«Окуляр ГОСТ» — форк Okular с плагином КриптоПро

Но там используется обычный контейнер КриптоПро. Который копируется по щелчку.

ну, я догадываюсь, что они код скоммуниздили из того же openssl'а, поэтому и не публикуют, я думаю, чтобы под суд с лицензиями не попасть. понятно, что сами они ничего не изобрели. но вот это лицемерие с продажей воздуха, а заодно воровство приватных ключей всегда вызывало у меня особое отвращение. при этом раздувают щёки, будто они какое-то очешуенное ноу-хау создали. в общем, обычное мелкое жульничество.

но справедливости ради, замечу, что с нормальной криптографией никто работать особо не хочет. все мутят какое-то очковтирательство с «2FA» и никто даже не заикается про то, что есть самые банальные юзерские сертификаты, те же RSA (ну или какие там хочется ключи) любой битности, на выбор. и всё это намного надёжнее, удобнее и практичнее, чем вся галиматья с какими-то паролями и SMS-ками. но нет, никому не нужна настоящая приватность. и я думаю, что все понимают, почему.

я, кстати, подумывала реверс-инжинирнуть эту каку и посмотреть, что там внутри. но мне стало лень и некогда вообще этим заниматься. может, уже кто-нибудь смотрел, что там? меня дико бесит проприетарщина и я её на своей машине ни за что запускать не стану. только в огороженных виртуалках, на отдельном сервере, через три прокси. ибо какашка страшная, и неизвестно, что там может быть внутри. но вот нет физической возможности делать анализ каждого УГ. хотя это только одно УГ, которое мне пришлось использовать один раз, для регистрации дурацкой самозанятости. они с меня поимели бабла за это ненужно. бабло мелкое, пусть подавятся. но кода нет. пришлось это запускать чёрт знает где, в огороженном по самые помидоры окружении. я пробрасывала виртуальный USB для ключа на другой сервер, в виртуалку, через несколько проксей. это какой-то мрак. но самое смешное, что больше оно вообще не нужно: дальше выясняется, что после регистрации налог-то можно платить на сайте, без всяких там ключей и прочих извращений.

Всё верно. Вот только как УЦ определит, что твой открытый ключ надёжен? Только сгенерив его сам, в твоём присутствии/участии.

Вот только как УЦ определит, что твой открытый ключ надёжен?

А это не его собачье дело. Надёжностью твоей подписи никто вот не интересуется, и всем пофиг, это одна простая завитушка или жутко сложная кракозябра.

Лучше ненадёжный открытый ключ, чем утёкший приватный.

А это не его собачье дело.

Тогда не твоё собачье дело, если я отказываюсь подписывать договор купли-продажи с тобой - я не доверяю тебе, и точка. Потому как я не уверен, что ты выдаёшь себя за себя, а не Васю Пупкина.

УЦ, как и ПВС гарантируют соответсвтиве твоей ЭЦП и твоей личности. Если ты где-то увидишь услуги по УЦ без личного присутствия - знай, тебя на е"№ ли.

И да, простенькая завитушка на бумаге рассказывает намного больше экспертам о человеке - Ту не сможешь нарисовать букву О как я - похоже, но не оригинал.

А те кто могут - их по пальцам пересчитать и уже по кослпаком «органов»

кто кроме УЦ Удостоверяющего Центра сможет взять на себя ответственность что эта ЭЦП принадлежит тебе, а не Васе Пупкину?

Сколько делал ЭЦП себе и друзьям помогал всегда смешно было - звонишь в любой УЦ, скидываешь им копию паспорта, они иногда максимум спрашивают «вы точно тот самый чел чей паспорт?» говоришь ну конечно, мамой клянусь, через полчаса получаешь ЭЦП. Цирк.

Шашечки или ехать? :) Лично я не против проприетарщины, если оно выполняет поставленную задачу. При прочих равных (либо нефатальном недоборе) - выберу опенсурсное решение.

никому никуда не упёршийся «гост» есть, который я оттуда обычно выпиливаю при сборке

Следуя твоей логике, тебя можно выпиливать, потому что в моей организации сертификаты гост 2012 используют более 20 врачей, АУП и даже старшие медсёстры, а тебя никто не использует.

да и вообще любая криптобиблиотека из десятка существующих, скорее всего, подойдёт для банального подписывания сертификата. и в браузеры сертификаты ставятся совершенно станадартным образом, без всяких извращений. код открыт. короче говоря, очередное эпическое ненужно, которое могли придумать только в этой стране.

А, понятно, слышала звон, но не знает где он.

Что ты несёшь...

я, кстати, подумывала реверс-инжинирнуть эту каку и посмотреть, что там внутри. но мне стало лень и некогда вообще этим заниматься. может, уже кто-нибудь смотрел, что там? меня дико бесит проприетарщина и я её на своей машине ни за что запускать не стану. только в огороженных виртуалках, на отдельном сервере, через три прокси. ибо какашка страшная, и неизвестно, что там может быть внутри. но вот нет физической возможности делать анализ каждого УГ. хотя это только одно УГ, которое мне пришлось использовать один раз, для регистрации дурацкой самозанятости. они с меня поимели бабла за это ненужно. бабло мелкое, пусть подавятся. но кода нет. пришлось это запускать чёрт знает где, в огороженном по самые помидоры окружении. я пробрасывала виртуальный USB для ключа на другой сервер, в виртуалку, через несколько проксей. это какой-то мрак. но самое смешное, что больше оно вообще не нужно: дальше выясняется, что после регистрации налог-то можно платить на сайте, без всяких там ключей и прочих извращений.

Тебе срочно нужно к психиатру. Без шуток.

Тогда не твоё собачье дело, если я отказываюсь подписывать договор купли-продажи с тобой - я не доверяю тебе, и точка. Потому как я не уверен, что ты выдаёшь себя за себя, а не Васю Пупкина.

Вот именно это и происходит сейчас с ЭЦП. Потому что приватный ключ может быть не только у тебя, а ещё у кучи совершенно левого народа - от конторы которая делает свисток и драйвер для него или проприетарную софтину до УЦ.

УЦ, как и ПВС гарантируют соответсвтиве твоей ЭЦП и твоей личности.

И для этого им нужен только CSR (фактически открытый ключ) личности и сама личность. Но никак не токен или приватный ключ этой личности.

Если ты где-то увидишь услуги по УЦ без личного присутствия - знай, тебя на е"№ ли.

Такое сплошь и рядом. кстати. И это, между прочим, единственный вариант при котором хоть как-то можно оспорить ЭЦП сделанную за тебя кем-то левым. Так что, как бы это ни было странно, это наилучший вариант развития событий с ЭЦП. Ты лично её не получал, поэтому документы подписанные «твоей» ЭЦП ещё можно признать недействительными.

И да, простенькая завитушка на бумаге рассказывает намного больше экспертам о человеке - Ту не сможешь нарисовать букву О как я - похоже, но не оригинал. А те кто могут - их по пальцам пересчитать и уже по кослпаком «органов»

Ты вообще понимаешь, что в случае реальной подписи у тебя есть шанс оспорить её, экспертизу провести и пр. В случае ЭЦП такого шанса вообще нет, потому что юридически приватность приватного ключа никак не оговорена и не требуется законом. Если ты реально появлялся в УЦ и получал ЭЦП - ты однозначно попал, без вариантов. И ты не сможешь никак доказать, что это не ты подписал документ своей ЭЦП, а левый дядя у которого есть твой приватный ключ.

ЗЫ: Не, серьёзно, вы, кто про благость госреализации ЭЦП тут топит, вообще, что-ли не врубаетесь, как криптография с открытым ключом работает и в чём её суть? Для вас это какая-то техномагия когда вам продают волшебную программку с файликом или свистком и теперь можно по учреждениям не ходить?

Для усиленной квалифицированной электронной подписи законодательно в РФ положено использовать токен с неизвлекаемым приватным ключом. Извлечь приватный ключ из такого токена не может никто, даже владелец знающий пин-код токена. Токен сам генерирует асимметричную пару ключей. Токен сам ставит подпись или расшифровывает. Для общения с таким токеном нужен pkcs#11 драйвер токена – единственный проприетарный софт. Все остальное умеет и gnutls и openssl, и nss3.

Я приобрёл в такскоме такой токен JaCarta ГОСТ 2.0. Установил драйвер. Убедился, что p11tool из состава gnutls токен видит и может попросить его сгенерировать ассиметричную пару ключей. И пошел с этим токеном в СберКорус за ФНС-овской ЭЦП.

Но в СберКорусе оказался криптопро, который положил на токен свой криптоконтейнер.

Не верю я, что этот бит неизвлекаемости в криптопрошном контейнере является реальной защитой.

Извлечь приватный ключ из такого токена не может никто, даже владелец знающий пин-код токена. Токен сам генерирует асимметричную пару ключей. Токен сам ставит подпись или расшифровывает. Для общения с таким токеном нужен pkcs#11 драйвер токена – единственный проприетарный софт.

Вот именно в этом и засада. Кто и когда это экспериментально доказал, и как владелец токена может лично удостовериться в том, что это действительно так в случае его личного токена?

Криптография обеспеченная исключительно какими-то там бумажками (лицензиями/сертификатами производителя, натруально цирк типа «мамой клянусь извлечь нельзя») - не криптография вообще.

И пошел с этим токеном в СберКорус за ФНС-овской ЭЦП.

Вот тут сразу лажа - для получения сертификата подписанного ФНС нужен только открытый ключ из токена. Ни сам токен, ни что-либо содержащее приватный ключ владельца для этого вообще не нужны ни в каком виде.

Но в СберКорусе оказался криптопро, который положил на токен свой криптоконтейнер.

И разумеется нет никаких гарантий что свежесгенерированный приватный ключ не остался в распоряжении пользователя или создателя этого софта. Дырища размером со вселенную. Это не криптография вообще.

Не верю я, что этот бит неизвлекаемости в криптопрошном контейнере является реальной защитой.

Криптография - это не про «верю/не верю». Это математика. Верить или не верить в какие-то там «биты неизвлекаемости» которые «сертифицированы» это совершенно то же самое, что верить или не верить в теорему Пифагора.

то есть, ты считаешь нормой ставить проприетарщину от подобных организаций к себе на машины? и кому из нас надо к психиатру?

вот прямо то, что я думаю по этому поводу. но тут, судя по всему, какая-то секта свидетелей проприетарщины от товарища майора.

Криптография обеспеченная исключительно какими-то там бумажками (лицензиями/сертификатами производителя, натруально цирк типа «мамой клянусь извлечь нельзя») - не криптография вообще.

Полностью согласен, существующую систему УЦ надо отменять как абсурд. Пара ключей должна генерироваться самим пользователем, и при необходимости УЦ конечно может подтверждать соответствие открытого ключ конкретному гражданину или организации. А когда мне на почту некто из УЦ скидывает архив с файлами ЭЦП - это не криптография, это пародия на нее. И КриптоПРО - часть этой пародии на криптографию.

Вот именно в этом и засада. Кто и когда это экспериментально доказал, и как владелец токена может лично удостовериться в том, что это действительно так в случае его личного токена?

Т. майор, выдавая сертификат, клянётся и божится что это именно так.

то есть, ты считаешь нормой ставить проприетарщину от подобных организаций к себе на машины?

Ящитаю, что надо ставить то ПО, которое выполняет свои задачи, а не лишь бы опенсорс.

и кому из нас надо к психиатру?

Тебе.

опенсорц выполняет свои задачи. и ты не можешь доказать, что твоя гнилая проприетарщина а) что-то выполняет правильно б) не выполняет ничего лишнего и/или опасного.

для современной нормальной криптографии не нужно никуда отдавать приватные ключи. а тот колхоз, который там нагородили проприерасты, нельзя объяснить ничем, кроме как а) анальной слежкой б) банальной жаждой наживы и астрономической глупостью.

для современной нормальной криптографии не нужно никуда отдавать приватные ключи. а тот колхоз, который там нагородили проприерасты, нельзя объяснить ничем, кроме как а) анальной слежкой б) банальной жаждой наживы и астрономической глупостью.

Пц, столько желчи и анальщины, что прям пц. Куда кто передаёт приватные ключи? Ты о чём?

Речь видимо об этом:

Но в СберКорусе оказался криптопро, который положил на токен свой криптоконтейнер.

Театр безопасности как он есть.