Re: Отечественная криптография
25 декабря 2014 г., 19:21 пользователь Никита Егоров написал: > Имено с отечественной сертификацией дела не имел, поӕтому проесните, по > какому алгоритму КриптоПРО подписывает документы? Какие могут быть альтернативы? Только ГОСТ. > В целом весь спектр действий по подписыванию в соотвествии с X509 > осуществляет утилита openssl. Может ли она прикинуться КриптоПро - не > знаю... Тут в добавок ко всей бороде X509 есть некоторое количество потенциальных проблем, связанных с ключевыми носителями. Можно, теоретически и на флешке всё хранить. Но только ссыкотно, ибо такая подпись в соотв. с нашим законом юридически значима. Поэтому применяются всякие eToken'ы, рутокены, джакарты. Некоторые из них, например, вообще имеют встроенный криптопроцессор и хранилище ключей, которое "как бы" гарантирует, что ключ никогда не покинет носитель - если тебе нужно что-то подписать или зашифровать, то ты закачиваешь это прямо в носитель, он шифрует/подписывает и выплёвывает обратно. Почему "как бы"? Потому что мы не знаем, наверняка, что в носителе нет закладки. Короче нюансов много, скондочка эту тему не осилить. Мне кажется, что сейчас придет Vitus Wagner и всё расскажет. Сто лет я уже не был в d-r, но если я правильно ошибаюсь, он даже в соавторах к RFC на GOST ) А значит, скорее всего, имеет отношение к разработке всего этого безобразия ) -- With best regards, Max
Re: Отечественная криптография
Имено с отечественной сертификацией дела не имел, поӕтому проесните, по какому алгоритму КриптоПРО подписывает документы? В целом весь спектр действий по подписыванию в соотвествии с X509 осуществляет утилита openssl. Может ли она прикинуться КриптоПро - не знаю... 25 декабря 2014 г., 18:40 пользователь Max Dmitrichenko написал: > Здравствуйте, коллеги! > > Понадобилось тут связаться с электронной подписью согласно нашего > закона 63-ФЗ. Начал пока разбираться с тем, как это работает под > виндой. Но уже предвкушаю будущий геморрой с Linux вообще и с debian в > частности. Кто-то уже имел опыт с этим? > > Из того, что пока я вижу, у меня шевелятся на затылке уши. > Производители ПО и удостоверяющие центры (УЦ) не иначе как сговорились > и подрывают самые фундаментальные основы криптографии. Получение > сертификата через запросы на сертификат - это на столько не популярная > операция, что у тётенек, отвечающих на звонки в УЦ это вызывает > полнейший ступор, даже если УЦ предоставляет такую возможность > согласно своего регламента. Хотя как вообще поворачивается язык > назвать УЦ контору, которая такой возможности не даёт, я не знаю. > > Пользовательский софт КриптоПро (под оффтопик) из коробки как я понял, > не умеет генерировать запрос на сертификат. Для этого ходовым методом > в сообществе отечественных криптографов являются некие офлайновые > формочки, которые работают в браузере через ActiveX и добываются в > конкретном УЦ. > > Короче вопросы у меня пока такие: > 1) Такая проблема только под оффтопиком или в Linux такая же хрень? > 2) Какие решения существуют под Linux? Поддерживают ли они Debian? > 3) Насколько в этой сфере обеспечена совместимость? Почему-то > учреждение, которое требует от меня подписанный документ, требует, > чтобы подпись была сделана КриптоПро версии 3.6. Это значит, что всё > плохо, или всё же можно взять какой-то более альтернативный софт, > который подпишет документ не хуже? > > -- > С уважением, > Max Dmitrichenko >
Отечественная криптография
Здравствуйте, коллеги! Понадобилось тут связаться с электронной подписью согласно нашего закона 63-ФЗ. Начал пока разбираться с тем, как это работает под виндой. Но уже предвкушаю будущий геморрой с Linux вообще и с debian в частности. Кто-то уже имел опыт с этим? Из того, что пока я вижу, у меня шевелятся на затылке уши. Производители ПО и удостоверяющие центры (УЦ) не иначе как сговорились и подрывают самые фундаментальные основы криптографии. Получение сертификата через запросы на сертификат - это на столько не популярная операция, что у тётенек, отвечающих на звонки в УЦ это вызывает полнейший ступор, даже если УЦ предоставляет такую возможность согласно своего регламента. Хотя как вообще поворачивается язык назвать УЦ контору, которая такой возможности не даёт, я не знаю. Пользовательский софт КриптоПро (под оффтопик) из коробки как я понял, не умеет генерировать запрос на сертификат. Для этого ходовым методом в сообществе отечественных криптографов являются некие офлайновые формочки, которые работают в браузере через ActiveX и добываются в конкретном УЦ. Короче вопросы у меня пока такие: 1) Такая проблема только под оффтопиком или в Linux такая же хрень? 2) Какие решения существуют под Linux? Поддерживают ли они Debian? 3) Насколько в этой сфере обеспечена совместимость? Почему-то учреждение, которое требует от меня подписанный документ, требует, чтобы подпись была сделана КриптоПро версии 3.6. Это значит, что всё плохо, или всё же можно взять какой-то более альтернативный софт, который подпишет документ не хуже? -- С уважением, Max Dmitrichenko
Re: other disk
Без livecd: 1. разбить новый диск на разделы: cfdisk /dev/newdisk 2. форматируем новые разделы 3. монтировать новый и старый root и все необходимые разделы: mkdir /mnt/oldroot mkdir /mnt/newroot mkdir /mnt/newroot/var mkdir /mnt/newroot/home ... mount --bind / /mnt/oldroot mount --bind /var /mnt/oldroot/var mount --bind /home /mnt/oldroot/home ... mount /dev/newdiskrootpartnum /mnt/newroot mount /dev/newdiskvarpartnum /mnt/newroot/var mount /dev/newdiskhomepartnum /mnt/newroot/home ... процедура с mount --bind необходима, чтобы исключить содержимое /proc /sys и аналог, но сохранить исходное содержимое /dev, до монтирования udev. 4. скопировать содержимое старого диска на новый: cd /mnt/oldroot tar csSf - . | tar -C /mnt/newroot -xsSf - 5. подготовить новую иерархию директорий к настройке загрузки с нового диска: mount --bind /dev /mnt/newroot/dev mount --bind /proc /mnt/newroot/proc mount --bind /sys /mnt/newroot/sys 6. отредактировать /mnt/newroot/etc/fstab, /mnt/newroot/boot/grub/menu.lst или аналог, настроив их на разделы нового диска 7. chroot /mnt/newroot 8. установить grub на новый диск: grub-install /dev/newdisk 9. обновить initrd и update-grub, для учета возможных других fs на новых разделах и новых контроллеров (usb disk): dpkg-reconfigure linux-image-3.2.0-4-amd64 (или другое текущее установленное ядро) 10. выйти из chroot: ^D 11. отмонтировать все в обратном порядке. 12. перезагрузиться, изменив в bios загрузку на новый диск, и в grub выбрать то ядро, для которого делали dpkg-reconfigure С livecd все аналогично, только сначала загрузиться с livecd, а потом в пункте 3 изменить точки монтирования в mount --bind с /,/var,/home на разделы старого диска, убрав --bind. On 23.12.2014 18:14, Ivan Petrov wrote: Хочу переставить wheezy на другой комп (и другой диск) Нужнор скопировать раздел dd шкой, загрузиться с live, сделать chroot в этот раздел и сделать gnome-update?