LINUX.ORG.RU

КриптоАРМ на базе контейнера PKCS#12. Создание электронной подписи CadES-X Long Type 1.

 , , , ,


3

1

Вышла обновленная версия свободной утилиты cryptoarmpkcs, предназначенной для работы с сертификатами x509 v.3, храняшимеся как на токенах PKCS#11, с поддержкой российской криптографии, так и в защищенных контейнерах PKCS#12. Как правило, в контейнере PKCS#12 хранят личный сертификат и его закрытый ключ. Утилита абсолютно самодостаточная и работает на платформах Linux, Windows, OS X. Отличительной особенностью утилиты является то,что для формирования электронной подписи, не требуется установки никаких дополнительных СКЗИ (средст криптографической защимты информации) и хранилищ сертификатов. Вся информация, необходимая для формирования электронной подписи (цепочки сертификатов, списки отозванных сертификатов, а также ответы серверов OCSP и штампы времени), получается через Интернет. Полученную подпись можно проверить, в частности, на сайте Госуслуг. Утилита также позволяет создать запрос на квалифицированный сертификат с генерацией ключа на личном токене PKCS#11. Утилита имеет удобный графический интерфейс. ( читать дальше... )

>>> Подробности



Проверено: jollheef ()

Интерфейс традиционно непривычен, но упорство автора внушает уважение. Показывает, что в 2019 году на Tcl по-прежнему можно писать.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

Да нормальный интерфейс. Кому надо дело делать, тот в последнюю очередь на интерфейс будет смотреть. Это же не очередной чатик клепать, которых уже 100500 и там только на анимированных гомокакашках и можно выехать. Уж всяко удобней для многих, чем пердолиться через openssl, если он такое вообще умеет.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Х3 openssl - там погрепать можно, автоматизировать, конвернтуть в нужный вид ту же инфу из сертификата. А тут чё? Скриншот слать? О5 же - зачем дублировать уже отлаженный функционал того же ASN.1 кодирования/декодирования?

Ответ по-фану - принимается и тогда вопросов нет, а вот для дела? Для дела надо уметь дать воспроизводимую команду джуну и какой нить openssl verify будет раз в 700 проще объяснить, чем тыкни туда, посмотри туда, потом в зависимости от того что увидел тыкни туда или туда. Сравни инструкции по использованию графических утилит и cli…

pon4ik ★★★★★ ()
Ответ на: или в общем и целом? от TclTk

Да есть то конечно есть ктож спорит. Просто сущности плодить та ещё фигня. Если не на пустом месте и с заданной целью, то оно конечно гуд а если это самоцель то моим моральным устоям это претит.

pon4ik ★★★★★ ()
Ответ на: тыкни туда или туда от TclTk

Сходу нет, но я и не шарю…

В любом случае это будет один из флагов где надо будет прописать алгоритм подписи и её параметрсет. И знающий человек мне просто скинет готовую команду, которую я смогу безошибочно не обращаясь к нему с уточнениями повторить.

pon4ik ★★★★★ ()
Последнее исправление: pon4ik (всего исправлений: 1)
Ответ на: комментарий от pon4ik

Х3 openssl - там погрепать можно, автоматизировать, конвернтуть в нужный вид ту же инфу из сертификата.

А если мне не надо грепать, автоматизировать и конвертить? Если я просто хочу посмотреть инфу из сертификата глазами?

О5 же - зачем дублировать уже отлаженный функционал того же ASN.1 кодирования/декодирования?

Ну если речь о том, что можно было бы использовать libssl, не знаю, но я не автор этой программы, мне сложно судить, зачем он это сделал. Бывает, что самому реализовать проще, чем ковыряться с кривым API.

Для дела надо уметь дать воспроизводимую команду джуну

Берёшься дать воспроизводимую команду какому-нибудь специалисту кредитного отдела? Работал с бухгалтерами, которые капслок случайно нажали? Нет, не в 700 раз проще. В 700 раз тяжелей. Ты вот сам пишешь, что сходу не приведёшь команду openssl. А дай тебе GUI - потыкаешь и сделаешь задачу. Т.е. даже на примере любителя консольного интерфейса видно, что может быть ситуация, когда GUI предпочтительней.

Legioner ★★★★★ ()
Ответ на: комментарий от pon4ik

человек мне просто скинет готовую команду, которую я смогу безошибочно не обращаясь к нему с уточнениями повторить.

Вот вам и скинули. Нажмите пару кнопок и получите подпись. В том, что вам скинут другие на базе OpenSSL много чего вам придется прописывать и искать. Одна цепочка сертификатов чего стоит. А здесь за все это делает утилита. Попробуйте.

TclTk ()
Ответ на: комментарий от pon4ik

Для дела надо уметь дать воспроизводимую команду джуну и какой нить openssl verify будет раз в 700 проще объяснить, чем тыкни туда, посмотри туда, потом в зависимости от того что увидел тыкни туда или туда

А ты КриптоПРО (мать его) пробовал? С поддержкой общался?

pihter ★★ ()
Ответ на: упорство автора внушает уважение от TclTk

не обращай внимание, вот правда. «упорство автора внушает уважение» ахахаха... это говорят на сайте где кончают от личкрафтов. а тут человек продакшн софт делает, ему про упорство.
ну и про «на тсл можно..» вообще забей.

молодец ты большой короче.

mos ★★★★★ ()
Ответ на: комментарий от Kompilainenn

сделать себе сертификат самоподписанный

Именно эта утилита делает только запросы. Сертификат можете сделать с помощью УЦ, дистрибутивы (графическую утилиту) которого под Linux и Windows можно найти здесь:

https://habr.com/ru/post/413493/

Посмотрите. Если что, обращайтеся.

TclTk ()
Ответ на: комментарий от pihter

А в КриптоПРО разве не тыкать надо как раз? Ониж старались виндовый интерфейс повторить? Ну я мимокрокодил на практике их решения ни разу не использовал, только api краем глаза читал.

pon4ik ★★★★★ ()

Интерфейс конечно не супер, но и говном его не назвать. Большой плюс за простой тулкит, в котором точно е произойдёт какой нибудь революции в ближайшие лет 10, а может и никогда.

kirill_rrr ★★★★★ ()

Это компания аборигенов одни из лидеров отрасли на нашем рынке типа. Знаю про них только что они зарабатывают на криптографии и у них есть кроссплатформенное api которое мимикрирует под виндовый нативный крипто api. Ну типа что бы переезжать с венды на православные оси было попроще.

pon4ik ★★★★★ ()
Ответ на: комментарий от pihter

Кстати без КриптоПРО жить можно? В смысле подписывать, отправлять на госуслуги/гисжкх/итд? Задача висит, еще не разбирался совсем.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от crutch_master

Кстати без КриптоПРО жить можно?

Присоединяюсь к вопросу. Если оно не позволяет заменить КриптоПРО хотя бы в простейших задачах типа подписать на торговой площадке то смысла в этом немного, если вообще.

mbivanyuk ★★★★★ ()
Ответ на: комментарий от crutch_master

Ну вроде как автор написал, что никакие СКЗИ не нужны.

Отличительной особенностью утилиты является то,что для формирования электронной подписи, не требуется установки никаких дополнительных СКЗИ (средст криптографической защимты информации) и хранилищ сертификатов.

iKido ()

Хммм...

Возможно я и ошибаюсь, но мне одному кажется что это под 519-е постановление в большей степени?

Если да, то шаг положительный. Если нет, то я х.з. Впрочем, если подпись валидна и для Госуслуг, то в любом случае это супер.

Moisha_Liberman ()
Ответ на: комментарий от mbivanyuk

подписать на торговой площадке

Подписать позволяет любой документ и для торговой площадки. Но если торговая площадка требует наличия (например, через плагин) наличия КриптоПРО, то это уже лоббирование и вопрос к ФАС-у

TclTk ()