LINUX.ORG.RU
ФорумTalks

Порядок получения ЭЦП. (закипание ...)

 


0

2

Решил тут побаловаться с ЭЦП, для начала получить её… Порядок такой:

  1. При подаче заявки к ней надо приложить сканы паспорта, снилс и скан заявления (кроме того что я эти данные в форме вобью)
  2. генерация ключевой пары происходит в криптопро (я понимаю что он там ФСБ/ФСТЭК и всем всем всем сертифицирован, ну а тот же intel, windows и т.п. что, тоже имеют сертификаты)

я понять не могу следующее:

  1. А нафига конторре сканы документов, я же приду получать - предъявлю оригиналы.
  2. Если генерация ключей происходит где-то в памяти ПК то это уже попахивает созданием копий ключевой пары. Те же «rutoken ЭЦП» позволяют делать так что ключевая пара генерируется внутри токена, закрытый ключ не экспортируемый и не покидает токен.
  3. А какого банана я вообще прикрепляю какие-то там сканы к веб форме, у нас что SSL/TLS уже ГОСТ-ом шифруется? Я понимаю что я сам, как распорядитель своих ПД, их в праве передавать как угодно. Но если уж делать нормально дак зачем я должен поступаться безопасностью. В общем я «закипаю» что при получении подписи опять в электронном виде пытаются работать по «бумажным технологиям», при том что сканы как документы - вообще ни какого веса не имеют, а вот передавать их через интернет как-то не охота… Да и по значимости - что я к форме прикреплю сканы, что просто реквизиты в форме вобью… Страхуются от моих косяков - дак извините, если я совру - денежка за перевыпуск сертификата с меня же.

УЦ не какой-то колхозный, мелкий.

Может кто пояснит-остудит кипение, может кто в этой сфере крутится - поделится…

Стиральная машина
Почему Arch медленнее Debian?

Может кто пояснит-остудит кипение, может кто в этой сфере крутится - поделится…

«Джентльмены верят друг другу на слово» ©.

quickquest ★★★★★
()

А нафига конторре сканы документов, я же приду получать - предъявлю оригиналы.

После некоторых случаев с неправомерным получением ключей, ужесточились правила получения ключа. Ваши документы и фотография (вас же фотографировали при подаче заявления?), отправляются в головной офис как минимум организации (может и в калугу астрал сразу, уже не помню), в котором они лежат до востребования правоохранительными органами

Если генерация ключей происходит где-то в памяти ПК то это уже попахивает созданием копий ключевой пары.

Так же, новые правила касаются частично и этого момента. Генерация ключа теперь обязана происходить на устройстве заявителя

admucher ★★
()
Ответ на: комментарий от admucher

Генерация ключа теперь обязана происходить на устройстве заявителя

а ведь все эти токены «дешевые» это просто носитель с проверкой PIN…

А мне, как я понимаю, выдадут rutoken S а не rutoken ЭЦП который умеет и генерировать и криптооперации проводить, что собственно и требуется…

Странно это всё.

The_Ketchup ★★
() автор топика
Ответ на: комментарий от The_Ketchup

А сам носитель еще не получен? По идее, должны сфотографировать вас.

Все вышеперечисленное касается, если самого сертификата нет, либо он истек. Последующее получение происходит просто продлением, без офисов, фоток и т.д.

admucher ★★
()
Ответ на: комментарий от admucher

А сам носитель еще не получен?

нет, пока только оформление, переписка и оплата. Когда провернётся - отпишусь если интересно.

Кстати, интересная ссылка: https://www.cryptopro.ru/products/csp/compare#supported_media

я так понимаю что требования чтобы ключ не покидал токен и генерация на нём обеспечиваются только тем что имеет статут Активный носитель или ФКН, а это считанные единицы в списке по ссылке..

The_Ketchup ★★
() автор топика
Последнее исправление: The_Ketchup (всего исправлений: 1)

Криптопро умеет работать с носителями с внутренней криптографией только с недавнего времени, не считая пары узкозаточенных версий.

Я просил, как для ЕГАИС, на рутокен эцп, без криптопро. Сделали, но только в сертификате прописано, что я как бы Криптопро использую.

Да, если генерируют у себя, то могут скопировать. Или могут подписать, и без копирования.

Раньше, помню, генерировали запрос, копировали на дискету, шли за сертификатом и загружали сертификат в контейнер к паре. Сама пара не покидала. Контур генерирует пару на компьютере пользователя и отсылает запрос, хотя им ничего не стоит ее скопировать через их плагин.

Кстати. Правильно ЭП, а не ЭЦП, давно уже, если в РФ

boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 2)

Решил тут побаловаться с ЭЦП

А зачем? Я про российские ЭЦП слышал только...в контексте переписывания квартир на левых личностей незаметно для легального владельца.

Kolins ★★★★
()
Ответ на: комментарий от admucher

Генерация ключа теперь обязана происходить на устройстве заявителя

Алилуйя, а то думал что и там одни мошенники. А где эти правила найти?

superuser ★★★★☆
()

Решил тут побаловаться с ЭЦП

Но зачем ? Разве государство не оказывает какие-то важные услуги без него ?

А нафига конторре сканы документов, я же приду получать - предъявлю оригиналы.

Ну а как тогда потом на вас взять 100500 кредитов в МФО ?

DawnCaster ★★
()
Ответ на: комментарий от Kolins

Аналогично. Вообще стрёмная штука.

Но это развязывает руки в плане электронного документооборота, можно некоторые вещи сделать не отходя от компа, когда в противном случае пришлось бы физически тащиться в другой город.

WitcherGeralt ★★
()
Ответ на: комментарий от admucher

Генерация ключа теперь обязана происходить на устройстве заявителя

О, это уже шаг в верном направлении. А устройство - это комплюктор ? А если это какой-то отечественный аппаратный токен (я так понимаю, что с крипто-про другие для генерации ЭЦП и не подойдут), то где гарантии что они не передают копию в крипто-про а он не передает его товарищу майору (или ещё кому) ? Не в курсе-ли вы - можно-ли сгенерировать себе ключ на компе который находится полностью оффлайн ?

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

можно-ли сгенерировать себе ключ на компе который находится полностью оффлайн ?

Присоединяюсь к вопросу.
admucher если такой возможности нет, то это попахивает мошенничеством

superuser ★★★★☆
()
Ответ на: комментарий от DawnCaster

у меня на руках есть rutoken ECP 2.0 он умеет генерить ключевые пары. Я для SSH генерил пару внутри. инструкция есть если загуглить по «rutoken ssh»

The_Ketchup ★★
() автор топика
Ответ на: комментарий от superuser

Если честно, то не знаю. Сами документы не читал.

Неделю назад продлевал ключ в конторе и столкнулся с этими изменениями. После пары вопросов «почему, что и как» разговорились с сирвисменом, ну он и подробно изложил последние изменения за год. На 21-й год так же есть небольшие изменения, но они больше касаются Юрлиц

admucher ★★
()
Ответ на: комментарий от DawnCaster

@superuser , я уточню этот момент, если интересует. Ещё есть ключ, который надо продлить, так что постараюсь провести опыт, чтоб не только на словах

admucher ★★
()
Ответ на: комментарий от The_Ketchup

вообще, если я правильно понимаю, порядок абсолютно верный должен быть таким:

  1. сгенерил пару внутри токена
  2. сделал запрос на сертификат с открытым ключом, при том шаблон должен дать УЦ в соответствии с тем тарифом который ты хочешь, чтобы там были нужные ID для использования.
  3. запрос отправил в УЦ
  4. тебе прислали сертификат
  5. сертификат загрузил в токен. Занавес.
The_Ketchup ★★
() автор топика

Зачем тебе ЭЦП, хочешь чтобы государство за тебя всё что ему нужно подписывало, а ты потом ничего и доказать не мог?

УЦ не какой-то колхозный, мелкий.

Я вас умоляю…

slovazap ★★★★★
()
Ответ на: комментарий от slovazap

Как кто-то подпишет без твоего закрытого ключа?

superuser ★★★★☆
()
Ответ на: комментарий от slovazap

Зачем тебе ЭЦП, хочешь чтобы государство за тебя всё что ему нужно подписывало, а ты потом ничего и доказать не мог?

Это, к сожалению, не панацея. В известных случаях мошенничества с квартирами и ЭЦП - у владельцев вообще изначально не было ЭЦП.

DawnCaster ★★
()

А нафига конторре сканы документов, я же приду получать - предъявлю оригиналы.

кредит сам себя не оформит

cvs-255 ★★★★★
()
Ответ на: комментарий от Kolins

В АРМах отделений почтовых непременно используется ЭЦП.

XoFfiCEr ★★☆☆
()
Последнее исправление: XoFfiCEr (всего исправлений: 1)
Ответ на: комментарий от cvs-255

А нафига конторре сканы документов, я же приду получать - предъявлю оригиналы.

кредит сам себя не оформит

а если сканы подписать «выдаётся туда-то с такой-то целью» подпись, дата

superuser ★★★★☆
()
Ответ на: комментарий от Avial

Не ключевой пары, а запроса. И @TclTk говорил, вроде, что УЦ может их сам проставить, точней что это как раз их дело. Но по факту в УЦ могут настроить операции так, что идет проверка по шаблону, а не подгонка к шаблону.

boowai ★★★★
()
Ответ на: комментарий от Avial

разве ключевая пара зависит от чего то ? oid это же атрибуты сертификата, которые со всем остальным подписываются закрытым ключём УЦ.

The_Ketchup ★★
() автор топика

у нас что SSL/TLS уже ГОСТ-ом шифруется?

А че, нет? Зачем-то же он есть в криптолибах.

t184256 ★★★★★
()

Странная контора, вообще генеришь запрос на сертификат на флешку и с ней и документами бежишь ножками. Ну или по интернету, но все равно ножками за ключами.

ilovewindows ★★★★★
()

Все данные на тебя за 100 рублей в даркнете купить можно, а ща 150 ещё и записи с камер как ты в туалет ходишь. А у тебя все ещё вопросы по шифрованию

zgen ★★★★★
()
Ответ на: комментарий от t184256

а если посмотреть то при установлении соединения к согласованию они не предлагаются. Криптолибы это одно, а что реально применяется - это другое.

The_Ketchup ★★
() автор топика
Ответ на: комментарий от The_Ketchup

в общем выдали rutoken lite - опять чисто тупой носитель ключа… генерились ключи в cryptopro, судя по бумагам. /0

The_Ketchup ★★
() автор топика

Я б тебе рассказал как в Швейцарии к аналогу госуслуг доступ получить (ладно, аналогу госуслуг 2005 года если не раньше), но если тебя даже от эцп в России порвало - психика скорее всего не выдержит.

upcFrost ★★★★★
()
Ответ на: комментарий от The_Ketchup

Это потому что никто в здравом уме не включит госты по дефолту ни в клиенте, ни в сервере, это я тебе, считай, как вендор криптолиб говорю.

t184256 ★★★★★
()
Ответ на: комментарий от Kolins

Ну вроде как госуслуги требуют для некоторых штук, чтобы из дома не выходить.

peregrine ★★★★★
()
Ответ на: комментарий от zgen

Ну не за 150. Прямо полностью от пятнашки стоит если мне не врёт память, но это даже с твоими звонками и списком покупок в магазине.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от The_Ketchup

Ты в каждом сайте проверяешь предлагаемые шифры? В каком-то ЛК nalog.ru соединение шло с ГОСТ и запросом клиентского сертификата. Какие-то поддерживают не только ГОСТ, поэтому не заметишь.

А некоторые сайты (обязательные) практически находятся в darknet(vipnet).

boowai ★★★★
()

Эх, тебя бы на 10 лет назад в УЦ росказны. Вот там бы тебе кукуху унесло от вопросов без ответов

PakMaH
()
Ответ на: комментарий от boowai

Правильно ЭП, а не ЭЦП, давно уже, если в РФ

Кошмар, дискриминация аналоговых ЭВМ!

mertvoprog
()
Ответ на: комментарий от DawnCaster

Не сделал я, извиняюсь. Сертификат почти истек, а ожидалась пачка накладных. Не стал возиться.

Типичная генерация и запись, происходили в вебе с кучей установленных плагинов как в винду, так и в хром

admucher ★★
()
Ответ на: комментарий от The_Ketchup

генерились ключи в cryptopro, судя по бумагам

Т.е. они тебе выдали ключ уже с сертом? Хм…

admucher ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Стиральная машина
Talks
Почему Arch медленнее Debian?