Страница 1 из 3

Можно ли сертификаты, ключи - купить, а подписыват своим ПО?

СообщениеДобавлено: 29 июл 2008, 20:34
VEL
Собс-но вопрос в заголовке.
Всё ПО для наложения ЭЦП очень кривое.Только у Бэст звит есть возможность указать места хранения секретных ключей в локальных папках (у остальных всё жестко привязано к съемным носителям). При этом Бэст-звит - самое неудобное ПО (впрочем удобства остальныс сводятся на нет этим минусом с отсуствием возможности указать места хранения ключей локально).
Почему никто из трех не может сделать простой ехе-шник с поддерждкой командной строки? :(

Поэтому вот что интересно - может быть можно купить ключи, и использовать какое-нибудь сторонее ПО? Или написать свое?
Я только начал разбираться в принципах сертификации и честно говоря еще не до конца всё понимаю.

Из того что я как мне кажется понял: все эти красивые слова "сертификация", "ЭЦП", ключи - есть суть обыкновенное шифрование. Точнее не обыкновенное, а такое, когда алгоритм, процедура зашифровки не может быть вычеслена даже если известна процедура расшифровки (соответственно - наоборот). На этом всё это дело и строится.
Т.е. процедура зашифровки содержит некую переменную (называемую секретным ключем) которая никоим образом не вычисляется даже если известна и процедура и переменная (открытый ключ) расшифровки.
В банкоматах кстати всё наоборот - известна процедура зашифровки но неизвестна процедура (часть процедуры) расшифровки.

Мне кстати было не понятно - остается ли жить тело документа в открытом виде после наложения ЭЦП - спасибо в соседней ветке объяснили. :) Вот почему после наложения требуется еще одно шифрование.

Так вот имеем свои ключи, потом некую уникальную смесь ключей аккредитованного центра со своими клчами, называемую "сертификат" и т.д...
Зачем же нам сторонее ПО (ПО того, кто выдал нам сертификат)? В нем видимо находится АЛГОРИТМ шифрования (и дешифрования) в который вставляются недостающие переменные - ключи.

Так вот - этот алгоритм - закрыт? Вернее даже не сам алгоритм а капсула со входящими данными и выходящими? Эта капсула рабюотает только в комплекте с оригинальным ПО или есть еще варианты? Кто знает хоть что-нибудь по теме - подскажите плз. :)

СообщениеДобавлено: 30 июл 2008, 00:44
dimajest
Теоретически задумка хорошая.
Используются стандартные, принятые в всем мире сертификаты.
Для шифрации документов используются стандартные процедуры шифрации.
Вот только один нюанс, используется закрытый алгоритм шифрации.
В результате ни одна ОС не может стандартными методами использовать сертификаты, нельзя проверить ихнюю целостность.
Открытие сертификатов УСЦК в любой ОС показывает ошибку crc.
Тоже самое происходит при попытке шифрации/розшифрации этими сертификатами.

А для того чтобы получить алгоритм шифрования Украины - необходимо получить лицензию на право называтся УСЦК.


В идеале была бы DLL или OLE/EXE или exe c командной строкой для шифрованяи.
чтобы на входе было
1. Адрес в памяти или файл для шифровки/росшифровки
2. Адрес в памяти или файл с сертификатом для операций.
3. Адрес в памяти или файл куда записать результат.

СообщениеДобавлено: 30 июл 2008, 10:17
VEL
И еще чтобы в ОПЗ был файл или адрес в памяти где хранится результативный файл с только что сделанным отчетом. :)

СообщениеДобавлено: 30 июл 2008, 16:24
dimajest
VEL
А зачем это в ОПЗ ?
Создание ХМЛ файла всегда идет учетной программной, а не ручками бухгалетра в ОПЗ.

СообщениеДобавлено: 30 июл 2008, 18:17
VEL
ОПЗ чаще обновляется (чем та же 1с)

СообщениеДобавлено: 30 июл 2008, 21:56
dimajest
VEL
не знаю, не знаю
1С не пользую
Обновление на бухпакет от АБ-Офиса - приходит с задержкой в 4-6 часов от выпуска новой версии ОПЗ.
Проблемы возникают только когда налоговики в день отчетности решают поменять у себя базу.

// серьезно, что за блин подрыв економики, почему меняют именно в период сдачи отчетности ??? почему не в период между сдачами ?

СообщениеДобавлено: 30 июл 2008, 22:44
dimajest
мне вот что интересно
Програмне забезпечення інших розробників, що використовує технологію ЕЦП та працює з акредитованими центрами сертифікації України.:
ПЗ «Сфера-КС»
ПЗ «АСКОД»
ПЗ «QD Professional»

Получается что есть стандартизированый доступ к всем ПО АЦСК, документированый только за отдельные бабосы в размере $$$$$.

СообщениеДобавлено: 31 июл 2008, 09:21
Байталенко
dimajest писал(а):мне вот что интересно
Програмне забезпечення інших розробників, що використовує технологію ЕЦП та працює з акредитованими центрами сертифікації України.:
ПЗ «Сфера-КС»
ПЗ «АСКОД»
ПЗ «QD Professional»

Получается что есть стандартизированый доступ к всем ПО АЦСК, документированый только за отдельные бабосы в размере $$$$$.

не получается
работает только с совместимыми технологически

СообщениеДобавлено: 31 июл 2008, 19:21
dimajest
А документации на "технологическую совместимость" канечно же в паблик не выдается ?

Надо будет себе зделать такой софтик :)

СообщениеДобавлено: 01 авг 2008, 09:21
Байталенко
В програмних та апаратних засобах АЦСК використовуються такі криптографічні алгоритми та протоколи:
- шифрування за ГОСТ 28147-89 (режим простої заміни, режим гамування та режим вироблення імітовставки);
- ЕЦП за ДСТУ 4145-2002;
- гешування за ГОСТ 34.311-95;
- протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої.

Формати ключових даних та іншої службової інформації відповідають вимогам нормативно-технічних документів, що регламентують застосування ЕЦП, та роботи АЦСК, а також міжнародним стандартам та рекомендаціям:
- X.509 (ISO/IEC 9594-8:2002) – формати сертифікатів та списків скасованих сертифікатів;
- PKCS#7 – формати захищених даних;
- PKCS#8 – формати особистих ключів;
- PKCS#10 – формати запитів на сертифікацію (формування сертифікатів) та скасування сертифікатів;
- RFC 2560 – формати запитів на отримання інформації про статус сертифіката та самої інформації про статус сертифіката;
- RFC 3161 (ISO/IEC 18014) – формати запитів на формування позначок часу та самих позначок часу.

это правда не про всех написано

СообщениеДобавлено: 22 авг 2008, 08:17
dimajest
Ответ по теме:
Можно.
Сертификат от ИВК был успешно считан, и использован в качестве подписи в программе от Мастеркей.
Но поставить печатку Мастер кей не захотел, говорит нужно подпись сначала убрать :))

Причина: программа от ИВК говорит что сертификат ее "ОСSP сервера скасований або заблокований" :)

СообщениеДобавлено: 22 авг 2008, 12:14
Байталенко
1) почему по теме? по АМ - "Свое ПО"?
2) имху вы недопонимаете понятия сертификат, что значит считан? ключ считан?
3) ПО, ключи, сертификаты АМ и ИВК технологически совместимы, непонятно только чего вы достичь хотите?
ПО настраивается на тот АЦСК с ключами которого вы работаете, т.е. использовать в одной и той же проге ключи разных АЦСК без перенастроек между каждым применением чревато такими сообщениями.
отключайте в настройках использование всех серверов :)

СообщениеДобавлено: 22 авг 2008, 19:44
dimajest
1) потому, что софт от АМ (читай сторонний к ИВК) позволил зашифровать документ. Значит создание своего софта - в принципе возможно, и принцип шифрования ключей и паролей в данных двух программах совпадает.
2) считан ключ, документ зашифрован, содержание подписи показано правильно. Розфирация тоже прошла успешна.
3) хочу получить удобную к использованию программу, которая не выдает что "ваш сертификат не действителен"

ПО ИВК было настроено на сервер ИВК
ПО АМ было настроено на сервер АМ
с включеной проверкой "чужих" СВС.
ПО ИВК на ключ ИВК (и на сертификат ЦСК ИВК) говорит что они недействительны, потому что не может проверить
ПО АМ прочитало ключ ИВК, проверило его по СВС, зашифровало, расшифровало без проблем.

отключайте в настройках использование всех серверов

И узнавайте, что отосланый вами документ прочитает человек, который украл сертификат/ключ получателя, а кому адресовано - прочитать не может :lol:
Если есть проверка правильности сертификатов - она должна работать.
//офф: бум мучать супорт ИВК, чтобы ихний софт опробывать.

СообщениеДобавлено: 26 авг 2008, 09:39
Байталенко
1) кто вам сказал что сторонний? я уже далеко не один раз писал - полностью технологически совместимы, один разработчик, одни алгоритмы, одни госты
2) см п.1, ПО видит и понимает ключи-сертификаты, т.к. они сгенерированы-сформированы по одним и тем же ГОСТам
3) прочел, еще раз прочел, перечитал и все равно не понял
ПО для "крипты" должно соответствовать, рамки соответствий: https://zakon.rada.gov.ua/cgi-bin/laws/m ... z0592%2D04

ПО ИВК на ключ ИВК (и на сертификат ЦСК ИВК) говорит что они недействительны, потому что не может проверить
//офф: бум мучать супорт ИВК, чтобы ихний софт опробывать.

Если у вас нет софта как вы проверяли?
а если есть, то вы что-то не так делаете раз у вас не может проверить

И узнавайте, что отосланый вами документ прочитает человек, который украл сертификат/ключ получателя, а кому адресовано - прочитать не может Laughing

вообще не понял, раскройте поподробней - кем отправлено, кому отправлено, в каком виде - подписано-зашифровано, каким образом попадет к человеку у которого ворованные ключи (чьи ключи?)

зачем мучать суппорт? у вас есть ключи ІВК (судя по вашему посту) ворованные? если не ворованные то у вас и ПО должно быть.
Без ЕЦП софт в ІВК не выдается

СообщениеДобавлено: 26 авг 2008, 09:46
Байталенко
А вообще ответ на тему простой и отрицательный, даже написав софт работы с ЕЦП для себя, использовать его без определенных процедур по ЗУ нииизя, нужно получить сертификат соответствия, лицензии и тп