= Сообщение: 1755 из 10763 ===================================== RU.UNIX.BSD = От : Serguei E. Leontiev 2:5020/400 25 Aug 14 03:38:24 Кому : Eugene Grosbein 25 Aug 14 03:38:24 Тема : Re: Шифрование и PBE 1.2.840.113549.1.12.1.80 FGHI : area://RU.UNIX.BSD?msgid=<1187493050@ddt.demos.su>+61f24c36 На : area://RU.UNIX.BSD?msgid=grosbein.net+722bd157 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: "Serguei E. Leontiev" <leo@sai.msu.ru>
Привет Евгений,
От 25 августа 2014 г., 1:40:05 в fido7.ru.unix.bsd ты писал: ??>>>> В-третьих, никто ж не мешает создать ключ и ??>>>> запросить на него сертификат согласно RFC 4491, RFC ??>>>> 4491, RFC 5280 (X.509), RFC 2986 (PKCS#10), RFC 5652 ??>>>> (CMS или PKCS#7). Мало того, IMHO, это лучший метод. ??>>> Я могу обсуждать вопрос в таких терминах: есть ??>>> физический токен с ЭЦП. Она уже куплена. Hадо по ??>>> возможности просто и беспроблемно достать из токена ??>>> сертификат и приватный ключ, чтобы убрать токен в сейф. ??>>> Есть "стандартный" виндовый интерфейс, воспользовавшись ??>>> которым, получаем только PKCS#12 (если нужен приватный ??>>> ключ тоже) во внутреннем формате. СЕЛ>> Хм. Если ты ключ используешь не на токене, то и купить СЕЛ>> сертификат на него немного правильнее, т.е. без токена. EG> Да. Hо он уже куплен (другими людьми). Работать приходится с EG> тем, что есть.
Ой, он наверное много миллионов стоил :)
??>>> Возможность вытянуть то же самое в переносимом формате ??>>> (о чём, собственно, и речь) дают лишь "левые" утилиты. СЕЛ>> Угу, а в квалифицированном сертификате написано одно СКЗИ, СЕЛ>> а ты его используешь с другим ("левым"). Hе напрягает? EG> Hе понял вопроса. Какое отношение ЭЦП - вещь в себе - имеет EG> к той или иной СКЗИ? Может, мне вообще СКЗИ не нужна, а нужна EG> только возможность подписать файл подписью, для чего достаточно EG> openssl.
Последнее время модно использовать "квалифицированную электронную подпись" по ФЗ РФ #63 2011 г., а согласно приказу регулятора ФСБ РФ #765 о требованиях к форме этих "квалифицированных сертификатов" в них вносят "наименование используемого средства ЭП". Т.е. по-хорошему, если используешь ccgost из пакета OpenSSL, то и в сертификате это указать резонно. А если в нём написано иное, то это может "напрягать" (небольшой, а обман получается), про то и был вопрос.
-- Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru --- ifmail v.2.15dev5.4 * Origin: ГАИШ МГУ (2:5020/400)