- PVSM.RU - https://www.pvsm.ru -
Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP [1] и токен с неизвлекаемым ключом (Рутокен ЭЦП [2] или JaCarta ГОСТ [3]), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):
Для тестирования будут использоваться токены с неизвлекамым ключом:
Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:
В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет исходный ключевой документ. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив рабочие ключевые документы. После этого уничтожим исходный ключевой документ, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.
1. Создадим исходный ключевой документ.
2.Сформируем рабочие ключевые документы.
3.Уничтожим исходный ключевой документ
4. Скопируем ключевую информацию из рабочих ключевых документов
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) [4] (доп. инфо [5]).
Главным отличием ФКН от обычных токенов (Рутокен S [6], JaCarta PKI [7], …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP [8].
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP [9].
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс [10]. Он это умеет [11]. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Автор: imbasoft
Источник [13]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/rutoken-e-tsp/161857
Ссылки в тексте:
[1] СКЗИ КриптоПРО CSP: http://www.cryptopro.ru/products/csp
[2] Рутокен ЭЦП: http://www.rutoken.ru/products/all/rutoken-ecp/
[3] JaCarta ГОСТ: http://www.aladdin-rd.ru/catalog/jacarta/gost/
[4] функциональным ключевым носителем (ФКН): http://www.cryptopro.ru/products/fkc/info
[5] доп. инфо: http://www.cryptopro.ru/blog/2014/12/04/semnye-nositeli-i-bezopasnoe-khranenie-klyuchei
[6] Рутокен S: http://www.rutoken.ru/products/all/rutoken-s/
[7] JaCarta PKI: http://www.aladdin-rd.ru/catalog/jacarta/pki/
[8] СКЗИ КриптоПРО Рутокен CSP: http://www.cryptopro.ru/products/fkc/rutoken
[9] СКЗИ КриптоПро ФКН CSP: http://www.cryptopro.ru/products/fkc/etoken
[10] КриптоАРМ Стандарт 5 Плюс: http://www.trusted.ru/products/desktop/
[11] умеет: http://www.trusted.ru/wp-content/uploads/comparison.pdf
[12] специальные версии криптопровайдера КриптоПРО CSP: http://www.cryptopro.ru/products/fkc
[13] Источник: https://habrahabr.ru/post/306034/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.