выбора.

Здравствуйте, Anton Batenev, Вы писали:

vsb>> Если там программное ограничение, то это жуткая халтура, я не думаю, что такое может существовать.
AB>И таких вендоров надо гноить и рассказывать всем, что они ни от чего не защищают и это просто профанация.

Гноить надо тех, кто не разобрался в технологии и бурлит на форумах. У всех токенов всегда четко сказано, какой именно алгоритм шифрования поддерживается аппаратно и очевидно что поддерживать все возможные варианты не будет примерно никто. В данном случае аппартно поддерживается только RSA определенной длины. Который по понятным причинам не соответствует требованиям российского законодательства. А поддерживать ГОСТ израильтяне не будут, зачем оно им надо особенно с учетом того, что константы надо явно запрашивать в ФСТЕК? Вот и используют этот токен как флешку. Нужна реальная зашита — рутокен берите, только именно со смарткартой, а не эмулятор ее на pic-е.