Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#11 Оставлено : 12 ноября 2020 г. 10:24:49(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

3) Могу предложить для начала пользоваться менее мощным режимом: выключить флажок Enforce, оставить только Enable. Но тогда дополнительно в команды csptest/cryptcp нужно передавать ключик -display.

В режиме Enforce у меня не работает ни один считыватель, ни обычный ACS, ни SafeTouch PRO.

Автор: Агафьин Сергей Перейти к цитате

Рекомендую во избежание ошибок не пользоваться одновременно КС1 и КС2 - провайдерами. В 99% случаев достаточно КС1.


Видел упоминания на форумах, что в некоторых случаях лучше использовать только KC1. С чем это связано?
Offline sanyo  
#12 Оставлено : 12 ноября 2020 г. 10:38:30(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Предусмотрено ли для устройств SafeTouch PRO обновление прошивки с технической точки зрения?

Я когда-то обновлял. Насколько помню, этот процесс включал в себя специальное закрытое ПО, скрутку USB-проводов (для папа-папа), вскрытие корпуса с установкой скрепки. Не уверен, что это штатный процесс.


Ну хотя бы так, все же хотелось бы получить рабочую связку КриптоАРМ+КриптоПРО+SafeTouchPRO , столько времени потрачено уже на изучение и добычу оборудования :)
Я почему-то думал, что мне удастся решить все мои вопросы со смарткартами максимум за месяц, но к новому году уже исполнится полгода моим попыткам Brick wall Anxious

Многое жутко ненадежно, нестабильно, недоотлажено, что относится к рукриптографии на смарткартах, глюк в SafeTouch PRO и/или его дровах приводит к тому, что даже другие обычные считыватели вообще перестают работать, приходится перезагружать компьютер (возможно достаточно рестартануть какие-то модули ядра?), чтобы работал хотя бы обычный считыватель ACS.
Знал бы заранее, ограничился бы Rutoken ECP2 Touch (с кнопкой) и не мучался, это пипец какой-то, что приходится преодолевать в варианте с SafeTouch PRO.

Перезапуск PCSCD и сервиса КриптоПРО:

Цитата:
/etc/init.d/cprocsp stop;
/etc/init.d/pcscd stop;
sleep 1s;
/etc/init.d/pcscd restart;
/etc/init.d/cprocsp start;

не помогают!

Автор: Агафьин Сергей Перейти к цитате

Написать в техническую поддержку разработчика.

Впечатление, что кроме технического директора обычные небанковские пользователи там даром никому ненужны. А Павел нарасхват, его эксплуатируют непрерывно 24x7. Да и спрашивать там кого-нибудь кроме Павла часто бесполезно что-нибудь сложнее, чем уже описанное в их рекламной брошуре на сайте. Мало того, любые вопросы от небанковских сотрудников выглядят для них как вопросы злобных хакеров.


Автор: Агафьин Сергей Перейти к цитате

Дополнительно замечу, что, если вы подписываете корректные данные, которые SafeTouch умеет парсить, он все равно отобразит сообщение. Описываемая вами проблема, скорее, имеет еще другое измерение - вы подаете данные в некорректном формате. Попробуйте в cptools или cpanel протестировать контейнер. Что-то отобразится?


Когда смотрел раньше, там была ошибка, кажется, про цепочку сертификатов.
Иногда SafeTouch PRO и/или КриптоПро дико глючит, перестает работать даже обычный считыватель до рестарта демона pcscd.
И вот как раз сейчас заглючило, уже несколько раз пытался посмотреть контейнеры, SafeTouch PRO перестал видеть смарткарту.
Попробовал оба экземпляра устройства SafeTouch PRO, одинаково глючат (т.е. это не зависит от дефекта отдельно взятого устройства, может быть только от одинаковой прошивки обоих), это точно исправляется перезагрузкой компьютера, возможно можно какие-то сервисы или драйвера рестартануть, пока не знаю какие.

Отредактировано пользователем 12 ноября 2020 г. 11:32:51(UTC)  | Причина: Не указана

Offline sanyo  
#13 Оставлено : 12 ноября 2020 г. 10:54:27(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Перезагрузил компьютер, SafeTouch PRO хотя бы увидел смарткарту, но в контейнерах cptools по прежнему ничего не показывает.
При попытке посмотреть контейнеры, начинает очень медленно (примерно 1 раз в 5 секунд) мигать зеленая кнопка - предположительно запрос на подтверждение операции?. Пробовал нажать ее несколько раз, cptools при этом выходит из режима ожидания ответа от считывателя, но по прежнему в контейнерах пусто, как будто считыватель не показал контейнеры.

Переткнул смарткарту в считыватель ACS:

https://i.paste.pics/adf...ba455d990c3e97638584.png

UserPostedImage

Отредактировано пользователем 12 ноября 2020 г. 11:01:41(UTC)  | Причина: Не указана

Offline sanyo  
#14 Оставлено : 12 ноября 2020 г. 11:37:12(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Даже после перезагрузки операционной системы подпись документа работает с переменным успехом, иногда выпадывая в ошибку:

Цитата:
++ /opt/cprocsp/bin/amd64/csptestf -sfsign -sign -in /download/test.txt -out /download/test.txt.sig -my SNILS=XXX -detached

Source message length: 3
Calculated signature (or signed message) length: 659
../../../../CSPbuild/CSP/samples/csptest/signtsf.c:604:Signature creation error
Error 0x80004005: Unspecified error
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 2.750 sec
[ErrorCode: 0x80004005]


Второй способ подписания тоже глючит даже на считывателе ACS:
Цитата:

./sign2_cryptcp.sh /download/test.txt
++ /opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn SNILS=XXX -pin 12345678 /download/test.txt /download/test.txt.sig
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:г. Москва, г. Москва, RU, AAA, XXX, AAA, XXX, XXX, AAA, AAA, AAA
Valid from 10.11.2020 15:26:43 to 10.11.2021 15:26:43

Certificate chain is not checked for this certificate:
RDN:г. Москва, г. Москва, RU, AAA, XXX, AAA, XXX, XXX, AAA, AAA, AAA
Valid from 10.11.2020 15:26:43 to 10.11.2021 15:26:43

The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder '/download/':
/download/test.txt... Signing the data...
Error: Key does not exist.

../../../../CSPbuild/CSP/samples/CPCrypt/DSign.cpp:374: 0x8009000D
[ErrorCode: 0x8009000d]



Рестартанул сервисы, второй способ подписания заработал:

Цитата:
++ /opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn SNILS=XXX -pin 12345678 /download/test.txt /download/test.txt.sig
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.

The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?YThe certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder '/download/':
/download/test.txt... Signing the data...

Signed message is created.
[ErrorCode: 0x00000000]



Хочет - работает, не хочет - не работает, это на считывателе ACS даже без использования SafeTouch PRO (хотя он подключен тоже).

Отредактировано пользователем 12 ноября 2020 г. 11:58:36(UTC)  | Причина: Не указана

Offline sanyo  
#15 Оставлено : 12 ноября 2020 г. 11:48:26(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Очень часто SafeTouch PRO не видит карту или система не видит считывателя SafeTouch PRO.

Причем на обоих экземплярах считывателя SafeTouch PRO.

Видит он ее очень редко, даже затрудняюсь сказать при каких волшебных обстоятельствах, но такое уже тоже случалось несколько раз!

Рестартанул сервисы, SafeTouch PRO по прежнему не видит карту. Brick wall

Передернул USB кабель SafeTouch PRO и о чудо, SafeTouch PRO увидел карту! Applause

Цитата:
pcsc_scan
Using reader plug'n play mechanism
Scanning present readers...
0: ACS ACR3901U ICC Reader 00 00
1: SafeTech SafeTouch (01040101000100) 01 00

Thu Nov 12 14:06:46 2020
Reader 0: ACS ACR3901U ICC Reader 00 00
Event number: 0
Card state: Card removed,
Reader 1: SafeTech SafeTouch (01040101000100) 01 00
Event number: 9
Card state: Card inserted,
ATR: 3B 9C 96 00 52 75 74 6F 6B 65 6E 45 43 50 73 63

ATR: 3B 9C 96 00 52 75 74 6F 6B 65 6E 45 43 50 73 63
+ TS = 3B --> Direct Convention
+ T0 = 9C, Y(1): 1001, K: 12 (historical bytes)
TA(1) = 96 --> Fi=512, Di=32, 16 cycles/ETU
250000 bits/s at 4 MHz, fMax for Fi = 5 MHz => 312500 bits/s
TD(1) = 00 --> Y(i+1) = 0000, Protocol T = 0

+ Historical bytes: 52 75 74 6F 6B 65 6E 45 43 50 73 63
Category indicator byte: 52 (proprietary format)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 9C 96 00 52 75 74 6F 6B 65 6E 45 43 50 73 63
Aktiv Rutoken ECP SC T0
https://www.rutoken.ru/p...ucts/all/rutoken-ecp-sc/



/opt/cprocsp/bin/amd64/cryptcp -sign -detach -display -dn SNILS=XXX -pin 12345678 /download/test.txt /download/test.txt.sig
опцию -display утилита cryptcp успешно проигнорировала.

Но таки подписала:
Цитата:

The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder '/download/':
/download/test.txt... Signing the data...

Signed message is created.
[ErrorCode: 0x00000000]


Разве все это нормально? Brick wall Brick wall Brick wall

Отредактировано пользователем 12 ноября 2020 г. 12:06:10(UTC)  | Причина: Не указана

Offline sanyo  
#16 Оставлено : 12 ноября 2020 г. 12:09:01(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Не знаете, есть ли значительные отличия в аппаратной части SafeTouch PRO 2020 и SafeTouch PRO 2017?

Можно ли залить современную последнюю прошивку в устройства 2017-2018 года выпуска?
Offline sanyo  
#17 Оставлено : 12 ноября 2020 г. 12:09:42(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Опишу мои приключения со считывателями смарткарт.

Считыватель с AliExpress:
https://www.aliexpress.com/item/4000076936354.html
$7 USD
Оказался несовместим с Linux вопреки своему описанию.

Вообще как только не издевался надо мной этот АлиЭкспресс, впечатление, что у них прямо интегрирован пульт управления для вредителей от ганстолкеров. То выбрасывает из системы, как будто не было логина, не дает редактировать личные персональные данные, постоянно показывает всплывающие окна с рекламой, каждый раз зачем то спрашивает в какую страну доставлять сразу же после логина с айпи другой страны, не давал мне заказать оборудование по безопасности (старую матплату для Libreboot) по моей старой дебитовой карте, имитируя различные сбои, хотя эта карта нормально оплачивает во всех других сервисах типа Авито, пришлось добавить к ним другую платежную карту, самопроизвольно повторялись отмененные еще неотправленные, но уже оплаченные заказы, по которым ожидался refund, и в итоге отправлялись мне вопреки моему отказу, была какая-то дичь при попытке добавить новый адрес доставки и многое другое :(
Я выиграл спор по поводу его несовместимости с Linux (хотя поддержка была заявлена на странице описания лота), якобы должен быть частичный рефанд $6 USD в мою пользу, внутри подробного описания спора пишет, что refund завершен, а в списке заказов во всплывающем окне, что еше незавершен - в процессе. Причем учетка неновая, на ней десятки успешных заказов.

Я пробовал в том числе и из разных виртуалок, запущенных с различных LiveCD через различные туннели, сомневаюсь, что причина в трояне на моей рабочей станции.

Если это называется искусственный интеллект в области защиты от фрода, то более правильное название такому - искусственное отсутствие интеллекта. Если бы мне не заблокировали PayPal из-за постоянно терявшихся на таможне РФ посылок с E-bay в конце 2016 года, то даром бы этот АлиЭкспресс был ненужен.

Впечатление, что они делают свой АлиЭкспресс как образцово-показательный пример того, как делать ненужно, как бы антогонист нормальному человеческому e-bay, который уже лет 10 еще до появления AliExpress работал вполне приемлемо.

Если на eBay оплата по картам заработает для любых лотов, то забуду Алишку, как страшный сон.
Продавцы то ведь из Китая и там и там одинаковые, но на eBay хотя бы сама площадка сделана качественно и ей приятно пользоваться.

Авито:
БУ считыватель Safe Touch 2015: 150руб + 500 руб доставка. Несовместимость с современными смарткартами Rutoken ECP2, ладно оставим для коллекции, поехали дальше.
Пара новых считывателей Safe Touch PRO 2017: 1500 руб + 500 руб доставка, проблемы с ними описаны в данной ветке форума.

Итого впустую на считыватели потрачено больше 3 тыр. :(
На эти деньги можно было купить нормальный считыватель с цифровой клавиатурой, совместимый даже с OpenSC! типа Reiner CyberJack PIN PAD или даже смарткарту HSM2 SC:
http://forum.rutoken.ru/post/14900/#p14900
https://www.smartcard-hs.../sc-hsm-4k-datasheet.pdf
https://www.cardomatic.d...SmartCard-HSM-4K-Dual-IF
https://support.nitrokey...-crypttab-script/2670/14

Да еще по своей глупой доверчивости купил Rutoken 2151, а он даже не может генерировать ключи RSA2048. Это еще минус 1 тыр впустую :(

Причем до этого однажды на Авито удалось купить пару очень хороших новых считывателей ACS ACR3901U H3 за 1500 руб + 500 руб доставка = итого 2 тыр за оба.
После прошивки оба этих считывателей ACR3901U работают со смарткартами Rutoken и eToken через PKCS11 очень стабильно, никаких глюков.
С КриптоПРО менее стабильно, а при подключении одновременно еще и SafeTouch PRO вообще начинается какой-то цирк.
Впрочем SafeTouch PRO не работает нормально даже и без одновременного подключения других считывателей типа ACR3901U :(

На форуме банкиров кстати тоже видел сообщение о ненадежности работы SafeTouch:
Цитата:

Поддержка Safe-Touch в системе ДБО "iBank 2" отсутствует.

Реализовывать не планируем.

Причина - низкое качество Safe-Touch.

На текущий момент в системе "iBank 2" поддерживаются USB-токены "Рутокен ЭЦП" (Актив-Софт + Анкад) и "iBank 2 Key" (на базе 8-битного карточного чипа STMicroelectronics c СКЗИ "ФОРОС", разработки "СмартПарк"). Токены поставляются со склада БИФИТа.


https://bankir.ru/dom/fo...ru?p=3878177#post3878177

Не исключаю, что в последних версиях прошивок SafeTouch PRO его ошибки и глюки исправлены, но как это проверить, пока не представляю, отложил эту затею на потом.

Видимо недаром многие смарткарточные чипы продают сразу же интегрированными с подобранными для них USB считывателями в виде так называемых USB криптотокенов.

Отредактировано пользователем 5 декабря 2020 г. 6:10:13(UTC)  | Причина: Не указана

Offline sanyo  
#18 Оставлено : 12 ноября 2020 г. 14:50:45(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Цитата:
Надо было разобраться с интересным устройством - SafeTouch. Это устройство умеет показывать сведения о подписываемом документе на встроенном экране. И тут первый облом - нужен нормальный сертификат, выданный УЦ.


https://www.cryptopro.ru...ts&m=43902#post43902

Может быть, SafeTouch PRO глючит с тестовыми сертификатами, у которых нет цепочки доверия?

Как мне свой тестовый сертификат сделать доверенным (в пределах моего компьютера)?

Отредактировано пользователем 12 ноября 2020 г. 14:51:48(UTC)  | Причина: Не указана

Offline sanyo  
#19 Оставлено : 13 ноября 2020 г. 2:16:32(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Пожалуйста, уточните, что подразумевается под:

Цитата:
reader: Улучшена совместимость SafeTouch Pro с Рутокен ФКН (CPCSP-7647).
reader: Добавлена поддержка SafeTouch, совместимого с Рутокен ФКН (CPCSP-8717).

capilite: Добавлена частичная поддержка устройств отображения подписи (PinPad, SafeTouch, Cloud) (CPCSP-10182).


https://www.cryptopro.ru...aspx?g=posts&t=13703

ведь судя по ответам сотрудников Rutoken:
http://forum.rutoken.ru/post/14993/#p14993

Защита канала ФКН не работает с Rutoken+SafeTouch ?

Отредактировано пользователем 13 ноября 2020 г. 2:19:49(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#20 Оставлено : 13 ноября 2020 г. 8:08:05(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: sanyo Перейти к цитате

ведь судя по ответам сотрудников Rutoken:
http://forum.rutoken.ru/post/14993/#p14993

Защита канала ФКН не работает с Rutoken+SafeTouch ?


Рутокен ЭЦП 2.0 3000 и SafeTouch - совместимые устройства. Мы проводили трехстороннюю работу для этого. Не поручусь за версию прошивки SafeTouch, начиная с которой это доступно, но в тех устройствах, что есть у нас, всё работает корректно.

Подробности: https://www.cryptopro.ru...roistv-kontrolya-podpisi

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
sanyo оставлено 13.11.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.