← All posts tagged эцп

OCTAGRAM
ГОСТ SSL PKI импортозамещение ЛидерТелеком (InstantSSL) про суверенный PKI по ГОСТу

Сравните цены Document Signing (ЭЦП): 10000 руб. в год у иностранного УЦ против 2000 руб. год у местного УЦ. Code Signing стоит 8500 руб. в год, у местных УЦ нет альтернатив. А, учитывая, как проверяют документы, то, что мог бы сделать местный УЦ за 2000 руб. в год, на самом деле у иностранного УЦ считается расширенной проверкой (EV) и стоит все 28000 руб. в год.

Хочется и для подписи программ, и для сайтов получать сертификаты в местных УЦ. Что скажет ЛидерТелеком?
OCTAGRAM
ГОСТ SSL эцп СмартКарты ESMART Решил зайти с другого конца. Мне ж вообще нужен ГОСТ хотя бы на одной смарткарте. А ГОСТ-то бывают разные. В статье «Алгоритмы в токенах с поддержкой ГОСТ» указано, что ГОСТы от 2012го года реализованы только у трёх производителей: ESMART Token ГОСТ, JaCarta ГОСТ и Рутокен ЭЦП 2.0. Причём, Рутокен ЭЦП 2.0 — это только свисток, а в Рутокен SC — до сих пор прошлое тысячелетие. Если не хочу свисток, этого в минус. Осталось два.

столбец «На что выдан сертификат» для JaCarta я выделил красным, потому сертифицировано не целиком устройство, как в случае с РУТОКЕН (выделено зелёным), и даже хотя бы не микросхема, как у ESMART Token ГОСТ (выделено жёлтым), а только некое СКЗИ Криптотокен 2 в составе изделия JaCarta ГОСТ
Налицо явный контраст с отечественным ESMART® Token ГОСТ.

Группа компаний ISBC предлагает единственный продукт в своем роде – смарт-карты ESMART® Token ГОСТ, основанные на базе отечественной микросхеме MIK 51 от ПАО «Микрон»
Российские криптографические алгоритмы ГОСТ реализованы нативно в ОС смарт-карты в маске чипа (не используются Java апплеты для реализации ГОСТ).

Выделился явный лидер. Кузнечика (2015й год) не хватает, а Стрибог — есть! Одна проблема, про ЕСМАРТ почти никто не знает. В моём СибСоцБанке предлагают Рутокен или MS_Key K. В местном УЦ Прокс в продаже тоже какие угодно, только но ЕСМАРТ. Походил по сайту ЕСМАРТ. Прочитал про печать на смарткартах, понял, что можно прямо у них заказать. Но меня смущало, сделают ли они печать на одной карте? Нашёл на сайте форму заказа, ввёл туда 1, система не ругнулась. По электронной почте, по телефону пообщались, очень приветливые и программист, и дизайнер. Спрашивал, а ничего, что я одну карту хочу, отвечали, да нет, это нормально. Чуть меньше 1000 рублей карта, 35 рублей печать, попросили логотипы выслать. Потом выяснилось, что всё же не нормально. Их производство делает минимум 24 карты, и все будут с чипами. Ну куда мне 24? Разве что раздавать на конференциях как визитки :) :) :) Но странно, что это выясняется так не сразу.

Либо они могут продать белую карту. Почитал сайт более внимательно.

Наше оборудование позволяет наносить изображения на карты с помощью технологий офсетной и цифровой печати.
материал карты наилучшим образом подходит под все типы принтеров для прямой и ретрансфертной сублимационной печати

Ага. То есть, офсетную и цифровую печать ИХ ОБОРУДОВАНИЕ ПОЗВОЛЯЕТ, а для сублимационной и реверсивной печати МАТЕРИАЛ КАРТЫ ПОДХОДИТ. Значит, всё же можно себе индивидуально карту оформить, просто не у них. Я так понял, что реверсивная печать лучше прямой сублимационной. Теперь ищу, у кого сделать. Вычитал на одном сайте такое:

Если у вас нету возможности купить принтер, то можете обратится в центр кт за услугой печати на пластиковых картах.
О! Здорово, уже хочу. И даже в Барнауле у них филиал есть, что помогло бы сэкономить на доставке. Если ЕСМАРТ в Зеленограде, а я — в Барнауле, то как-то карта должна ко мне попасть, и ради такой мелочи отдельная доставка обходится дорого. Вот если регулярное сообщение между городами идёт, то другое дело. Ещё б с указанной электронной почты кто-нибудь за неделю ответил, и порядок, а так не понятно пока.
OCTAGRAM
fsf SSL Authenticode Certum СмартКарты Интересовался темой, а какие вообще бывают токены/смарт-карты и для ЭЦП, и для PKI. Что-то смутно в памяти всплыло, что можно что-то у FSF купить и заодно поддержать их. Проверил. Значит, есть такие варианты: для Associate Member есть загрузочные карты с Линуксом. Интерфейс USB и только для хранения файлов. Вот если б они для ЭЦП такую не то смарт-карту, не то свисток сделали, не требующую считывателя, это было бы на отличненько. Но нет, это для другого. А ещё у FSF отдельно магазин, может там что есть? Что-то есть. Свисток, который умеет генерировать случайные числа и по совместительству флешка, но ни разу не криптотокен. Ещё можно было бы заказать Certum Open Source Code Signing Suite и понадеяться, что на смарткарте в этом комплекте изображено что-то такое, чтоб кому ни покажи, понятно было, что это для Open Source, что у любого условного разраба TortoiseHg такая же будет, и что я с такой картой — свой. Но я не увидел, чтоб там для опенсурсников какие-то особые смарткарты были. Вообще, всё удовольствие от смарткарт — в возможности на них что-то напечатать, а я у Certum так и не увидел, какое будет изображение. Как будет выглядеть считыватель, вижу, а карту забыли из коробочки выложить.
OCTAGRAM
криптография SSL PKI эцп уц Нашёл вменяемого УЦП. Это такой, который, проведя проверки, и ЭЦП по ГОСТу может продать, и SSL для сайтов, а если не может SSL для сайтов выпустить сам, ТАК ХОТЯ БЫ НЕ БУДЕТ ТУПИТЬ и предложит перепродать от другого УЦ, который может. И одновременно это не простой спекулянт иностранным SSL, который всё никак не догадается российскими ЭЦП заняться из того же окна. Вот на токенах и смарт-картах ГОСТ и RSA уже давно вместе, а почему тогда записывать их в разных местах.

Итак, встречайте: АНК.

Издание сертификата ЭП
SSL-сертификаты для HTTPS и TLS
Я уж и не верил, что когда-нибудь такое увижу. Для продажи SSL сотрудничает с польским Certum. Ну хотя бы так.

Если таких УЦ будет побольше, глядишь, кто-нибудь догадается ещё какие-нибудь совмещённые варианты делать. В КриптоПро есть ГОСТ для Authenticode, но действует только внутри предприятия, где доверие внутреннему УЦ. Кто-нибудь из УЦ мог бы это решение догадаться наружу выставить. Если от ГУЦ Минкомсвязи цепочка идти будет, это бы сразу решило многие проблемы.

Ещё плюсы УЦ:
У них можно купить смарт-карты еСМАРТ ГОСТ с отечественным криптопроцессором от Микрона (Зеленоград). еСМАРТ редко, где можно встретить, а у них вот есть. еСМАРТ ГОСТ, Рутокен ЭЦП 2.0 и еТокен от Алладин — это на данный момент все варианты с ГОСТами 2012го года (Стрибог). Кузнечика (2015й год) нет нигде, но хотя бы так. У Рутокена обновились только токены, а на смарт-картах до сих пор прошлое тысячелетие. Алладин — не вполне российский и сертификацию проходил довольно интересным способом, сертифицируется не всё изделие, а только модуль в нём. Так и остаётся еСМАРТ как лучший (кмк) вариант.
Держат сервис трансграничного электронного документооборота.

Минусы:
Похоже, удалённо ЭЦП записать не получится. Один-то раз, может, и получишь по почте новую СК, а через год что, выкинуть? Или новую получать, на которой не будет ещё не истёкших других сертификатов со старой, если они неизвлекаемые. Вот это не очень здорово.
OCTAGRAM
P2P tth x509 OID ASN1 В сертификатах, подписях и запросах на сертификат применяются так называемые OID, идентификаторы объектов. Например, они бывают такие:

Проверка подлинности сервера: 1.3.6.1.5.5.7.3.1
Подписание проектов сводных справок о правах на объекты жилищного фонда: 1.2.643.3.3.0.0.1.53
TIGER: 1.3.6.1.4.1.11591.12.2
HMAC-TIGER 1.3.6.1.5.5.8.1.3
Индивидуальные предприниматели РФ: 1.2.643.10
codeSigning: 1.3.6.1.5.5.7.3.3
msCodeCom, Microsoft Commercial Code Signing (AuthentiCode): 1.3.6.1.4.1.311.2.1.22
sha512: 2.16.840.1.101.3.4.2.3
sha1WithRSAEncryption: 1.2.840.113549.1.1.5
rsaEncryption: 1.2.840.113549.1.1.1
Свойство CN (Common name), общепринятое имя: 2.5.4.3
Intel Corporation: 1.3.6.1.4.1.311.2.1.22
ed25519: 1.3.6.1.4.1.11591.15.1

Они образуют древовидную структуру, в которой есть ISO, ITU, страны, компании. Каждый следующий отвечает за своё поддерево, в котором может делать что угодно. Всеохватывающего реестра нет, но для многих верхних ветвей есть разделяемое большинством соглашение о принадлежности. Каждый признанный хозяин поддерева ведёт реестры так, как хочет. Вот тут попытка создать общий реестр, но всё это под честное слово. А вот Россия, например, ведёт реестры, и тут можно искать индивидуальных предпринимателей. Какие-то технические OID можно встретить в RFC.

Так, например, OID HMAC-TIGER расписывается как: {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) ipsec(8) isakmpOakley(1) hmacTIGER(3)}. То есть, у него есть OID только потому что он был применён в IPSEC. А чистый TIGER был когда-то реализован в GnuPG, поэтому он оказался в GNU. У TTH никто необходимостью опубликовать OID не озаботился, и как результат, если сейчас захотеть подписать по X.509 файлы и почту самым популярным в p2p хешем, сделать это не получится, надо сначала договориться о смыслах. А это для третьих сторон гораздо сложнее, чем если бы получением OID озаботились авторы TTH.

Кто владеет OID, тот создаёт смыслы.

Теперь про то, как получить. Получить поддерево можно у любого хозяина, который уже зарегистрирован. Нашёл тут разные варианты.
1. Например, интересно, что есть поддерево для UUID, и если сгенерить или использовать существующий, OID из такого UUID будет тоже уникален, но ни в каком реестре это не будет отражено.
2. Можно бесплатно зарегистрироваться здесь и оказаться по соседству с Intel и GNU внутри ISO, МинОбороны США и Интернета :) Например, TTH и ed25519 — в поддереве GNU.
3. Можно зарегистрироваться в России, например, тут после получения ЭЦП — соответственно, в поддереве России, а не в какой-нибудь минобороне сша.
4. Поискать по вашим обстоятельствам, кто ещё раздаёт поддеревья. GNU, ЮНЕСКО там всякие и т.п.

И, кстати, я прозрел на тему того, как программно идентифицировать сущности, чтоб и конкуренции за козырные имена (привет, sun.*) избежать, и чтоб не до предела запутано, как в COM, было. COM'овские GUID замечательно проецируются в подветвь OID, а в других подветвях в каждой стране (в смысле, любой может) есть несколько способов получить себе свой уникальный и хозяйничать в поддеревьях.
OCTAGRAM
деньги банки «Точка» пустила рекламу на ютубе, причём, умело бьют по больным местам. Самое убойное, на мой взгляд, — это автоматическая отправка отчётности в налоговую и банковская пластиковая карта для ИП без комиссии. Первое экономит на всяких там «Эльба»х, «СБиС»ах и «Моих Делах», да ещё так, что не нужно ни вручную забивать, ни с токеном в Интернет-банк постоянно заходить для синхронизации. Хотя интеграция с «Эльба»ми тоже имеет место, о чём «Точка» не забыла рассказать в другой своей рекламе.

Про геморрой с валютными счетами — это тоже верно. Хотя, наверное, больше всего меня бы интересовало, принимают ли конкретные банки документы в электронном виде с ЭЦП, например, типа S/MIME. Или есть ещё для PDF какие-то другие подписи, не S/MIME. Обмениваться бумагой с Сингапуром как-то не очень.

Сбер подсуетился с мгновенными платежами для клиентов своего банка.

Неужто средний класс-таки народился, что ему такое внимание.
OCTAGRAM
PayPal SMS Сбербанк R01 Не знаю, что меня бесит больше, авторизация через так называемое мобильное устройство, которого обычно нет под рукой, или через SMS, которые возьми да и не приди. Я б лучше токен купил нормальный, чем это страдание. Есть такие токены, циферки меняющиеся два раза минуту показывают. Никаких тебе проблем с пробросом USB в Xen domU. Никаких тебе проблем с ломающимися СМС. Никаких тебе проблем с ломающимися Андроидами. Просто, дёшево и надёжно. Ну что ещё нужно?!! Если есть ЭЦП токены, подключающиеся по Ethernet, тоже согласен.

Сбербанк, похоже, сегодня SMS так и не научится посылать. И R01, похоже, так и не подключит PayPal. Наверное, стоит поискать более прогрессивного регистратора.