![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
nyu12.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqНа данное время в наличии около 100 просроченных ЭЦП
Можно ли их превратить в обычные флешки?
ЭЦП от разных УЦ для физиков, юриков и ЗАКов
Выкинуть жалко, через КРИПТО ПРО не смогла отформатировать
Можно ли их превратить в обычные флешки?
ЭЦП от разных УЦ для физиков, юриков и ЗАКов
Выкинуть жалко, через КРИПТО ПРО не смогла отформатировать
no subject
Date: 2016-04-08 02:47 am (UTC)no subject
Date: 2016-04-10 11:15 pm (UTC)Кроме того, девайс не отдаст записанный на него ключ даже если ввести пин-код. Девайс требует пин-код и подписываемый документ - и возвращает подпись для этого документа.
no subject
Date: 2016-04-11 05:27 am (UTC)Девайс отдает сертификаты ключей как открытого, так и закрытого. Правда в ПО галка "экспортировать закрытый ключ" по умолчанию не стоит. Что логично. ;)
Если подсунуть документ, то его можно подписать и/или зашифровать. Подписывается документ своим открытым ключом. Шифруется - чужим открытым. Чтобы расшифровать нужен свой закрытый ключ.
Мне не кажется, я больше 10 лет пользуюсь ЭЦП.
no subject
Date: 2016-04-11 05:16 pm (UTC)Равноправие ключей в том, что после генерации мы имеем два ключа (пару связанных ключей). Математически это так:
Генерируем три числа: p, q и n. Они таковы, что (x^(p*q)) mod n ==x для любого их в интервале от 0 до n-1.
Числа "p,n" - это один ключ, а "q,n" - другой ключ. Один мы публикуем, второй прячем.
Шифрование - это вычисление y=(x^p) mod n.
Дешифрование - это вычисление x=(y^q) mod n.
Для подписывания - мы шифруем контрольную сумму (ну или сам документ).
Обратите внимание: при обмене данными нужно иметь только свой ключ из пары. Второй ключ не нужен.
А теперь объясните мне, на фига в токене хранить открытый ключ. Он же открытый, его и так все знают.
Если токен отдаёт закрытый ключ - то любой хакер, внедривший свою пакость на компьютер, сможет завладеть этим ключом в момент ввода пин-кода и всю оставшуюся жизнь подписывать им свои документы.
Если же не отдавать закрытый ключ - то хакер сможет только подписать свой документ. А после извлечения токена - фигушки.
no subject
Date: 2016-04-12 05:51 am (UTC)С Вашей математикой никто не спорит.
>А теперь объясните мне, на фига в токене хранить открытый ключ. Он же открытый, его и так все знают.
Ну ок, сообщите мне хоть один мой открытый ключ. Его же все знают :)
Но допустим, что мой открытый ключ хранится где-то в общедоступном месте. Что это за место? Кто отвечает за сохранность данных. Кто гарантирует, что вот этот ключ действительно мой, а не Чака? Что делать, когда это место вдруг недоступно?
Вот нафига хранить пару ключей в токене:
При генерации ключа удостоверяющий центр записывает на токен именно пару ключей и отдает мне только токен и бумажку с пином. Вы же сами сказали, что по математике нужны оба ключа, так зачем где-то искать открытый ключ (с риском, что он не тот), когда вот они оба на токене?
Поэтому я беру токен, экспортирую из него сертификат открытого ключа и отправляю контрагенту (любым способом обеспечивающим надежную передачу ключа).
Все это не отменяет того факта, что я (или кто угодно) могу публиковать открытый ключ где угодно, например в виде QR кода на майке.
>Если токен отдаёт закрытый ключ - то любой хакер...
А теперь смотрим стандартный виндовый мастер экспорта сертификатов:
no subject
Date: 2016-04-12 05:45 pm (UTC)Вот тут удостоверяющий центр должен за Вас поручиться.
Кстати, он же и гхранит открытые ключи, за которые он поручился.
А Вы сами, имея закрытый ключ, можете проверить - Ваш этот открытый ключ или нет.
Ну, это логично.
Но Вам-то этот ключ зачем?
Т.е. удостоверяющий центр знает Ваш закрытый ключ??? Ну всё, конец секретности!
Вот про способ надежной передачу ключа - подробнее, плз.