LINUX.ORG.RU

Криптографические токены PKCS#11: просмотр и экспорт сертификатов, проверка их валидности

 , crl, , ,

Криптографические токены PKCS#11: просмотр и экспорт сертификатов, проверка их валидности

3

1

Сертификаты x509 используются организациями и гражданами. Они выдаются в удостоверяющих центрах на отторгаемых носителях. Это токен/смарт-карта с поддержкой криптографических механизмов PKCS#11, для которой удобно иметь графическую утилиту. Она позволяет не только просматривать сертификаты, но и экспортировать сертификаты в файлы, и проверять валидность хранящихся на токенах сертификатов. На habr представлена такая кросплатформенная утилита, которая доступна для свободного скачивания вместе с исходным кодом для платформ Linux, OS X (macOS) и Windows (куда без него). Утилита имеет понятный графический интерфейс.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 3)
Ответ на: комментарий от AVL2

Импорт ключа есть везде.

Вы заблуждаетесь. Попробуйте импортировать ключ (приватный) на Рутокен ЭЦП 2.0 и увидите, что это не возможно. Рутокен эцп, который поддерживает только ГОСТ Р 34.10-2001 позволяет. На программные и облачные токены можно импортировать.

anonymous
()
Ответ на: комментарий от AVL2

Наверное, под ст. 282 можно подтянуть

Deleted
()
Ответ на: комментарий от AVL2

Это нельзя по определению.

Если нельзя, но очень хочется, то, иногда, бывает можно.

Создавать ключ

Это не годится. Увы, ключ приходится покупать.

AS ★★★★★
()

Есть проект XCA, например, который спокойно позволяет экспортировать закрытые ключи с токенов/смарткарт PKCS#11

А вот это интересно, спасибо. Буду посмотреть.

AS ★★★★★
()
Ответ на: комментарий от AS

Создавать ключ

Это не годится. Увы, ключ приходится покупать.

Хотя... Надо пообщаться, может я просто не знаю, что можно свой запрос отдать, а не бежать с токеном.

AS ★★★★★
()
Ответ на: комментарий от AS

Увы, ключ приходится покупать.

Это далеко не так. Приходите в УЦ за сертификатом с готовым запросом на сертификат в формате PKCS10. Ключ вы сгенерируете сами (дома) и сделаете запрос на том же XCA или вот еще утилита . Сведения о вашем публичном ключе будут в запросе. В УЦ обязаны принять ваш электронный запрос, а разговоры о том, что мы сами сгенерируем ключ, создадим запрос - это разговоры для ФАС и прокуруторы. Идет навязывание услуг и впаривание вам ненужных ключиков. У вас openssl. Боритесь за свои права.

anonymous
()
Ответ на: комментарий от AS

Тогда нельзя.

Копируется только контейнер криптопро целиком. И то, если разрешат.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

у меня рутокен ecp, который поддерживает rsa. Прекрасно он имортирует ключи и сертификаты.

Первое, у вас просто rutoken ecp, а есть еще rutoken ecp-2.0. Во-вторых, речь шла не про RSA, а про ГОСТ!. В-третьих, сертификаты как публичные объекты импортируются и экспортируются всегда.

anonymous
()

Они выдаются в удостоверяющих центрах на отторгаемых носителях.

И, конечно, за лаве. И, конечно, не дольше чем на год. Потом опять плати.

slamd64 ★★★★★
()
Ответ на: Увы, ключ приходится покупать. от anonymous

Логично, процедура покупки именно такова. Мы заказывали ключи для торговых площадок и казначейства - везде по запросу их делают.

Только банки впаривают свои токены и ключи.

AVL2 ★★★★★
()

Первое, у вас просто rutoken ecp, а есть еще rutoken ecp-2.0.

Это да, давно уже не покупали токены, как взяли пару десятков так и пользуемся.

Про rsa написал, потому что прочитал

«Рутокен эцп, который поддерживает только ГОСТ Р 34.10-2001 позволяет.» и не обратил внимание на версию госта.

Однако на мой взгляд учитывая, что 99% работают с контейнерами криптопро, достаточно иметь возможность импортировать ключ в контейнер криптопро на токене. Необязательно это делать напрямую.

AVL2 ★★★★★
()
Ответ на: комментарий от AS

Для работы с ЭЦП все равно нужно что-то типа КриптоПРО

Нет. Вот для этого достаточно OpenSSL

И как мне работать через OpenSSL на Сбербанк-АСТ?

mbivanyuk ★★★★★
()
Ответ на: комментарий от AVL2

Криптопро создает свой контейнер и в нем создает сертификаты и ключи.

Так не используйте этот не стандартный провайдер. Про этот CSP ТК-26 ничего не говорит и не упоминает в своих документах. Используйте стандарт PKCS#11 или стандарт де факто OpenSSL. Хотя почему де-факто? Если он поддерживает PKCS8 и PKCS12 и PKCS7 от ТК-26, то он для ГОСТ- стандарт.

anonymous
()
Ответ на: комментарий от mbivanyuk

И как мне работать через OpenSSL на Сбербанк-АСТ?

Пусть откроют протокол общения с Сбербанк-АСТ (а это нормальное требование ФАС) а остальное дело техники. Обращайтеся

anonymous
()
Ответ на: комментарий от mbivanyuk

И как мне работать через OpenSSL на Сбербанк-АСТ?

Это тебе КриптоПРО надо для работы со Сбербанк-АСТ, а не вообще с ЭЦП. Мне Сбербанк-АСТ никуда не стучал, мне достаточно OpenSSL.

AS ★★★★★
()

ГОСТ

кому вообще нужна бекдореная гост-криптография?

anonymous
()
Ответ на: комментарий от Deleted

Нормальный, человеческий look'n'feel

qt

а ты шутник.

anonymous
()

Так дело не в провайдере. С токенов в общем случае в принципе нельзя вытащить ключ. В этом смысл токена, что ключ его не покидает.

И что толку мне с openssl если банк требует провайдера криптопро? И ключ присылает в виде токена с его контейнером?

Криптопро наоборот, дает хоть какую то свободу. Так, создав ключ на токене, черта сдва ты потом скопируешь его на другой токен. А криптопрошный контейнер скопировать как два пальца, причем на любой токен, например, с джакарты на рутокен.

AVL2 ★★★★★
()
Ответ на: комментарий от mbivanyuk

ты же прекрасно понимаешь что речь тут о российской гостовской ЭЦП, а не о ЭЦП вообще.

Я вполне себе про российскую ЭЦП. Иначе зачем мне куда-то бегать с токеном? AVL2, да, оказалось, что согласны на запрос. Что я раньше не подумал... Хотя бегал-то не я.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от anonymous

Возможно я ошибаюсь, но мне в ваших словах слышится утверждение о злокозненности государства. А мне кажется, что проблема в узости взгляда и недостатке времени и средств. Обратите внимание: сайт не только «капризничает» по поводу ОС и браузера, но и предоставляет руководящие материалы и обещает тех.поддержку. Очевидно, что если добавить зоопарк дистрибутивов и зоопарк доступных браузеров, то поддержка просто повесится.

Достаточно предложить поддержку одной из ОС из реестра отечественного ПО.

Я продолжаю настаивать, что авторам сайта просто пофиг. «Вы выбрали linux - вот сами с ним и трахайтесь».

Он даже не пускает потыкать. Говорит «ваша ОС не подходит», и не даёт возможности проверить. Этот шаг, возможно, можно обойти подменой юзер-агента, но факт того, что поддержка linux отсутствует умышленно, налицо.

te111011010
()
Ответ на: комментарий от te111011010

Он даже не пускает потыкать. Говорит «ваша ОС не подходит»

А о чём речь вообще? Какая-то часть nalog.ru не работает, или вообще всё? Потому как если последнее, то это не так, личный кабинет физлица там работает. Вот прямо сейчас зашёл, FF 63.0.3, никаких коррекция юзерагента.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от te111011010

Говорит «ваша ОС не подходит», и не даёт возможности проверить.

Я хожу на Госуслуги и ФНС только с Linux, которого нет в из реестре отечественного ПО (у меня Mageia и нет никакого КриптПро CSP), плачу налоги и т.п. Если у кого-то не получается почитайте пару статей:

1. Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

https://habr.com/ru/post/334162/

2. Импортозамещение при доступе в личный кабинет на портале Госуслуг

anonymous
()

Я хожу на Госуслуги и ФНС только с Linux,

На госуслугах когда-то поддерживался linux при использовании ЭЦП. На nalog.ru же никогда не поддерживался. Если ты заходишь, значит используешь только логин и пароль, что доступно только для физлиц.

te111011010
()
Ответ на: комментарий от te111011010

только логин и пароль, что доступно только для физлиц.

Нет вы не правы. Попробуйте сами. А логин и пароль я принципиально не использую. И токен использую, как правило, облачный:

Положил личный сертификат в облачный токен, подключил его к плагину госуслуг и оплатил налоговую задолжность через портал

Доступ в личный кабинет налогоплательщика ФНС с помощью браузера Mozilla Firefox с поддержкой российской криптографии

anonymous
()
Ответ на: комментарий от AVL2

Криптопро создает свой контейнер и в нем создает сертификаты и ключи.

Интересная дискуссия сейчас идет по этому же поводу вокруг статьи: Работа с СКЗИ и аппаратными ключевыми носителями в Linux

в духе наших комментариев.

anonymous
()

Тю, у меня где-то такая прога на Qt валялась... писал для администрирования токенов - инициализация, генерация ключей, чтение/запись сертификатов, смена пин-кодов...

А вообще, из консольки все это может openssl.

segfault ★★★★★
()
Ответ на: комментарий от Iron_Bug

Так там используется плагин от вроде КриптоПро для работы с ЭЦП. Перед попыткой воспользоваться им проверяет по юзер-агенту и говорит «У вас неподдерживаемая система».

te111011010
()
Ответ на: комментарий от te111011010

сайт не пускает с линуксового user-агента?

Какой сайт с какого агента? Пришлите как вы обращаетесь.

pki_gost
()
Ответ на: комментарий от slamd64

Так и выписывай ключи всем бесплатно! Зачем ты за них решаешь, насколько это трудоемко? Просто накажи, лиши их рынка нетрудовых доходов.

AVL2 ★★★★★
()
Ответ на: комментарий от slamd64

Не надо называть троллингом любую критику, на которую ты не знаешь, что ответить.

Решать за других, сколько стоят их услуги, их работа, это идиотизм. Так быть в принципе не должно. Это стыдно, непроходимо тупиково и поэтому подобное должно караться перевоспитанием в гулаге.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

И кто там монополист? Ты вообще в курсе, сколько у нас УЦ?

И как это влияет на монополию в области СКЗИ да еще не раскрытым интерфейсом к контейнеру?

Так что вопрос

Ну то есть, сидеть монополистом за взятки чинушам - нормально, караться не должно?

остается открытым

TclTk
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.