LINUX.ORG.RU

«Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО

 , ,


3

3

«Ростелеком» создал доверенный репозиторий открытого кода. Компания выпустила решение на рынок из-за участившихся кибератак и потому, что использование Open Source стало небезопасно из-за возможных закладок в нем.

«РТК-феникс» — это репозиторий, который представляет собой комплексное решение по проверке Open Source пакетов, библиотек и их хранения. Продукт базируется на подсистеме мониторинга безопасности кода по собственным методикам SOC (Security Operation Center, центр управления безопасностью) «Ростелекома», включая анализатор кода приложений на наличие уязвимостей Solar AppScreener и другие ИБ-инструменты.

Подсистема делает вывод о возможности либо запрете использования пакетов и библиотек на основе результатов их проверки. ПО дополнительно проверяет все дочерние, то есть транзитивные зависимости открытого кода.

Репозиторий работает в онлайн- и офлайн-режимах и поддерживает функционал проверки на безопасность, хранение и предоставление командам разработки безопасных артефактов в форматах maven, pypi, deb, rpm, gem, npm, nuget, к которым в ближайшее время добавятся php, go, dart и docker.

РТК-феникс

>>> Подробности (CNews)

★★★★★

Проверено: maxcom ()
Последнее исправление: hobbit (всего исправлений: 2)
Ответ на: комментарий от cvs-255

Так что надо тщательнее выбирать место работы. Не идти в компании, подконтрольные государству или кому-то из верхов

Как дико звучит такое. Мы тут, в деспотических странах, от такого давно отвыкли.

Aceler ★★★★★
()
Ответ на: комментарий от cvs-255

Ты ничего плохого не видишь и в ограничении свободы, что с тебя взять.

Aceler ★★★★★
()
Ответ на: комментарий от AlexM

Судя по сообщениям

Мнения идиотов, судящих о предмете с чужих слов, мне не интересны - зря старался.

борьба с украинолюбием. С точки зрения ИБ - так себе критерий

С точки зрения ИБ это отличный критерий - как показали инциденты с компрометацией нескольких открытых проектов украинолюбами.

zabbal ★★★★★
()
Ответ на: комментарий от AlexM

Я ж говорил, что это было возможно, но не в каждом отделении. Было даже какое-то центральное в Москве, которое круглосуточно работало, и где была возможность снять деньги с любой московской сберкнижки даже ночью. Но книжка - не карточка, в любом отделении не работала. Это ж, собственно, была иллюстрация к тому, что Ростелеком — это вывеска, а вот после переезда в другой город перетащить лицевой счет и остатки денег может и не получиться.

gns ★★★★★
()
Ответ на: комментарий от anon1984

«Самоуправство» — это пойти сделать соседу нормальную проводку для своей пожарной безопасности? Или что вы подозреваете

(нет, не пошел бы, конечно. Может, задумался бы о переезде, если квартира снизу)

akho
()
Ответ на: комментарий от akho

пойти сделать соседу нормальную проводку для своей пожарной безопасности

Уверены, что у него проводка ненормальная? Сами то готовы нести ответственность в случае факапа?

anon1984
()
Ответ на: комментарий от anon1984

Думаю я, что вы не особо вникали в дискуссию, и в целом плохо читаете, но желаете высказаться.

А я ведусь.

До свидания.

akho
()
Ответ на: комментарий от Skullnet

До Ростелекома было говно по ADSL, а потом Ростелеком купил местного провайдера и сделал всем оптику с хуявейными маршрутизаторами, которая до сих пор рулез.

НСК.

Было, в 2008-2012 годах:

Местный провайдер WebStream, который тянул оптику прямо в квартиру, дарил тебе израильский оптический терминал ECI B-FOCuS в подарок, анлим, никаких блокировок, приличная скорость 100 MBit/s внешка, 1 GBit/s внутри города за копейки – $15/mo. Белый IP по дефолту. Лучший интернет в 2009-ом году я даже не знаю был ли у кого вообще не то что в России, а даже в мире. Был в Москве в те года и ужасался её отсталости в плане инета и отсутствия всяких там 2GIS. Единственный минус который помню – не ставили Wi-Fi, хотя он тогда ещё не получил такого распространения, смартфонов с Wi-Fi было мало, а Android только-только начинал завоёвывать мир.

Стало, в 2013-2019 годах:

Ростелеком купил WebStream и качество услуг резко пошло ко дну. Оптику стали тянуть до лестничной клетки, появились частые обрывы, начались идиотские блокировки. Появилось типичное «russian business» операторское говнецо в виде «мы вам тут подключили IPTV и вы за него платили 6 месяцев, ну и что что у вас нет телевизора 10 лет???». Появились рекламные баннеры на HTTP-сайтах. В общем качество предоставляемых услуг заметно ухудшилось, а цена выросла.

Ну и накой нужна такая угрёбищная говномонополия? Когда WebStream конкурировал за клиентов со всякими мелкими Сибирскими Сетями, Дом.Ру, ТТК и прочими провайдерами у него был стимул предоставлять клиенту лучшие плюшки и качественный инет. Сейчас всё поглотил и монополизировал Ростелеком и уровень качества услуг заметно упал. Ибо нахер что-то делать, так как у клиентов всё равно нет альтернативы.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 2)

открыл общий доступ к репозиторию безопасного свободного ПО

Под три сотни комментариев и нет ссылки на сам репозиторий, что вы тут обсуждаете тогда?

vvn_black ★★★★★
()
Ответ на: комментарий от EXL

Оптику стали тянуть до лестничной клетки

Ну формально так и нужно делать, чтобы упростить жизнь клиентам, а дальше просто по витой паре. Ну будет там плюс 10 метров по меди. Разницы почти никакой.

появились частые обрывы

https://www.youtube.com/watch?v=FgFojg9YDvE

начались идиотские блокировки

Это везде в рашке, причём в каждом регионе по своему. Зависит от того насколько впадлу провайдеру этим заниматься.

Появилось типичное «russian business» операторское говнецо в виде «мы вам тут подключили IPTV и вы за него платили 6 месяцев, ну и что что у вас нет телевизора 10 лет???»

Скорее проблема местная, потому что даже ОПСоС-ам за такое дают по е**у (а они чаще такое проворачивают).

Появились рекламные баннеры на HTTP-сайтах.

А за такое говно пора штрафовать. (Ну и ССЗБ не юзать SSL)

Ну и накой нужна такая угрёбищная говномонополия?

В плане управления это не монополия. Как я уже говорил, Ростелеком в каждом регионе работает по разному. В каком-то регионе качеств услуг мудацкое, в другом наоборот. У меня, как я выяснил, Ростелеком даже не стесняется проводить оптику в деревни за 20 км от центра. Сегодня увидел многомодовые оптические кабели на столбах с электричеством. То есть как минимум 100 Мбит/с есть. И это в какой-то деревне говнянкино.

Сейчас всё поглотил и монополизировал

Капитализм «рулез». Enjoy.

Skullnet ★★★★★
()
Последнее исправление: Skullnet (всего исправлений: 5)

Что-то оксюморон какой-то в заголовке. Тот самый отбростелеком, который не стесняется свою рекламу втюхивать на сайты и блочить все подряд по желанию левой пятки, вдруг внезапно «безопасного свободного ПО». Видимо с самыми безопасными и свободными зондами от гебни. Иначе это уже никак не читается.

Irremann ★★
()
Ответ на: комментарий от DrRulez

Мне это и не нужно. Я как раз и имел в виду то, что наличие исходников необходимо, в том случае, если необходим анализ на закладки. А уж сложно это или нет - это другой вопрос. А ты сразу «в атаку», шашкой махать…

My_quest ★★★★★
()
Ответ на: комментарий от Irremann

Ты тоже спутал провайдера и разработчика софта.
Это две разные никак не пересекающиеся конторы. У них только логотип общий.

ivanlex ★★★★★
()
Ответ на: комментарий от Aceler

Ну вот ты и расскажи, если знаешь. Точнее, ответь на вопрос: что мешает какому-то админу госуслуг потихоньку собирать закрытые ключи десятками тысяч, а затем свалить из РФ и начать торговать этими ключами в даркнете, в качестве доказательств владения ключом предъявляя подписанные безобидные мессаги с содержанием, определяемым покупателем?

(в случае, когда закрытый ключ генерят не госуслуги, а я лично на своем оборудовании, такая ситуация в принципе невозможна)

Добавлю: а кусок это очень и очень жирный. Ибо щас емнип все директора юрлиц [тут меня можно поправить] не имеют права генерить свой закрытый ключ сами.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 5)
Ответ на: комментарий от Skullnet

(Ну и ССЗБ не юзать SSL)

Ваше SSL уже можно прозрачно кэшировать через http-или-любой-другой-общий-прокси без говноплясок со своим супер-сертификатом и подменой сертификатов?

Понятно, что клиент может (а то и должен) в этом случае видеть, что это replay, но потребность в кэшировании однозначно есть, http ее решает, а https?

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 2)
Ответ на: комментарий от www_linux_org_ru

что мешает какому-то админу госуслуг потихоньку собирать закрытые ключи десятками тысяч

Наверное отсутствие у админа госуслуг доступа к закрытым ключам. Других идей у меня нет.

(в случае, когда закрытый ключ генерят не госуслуги, а я лично на своем оборудовании, такая ситуация в принципе невозможна)

Да.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Наверное отсутствие у админа госуслуг доступа к закрытым ключам. Других идей у меня нет.

У кого-то однозначно есть туда доступ, а так же доступ к backup-ам, и к ключам для их расшифровки (если их вообще шифруют).

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

У кого-то однозначно есть туда доступ

Нет, это слишком сложно. Не говоря уже о тысячах — это надо какую-то афёру проворачивать со сбором ключей, быстрого-быстрого их снятия, да ещё так, чтобы никто не заметил.

Aceler ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

Ибо щас емнип все директора юрлиц [тут меня можно поправить] не имеют права генерить свой закрытый ключ сами.

Не правда. По крайней мере там где я работал, удостоверяющий центр давал нашему безопаснику инструмент, с помощью которого наш безопасник сам генерировал ключи для директора и всех сотрудников, которым эти ключи необходимы. Закрытый ключ был только на стороне организации.
Но да, наш безопасник так же может свалить, прихватив все ключи с собой, но масштаб поменьше описываемого. Всего то каких то полторы тысячи ключей вместо десятка миллионов у гипотетического безопасника госуслуг.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

Ты не разобрался – то, что ты написал, не противоречит тому, что написал я. Я жду, когда меня поправят, т.к. самому искать лень – хотя там может ФНС, а не Госуслуги.

И ситуация различается не только масштабами, но и шкурным интересом собственников, и тем, что за безопасником скорее всего можно проследить, чтобы у него копий ключей не было – т.е. все ключи реально были в одном экземпляре на токенах (или там один большой токен-и-подписывающий-сервер на всю контору?), т.е. свалить незаметно с ключами не получится.

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от Aceler

Не нужно никакой аферы. Нужно просто не ставить на сервера Госуслуг какое-то готовое аппаратно-программное решение для корпоративного менеджмента ключей из Враждебных Нам Стран, а сделать свое, так как ихнее вражеское не справлялось с нагрузкой, да и вообще технологический суверенитет важен, особенно в этой сфере!11111!1

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от www_linux_org_ru

Ты прав в общей картине. Я указал лишь на деталь, что госуслуги не всегда имеют доступ к закрытой части ключа в виду того, что она может генерировать в организации.

Не правдой было утверждение, что: «все директора юрлиц [тут меня можно поправить] не имеют права генерить свой закрытый ключ сами». Могут и генерируют. Можно это переложить и на госуслуги или тот же ФНС, но не все так делают, по крайней мере сейчас.

А контроль… тогда возникает другой вопрос, кто будет контролировать контролера?

В любой, даже самой продуманной системе, слабое звено - человек. Мотивы не важны. Всегда есть небольшая вероятность, что гипотетический безопасник может договориться с контролирующим лицом…

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Могут и генерируют … Я указал лишь на деталь, что госуслуги не всегда имеют доступ к закрытой части ключа в виду того, что она может генерировать в организации.

Сейчас (ну или полгода назад) даже физлица могли самостоятельно генерить закрытый ключ. Неприятность в том, что в некоторых важных случаях тебе самостоятельно сгенерить закрытый ключ не позволят.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от cvs-255

надо тщательнее выбирать место работы. Не идти в компании, компании, подконтрольные государству или кому-то из верхов

А в РФ неподконтрольные остались вообще?

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от www_linux_org_ru

Вот прям сейчас вспомнил, когда с казначейства нам предлагали сгенерировать ключи для взаимодействия с ними - бесплатно.

Но наш руководитель отказался. Сгенерировали сами, заполнили целую стопку документов. Безопасник куда то ездил, заверял отпечаток ключа.
Но вывод, ключ, для общения со структурой, где тебя прям подвигают к ситуации тобой описанной - свой.
Многие наверное и идут по пути наименьшего сопротивления. Но всё же. При большом желании можно по проторенной дорожке и не идти…
Хотя, конечно же, завтра картина может поменяться. Но на тот момент, можно было и в казначействе и в ФНС и госуслугах использовать свой ключ.

Самое интересное, руководитель пошел на принцип вовсе не из-за того, что: «пАника, у них будет закрытая часть нашего ключа». Вовсе нет. Просто он тогда сказал: «У нас же есть уже ключ, зачем нам еще один? Узнайте, есть ли способ использовать уже существующий». И оказалось, что способ есть.

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от www_linux_org_ru

У нас теперь, кроме понятия «госструктура» есть еще понятия как:
«с государственным участием»,
а еще
«участвующие в государственных контрактах».

Тут всё просто.
«Госструктуры» возразить в принципе не могут.
Структуры «с государственным участием» могут повякать, но всё равно всё выполнят.
А вот у структур «участвующих в государственных контрактах» есть выбор:
или выполнять что скажут и остаться при контрактах;
или вякнуть и лишиться дохода (очень часто единственного).

ivanlex ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

Нужно просто не ставить на сервера Госуслуг какое-то готовое аппаратно-программное решение для корпоративного менеджмента ключей из Враждебных Нам Стран,

Там используется КриптоПро и отечественные аппаратные токены.

Aceler ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

за безопасником скорее всего можно проследить, чтобы у него копий ключей не было – т.е. все ключи реально были в одном экземпляре на токенах

Ключ генерируется токеном. Он не просто хранится на токене, он там, блин, создаётся, хранится, используется и никогда не покидает его. Невозможно скопировать ключ, не разобрав токен, при этом данные с токена стираются.

При этом при генерации токена все ключи регистрируются в центральном реестре и подписываются ключом сотрудника, проверившего личность, и ключами УЦ. При регистрации владельцу ключа высылается уведомление, поэтому тайно сделать ключ на чужое имя не получится.

Aceler ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

Неприятность в том, что в некоторых важных случаях тебе самостоятельно сгенерить закрытый ключ не позволят.

Это например?

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Там используется КриптоПро и отечественные аппаратные токены.

  1. Откуда инфа?
  2. Какие отечественные аппаратные токены позволяют положить в себя 1 000 000 ключей и обслуживать их?
  3. Эти отечественные аппаратные токены позволяют подписывать документ (или хэш документа) полностью внутри себя, не выдавая закрытый ключ наружу?
  4. Где гарантия, что эти отечественные аппаратные токены работают именно в режиме «подпись только внутри», и режим выдачи нешифрованных ключей наружу у них недоступен даже админу?
www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от Aceler

Это например?

Полгода прошло, и я могу в деталях сильно ошибаться уже. Вроде вот это:

В ФНС руководители смогут получить только одну подпись на юрлицо. Ее ключ будет некопируемый, а значит нельзя будет сделать копию для бухгалтера или тендерного специалиста. https://kontur.ru/articles/5728

что на местах (в интерпретации контура) означает, что ФНС требует создания подписи сразу на токене, причем не у себя дома / на работе, а только в ФНС или аккредитованном УЦ. Т.е. закрытый ключ юрлица якобы в ФНС/УЦ не сохраняется, но ты можешь этому только верить.

Возможно, что крупные фирмы это могут обойти, став на время «филиалом» контура (или как это правильно называется?) и выдать ключ сами себе. Но мелким дорога только в контур.

Конечно, тут желательно меня поправить там, где/если я ошибаюсь.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 3)
Ответ на: комментарий от Aceler

он там, блин, создаётся

Это я не знал.

Но это, кстати, не мешает использовать в токене генератор ПСЧ с известным бэкдором. Детали реализации надо смотреть, но в ЕМНИП можно кодировать в открытом ключе биты закрытого так, что они будут восстанавливаемы только знающим бэкдор. Ну и побрутить немножко придется, куда без этого (но именно немножко).

Правда это уже не уровень админа госуслуг.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 5)
Ответ на: комментарий от Aceler

он там, блин, создаётся

Где гарантия, что УЦ создаст ключ именно силами токена, а не сгенерирует программно свой и затем запишет его на токен?

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от Aceler

Там используется КриптоПро и отечественные аппаратные токены.

  1. Где гарантия, что сервера госуслуг создают ключи именно силами токенов, а не генерируют программно свои и затем пишут их на токены?
www_linux_org_ru ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

Откуда инфа?

Я делал реализацию проверки ЭЦП для операторов госуслуг. Вот этими руками.

Какие отечественные аппаратные токены позволяют положить в себя 1 000 000 ключей и обслуживать их?

Я так понял, вопрос уже неактуален. Один токен - один ключ. И хранится токен и должен у лица, от имени которого подписывают.

Эти отечественные аппаратные токены позволяют подписывать документ (или хэш документа) полностью внутри себя, не выдавая закрытый ключ наружу?

В этом весь смысл. Закрытый ключ никогда не покидает токен.

Где гарантия, что эти отечественные аппаратные токены работают именно в режиме «подпись только внутри», и режим выдачи нешифрованных ключей наружу у них недоступен даже админу?

Да нигде, ты ж не будешь разбирать этот ключ и сошлифовывать микросхему. 100% гарантии не дадут даже в морге. Если тебя немножко успокоит тот факт, что точно такими же ключами пользуются в госуслугах все — и ФСБ, и ФНС, и ЗАГС, и МВД. Вряд ли бы ФСБ пользовалась ключами, которые могут утечь — ведь если они могут утечь к тебе, они могут утечь и от тебя.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Я так понял, вопрос уже неактуален. Один токен - один ключ. И хранится токен и должен у лица, от имени которого подписывают.

Актуален.

Тут параллельно разбирается 2 разных вопроса: безопасность закрытых ключей, сделанных в УЦ, и безопасность закрытых ключей, сделанных на Госуслугах. На Госуслугах точно не «один токен - один ключ», поскольку ключей там потенциально миллионы.

Да нигде, ты ж не будешь разбирать этот ключ и сошлифовывать микросхему.

Почти наверняка у микросхемы есть разные режимы работы, т.е. и «хранилище для ключей без возможности достать», и «хранилище для ключей с возможностью достать, предъявив пароль». И еще предположу, что эти оба режима возможны параллельно.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 3)
Ответ на: комментарий от www_linux_org_ru

что на местах (в интерпретации контура) означает, что ФНС требует создания подписи сразу на токене, причем не у себя дома / на работе, а только в ФНС или аккредитованном УЦ. Т.е. закрытый ключ юрлица якобы в ФНС/УЦ не сохраняется, но ты можешь этому только верить.

Да, ФНС требует личного присутствия полномочного представителя юрлица для генерации ключа. Соответственно, юрлицу положен только один токен только с одной пописью.

  1. Ключ можно сделать заранее. Ключ, как я уже писал неоднократно, пределов токена не покидает никогда.

  2. Это те же самые токены, которые используются, например, банками. Я вот новый не покупал, мне когда-то в промсвязьбанке выдали такой токен для работы с клиент-банком промсвязьбанка. Если бы на эти токены можно было бы записывать чужие ключи, банки бы с ними не работали, да?

  3. Во всём мире такая же схема, только доверять надо другим производителям.

Aceler ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

безопасность закрытых ключей, сделанных на Госуслугах.

Что ты подразумеваешь под «ключей, сделанных на Госуслугах»? Неквалифицированную подпись? Ну так ей и подписать ничего серьёзного нельзя.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Я вроде бы видел, что Госуслуги предлагали бесплатно делать усиленную квалифицированную.

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от Aceler
  1. Ключ можно сделать заранее.

ОК, это я не знал и это решает 1 практически важный вопрос (если тот же контур с этим согласится). Но остаются еще режимы работы токена.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от www_linux_org_ru

Про режимы работы токена сказать ничего не могу. Если они там есть — ни мы с тобой, ни кто-либо из живущих об этом не узнает до тех пор, пока этими режимами не воспользуются.

Это как с корневыми сертификатами у гугла. Доверяйте гуглу, и всё тут.

Станет ли Контур рисковать утечкой ключей, ведь драйвера для своих токенов они делают под Windows? И если закрытый ключ можно извлечь, где гарантия, что он тут же не уплывёт в Лэнгли? Тоже ведь вопрос. А этими же ключами, напомню, пользуются и ФСБ и МВД.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Тут я гораздо проще спрашиваю. ЕМНИП это вполне документированная фича токена – часть ключей держать неизвлекаемо, часть извлекаемо.

[ Тут я конечно очень разные уровни обсуждаю… ну ладно: что же касается ФСБ – была вполне дельная статья на ксакепе, где чел обнаружил по таймингам и зависаниям, что новые интелловские материнки идут уже в виртуализованном режиме. И даже продемонстрировал ФСБ свой (м.б. обрезанный) вариант такой зловредной виртуализации и выключения компа по фразе ЕМНИП «газпром стоп» в памяти компа. ФСБ никак не отреагировало. ]

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 2)
Ответ на: комментарий от www_linux_org_ru

часть ключей держать неизвлекаемо, часть извлекаемо.

Если ключ можно извлечь, зачем держать его на токене? Смысла не больше, чем во флешках с кодовым замком или отпечатком пальца, а они дешевле )

В общем, не припомню у криптопро извлекаемых ключей.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Смысл в том, что флешки с кодовым замком не умеют подписывать внутри себя. Я имею в виду разные пароли на подпись и на извлечение закрытого ключа.

Ну и про несколько ключей на токен:

На токен можно записать несколько сертификатов, обычно не больше 15 — это техническое ограничение самого носителя. Важно: записать на один токен подписи нескольких директоров разных ООО или ИП нельзя. Но можно записать разные подписи одного владельца — если он руководит разными юрлицами, это ограничение не работает. https://e-kontur.ru/blog/15913/goryachie-voprosy-pro-kep

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от Aceler

В общем, не припомню у криптопро извлекаемых ключей.

Вот тут пара интересных статей по теме извлечения, но древних и мне в них внимательно разбираться нужно:

https://habr.com/ru/articles/306034/ https://habr.com/ru/articles/276057/

Щас могли и пофиксить, а могли и нет.

И слова

программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал

апплета

говорят о том, сколько нам открытий чудных готовит просвещения дух (С) Пушкин.

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 3)
Ответ на: комментарий от www_linux_org_ru

Ну и про несколько ключей на токен:

Я-то имел в виду, что один ключ нельзя записать на два и более токена.

Aceler ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.