Crypto API. Формат подписанного

[Stilet]

Всем доброго. Разбираясь с подписью ЭЦП наткнулся на такую статью: http://citforum.ru/security/articles/defense/
Вопрос вызвал рисунок в разделе Электронная цифровая подпись
Смутила фраза:

Цитата:

Поэтому подписанное сообщение должно иметь структуру, показанную на рис. 11.

Вопрос: Этот протокол что стандарт? Неужели я не могу отдельно ЭЦП положить от зашифрованного файла?
Есть вообще какие-то обязательные стандарты внутренностей подписанных файлов, или структура оставляется на откуп разработчику конкретного ПО?

[Человек_Борща]

Цитата:

Этот протокол что стандарт?

Как бы да. Придумали что-то лучше?

Это идеально минимальный вариант передачи данных с участием ЭЦП.

Стандарты... хм.. ну если сможешь без второй части ключа декодировать пакет, то да... наверное есть стандартны. Однако тут по голове всеравно разрабы СКЗИ получат, а не те кто обмен данными написал, хотя и эти тоже. Что допусти возможность отжать передачу. OpenSSL к примеру.

Однако если данные будут перегоняются медленно, то по шапке огребать уже тебе. Особенно если пакеты частенько теряются.

Код:

type
  TCrypdoDataPacker = record 
    num:Integer;  //Номер пакета
    signId:Integer; //ID, тип ЭЦП(если их вагон)
    BodySize:Integer; //Размер файла
    Body:dummyData; //Файл
    signSize:Integer; //Размер подписи
    sign:DummyData; //Подпись
  end;

Подписываешь каждый кусок файла по X кб, не отсылаешь же слона через игольное ушко, так?

На сервере пакет читается, и пытается декодироваться.

Преимущество:
1. Тотальный контроль данных
2. Высокая скорость передачи и обработки
3. Этим могут заниматься сразу несколько серверов одновременно(приминать фрагменты, передавать куда-то внутрь системы и сам это дело дефрагментируется в сущность).
4. Битый пакет можно попросить ещё раз

Цитата:

или структура оставляется на откуп разработчику конкретного ПО

Да, если иного не требуют какие-то стандартны при разработке некого ПО. Иначе сам все придумываешь

[Utkin]

Цитата:

Неужели я не могу отдельно ЭЦП положить от зашифрованного файла?

А смысл?
Сейчас термин ЭЦП стал употребляться реже. Пишут и говорят просто ЭП.

[Stilet]

Ну я вообще-то думал так. Шифровку и ее хеш(хеши) с подписями отсылать по другому каналу. А на серваке получать эти два файла и по одному проверять и собирать другой.

[Utkin]

Цитата:

Ну я вообще-то думал так. Шифровку и ее хеш(хеши) с подписями отсылать по другому каналу. А на серваке получать эти два файла и по одному проверять и собирать другой.

Это сложней - Вам вот уже 2 канала нада . Да и зачем? Все равно оба файла можно отследить и попытаться провести манипуляции, смысл же в другом, верно?

[Stilet]

Да, но сложнее отследить два канала. И потом если посолить хеши до длины самого сообщения какеру придется разбираться что именно он получил.

[Человек_Борща]

Цитата:

Ну я вообще-то думал так. Шифровку и ее хеш(хеши) с подписями отсылать по другому каналу.

Казус: Подпись пришла - файл нет, или наоборот

ЭЦП формирует не хеш, а карту. Потому без второй ключ-пары с сервера, бесполезно пытаться расшифровать блок данных.

И ЭЦП не предполагает передачу самих ключей, точнее клиентской части ключа.
ЭЦП для блока данных формирует уникальную подпись файла(читай карта расшифровки) по которой зашифрован передаваемый блок.

Сервер получает блок, находит свою часть ключа ЭП, для сервера. А далее просто пробудет декодировать фрагмент данных по указанной карте. Получилось - профит, не получилось - фэил, просим повторить блок или отказываем в передаче вообще.

Передавать сигнатуру отдельно от файла не имеет смысла:
1. Файл целиком, отдельно от ЭЦП может придти битым.
2. ЭЦП может придти битой.
3. Что-то может вообще не дойти.
4. Зачем гонять слонов через игольные ушки?
5. Отжал целый файл с сигнатурой - уже успех для кракера. Осталось разобраться что к чему.

Цитата:

Да, но сложнее отследить два канала.

Неа. Сложней перехватить передачу документа по 50 кб, в 5 сокетов на разные сервера. Вот что и сложнее и прикольнее в реализации. Да и по определению передаст файл быстрее, чем 1 по 250 кб.

[Stilet]

Ясно. Идею фтопку.
Ладно не буду страдать маразмом, пусть даже аккадемически, пойду протоптанным путем.
Вот бы еще научиться понимать как работать с сертификатами. Видимо время покажет.

[Utkin]

Цитата:

Вот бы еще научиться понимать как работать с сертификатами.

Сразу практически или в теории?

[Человек_Борща]

Цитата:

Вот бы еще научиться понимать как работать с сертификатами. Видимо время покажет.

В смысле?
На OpenSSL по тренеруйтесь.