В ЛК налогоплательщика ЮЛ ФНС России теперь можно войти из Linux с ЭЦП

софт напрямую записывает сгенеренный ключ

Про некопируемость ключа конечно кек, я дома ради интереса расковырял и вытащил рабочий дамп ключа

Это как с кал-тейнерами крипто-про ведь? Где вся криптография софтовая, а носитель по сути запароленная флешка.

на ходу, при записи, сгенерированный ключ не вытащить.

Если его генерирует и записывает софт, то что мешает этому софту записать его ещё куда-то?

Это как с кал-тейнерами крипто-про ведь? Где вся криптография софтовая, а носитель по сути запароленная флешка.

Нет, не так, но метод объяснять публично не буду.

Если его генерирует и записывает софт, то что мешает этому софту записать его ещё куда-то?

Софт, который генерит и записывает ключ сертифицирован и ФСТЭК и ФСБ (сама флешка-ключ - тоже, с ней сертификат соответствия идёт, кем по каким ГОСТ и тд).

Те если копирование при первичной записи ключа и существует, то только с ведома государства, но это не имеет смысла тк государство и без ключа может сделать то что посчитает необходимым.

Нет, не так, но метод объяснять публично не буду.

Грош цена тогда таким рассказам

Софт, который генерит и записывает ключ

Должен находиться внутри токена и никогда не выдавать его наружу, чем ЭЦП и отличаются от всяких Lite. Ну, так это на бумаге и так это было в моих экспериментах с ЭЦП 3.0.

но это не имеет смысла

Нечистый на руку оператор и прочие особенности реального мира.

Грош цена тогда таким рассказам

Я и не ставил себе задачу вас в чем то убедить. Просто рассказал как есть. Живите теперь с этим.

Ну, так это на бумаге и так это было в моих экспериментах с ЭЦП 3.0.

Вы можете мне хоть десяток клоунов поставить, но то что вы вставляли флешку в разные отверстия не имеет отношения к тому что квалифицированные сертификаты ВЫПУСКАЕТ УЦ ФНС России. Можно конечно генерировать ключ самому, но удачи вам заставить ФНС принять его.

Вы несёте дичь про недобросовестного оператора вообще не понимая как это все работает.

Клоуны тебе вообще на за это, а за дешёвое высокомерие. Держи еще.

Клоуны тебе вообще на за это, а за дешёвое высокомерие. Держи еще.

Ну, я действительно не считаю вас разбирающимся в теме и не воспринимаю всерьез. Вы для меня какая-то шутка, понимаете? это не высокомерие, я просто честен с вами. Можете мне ещё клоунов поставить если вам легче станет )

Тебя как человека спросили об эксплоите или бэкдоре, который делит на 0 весь смысл защищенного носителя и его аппаратной криптографии, а ты в ответ хвост распетушил что смерд недостоин твоих [СЕКРЕТНЫХ СВЕДЕНИЙ].

Тебя как человека спросили об эксплоите или бэкдоре, который делит на 0 весь смысл защищенного носителя и его аппаратной криптографии, а ты в ответ хвост распетушил что смерд недостоин твоих [СЕКРЕТНЫХ СВЕДЕНИЙ].

Вы не понимаете что озвучивание подобных вещей в деталях это статья. И флешка эта безопасная пока обеспечивается её физическая безопасность от попадания в чужие руки. При попадании в чужие руки уже не надо ничего копировать тк есть оригинал.

Короче, вы тугой и я не хочу с вами дальше общаться.

При попадании в чужие руки уже не надо ничего копировать тк есть оригинал.

На оригинале пинкод и блокировка с 3-10ой попытки

И флешка эта

А я не про флешку вообще-то

Короче, вы тугой и я не хочу с вами дальше общаться.

Просто надо использовать корректную терминологию, а не обвинять собеседника в недостойности.

На оригинале пинкод и блокировка с 3-10ой попытки

Пин код по умолчанию: 12345678 и у большинства остаётся таковым.

Если не подошёл тогда дамп и заливка в клон. Флешка (носитель) уязвим при прямом несанкционированном доступе к ней при наличии соответствующего софта, там даже спецоборудование не нужно, ноута хватит.

Что же получается, ФСТЭК и ФСБ сертифицировали говно дырявое?

А ты думал. Вся эта сертификация - это чтобы деньги шли «кому надо».

Сертификация - дело скользкое. Они при некоторых обстоятельствах и firefox с thunderbird сертифицируют в составе спецдистрибутивов. Но это особо ничего не означает, кроме формального разрешения до какого-нибудь объекта применения. Действительно интересные вещи имеют грифы и допуски, зачастую даже без лицензий от ФСТЭКа.

Я просто думаю, что кто-то что-то путает, как здесь вот описано https://habr.com/ru/articles/306034/

Скорее всего да, путаница между неэспортируемыми и неизвлекаемыми. Только странно то, что подобное допустимо у удостоверяющих центров. С другой стороны, теоретически допускаю подобную халатность в коммерческих конторах. У нас, например, их изготавливают и выдают в управлении федерального казначейства. Вот там реально неизвлекаемые. Были, во всяком случае, сейчас от них госсектор ушёл (в большинстве случаев), и остались только сертификаты на обычных флешках уровня КС1, КС2 и КС3.

Только странно то, что подобное допустимо у удостоверяющих центров. С другой стороны, теоретически допускаю подобную халатность в коммерческих конторах.

Не знаю как остальные, но в Контуре всё по честному - носитель не покидает рук владельца и метод хранения ключа на совести криптопровайдера.

Есть несколько реализаций ключа. 1 - укэп записывается на обычный носитель (можно не только usb-флэшку использовать, но и вообще любой носитель, хоть на дискету или перфокарту). 2 - использование специальных usb-токенов. Туда просто так без специального ПО ничего не записать. В этой ситуации ключ даже если и скопировать, то он не будет работать, т.к. в токене работает фактически целое аппаратно-специфичное устройство СКЗИ. Такой токен как правило использует для передачи данных инфраструктуру конторы-производителя. Т.е. например токены от рутокена будут работать только через сервисы рутокена и/или сервисы партнёрки. Именно поэтому нельзя будет просто скопировать данные и поместить их на любой другой носитель - множество параметров просто не сойдутся при валидации ключа и носителя в тех самых сервисах криптопровайдера. Но и это не всё, на самом деле там много тонкостей в зависимости от типа СКЗИ, самого ключа, а так же сервиса. Сами ключи выпускаются авторизированными центрами из реестра по лицензии.

Я в целом знаю чем они друг от друга отличаются, но абизян на столько свободно кидается разными терминами, что решительно невозможно понять что конкретно он имеет в виду, ещё и обидки кидает «у меня для вас посылка, но я ее вам не отдам»

Спасибо за детали, видно что вы в теме, единственный момент - с Рутокен 3 уже можно дампить ключи через специальное ПО и создавать клона. Такое делают например для ООО-шек где одним ключом нужно пользоваться нескольким людям в бухгалтерии. Или когда ЭЦП директора клонируют и дают главбуху (осуждаю).

ЭЦП директора клонируют и дают главбуху (осуждаю)

Это прямо беда. У моего бухгалтера одна контора попросила принести рутокен, один раз на 5 минут, чтобы им удобнее был отправлять отчетность в ФНС. Ничего им не дал. Но смежники, по простоте душевной, свои токены отнесли.

Туда просто так без специального ПО ничего не записать.

Гостовые ключи принципиально не записываются извне, во всяком случае простым смертным такое недоступно. А те, что записываются - просто сохраняются в «защищенной памяти».

Т.е. например токены от рутокена будут работать только через сервисы рутокена и/или сервисы партнёрки

Что не даст то им работать без сервисов? Я не переубедить пытаюсь, а понять, о том ли речь, о чём я думаю или нет.

Смысл в том, что в условном токене есть аппаратные инструменты и привязанные ID, которые расшифровываются только силами сервиса через свои протокольные запросы. Т.е. это не просто флехи с режимом «только чтения», с которых можно что-то скопировать, а именно аппаратно-программный комплекс. Сервис производителя через свои велосипеды делает правильную форму запроса к токену таким образом, что сам токен даёт правильный ответ. В противном случае любые другие запросы либо вообще игнорятся, либо дают неполный ответ. Именно поэтому флешки от рутокена будут работать только в сервисах рутокена или по партнёрке, потому что у других нет нужных доступов к аппаратной части. Не знаю будет ли корректным сравнение, но это как доступ к руту на каком-нибудь условном яфоне или самсунге, без которого никто ничего установить туда самопальное/самописное не может. У нас в конторе очень давно использовались отдельные eToken от Континента, и отдельный какой-то там токен в бухгалтерии от РСХБ для управления зарплатным проектом. Сейчас это уже не используется в связи с более жёсткими и надёжными методами аутентификации, но тем не менее в коммерции токены довольно распространены.

Есть ещё и среди usb-ключей свои уровни возможности извлекаемости или неизвлекаемости из них данных, но это уже другая тема.

P.S. Я прям сейчас попробовал воткнуть старый неиспользуемый eToken без программной обвязки - в винде вообще нуль реакции. Это потому что нет правильного драйвера от производителя, который формирует корректные обращения к устройству. Под линь вроде вообще ничего нет для работы с данными токенами (может не прав, никогда не сталкивался в работе).

Именно поэтому флешки от рутокена будут работать только в сервисах рутокена или по партнёрке, потому что у других нет нужных доступов к аппаратной части.

Под линь вроде вообще ничего нет для работы с данными токенами (может не прав, никогда не сталкивался в работе).

Всё там есть:

• https://www.rutoken.ru/support/download/pkcs/
• https://github.com/OpenSC/OpenSC/wiki/Aktiv-Co.-Rutoken-ECP
• https://github.com/OpenSC/OpenSC/wiki/Aladdin-eToken-PRO

Есть ещё и среди usb-ключей свои уровни возможности извлекаемости или неизвлекаемости из них данных, но это уже другая тема.

Меня она в первую очередь и интересует. Не «неэкспортируемые» в терминах крипто-про, а «неизвлекаемые» в терминах рутокен. Туманные понты Obezyan походят на то, что он говорил про вторые и их копирование. «неэкспортируемые» я и сам умею доставать.

О, большое спасибо за ссылку!

Меня она в первую очередь и интересует.

К сожалению конкретно с этой темой не знаком, просто знаю что такие есть, но сам никогда не ковырял.

Если бы прочитали с холодной головой то что я пишу, то обнаружили бы что речь идет только о Рутокен и я явно указываю что Крипто-Про не нужен и им не пользуюсь.

Т.е. вы сами решили что речь про Крипто-Про, сами обиделись, потом осознали свою ошибку. Но туманные понты - у меня. Браво.

Т.е. вы сами решили что речь про Крипто-Про

Это вы сами решили что я решил. Что вы там конкретно имели в виду решительно непонятно, но склоняюсь к тому, что метод аналогичный контейнерам крипто-про.

В общем вижу, что конструктивно вы общаться не желаете.

Такой токен как правило использует для передачи данных инфраструктуру конторы-производителя. Т.е. например токены от рутокена будут работать только через сервисы рутокена и/или сервисы партнёрки. Именно поэтому нельзя будет просто скопировать данные и поместить их на любой другой носитель

Так ведь можно же. Просто через ПО производителя выгружаешь ключи в файлы, дальше делаешь что нужно. Естественно, ты должен осознавать риски такого хранения чувствительной информации.

Если имелось в виду тоже самое ПО, просто направленное по незадуманному сценарию, то вполне допускаю).