Рубрика «PKI» - 3

Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

2017-07-26 в 13:17, admin, рубрики: IT-стандарты, PKCS#11, PKI, Анализ и проектирование систем, браузеры, госзакупки, госуслуги, информационная безопасность, криптография, сертификаты x.509, скзи

И сразу дадим ответ – да, можно и нужно, только не отказаться, а дать гражданам и организациям возможность использовать и другие операционные системы, браузеры и средства криптографической защиты информации (СКЗИ). Ответим на вопрос и как – соблюдать стандарты и технологии. Почему бы для доступа в личные кабинеты не использовать авторизованный доступ по протоколу https? И тогда нет необходимости в использования только CSP а ля Микрософт с поддержкой российской криптографии. Тогда автоматом станут востребованы и токены PKCS#11 и как международный стандарт, так и стандарт, поддерживаемый ТК-26, стандарты PKCS#12 (тем же ТК-26), может что-то другое, но стандартное. В этом случае речь уже будет идти не об MS Windows, Interner Explorer и CSP, а о браузерах или других программ с поддержкой https с российскими шифрсьютами. Это может быть и Internet Explorer, и модификации того же Mozilla Firefox, наконец Google Chrome или прокси типа stunnel.
Читать полностью »

Как при помощи токена сделать Windows домен безопаснее? Часть 1

2017-05-04 в 11:41, admin, рубрики: PKI, Windows Server, аутентификация, Блог компании «Актив», информационная безопасность, криптография, рутокен

Кто-то из вас наверняка слышал про инцидент , который был обнародован совсем недавно. Американский производитель полупроводников Allegro MicroSystem LLC подал в суд на своего бывшего IT-специалиста за саботаж. Нимеш Пател, проработавший в компании 14 лет, уничтожил важные финансовые данные в первую неделю нового фискального года.

Читать полностью »

Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория

2017-04-02 в 17:35, admin, рубрики: bitlocker, DirectAccess, ipsec, microsoft, NLS, PKI, Windows 8, Windows Server 2012, Windows To Go, администрирование windows, децентрализованные сети, ИБ, информационная безопасность, Серверное администрирование, удаленное подключение, метки: BitLocker, DirectAccess, NLS, Windows To Go, Удаленное подключение

Наиболее частым, применяемым способом удаленного доступа к внутренним ресурсам организаций является настройка VPN-соединения. Данная технология имеет ряд минусов таких как:

необходимость установки на клиентский компьютер дополнительного программного обеспечения, что не всегда удобно, в некоторых случаях невозможно;
необходимость прохождения пользователем дополнительной процедуры аутентификации;
отсутствие возможности контролировать клиентский компьютер службами, отвечающими за техническую поддержку и информационную безопасность организации;
отсутствие возможности контролировать своевременное обновление системного и прикладного ПО, наличие на нем антивирусного ПО и актуальности антивирусных баз;
при перемещении удаленный пользователь должен перевозить не всегда легкий ноутбук.

Я предлагаю рассмотреть замену VPN технологией, разработанной компанией Microsoft – DirectAccess. Это позволит расценивать удаленный компьютер в качестве компонента вычислительной сети организации, благодаря чему можно будет выполнять следующие операции по обеспечению информационной безопасности:

применять к удалённому компьютеру групповые политики;
подключаться к компьютеру, используя штатные средства – RDP, mmc, удаленный помощник;
контролировать интернет трафик;
применять DLP-системы;
использовать централизованное управление антивирусной защитой;
и другие средства доступные внутри домена.

DirectAccess я буду рассматривать совместно с Windows To Go. Windows To Go — это операционная система Windows 8 и выше, установленная на внешний USB-носитель со всем необходимым ПО. Установленную таким образом ОС можно загрузить на любом оборудовании соответствующем минимальным требованиям. При этом ПО и данные, на используемом компьютере не затрагиваются.
Читать полностью »

Токены PKCS#11: генерация ключевой пары и неизвлекаемость приватного ключа (Продолжение)

2017-01-20 в 20:08, admin, рубрики: cloud, Google Chrome, mozilla, pkcs11, PKI, private key, x509 v3, браузеры, госуслуги, Железо, информационная безопасность, криптография, облачные сервисы

В предыдущей статье «Токены PKCS#11: сертификаты и закрытые ключи» мы рассмотрели как можно однозначно связать тройку Сертификат x ПубличныйКлюч x ПриватныйКлюч, хранимую на токене/смаркарте с интерфейсом PKCS#11 v.2.40. В данной статье мы поговорим о генерации ключевой пары. Опираться мы будем, как и прошлый раз, на «ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».Читать полностью »

Пакет Network Security Services и утилита oidcalc

2016-10-30 в 12:27, admin, рубрики: GnuPG, kleopatra, kmail, linux, nss, oid, PKI, я пиарюсь, метки: nss

При реализации проекта, связанного с использованием российской криптографических алгоритмов в почтовом клиенте KMail, в приложении Kleopatra и GnuPG, для перевода российских oid-ов из точечно-десятичной формы в DER-кодировку я решил воспользоваться утилитой oidcalc из пакета NSS (Network Security Services ), который предустановлен во всех дистрибутивах Linux, включая отечественные клоны. Полученный код использовался в работе.
Читать полностью »

ASN1js и PKIjs — год после создания

2015-04-13 в 4:01, admin, рубрики: asn.1, CRL, ECC, javascript, ocsp, PKI, rsa, Suite B, TSP, X.509, информационная безопасность, подпись, шифрование, метки: ASN.1, JavaScript, PKI

Почти год назад я рассказал о новых библиотеках PKIjs и ASN1js. Пришло время рассказать о развитии этих библиотек. Для ASN1js за это время были сделаны в основном «косметические» изменения. Из существенных изменений можно заметить только возможность конвертации любых объектов ASN.1 в JSON формат. А вот с PKIjs произошли более существенные перемены.

Итак, текущие основные особенности PKIjs:

Полная поддержка Web Cryptography API;
Ограниченная возможность использования как в iPhone (через использование Safari), так и в Android приложениях (Google Chrome);
Расширилось количество примеров. В частности, добавились примеры использования PKIjs для проверки подписей в PDF файлах и для проверки подписей в S/MIME;
Использование всех алгоритмов подписи из Web Cryptography API:
- RSASSA-PKCS1-v1_5 (PKCS#1 v1.5);
- RSA-PSS (PKCS#1 v2);
- ECDSA (подпись на ECC, Elliptic Curve Cryptography);
Первая реализация «certificate chain verification engine» (верификация цепочки сертификатов) на чистом JavaScript и проходящая основные тесты NIST;
Первая и пока единственная реализация «Suite B» для подписи и шифрования данных в виде CMS (Cryptographic Message Syntax) в «open-source» на чистом JavaScript;
- Подпись CMS с помощью ECDSA;
- Шифрование с применением схем «ephemeral-static» ECDH;
- Использование AES-CBC и AES-GCM;
- Использование расширенного списка алгоритмов хеширования: от SHA-1 до SHA-512;
- Возможность создания зашифрованных сообщений на основе использования пароля с использованием алгоритмов серии AES;

Читать полностью »

Библиотека для встраивания электронной подписи в приложения С++

2015-02-10 в 10:36, admin, рубрики: c++, cms, PKCS#10, PKCS#7, PKI, X.509, Блог компании Компания «Актив», информационная безопасность, криптография, рутокен эцп, сертификат, электронная подпись, метки: Рутокен ЭЦП

Библиотека для встраивания электронной подписи в приложения С++ - 1

Наша компания продолжает развивать линейку библиотек, которые позволяют встраивать электронную подпись с использованием российских криптоалгоритмов в информационные системы различного типа.

Некоторое время назад мы поддержали Рутокен ЭЦП в openssl, затем выпустили кроссплатформенный плагин для браузера, а теперь сделали высокоуровневую криптобиблиотеку для встраивания в С++ приложения.

Концептуально данные решения выполнены идентично: используется аппаратная реализация российских криптоалгоритмов на чипе Рутокен ЭЦП, обеспечивается поддержка цифровых сертификатов X.509, запросов на сертификаты PKCS#10, подписанных и зашифрованных сообщений CMS.

Новая библиотека пригодится тем, кто пишет «толстые клиенты», десктопные приложения, свои браузерные плагины и т.п.

Поддерживаемые устройства:

USB-токен Рутокен ЭЦП
Смарт-карта Рутокен ЭЦП
Bluetooth-токен Рутокен ЭЦП
Trustscreen-устройство Рутокен PINPad
USB-токен Рутокен WEB (HID)

Основные сценарии применения библиотеки с примерами кода под катом.
Читать полностью »

Информация

Статьи из архивов

Обсуждаемое

Рекомендуем

Рубрика «PKI» - 3

Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

Как при помощи токена сделать Windows домен безопаснее? Часть 1

Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория

Токены PKCS#11: генерация ключевой пары и неизвлекаемость приватного ключа (Продолжение)

Пакет Network Security Services и утилита oidcalc

ASN1js и PKIjs — год после создания

Библиотека для встраивания электронной подписи в приложения С++

Архив

Информация

Статьи из архивов

Обсуждаемое

Рекомендуем

Рубрика «PKI» - 3

Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

Как при помощи токена сделать Windows домен безопаснее? Часть 1

Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория

Токены PKCS#11: генерация ключевой пары и неизвлекаемость приватного ключа (Продолжение)

Пакет Network Security Services и утилита oidcalc

ASN1js и PKIjs — год после создания

Библиотека для встраивания электронной подписи в приложения С++

Новости

Актуальные темы

Архив