LINUX.ORG.RU

История изменений

Исправление Stanson, (текущая версия) :

Может быть, если предоставляешь свой токен (кстати, никто не объяснил что это такое, токеном может быть и файл. Но дальше я подозреваю, что имеется в виду железный USB-токен вроде RuToken), то без пароля с него физически можно считать только открытый ключ.

А вот это должен доказать производитель токена, для начала. И нет, не бумажку-сертификат предъявить, а доказать математически. Мол, устройство токена таково, что извлечь ключ невозможно, вот схемы, вот физическая реализация, вот так можно удостовериться что ваш экземпляр ей соответствует, вот математическое обоснование.

Но дело не в этом. Если я прав, принципиально невозможно создать своими силами закрытый ключ. Нужна либо левая софтина, либо левый девайс. А в реальности, в большинстве случаев тебе закрытый ключ (или то что его содержит) вообще выдают какие-то жулики.

Вся суть криптографии в том, что закрытый ключ не должен быть известен никому кроме владельца. И, разумеется, создавать его должен тоже владелец и больше никто. Принципиально.

УЦ удостоверяет сертификат, сгенерированный владельцем закрытого ключа при помощи этого ключа. Для этого ничего кроме CSR (файлика) не нужно в принципе. Ни предоставления каких-то токенов, ничего. Вот я, вот мой CSR - подписывай и давай подписанный сертификат, который я буду демонстрировать в доказательство того, что ЭЦП, которая делается тем же закрытым ключом который был использован для создания CSR моя и вот УЦ это подтверждает. Всё.

Если хоть каким-либо образом что-то содержащее твой закрытый ключ хоть как-то попадает или контролируется третьими лицами - никакой криптографией тут не пахнет вообще.

Исправление Stanson, :

Может быть, если предоставляешь свой токен (кстати, никто не объяснил что это такое, токеном может быть и файл. Но дальше я подозреваю, что имеется в виду железный USB-токен вроде RuToken), то без пароля с него физически можно считать только открытый ключ.

А вот это должен доказать производитель токена, для начала. И нет, не бумажку-сертификат предъявить, а доказать математически. Мол, устройство токена таково, что извлечь ключ невозможно, вот схемы, вот физическая реализация, вот математическое обоснование.

Но дело не в этом. Если я прав, принципиально невозможно создать своими силами закрытый ключ. Нужна либо левая софтина, либо левый девайс. А в реальности, в большинстве случаев тебе закрытый ключ (или то что его содержит) вообще выдают какие-то жулики.

Вся суть криптографии в том, что закрытый ключ не должен быть известен никому кроме владельца. И, разумеется, создавать его должен тоже владелец и больше никто. Принципиально.

УЦ удостоверяет сертификат, сгенерированный владельцем закрытого ключа при помощи этого ключа. Для этого ничего кроме CSR (файлика) не нужно в принципе. Ни предоставления каких-то токенов, ничего. Вот я, вот мой CSR - подписывай и давай подписанный сертификат, который я буду демонстрировать в доказательство того, что ЭЦП, которая делается тем же закрытым ключом который был использован для создания CSR моя и вот УЦ это подтверждает. Всё.

Если хоть каким-либо образом что-то содержащее твой закрытый ключ хоть как-то попадает или контролируется третьими лицами - никакой криптографией тут не пахнет вообще.

Исходная версия Stanson, :

Может быть, если предоставляешь свой токен (кстати, никто не объяснил что это такое, токеном может быть и файл. Но дальше я подозреваю, что имеется в виду железный USB-токен вроде RuToken), то без пароля с него физически можно считать только открытый ключ.

А вот это должен доказать производитель токена, для начала.

Но дело не в этом. Если я прав, принципиально невозможно создать своими силами закрытый ключ. Нужна либо левая софтина, либо левый девайс. А в реальности, в большинстве случаев тебе закрытый ключ (или то что его содержит) вообще выдают какие-то жулики.

Вся суть криптографии в том, что закрытый ключ не должен быть известен никому кроме владельца. И, разумеется, создавать его должен тоже владелец и больше никто. Принципиально.

УЦ удостоверяет сертификат, сгенерированный владельцем закрытого ключа при помощи этого ключа. Для этого ничего кроме CSR (файлика) не нужно в принципе. Ни предоставления каких-то токенов, ничего. Вот я, вот мой CSR - подписывай и давай подписанный сертификат, который я буду демонстрировать в доказательство того, что ЭЦП, которая делается тем же закрытым ключом который был использован для создания CSR моя и вот УЦ это подтверждает. Всё.

Если хоть каким-либо образом что-то содержащее твой закрытый ключ хоть как-то попадает или контролируется третьими лицами - никакой криптографией тут не пахнет вообще.