Извлечение ключа из токена с неизвлекаемым ключом / Хабрахабр. Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ Крипто. ПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или Ja.
Carta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 1. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент. Версия: v. 4. 1. 0. WHQL- certified. Единый Клиент Ja.
Импортировать открытый ключ в закрытый можно одним из следующих.
Carta и Ja. Carta Secur. Logon. Версия 2. 9. Крипто. АРМ Стандарт Плюс 5.
- ЭП состоит из закрытого ключа и открытого ключа (сертификат.cer) ЭП на ключевых носителях - РуТокен /ЕТокен, дискета (флешка).
- ЭП состоит из закрытого ключа и открытого ключа (сертификат.cer). Удостоверяющие центры выдают ЭП на ключевых носителях - РуТокен/ЕТокен, дискета (флешка).
- Закрытый ключ Открытый ключ. Копирование с помощью КриптоПро CSP. Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. Укажите стандартный pin-код - 12345678.
- Как правило, после выпуска сертификата открытого ключа, он помещается в ключевой контейнер, и его можно извлечь из контейнера средствами КриптоПро CSP. Выбрать варианты: «Нет, не экспортировать закрытый ключ» и «Файл в DER-кодировке X509» (.CER) 7.
Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами. Затем отметить пункт Нет, не экспортировать закрытый ключ и выбрать Далее.
Версия 1. 9. 0. 2. Ja. Carta ГОСТ. Номер модели JC0. F0. 9 v. 2. 1. Методика тестирования. Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО: генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа; после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат; сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом; с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям; после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.
Затем скопируем ключевую информацию на Рутокен ЭЦП и Ja. Carta ГОСТ, изготовив рабочие ключевые документы. После этого уничтожим исходный ключевой документ, удалив из реестра ключевой контейнер.
И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр. Проведение тестирования. Создадим исходный ключевой документ. Скопируем ключевую информацию из рабочих ключевых документов. Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд.
Исследуем матчасть по токенам. Матчасть. То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера. Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по- другому, CSP). Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.
По- новому взглянем на наш тестовый стенд. В качестве одного из ключевых носителей использовался Рутокен ЭЦП.
Через «Панель управления Рутокен» о нем можно получить следующую информацию: В последней строке указана фраза «Поддержка Крипто. ПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ Крипто. ПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна. Аналогичная ситуация и с Ja. Carta ГОСТ. Более того, СКЗИ Крипто. ПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ Крипто. ПРО CSP на чистую машину без драйверов от токенов и подключить токен Ja. Carta ГОСТ. ОС Windows 7 обнаружит токен Ja.
Carta ГОСТ как «Устройство чтения смарт- карт Microsoft Usbccid (WUDF)». Весь функционал СКЗИ успешно отработает. Как сделать, чтобы все было хорошо? Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ Крипто. ПРО Рутокен CSP. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать Крипто. ПРО Рутокен CSP или Крипто. Про ФКН CSP соответственно.
Получается, что Рутокен ЭЦП и Ja. Carta ГОСТ не являются токенами с неизвлекаемым ключом? Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ Крипто. ПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах.
Таким софтом может быть Крипто. АРМ Стандарт 5 Плюс. При генерации ключевой пары в мастере Крипто.
АРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или e. Token GOST. Это и позволит использовать токен как ФКН. Выводы. Не верьте продавцам, чушь вам городящим. Использование обычных версий криптопровайдера Крипто. ПРО CSP и обычных Рутокен ЭЦП или Ja. Carta ГОСт не позволяют реализовать технологию ФКН. Для использования технологии ФКН совместно с продуктами ООО «КРИПТО- ПРО» необходимы как специально подготовленные токены, содержащие апплет, с которым умеет работать СКЗИ, так и специальные версии криптопровайдера Крипто.
ПРО CSP, которые умеют работать с апплетом на токенах. Рутокен ЭЦП и Ja. Carta ГОСТ умеет самостоятельно реализовывать технологию ФКН, но для этого необходим специальный софт.