Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#1 Оставлено : 12 ноября 2020 г. 9:02:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Добрый день,

Приобрел на Авито недорого пару (запасной в т.ч.) считывателей SafeTouch PRO, по описанию и на вид новые в упаковках, по словам продавца источник - один из банков.

При нажатии и отпускании двух кнопок SafeTouch PRO одновременно, считыватель показывает следующее:

Цитата:
HW 01.04.01 FW 1.1.0S
build: 08.11.2017

Наверно, это какая-то очень старая прошивка?


Интересно, почему при подключении SafeTouch PRO этот считыватель даже ненужно вручную добавлять в КриптоПРО в качестве считывателя?

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

автоматически показал мне следующее после подключения SafeTouch PRO:
Цитата:

Nick name: HDIMAGE
Connect name:
Reader name: HDD key storage

Nick name: SafeTech SafeTouch (01040101000100) 00 00
Connect name:
Reader name: SafeTech SafeTouch (01040101000100) 00 00


Считыватель ACR и даже Rutoken ECP2 Touch приходилось прописывать вручную с помощью команд:

Цитата:
./cpconfig -hardware reader -add "ACS ACR3901U ICC Reader 00 00"
./cpconfig -hardware reader -add 'Aktiv Rutoken ECP 01 00'



Тестирую подписание смарткартой Rutoken ECP2 2100 следующими скриптами:

Цитата:
/opt/cprocsp/bin/amd64/csptestf -sfsign -sign -in $1 -out $1.sig -my "$CertCN" -detached;

и

/opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn "$CertCN" -pin 12345678 $1 $1.sig;



При включенной опции КриптоПРО "Show advanced / Settings": "Enforce trust screen device usage" они выдают ошибки аналогично обычному считывателю, а без этой опции они работают аналогично обычному считывателю без какого-либо подтверждения подписания :( но и без сообщений об ошибках, т.е. молча без запроса нажатия кнопки подтверждения успешно генерируют подпись.

Что я делаю не так? Как добиться запроса на подтверждение подписания от SafeTouch PRO?

Визуализация подписываемого документа на дисплее считывателя и интеграция с программой подписания мне пока ненужна, нужно просто слепое подтверждение по количеству транзакций, аналогичное криптотокену Rutoken ECP2 Touch USB.

Отредактировано пользователем 12 ноября 2020 г. 9:37:35(UTC)  | Причина: Не указана

Offline sanyo  
#2 Оставлено : 12 ноября 2020 г. 9:12:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Версии установленных пакетов КриптоПро:

Цитата:
ii cprocsp-cptools-gtk-64 5.0.11944-6 amd64 GUI application for various CSP tasks. Build 11944.
ii cprocsp-curl-64 5.0.11944-6 amd64 CryptoPro cURL shared library and application. Build 11944.
ii cprocsp-pki-cades-64 2.0.14071-1 amd64 CryptoPro ECP SDK
ii cprocsp-pki-phpcades-64 2.0.14071-1 amd64 CryptoPro ECP SDK PHP extension
ii cprocsp-pki-plugin-64 2.0.14071-1 amd64 CryptoPro ECP Browser plug-in
ii cprocsp-rdr-esmart-64 5.0.11944-6 amd64 Esmart support module
ii cprocsp-rdr-gui-gtk-64 5.0.11944-6 amd64 CryptoPro CSP GTK GUI components. Build 11944.
ii cprocsp-rdr-jacarta-64 5.0.0 amd64 JaCarta components for CryptoPro CSP for use JaCarta devices. Build 1170.
ii cprocsp-rdr-pcsc-64 5.0.11944-6 amd64 CryptoPro CSP. PC/SC devices support. Build 11944.
ii cprocsp-rdr-rutoken-64 5.0.11944-6 amd64 Rutoken support module
ii lsb-cprocsp-base 5.0.11944-6 all CryptoPro CSP directories and scripts. Build 11944.
ii lsb-cprocsp-ca-certs 5.0.11944-6 all CryptoPro CA certificates. Build 11944.
ii lsb-cprocsp-capilite-64 5.0.11944-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11944.
ii lsb-cprocsp-devel 5.0.11944-6 all CryptoPro CSP developer headers and examples. Build 11944.
ii lsb-cprocsp-kc1-64 5.0.11944-6 amd64 CryptoPro CSP KC1. Build 11944.
ii lsb-cprocsp-kc2-64 5.0.11944-6 amd64 CryptoPro CSP KC2. Build 11944.
ii lsb-cprocsp-pkcs11-64 5.0.11944-6 amd64 CryptoPro PKCS11. Build 11944.
ii lsb-cprocsp-rdr-64 5.0.11944-6 amd64 CryptoPro CSP common libraries and utilities. Build 11944.
Offline Агафьин Сергей  
#3 Оставлено : 12 ноября 2020 г. 9:31:14(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Добрый день.
Цитата:
Наверно, это какая-то очень старая прошивка?

Не знаю. Это вопрос к SafeTech.
Цитата:
Интересно, почему при подключении SafeTouch PRO этот считыватель даже ненужно вручную добавлять в КриптоПРО в качестве считывателя?

Никакие PCSC-считыватели не нужно добавлять вручную.
Цитата:
Считыватель ACR и даже Rutoken ECP2 Touch приходилось прописывать вручную с помощью команд:

Цитата:
./cpconfig -hardware reader -add "ACS ACR3901U ICC Reader 00 00"
./cpconfig -hardware reader -add 'Aktiv Rutoken ECP 01 00'

В ряде случаев это делает только хуже.

Цитата:
Тестирую подписание смарткартой Rutoken ECP2 2100 следующими скриптами:

Тут есть несколько нюансов:
1) Ключ на вашей карте должен быть неизвлекаемый. Проверить это можно так:
Код:
csptest -keys -enum -verifyco -unique

Если в строчке имени контейнра будет rutoken_crypt_sc, всё ок. Если rutoken_ecp_sc - ключ просто хранится в файле и зачитывается в память ОС.
2) Недавно мы тестировали данную карту и выявили ошибку - SafeTouch не перехватывает команду подписи, которую посылает провайдер. С аналогичным токеном всё ок, а с картой иногда ничего не отображается. Информацию передали разработчикам около месяца назад.
3) Могу предложить для начала пользоваться менее мощным режимом: выключить флажок Enforce, оставить только Enable. Но тогда дополнительно в команды csptest/cryptcp нужно передавать ключик -display.

Рекомендую во избежание ошибок не пользоваться одновременно КС1 и КС2 - провайдерами. В 99% случаев достаточно КС1.

Отредактировано пользователем 12 ноября 2020 г. 9:32:59(UTC)  | Причина: Не указана

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#4 Оставлено : 12 ноября 2020 г. 10:01:50(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

1) Ключ на вашей карте должен быть неизвлекаемый. Проверить это можно так:
Код:
csptest -keys -enum -verifyco -unique



Предложенная вами команда:
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyco -unique
выдает следующее:

Цитата:
CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (GHASH; AESNI; RSA; ).
AcquireContext: OK. HCRYPTPROV: 16914739
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 2.210 sec
[ErrorCode: 0x00000000]



Ключ с тестовым сертификатом получен следующим образом:
http://forum.rutoken.ru/post/15023

Отредактировано пользователем 12 ноября 2020 г. 10:10:31(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#5 Оставлено : 12 ноября 2020 г. 10:06:49(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
Ключ с тестовым сертификатом получен следующим образом:
http://forum.rutoken.ru/post/15023

Ключ pkcs-ный (rutoken_pkcs_sc_3b89646b), так что, наверное, работать должно не хуже (да и не лучше).
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#6 Оставлено : 12 ноября 2020 г. 10:08:13(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
./list_keys.sh
Цитата:
++ /opt/cprocsp/bin/amd64/csptestf -keyset -container pkcs_key_02e6 -info
CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (GHASH; AESNI; RSA; ).
AcquireContext: OK. HCRYPTPROV: 35547507
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Container name: "pkcs_key_02e6"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x21e6aa3
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
Type:Encrypt Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142

Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801

Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591

Type:Hash Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799

Type:Encrypt Name:'GR 34.12-15 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026160

Type:Encrypt Name:'GR 34.12-15 K'(14) Long:'GOST R 34.12-2015 128 Kuznyechik'(33)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026161

Type:Hash Name:'GR 34.13-15 M MAC'(18) Long:'GOST R 34.13-2015 64 Magma MAC'(31)
DefaultLen:64 MinLen:8 MaxLen:64 Prot:0 Algid:00032828

Type:Hash Name:'GR 34.13-15 K MAC'(18) Long:'GOST R 34.13-2015 128 Kuznyechik MAC'(37)
DefaultLen:128 MinLen:8 MaxLen:128 Prot:0 Algid:00032829

Type:Hash Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032820

Status:
ControlKeyTimeValidity: 1

Provider mode: CSP_MODE_SERVICE

Provider handles used: 2
Provider handles max: 1048576
CPU Usage: 0 %
CPU Usage by CSP: 0 %
Measurement interval: 117 ms

Virtual memory used: 502480 KB
Virtual memory used by CSP: 505824 KB
Free virtual memory: 1499284 KB
Total virtual memory: 2001764 KB

Physical memory used: 502480 KB
Physical memory used by CSP: 7428 KB
Free physical memory: 1499284 KB
Total physical memory: 2001764 KB

Key pair info:
HCRYPTKEY: 0x21e6aa3
AlgID: CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
AlgClass: ALG_CLASS_KEY_EXCHANGE
AlgType: ALG_TYPE_DH
AlgSID: 70
KP_HASHOID:
1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
KP_DHOID:
1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
KP_SIGNATUREOID:
1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
Permissions:
CRYPT_READ
CRYPT_WRITE
CRYPT_IMPORT_KEY
0x10000
0x20000
0x100000
KP_CERTIFICATE:
Subject: CN=AAA, SN=AAA, G=AAA, INN=XXX, SNILS=XXX, O=AAA, OGRN=XXX, T=AAA, C=RU, S=г. Москва, L=г. Москва
Valid : 10.11.2020 15:26:43 - 10.11.2021 15:26:43 (UTC)
Issuer : C=RU, S=Russia, L=Moscow, O=ZAO Aktiv-Soft, OU=Rutoken, CN=Rutoken TEST CA GOST

Container version: 4
Carrier flags:
This reader is removable.
This reader supports unique carrier names.
This reader is not virtual.
This carrier operation mode (applet) uses embedded cryptography.
This carrier operation mode (applet) does not use secure messaging.
This carrier operation mode (applet) does not support private key import.
This carrier is able to request signature confirmation.
Keys in container:
exchange key
Extensions (maxLength: 1):
none
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 2.480 sec
[ErrorCode: 0x00000000]

Offline sanyo  
#7 Оставлено : 12 ноября 2020 г. 10:09:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Ключ с тестовым сертификатом получен следующим образом:
http://forum.rutoken.ru/post/15023

Ключ pkcs-ный (rutoken_pkcs_sc_3b89646b), так что, наверное, работать должно не хуже (да и не лучше).


К сожалению пока SafeTouch PRO ничего у меня не блокирует при подписании :(

И хотя бы работает как обычный считыватель без подтверждения, но оооочеень глючный :(

Отредактировано пользователем 13 ноября 2020 г. 10:38:26(UTC)  | Причина: Не указана

Offline sanyo  
#8 Оставлено : 12 ноября 2020 г. 10:12:55(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

2) Недавно мы тестировали данную карту и выявили ошибку - SafeTouch не перехватывает команду подписи, которую посылает провайдер. С аналогичным токеном всё ок, а с картой иногда ничего не отображается. Информацию передали разработчикам около месяца назад.


Вы предполагаете, что это проблема в прошивке SafeTouch PRO?

Предусмотрено ли для устройств SafeTouch PRO обновление прошивки с технической точки зрения?

Как быть пользователям типа меня, кто не является сотрудником банка с организационной точки зрения?

SafeTech давали ли какие-нибудь предположительные прогнозы по времени исправления ошибки?

Отредактировано пользователем 12 ноября 2020 г. 10:13:52(UTC)  | Причина: Не указана

Offline sanyo  
#9 Оставлено : 12 ноября 2020 г. 10:17:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Никакие PCSC-считыватели не нужно добавлять вручную.
Считыватель ACR и даже Rutoken ECP2 Touch приходилось прописывать вручную с помощью команд:
В ряде случаев это делает только хуже.


Получается, в документации Rutoken:
https://dev.rutoken.ru/p...e.action?pageId=65142840
устаревшая информация?
Копия:
http://www.freezepage.com/1605165591RPXWBETJVJ

Отредактировано пользователем 12 ноября 2020 г. 11:05:16(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#10 Оставлено : 12 ноября 2020 г. 10:22:56(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате
Предусмотрено ли для устройств SafeTouch PRO обновление прошивки с технической точки зрения?

Я когда-то обновлял. Насколько помню, этот процесс включал в себя специальное закрытое ПО, скрутку USB-проводов (для папа-папа), вскрытие корпуса с установкой скрепки. Не уверен, что это штатный процесс.
Автор: sanyo Перейти к цитате
Как быть пользователям типа меня, кто не является сотрудником банка с организационной точки зрения?

Написать в техническую поддержку разработчика.
Автор: sanyo Перейти к цитате
SafeTech давали ли какие-нибудь предположительные прогнозы по времени исправления ошибки?

Нет.

Дополнительно замечу, что, если вы подписываете корректные данные, которые SafeTouch умеет парсить, он все равно отобразит сообщение. Описываемая вами проблема, скорее, имеет еще другое измерение - вы подаете данные в некорректном формате. Попробуйте в cptools или cpanel протестировать контейнер. Что-то отобразится?

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.