Интересующий меня вопрос - какие аналоги КриПро используются для этого в США, странах ЕС и вообще в других странах?

В Молдове одна из контор которая выпускает цивровые подписи использует софт под названием MoldSign Desktop Suite http://cdn.cts.md/moldsign/ в основном этот софт используется для подписи/проверки документов.

А для логина во всякие личные кабинеты гос. услуг, используется веб портал который выступает как единный центр аутентификации. В данном случае стороний софт не нужен. Достаточно установить драйвера и иметь поддержку со стороны браузера ( все современне браузеры )

и используемое ПО в частности

На стороне клиента или сервера? ))

Ну например сотрудник SpaceX решил принять участие в ...

Сотрудник подключается к сайту тендера, при нажатии на кнопку логин его перенаправляют на сайт единого центра аутентификации, он отправляет свой клиентский сертификат, и снова редиректится на сайт тендера.

На стороне клиента или сервера?

Клиента.

Сотрудник подключается к сайту тендера, при нажатии на кнопку логин его перенаправляют на сайт единого центра аутентификации, он отправляет свой клиентский сертификат, и снова редиректится на сайт тендера.

До этого момента то все понятно, но вот нужно подписать ему в браузере некий файл или подтвердить ЭЦП некое действие, отсюда бы поподробнее если можно.

но вот нужно подписать ему в браузере некий файл или подтвердить ЭЦП некое действие, отсюда бы поподробнее если можно.

Видел разные решения. В большинстве случаев это было реализовано через ява аплеты которые запускались в браузере, просили подтвердить действие и выбрать нужный сертификат.

А алгоритмы криптографии свои? Сертификаты платные и сколько в деньгах и на сколько действуют?

А алгоритмы криптографии свои?

нет. RSA+SHA

Сертификаты платные и сколько в деньгах и на сколько действуют?

действуют 1 год. Цена 18€ за сертификат + криптографичекое устройство и 9€ за продление сертификата.

P.s. Это не в России

Это по тому же принципу по которому работают у нас банковские токены типа аладдин? Там тоже не нужны никакие КриптоПро или аналоги, все работает на java через браузер. То есть за рубежом идут в основном по этому пути? Лично мне он тоже кажется наиболее логичным и удобным. Тогда почему у нас все завязывают на всякие СКЗИ типа того же КриптоПро или VipNet, разве апплеты java не удобнее? Если написал чушь извиняюсь, я не разбираюсь в вопросе потому и спрашиваю.

Если написал чушь извиняюсь, я не разбираюсь в вопросе потому и спрашиваю.

Увы. Именено чушь. Ява апплеты не из-за криптопро, а от того, что в стандарте http(s) нет даже намёка на подпись форм и загружаемых файлов.

Ява апплеты не из-за криптопро, а от того, что в стандарте http(s) нет даже намёка на подпись форм и загружаемых файлов.

А кто утверждал что ява апплеты «из-за крипто про»?

у нас все завязывают на всякие СКЗИ типа того же КриптоПро или VipNet, разве апплеты java не удобнее?

А кто утверждал что ява апплеты «из-за крипто про»?

Вы не поняли, я хотел сказать, что это никак не связано.

Ну здрасьте, шифрование и доступ по сертификату там есть, этого вполне достаточно для аутентификации владельца данных. Апплеты именно из-за криптопро/<любого другого софта другой компании>, потому что ведь нам без ГОСТа никуда.

Вся эта катавасия с подписями прекрасно реализуется безо всяких апплетов, но как тогда Крипто-Про будет деньги то зарабатывать?

Вся эта катавасия с подписями прекрасно реализуется безо всяких апплетов

Нет.

Тому, что Java апплеты устарели. Не?

Я не знаю. А что по твоему мнению не устарело и актуально сейчас в контексте обсуждаемого вопроса?

Криптография уровня https конечно реализуется самим браузером (ну или некими библиотеками, суть не в этом а в том что из коробки), а вот ЭЦП с возможностью выбора сертификата насколько я знаю без стороннего ПО (расширений/плагинов/java/крипто про и т. д., собственно об этом вопрос) не реализована ни в одном браузере и даже не планируется в обозримом будущем.

расширений/плагинов/java/крипто про и т. д., собственно об этом вопрос

Опять 25. Похоже вытаки вообще не понимаете. Вот же из соседнего государства вам подтверждение дали - криптопро это российская криптография, а документооборот требует не только tls, что даёт браузер, а еще и документы с ЭЦП. И это в браузерах не реализовано никак, только говноскриптами или вообще не браузерами, в последнем случае уже можно спрятать алгоритм криптографии внутрь скажем железного токена и криптопро, как софтовая реализация может вообще не светиться, хотя там будет и российская криптография.

криптопро это российская криптография, а документооборот требует не только tls, что даёт браузер, а еще и документы с ЭЦП

Ты уже не первый раз выдаешь за ответ перефразированный вопрос. Что что ты написал выше - это и есть мой вопрос только другими словами. Итак, документоооборот требует не только tls (что собственно очевидно и непонятно зачем ты это упоминаешь) но и...? Что именно он требует за рубежом? Что там применяется в качестве аналога КроиптоПро? Работу с ЭЦП можно же организовать разными способами (ну тот же криптопровайдер+плагин или вообще +capicom в особо запущенных случаях или java, есть и другие способы), интересует что именно сейчас мейнстрим за рубежом? Если знаешь ответ сформулируй конкретнее, желательно со ссылками и примерами как организовывают работу с ЭЦП например в США. И да, если что еще раз напомню - tls, ssh и прочее имеет отношение в общем к шифрованию и браузерам но не имеет отношения к конкретному вопросу. Но все равно спасибо!

Ты уже не первый раз выдаешь за ответ перефразированный вопрос

Честно говоря, уже особого желания у меня не осталось разжёвывать. Ладно, постараюсь последний раз.

Итак, документоооборот требует не только tls (что собственно очевидно и непонятно зачем ты это упоминаешь) но и...?

Вам уже три раза отвечено, что раз в комитетах http(s)/html нет никаких подвижек в сторону реализации юридическо-значимого документооборота путём накладывания ЭЦП на формы и документы, то при использовании браузеров остаётся одно - говноскрипты на java/active-x.

то именно он требует за рубежом?

Один ответ вам уже дан из Молдавии. Криптопровайдер используется встроенный, но это нисколько не отменяет говноскрипты.

Что там применяется в качестве аналога КроиптоПро?

Этот вопрос совершенно не корректен. Ибо КриптоПро - это (tm) и не более того, иностранный специалист не обязан знать этот (tm). Это не технология, это одна из реализации криптобиблиотек! Реализаций российской криптографии с другими (tm) вполне достаточно.

раз в комитетах http(s)/html нет никаких подвижек в сторону реализации юридическо-значимого документооборота путём накладывания ЭЦП на формы и документы, то при использовании браузеров остаётся одно - говноскрипты на java/active-x

С чего ты взял? В том же КриптоПро (также как и в VipNet и многих других насколько я знаю) не используется ни первое ни второе, так что твои объяснения соответствую реальности чуть менее чем никак. Еще я слышал вот на этом можно работу с ЭЦП реализовать - https://en.wikipedia.org/wiki/Stunnel. И это только то что я знаю, а я не специалист в этой области. Ты я вижу даже не разбираешься в теме и не можешь понять самого вопроса, поэтому и повторяешь очевидные вещи про отсутствие средств работы с ЭЦП в html (уже не первый раз вынужден заметить что это и так очевидно для всех и не относится к вопросу), все сложнее чем ты думаешь. Но даже если ты не видишь других вариантов кроме java апплетов (про axtive-x как-то неприлично даже на ЛОРе) на сам вопрос то ты ответить не можешь - про java апплеты я сам упоминул в самом начале как о наиболее логичном решении но вопрос был не с помощью чего а как именно? Ну готоые решения, библиотеки, инфраструктура и т. д. Просто сказать «java» недостаточно, я и так их вижу каждый день когда вставляю аладдин в USB и запускаю интернет-банк, то что они применяются очевидно наверное всем тут даже юным дарованиям из 4 Б.

Честно говоря, уже особого желания у меня не осталось разжёвывать

Извини, но мне кажется тебе просто нечего сказать по существу. Вопрос был поставлен конкретно, ответа я от тебя не услышал. Но еще раз спасибо за участие!

Еще я слышал

Дальше можно было не продолжать. Не хотите знакомиться с реальностью, нечего жаловаться, что когда вас в реальность окунают у вас возникает диссонанс.

Про реализацию криптографии на основе аппаратных решений также было вам ранее отвечено. Взаимодействие с ней также происходит через плагин-прослойку в браузер, заменяющую подгружаемые скрипты для чисто софтовой реализации. Это было б и хорошо, если б не одно но - интерфейс в браузерах не стандартизован. Это тоже самое сказать, что браузеры поддерживают, например, adobe flash.

Я тебя спрашиваю как конкретно, а ты мне - «через плагин-прослойку». Слушай, ну это любому дураку понятно что раз браузер не умеет нужен некий «плагин-прослойка» (что бы это не означало, наверное в твоем понмании это и java апллеты и расширнения для браузера типа КриптоПро плагина и все остальное). Я спрашиваю какую именно? На базе какой именно технологии? Давай еще раз сформулирую вопрос предельно конкретно - в России я могу принимать участие в торгах с помощью ЭЦП, для чего существует некая инфраструктура начиная от удостоверяющих центров и заканчивая криптопровайдерами типа того же КриптоПро. Если упростить то все это работает по принципу ЭЦП на флэшку + проприетарный доморощенный российский криптопровайдер + capicom или иногда плагин в браузер (никакой java!!!). Так работают все торговые площадки, не рассказывай мне про java апплеты, нет там их на стороне клиента, я каждый день с ним работаю так что знаю. А в США? Есть ли аналогичная развится инфраструктура электронных торгов и если да то как устроена и что использует - ЭЦП на обычную флэшку + криптопровадеры + плагин как у нас, java как в банковских токенах (что мне кажется наиболее вероятным, но у нас почему то не применяется в сфере электронных торгов) или может еще как? Или там вообще такого нет и электронные аукционы это российское изобретение? Прям конкретно, без воды и общих фраз, пошаговая инструкция для настройки рабочего места для электронных торгов в США. Я понимаю что вопрос специфический и маловероятно что кто-то сможет ответить по существу, но если по существу ответить нечего давай уж тогда про нацпол или о бабах, не люблю общие фразы и разгоовор ни о чем.

java апллеты и расширнения для браузера типа КриптоПро плагина и все остальное

Сколько вам надо сказать, что КриптоПро это не ява и не плагин, чтобы до вас дошло? 10-20? Не стесняйтесь.

Я спрашиваю какую именно?

Вот эту картинку я искал в гуле ровно секунду: https://www.rutoken.ru/images/content/rutoken_plugin_scheme.png

[зануда-моде] В России нет ЭЦП уже почти 5 лет как, есть только ЭП - электронная подпись, man 63-ФЗ [/зануда-моде]

Вот эту картинку я искал в гуле ровно секунду

Ну и на хер она мне? Я уже говорил выше что каждый день с ними работаю и знаю что это такое. Вопрос еще раз повоторю что именно используется для электронных торгов например в США. В России это с вероятностью 99,99% 6 файлов на обычной USB-флэшке + криптопровайдер + capicom. И никах рутокенов и java, запомни уже наконец. Если у тебя есть информация что за рубежом для этих целей используются именно аналоги рутокена + java апплеты поделись с пруфами и ссылками, если нет то я буду вынужден прекратить этот бессмысленный диалог.

Ну и на хер она мне?

На этой картинке показано как приходится работать с ЭП в принципе, потому можно предсказать, как это сделано в США и где угодно. Выкинте из картинки все упоминания о КриптоПро и вы увидите, что всё остаётся работоспособным. Ибо уж чего-чего, а алгоритмы в OpenSSL уж точно стандартизованы в США.

На этой картинке показано как приходится работать с ЭП в принципе, потому можно предсказать, как это сделано в США и где угодно.

Ну так предскажи. Я прилетаю в США, мне нужна ЭЦП для торгов, и...? Кудя мне идти, сколько платить, на каком носителе мне ее изготовят, сколько времени займет, формат сертификата, что скачивать, названия технологий, библиотек, ПО, будет ли это работать в линуксе и куча еще разных тонкостей. Все это может рассказать только человек который хоть немного разбирается в вопросе и про Россию я тебе все это могу рассказать. Что касается тебя то ни хера ты не сможешь предсказать по этой своей картинке из школьного учебника за 5 класс, и ЭЦП для торгов ты ни разу не пользовался, а все «знания» тобой почерпнуты из таких вот картинок. Удачи тебя, специалист по криптографии!

и ЭЦП для торгов ты ни разу не пользовался, а все «знания» тобой почерпнуты из таких вот картинок.

Видите ли, в отличии от вас, который каждый день трахается со сбербанком-онлайн (что у бухгалтерши без вас не получается, настроить один раз не можете?), я админю и один из УЦ для закупок (мой профиль содержит url, где написано где я работаю), а также ещё 5-6 или сколько там всяких других, от конторского сервера СУФД и терминала ЦБ до всякой отчётности в пенсионный фонд и др. И потому прекрасно осведомлён, что то что написано в вашем посте насчёт монополии КриптоПро и его предназначении - полная лажа. Так как у меня в отличии от вас есть время с этим разбираться, а не трахаться каждый день.

Отвечать на то как реализовано в других странах вовсе не собирался, мой комментарий с самого начала был о некорректности вопроса и о вашем непонимании о чём вы спрашиваете в принципе.

Удачи тебя, специалист по криптографии!

Спасибо.

ЭЦП внутри web-браузера — это конечно же полнейшая чушь...

...ясное дело что в стандарт это ни кто не примит (в здравом уме).

заходите вы на страничку (страничка банка или аукциона) которая что-то там хочет подписать (вашим USB-токеном, например).

что именно она хочет подписать — пользователю не ясно. что там покажется пользователю на дисплей — не важно (Javascript что угодно показать может — но что именно НА САМОМ ДЕЛЕ он подписывать будет — это для пользователя остаётся загадкой).

если например какое-то Google-Chrome-расширение в браузере говорит пользователю:

«этот сайт хочет воспольоваться функцианалом для цифровых подписей... разрешаете ему? нажмите 'ДА' если доверяете этому сайту»

то только полный дурак будет нажимать «ДА» — так как нет совершенно НИ КАКОГО основания доверять хоть какому web-сайту в этом вопросе (что именно он будет делать через JS — останется загадкой для пользователя.. ды и всегда есть вероятность что сайт взломали хакеры — в таком случае с чего бы доверять ему?).

после того как вы нажмёте «НЕТ» (вместо «ДА») — страничка банка (или аукциона. что там у вас?) — дальше с вами работать НЕ будет.

то есть что и требовалось доказать — ТЕХНОЛОГИЯ НЕ РАБОТАЕТ :-D .. свою функцию НЕ выполняет.

--------------------------------------------------

шифрования по TLS/HTTPS (и использование логина-пароля) — должно хватать для всех действий связанных с безопасностью .. цифровые подписи должен сам сервер (для себя и своих отчётов) ставить . если хочет. а не обманным путём получать такназываемую-подпись от клиентской стороны.

если на суде будут выяснять какой-то спорный момент — то цифровая подпись (полученная через клиентсвую сторону — по средствам web-браузера) НЕ СМОЖЕТ быть применена в качестве доказательства хоть чего-то.. так как web-браузер делает всё то что ему велит делать JAVSCRIPT — а не то что ему велит делать пользователь...

...поэтому такая цифровая подпись бесполезна (пусть даже если она произдовится через аппаратный USB-токен).. просто потому что такая подпись не доказывает ни чего

просто потому что такая подпись не доказывает ни чего

Категорические ответы обычно ни к чему хорошему не приводят. :)

Для этого предусмотрена выгрузка в стандартизированой форме, которой вы доверяете, вы всегда можете выгрузить платёжку в свою собственную программу, скачать с сайта ЦБ или банка описание этого xml, если не доверяете 1С и убедиться, что собираетесь подписать именно это.

А иначе, никакого электронного взаимодействия по вашему получается не возможно :)

Для этого предусмотрена выгрузка в стандартизированой форме, которой вы доверяете, вы всегда можете выгрузить платёжку в свою собственную программу, скачать с сайта ЦБ или банка описание этого xml, если не доверяете 1С и убедиться, что собираетесь подписать именно это.

ну да — главное чтобы в web-браузер чтобы не было бы внедрено ни чего (ни каких ЭЦП-расширений!).

то есть — вы предлагаете (если я правильно понял) — скачивать с web-сайта файл xml. подписывать его (именно его.. а не то что нам пытается показать Javascript на дисплей). затем загружать обратно подписанный xml-файл в web-сайт.

СОГЛАЕН! такая схема — бала бы боле-менее практичной. можно даже проприетарный софт использовать для подписей — ведь здесь (гвавное!) мы хотя бы мы видим что именно мы подписываем. [вероятность хакерских атак через вирусы — остаётся — но теперь это *точно* полностью вина клиента.. в отличии от ситуации когда хакеры взламывали web-сайт]

на суде такая подпись хоть что-то могла бы доказывать (ведь человек своими глазами смотрел что он подписывает — но при условии что другим он не давал доступа пользоваться своим ЭЦП-ключом).

основная важная деталь — не разрешать web-браузеру получать доступ (ни под каким предлогом) к твоему ЭЦП-ключу.

--------------------------------------------------

вот что может быть:

например если у тебя в практике используется 2-или-3 разных web-сайта которые хотят работать с ЭЦП. в этом случае каждый из таких сайтов может подставить друг друга (подписывать твоим ключём — документы от чужого сайта, вместо того чтобы подписывать документы свои).

в таком случае если хотя бы один из этих 2~3 сайтов получает доступ к ЭЦП-ключу непосредственно через web-брайзер (не важно что остальные сайты предлагают подписывать без web-браузера — надёжным способом) — то такой web-сайт компрометирует всю систему ЭЦП-подписей. делая их безсмысленными.

--------------------------------------------------

поэтому не достаточно просто правильно организовать работу ЭЦП-подписи — а важно чтобы ИМЕННО ВСЕ УЧАСТНИКИ имели бы правильно-организованный способ работы с ЭЦП-подписями. так чтобы НЕ имело место быть возможности когда компании подставляют друг друга (подставлять не обязательно умышленно.. кратковременный взлом одной из компаний — подставляет совсем другую надёжную «не взламываему» компанию).

А иначе, никакого электронного взаимодействия по вашему получается не возможно :)

ну желание идиотов из правительств сделать всё «интуитивно понятно» для ситуаций когда этой интуитивности быть не может — разумеется не может приводить к чему-то хорошему.

в web-браурах не случайно НЕТ функции работы с ЭЦП-подписями. и «привязывание проволокой» этих возможностей — разумеется не создаёт ни чего хорошего :-)

то есть — вы предлагаете (если я правильно понял) — скачивать с web-сайта файл xml. подписывать его (именно его.. а не то что нам пытается показать Javascript на дисплей). затем загружать обратно подписанный xml-файл в web-сайт.

Это один из параноидальных вариантов. Методы могут быть разными в зависимости от количества документов. Иначе придётся нанять кучу контроллёров контроллёров и так до бесконечности. Когда мало документов - можно напечатать с баркодом и сравнить глазами текст распечатки и текст распечатки сделанной вами из вашей программы. Когда много - сравнивают реестр с выпиской. В общем — это не по теме.

Если честно лень читать весь бред в этом топике. КриптоПро - это набор продуктов, в том числе это и Active-x плагин в браузер, кто не в курсе.

CryptoAPI в Windows

КриптоПро это и есть реализация интерфейса CryptoAPI в Windows, грубо говоря она реализует функции encrypt()/decrypt() с конкретным алгоритмом шифрования (в нашем случае ГОСТ).

Токен - защищеное хранилище для ключей.

Собственно, если тебе нужен ответ на твой вопрос - ищи всю юридическую подоплеку по ЭЦП в нужной стране, ищи другие реализации CryptoAPI. Просто теже америкозы скорее всего юридически сидят на SHA/RSA - это в каждом OpenSSL из коробки, соотвесвенно, никакого сильно спецового софта, как в случае с нашей гостовской криптой может и не быть.

Если честно лень читать весь бред в этом топике.

Нормальненько так. Узнаю ЛОР. Встать в позу «Один я умный в белом пальто стою красивый» и в конечном итоге поработать КО.

В Эстонии есть такое http://id.ee/index.php?id=34283 .

я админю и один из УЦ для закупок (мой профиль содержит url, где написано где я работаю), а также ещё 5-6 или сколько там всяких других, от конторского сервера СУФД и терминала ЦБ до всякой отчётности в пенсионный фонд

Бааа! Я так и думал, что в этих гнилых конторах с отвратительным софтом, работают подобные вам «специалисты». Когда все это, что связано с закупками, с УЦ, с дркументооборотом со властями, начнет хоть сколько нибудь вменяемо работать? Когда ждать адекватную документацию и техпод, отвечающий на звонки? Никогда, все чсв на форумах чешут.

Я года 3 пользуюсь разными эцп. Все ок. И суппорт отвечает быстро.

да я не спорю. коммерческие УЦ работают шустро. а вот региональные казначейства и системы госзакупок это один из кругов русского ада

Я именно в системе госзакупок их пользую :) Порядка 3 юрлиц на 5-7 площадках. Плюс сайт налоговой.

Сначала хотел ответить, потом смотрю, что вы как раз тот самый гражданин, который мягко так сказать слегка в вопросе не так силен, как ему кажется. Вы если одновременно по этому же направлению работаете, то это прям резко ставит все на места.

Спасибо, вот это уже интересно.

повезло с регионом. Москва?

Это один из параноидальных вариантов. Методы могут быть разными в зависимости от количества документов. [...] Когда много - сравнивают реестр с выпиской.

Нет. Методы НЕ могут быть разными.. Лол, ТЫ ПОДПИСЬ ставишь! (а не просто тыкаешь на кнопки клавиатуры)

Такое ощущение будто ты хочешь сказать:

«если нужно подписать большую пачку документов — то в этом случае давайте подписывать их с закрытими глазами.. А что именно мы наподписывали будем смотреть по косвенным признакам, таким как толщина стопки подписанных листов.. Если толщина примерно сходится с ожидаемым размером, значит наверно среди этих листов нет заявления на продажу собственной квартиры»

И что ты (как разаботчик площадки) будешь делать с такой ЭЦП? Перед кем ты ей махать потом будешь в случае разборок?..

Да, ты сделал способ быстрой подписи неизвестно чего (человек не знал что подписывает) — но с таким же успехом ты мог бы и вообще НЕ требовать бы подпись.

Если сравнивать с реальным (не электронным) миром — то можно найти и ещё такой аналог:

При регистрации в банке — просить всех клиентов подписивать стопку пустых листов.

...а когда клиент хочет выполнить операцию — пусть банк берёт один из таких заведомо подписанных листов и сам распечатывает там заявление! КАК УДОБНО ДЛЯ КЛИЕНТА(?) — клиенту не потребуется читать что он там подписывает (банк всё делает за него) и подпись тоже в результате «настоящая».. :-D

В общем — это не по теме.

Ну не так уж и " не по теме" :-) ..

Топикстартер спросил что используют за рубежом в качестве КриптоПро ЭЦП...

..и конечно как составная часть ответа — не плохо было очередной раз напомнить что концепция КриптоПро ЭЦП (в её самом частом сценарии использования: ЭЦП в браузере) — полнейший НЕсостоятельный бесполезный бред :-) . говоря про зарубежные аналоги — нужно не забывать и про эту бредовость

Сначала хотел ответить

А вас сильно кто-то просил тут поработать капитаном очевидностью, сказав банальщину на уровне детского сада, предварительно обозвав всех бредогенераторами? Вы в самом деле хотели этим продемонстрировать вашу силу в вопросе? Бггг. Звездочки зарабатываете?

Вы если одновременно по этому же направлению работаете, то это прям резко ставит все на места.

Давайте так. Я вам отправлю 1 биткойн, если вы найдёте хоть один пункт в моих коментариях противоречащему вашему бесполезному комментарию. Через три дня не найдёте - высылаете мне.

Топикстартер спросил что используют за рубежом в качестве КриптоПро ЭЦП...

Вот именно. А вы рассказали о криптографии для чайников, то есть совершенно не по теме. Да и согласие с ТС — это и есть не понимание, что электронное взаимодействие с властями — это перпендикулярно КриптоПро. Ну покупали вы бы PGP, как это делают в Америке. И что? Сразу же появится PKI интерфейс в браузере?

Ну покупали вы бы PGP, как это делают в Америке

Блядь, ну какую же чушь ты несешь, ну убейся уже об стену, а?

концепция КриптоПро ЭЦП (в её самом частом сценарии использования: ЭЦП в браузере) — полнейший НЕсостоятельный бесполезный бред :-)

А что не бред? Ну например сгенерировал я сам пару ключей (или получил от удостоверяющего центра в виде файлов на флэшку, в контексте вопроса не важно), как например подписать письмо в браузере? Самое обычное электронное письмо? Или выполнить в браузере любое другое действие заверив ЭЦП? Для писем еще есть пара костылей в виде расширений к браузерам (и к ThunderBird, даже он это из коробки не умеет), но они еще бредовее и костыльнее чем даже сам КриптоПро (я про их плагин прежде всего, то что они используют свои библиотеки к вопросу не относится, это как-бы понятно) и по их заброшенности и глючности чувствуется что не это мэйнстрим.

как например подписать письмо в браузере?

Через буфер обмена.. А ты хотел по другому как-то :-D :-D ?

Или выполнить в браузере любое другое действие заверив ЭЦП

Выше написал (и разжевал) что web-браузер и ЭЦП это несовместимые друг с другом вещи..

Ещё раз в крадце: Потому что браузер делает то что ему велит делать Javascript-код (а не то что велит делать пользователь)! И показывает на дисплей web-браузер то что велит показывать Javascript.. Всё это контролируется полностью с сервера и почти НИ КАК не контролируется на клиентской стороне.

А ЭЦП это как раз наоборот — это подтверждение от человека. (Человек НЕ является серверной стороной — так понятно? А JS-команды (в отличии от человека) — выполняются по ПРЯМОМУ приказу серверной стороны)

Для писем еще есть пара костылей в виде расширений к браузерам

Нет. Не существует ни одного расширения к браузеру, которое тебе позволит шифровать письма из web-браузера.. Школоподелка (шифро-расширение к браузеру) для http://www.gmail.com — это курам-на-смех — посмеялись над ним уже все кто мог :-) .. Из браузера это не работает (в том виде в котором это должно быть для почты).

и к ThunderBird, даже он это из коробки не умеет

Любой Linux`овский почтовый клиент имеет встроенную поддержку GnuPG (без каких либо расширений)...

..тот факт что любимый вендузятниками ThunderBird не обладает этой встроенной функцией — просто очередной раз доказывает что это типичная вендовая поделка (пусть хоть и имеет порт на Linux)

...и по их заброшенности и глючности чувствуется что не это мэйнстрим

Ну верно.. Смысл-то какой дорабатывать это.

Хочешь шифровать-и-подписывать почту — установи любой линуксовский почтовый клиент...

...а web-браузер не для этого. Вроде бы ясно почему забросили :-) , наверно осознали

Любой Linux`овский почтовый клиент имеет встроенную поддержку GnuPG

Да, но ты не путай поддержку и возможность сразу подписывать письма ЭЦП из коробки. Первое в TB разумеется есть, второго нет. Без Enigmail как стандартного расширения ты письмо ЭЦП не подпишешь, по умолчанию оно не устанавливается. И как я понимаю этот плагин мало чем отличается от таковых в браузер, принцип работы такой же.

web-браузер и ЭЦП это несовместимые друг с другом вещи

Ну как не совместимые если в России (да и не только) весь интернет-банкинг и система торгов работает через браузер и ЭЦП, причем работает надежно и очень удобно? Или ты про то что изначально стандарт html не предусматривал такую возможность и реализовано это через костыли? Ну да, но html изначально почти ничего не предусматривал, весь web работает через костыли разной степени убогости.

Да, но ты не путай поддержку и возможность сразу подписывать письма ЭЦП из коробки. Первое в TB разумеется есть, второго нет.

Ну разумеется из коробки!

Без Enigmail как стандартного расширения ты письмо ЭЦП не подпишешь, по умолчанию оно не устанавливается

Какой нахрен Enigmail? Ахахаха! Ты про свою вендузятную Громоптицу опять чтоль завёл разговор? Установи обычный линуксовый почтовик — там из коробки это. Любой. (Линуксовский — это я не про портированные программы из Windows)

в России (да и не только) весь интернет-банкинг и система торгов работает через браузер и ЭЦП, причем работает надежно и очень удобно

Удобно — да.

Надёжно — нет. С чего ты взял что наджно? Тебе это кто вообще такое сказал? Там если что — всё для галочки сделано. Я если что участвовал в разработке одной из подобных площадок, и знаю изнутри как там всё «надёжно».

Одна такая площадка может скомпромитировать тебя (твою ЭЦП) перед любой другой площадкой. (Таким образом выходит что любая ЭЦП не может иметь доверия, в этом порочном кругу, так как нельзя понять по чьей воле была сделана Подпись..)

Поэтому отмаза «твоя площадка говно, а остальные площадки — надёжные» не прокатит! Достаточно одной моей площадки — чтобы скомпрометировать «хорошие надёжные» площадки :-D

весь web работает через костыли разной степени убогости.

Web по большёму счёту это всего лишь средство для построения «Тонких клиентов» для серверов.

Web-браузер ты можешь представлять для удобства — как VNC-клиент к серверу (или RDP-клиент, если так тебе проще:)).

А весь Javascript и html/css — это лишь удобное средство для того чтобы снизить нагрузку (и сетевой трафик) с серверов на «тонкие клиенты» — путём НЕзаставления серверов рендерить всю картинку «тонкому клиенту»... (Заставлять рендерить сам клиент)

В эту модель можно напихать разной-степени-костыльности костыли....

....но по сравнению с костылём ЭЦП (ЭЦП в web-браузе...ЭЦП В «тонком клиенте») — все эти остальные костыли меркнут, и кажутся стройной моделью :-) .

Просто нет смысла вставлять USB-ЭЦП-токен в «тонкий клиент» — потомучто тонкий клиент это лишь дисплей для сервера... Проще уж вставить USB-ЭЦП-токен в сам сервер — всё равно в обоих случаях эти оба способа ЭЦП не являются подписями «Человека» (не имеют к «человеку» почти ни какого отношения).