Re: Отечественная криптография

2014-12-25 Пенетрантность Max Dmitrichenko 
25 декабря 2014 г., 19:21 пользователь Никита Егоров
 написал:
> Имено с отечественной сертификацией дела не имел, поӕтому проесните, по
> какому алгоритму КриптоПРО подписывает документы?

Какие могут быть альтернативы? Только ГОСТ.

> В целом весь спектр действий  по подписыванию в соотвествии с X509
> осуществляет утилита openssl. Может ли она прикинуться КриптоПро - не
> знаю...

Тут в добавок ко всей бороде X509 есть некоторое количество
потенциальных проблем, связанных с ключевыми носителями. Можно,
теоретически и на флешке всё хранить. Но только ссыкотно, ибо такая
подпись в соотв. с нашим законом юридически значима. Поэтому
применяются всякие eToken'ы, рутокены, джакарты. Некоторые из них,
например, вообще имеют встроенный криптопроцессор и хранилище ключей,
которое "как бы" гарантирует, что ключ никогда не покинет носитель -
если тебе нужно что-то подписать или зашифровать, то ты закачиваешь
это прямо в носитель, он шифрует/подписывает и выплёвывает обратно.
Почему "как бы"? Потому что мы не знаем, наверняка, что в носителе нет
закладки.

Короче нюансов много, скондочка эту тему не осилить.

Мне кажется, что сейчас придет Vitus Wagner и всё расскажет. Сто лет я
уже не был в d-r, но если я правильно ошибаюсь, он даже в соавторах к
RFC на GOST ) А значит, скорее всего, имеет отношение к разработке
всего этого безобразия )

--
With best regards,
  Max

Re: Отечественная криптография

2014-12-25 Пенетрантность Никита Егоров 
Имено с отечественной сертификацией дела не имел, поӕтому проесните, по
какому алгоритму КриптоПРО подписывает документы?

В целом весь спектр действий  по подписыванию в соотвествии с X509
осуществляет утилита openssl. Может ли она прикинуться КриптоПро - не
знаю...

25 декабря 2014 г., 18:40 пользователь Max Dmitrichenko 
написал:

> Здравствуйте, коллеги!
>
> Понадобилось тут связаться с электронной подписью согласно нашего
> закона 63-ФЗ. Начал пока разбираться с тем, как это работает под
> виндой. Но уже предвкушаю будущий геморрой с Linux вообще и с debian в
> частности. Кто-то уже имел опыт с этим?
>
> Из того, что пока я вижу, у меня шевелятся на затылке уши.
> Производители ПО и удостоверяющие центры (УЦ) не иначе как сговорились
> и подрывают самые фундаментальные основы криптографии. Получение
> сертификата через запросы на сертификат - это на столько не популярная
> операция, что у тётенек, отвечающих на звонки в УЦ это вызывает
> полнейший ступор, даже если УЦ предоставляет такую возможность
> согласно своего регламента. Хотя как вообще поворачивается язык
> назвать УЦ контору, которая такой возможности не даёт, я не знаю.
>
> Пользовательский софт КриптоПро (под оффтопик) из коробки как я понял,
> не умеет генерировать запрос на сертификат. Для этого ходовым методом
> в сообществе отечественных криптографов являются некие офлайновые
> формочки, которые работают в браузере через ActiveX и добываются в
> конкретном УЦ.
>
> Короче вопросы у меня пока такие:
> 1) Такая проблема только под оффтопиком или в Linux такая же хрень?
> 2) Какие решения существуют под Linux? Поддерживают ли они Debian?
> 3) Насколько в этой сфере обеспечена совместимость? Почему-то
> учреждение, которое требует от меня подписанный документ, требует,
> чтобы подпись была сделана КриптоПро версии 3.6. Это значит, что всё
> плохо, или всё же можно взять какой-то более альтернативный софт,
> который подпишет документ не хуже?
>
> --
> С уважением,
>  Max Dmitrichenko
>

Отечественная криптография

2014-12-25 Пенетрантность Max Dmitrichenko 
Здравствуйте, коллеги!

Понадобилось тут связаться с электронной подписью согласно нашего
закона 63-ФЗ. Начал пока разбираться с тем, как это работает под
виндой. Но уже предвкушаю будущий геморрой с Linux вообще и с debian в
частности. Кто-то уже имел опыт с этим?

Из того, что пока я вижу, у меня шевелятся на затылке уши.
Производители ПО и удостоверяющие центры (УЦ) не иначе как сговорились
и подрывают самые фундаментальные основы криптографии. Получение
сертификата через запросы на сертификат - это на столько не популярная
операция, что у тётенек, отвечающих на звонки в УЦ это вызывает
полнейший ступор, даже если УЦ предоставляет такую возможность
согласно своего регламента. Хотя как вообще поворачивается язык
назвать УЦ контору, которая такой возможности не даёт, я не знаю.

Пользовательский софт КриптоПро (под оффтопик) из коробки как я понял,
не умеет генерировать запрос на сертификат. Для этого ходовым методом
в сообществе отечественных криптографов являются некие офлайновые
формочки, которые работают в браузере через ActiveX и добываются в
конкретном УЦ.

Короче вопросы у меня пока такие:
1) Такая проблема только под оффтопиком или в Linux такая же хрень?
2) Какие решения существуют под Linux? Поддерживают ли они Debian?
3) Насколько в этой сфере обеспечена совместимость? Почему-то
учреждение, которое требует от меня подписанный документ, требует,
чтобы подпись была сделана КриптоПро версии 3.6. Это значит, что всё
плохо, или всё же можно взять какой-то более альтернативный софт,
который подпишет документ не хуже?

--
С уважением,
 Max Dmitrichenko

Re: other disk

2014-12-25 Пенетрантность Dmitry I. Kulagin 

Без livecd:
1. разбить новый диск на разделы:
cfdisk /dev/newdisk
2. форматируем новые разделы
3. монтировать новый и старый root и все необходимые разделы:
mkdir /mnt/oldroot
mkdir /mnt/newroot
mkdir /mnt/newroot/var
mkdir /mnt/newroot/home
...
mount --bind / /mnt/oldroot
mount --bind /var /mnt/oldroot/var
mount --bind /home /mnt/oldroot/home
...
mount /dev/newdiskrootpartnum /mnt/newroot
mount /dev/newdiskvarpartnum /mnt/newroot/var
mount /dev/newdiskhomepartnum /mnt/newroot/home
...
процедура с mount --bind необходима, чтобы исключить содержимое /proc 
/sys и аналог,

но сохранить исходное содержимое /dev, до монтирования udev.
4. скопировать содержимое старого диска на новый:
cd /mnt/oldroot
tar csSf - . | tar -C /mnt/newroot -xsSf -
5. подготовить новую иерархию директорий к настройке загрузки с нового 
диска:

mount --bind /dev /mnt/newroot/dev
mount --bind /proc /mnt/newroot/proc
mount --bind /sys /mnt/newroot/sys
6. отредактировать /mnt/newroot/etc/fstab, 
/mnt/newroot/boot/grub/menu.lst или аналог, настроив их на разделы 
нового диска

7. chroot /mnt/newroot
8. установить grub на новый диск:
grub-install /dev/newdisk
9. обновить initrd и update-grub, для учета возможных других fs на новых 
разделах

и новых контроллеров (usb disk):
dpkg-reconfigure linux-image-3.2.0-4-amd64 (или другое текущее 
установленное ядро)

10. выйти из chroot:
^D
11. отмонтировать все в обратном порядке.
12. перезагрузиться, изменив в bios загрузку на новый диск, и в grub 
выбрать то ядро,

для которого делали dpkg-reconfigure

С livecd все аналогично, только сначала загрузиться с livecd, а потом в 
пункте 3 изменить точки монтирования в mount --bind

с /,/var,/home на разделы старого диска, убрав --bind.

On 23.12.2014 18:14, Ivan Petrov wrote:

Хочу переставить wheezy на другой комп (и другой диск)
Нужнор скопировать раздел dd шкой, загрузиться с live, сделать chroot
в этот раздел и сделать gnome-update?