KalkanCrypt_LoadKeyStore из plaintext

Добрый день.

KalkanCrypt_LoadKeyStore в PHP расширении позволяет загрузить ключ только из файла в файловой системе, но не дает возможности подгрузить его из plaintext значения, как например загрузка сертификата.

Это неудобно. Если система не хранит ключи ЭЦП на сервере, а подгружает ее в память динамически, например, из шифрованного хранилища, приходится сохранять ключ на диске, чтобы Kalkan мог прочитать его.

libkalkan.jar ведь позволяет сделать это не из файла. Прошу добавить метод, который будет загружать ключи из буфера (из сырых переданных байтов).

Добрый день! Из соображения безопасности не можем добавлять такой метод. Байты ключей запрещается передовать на сервер, подписание должно производится локально.

@Daniyar запрещается передавать на сервер ключи сторонних пользователей.
А я юрлицо, которое выпускает свой ключ и использует его для подписания своих документов.

Соображения безопасности тут никак не играют роли. Файл ключа я на сервере хранить и открыть с помощью ext-libkalkan могу, но в виде байтов прочитать из буфера нет? Я привел доводы, которые призывают к последовательности. libkalkan.jar позволяет выгрузить из буфера, остальные extensions тоже должны это уметь, если это поддерживается платформой.

И я повторюсь:

Ваши соображения безопасности просто заставляют нас хранить свои ключи во временных файлах только для того, чтобы прочесть их. Мы могли безопасно держать расшифрованные ключи только в памяти RAM, но из-за ограничений оставляем след в файловой системе.

Добрый день!
Так как ключи НУЦ РК выдаются только на файловом хранилище и токенах, то и загрузка ключей в библиотеках KalkanCrypt_C сделана из файлового хранилища и токенов.

Надеюсь, кто-нибудь другой еще придет и объяснит, что байты - это те же файлы, только уже прочитанные.

@Danil Это вопрос удобства разработки интеграции, когда файл я читаю сам программными средствами, а от libkalkan ожидаю только часть, относящуюся к работе с алгоритмом gost.

Может быть, feature request стоит поставить иначе - нужно добавить в KalkanCrypt_C возможность чтения ключей из буфера, а не файлового пути.

Верно подмечено, что уже прочитанные. Так как мы видим здесь уязвимость со стороны ИС для пользователей, то и реализация данного метода не будет осуществлена.