Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Aleksandr G*  
#1 Оставлено : 2 ноября 2017 г. 15:02:33(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 29 раз в 27 постах
Здравствуйте.

При попытке импорта сертификата через cptools, после ввода данных пользователя (которые почемуто надо вводить в консоли. не доустановил какой то пакет?) возникает ошибка 0x2F89.

В логах:
Цитата:
cpcsp[4378]: 14:46:57.307956 support_an_fopen:87 p:4378 t:0x0x7f13c7846c10 support_an_fopen("/etc/opt/cprocsp/config64.ini", "r+b") = 0x(nil) fail Permission denied(13)
cpcsp[4378]: 14:46:57.308286 support_an_fopen:87 p:4378 t:0x0x7f13c7846c10 support_an_fopen("/etc/opt/cprocsp/config64.ini", "r+b") = 0x(nil) fail Permission denied(13)
cpcsp[4407]: libssp: AddToMessageLog unknown error
libssp[4378]: libssp: AddToMessageLog unknown error


Попробовал под sudo:
Цитата:
sudo: alg : TTY=pts/4 ; PWD=/home/alg/Downloads/linux-amd64_deb ; USER=root ; COMMAND=/opt/cprocsp/bin/amd64/cptools
sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
cpcsp[4753]: libssp: AddToMessageLog unknown error
libssp[4729]: libssp: AddToMessageLog unknown error




CryptoPro CSP ver. 5.0.0.0.10874.
OS: Ubuntu, goslinux, MacOS
Offline Aleksandr G*  
#2 Оставлено : 2 ноября 2017 г. 15:05:17(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 29 раз в 27 постах
>dpkg -l | grep cprocsp

Цитата:

ii cprocsp-cptools-gtk-64 5.0.10874-5 amd64 GUI application for various CSP tasks. Build 10874.
ii cprocsp-curl-64 5.0.10874-5 amd64 CryptoPro Curl shared library and binaris. Build 10874.
ii cprocsp-rdr-cloud-64 5.0.10874-5 amd64 DSS keys support module
ii cprocsp-rdr-gui-gtk-64 5.0.10874-5 amd64 GUI components for CryptoPro CSP readers. Build 10874.
ii lsb-cprocsp-base 5.0.10874-5 all CryptoPro CSP directories and scripts. Build 10874.
ii lsb-cprocsp-ca-certs 5.0.10874-5 all CA certificates. Build 10874.
ii lsb-cprocsp-capilite-64 5.0.10874-5 amd64 CryptoAPI lite. Build 10874.
ii lsb-cprocsp-kc1-64 5.0.10874-5 amd64 CryptoPro CSP KC1. Build 10874.
ii lsb-cprocsp-rdr-64 5.0.10874-5 amd64 CryptoPro CSP readers. Build 10874.
Offline Aleksandr G*  
#3 Оставлено : 2 ноября 2017 г. 15:15:10(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 29 раз в 27 постах
>/etc/opt/cprocsp$ ls -la

Цитата:
total 40
drwxr-xr-x 2 root root 4096 ноя 2 14:40 .
drwxr-xr-x 3 root root 4096 ноя 2 14:26 ..
-rw-r--r-- 1 root root 16994 ноя 2 14:31 config64.ini
-rw-r--r-- 1 root root 255 ноя 2 14:40 license.ini
-rw-r--r-- 1 root root 34 окт 5 02:58 release
-rwxr-xr-x 1 root root 1206 окт 5 02:59 stunnel.conf
Offline Aleksandr G*  
#4 Оставлено : 2 ноября 2017 г. 16:32:49(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 29 раз в 27 постах
Возможно поможт понять в чём проблема:

При анализе трафика сниффером видно, что на linux в Client hello нет ГОСТ шифросюит.
Скрин того, что происходит после ввода пароля:
linux.png (125kb) загружен 47 раз(а).

Однако в последнем сообщении ГОСТ всё таки появляется, но далее нет никакого обмена с сервисом dss:
linux-2.png (85kb) загружен 41 раз(а).

Проверил на Windows (где корректно отрабатывает установка сертификатов), там ГОСТ отправляется в первом client hello
Offline Зубов Иван  
#5 Оставлено : 2 ноября 2017 г. 16:54:23(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 29
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 10 раз в 10 постах
Здравствуйте!

Извините за немгновенную реакцию, из-за которой вам пришлось лезть в Wireshark! Действительно, здесь имеет место разное поведение на Windows и *nix. Приложения для аутентификации являются отдельными маленькими программами, и на Windows это окошко браузера, а на *nix в общем случае это консольное приложение. В отдельных пакетах есть также Cocoa-приложение для macOS и GTK+2-приложение для других *nix для выбрасывания окошка браузера.

Наш тестовый сервер dss.cryptopro.ru работает не на ГОСТовых, а на иностранных алгоритмах. Проверенные вами два приложения для аутентификации (окошко на Windows и консольный скрипт на *nix) готовы к такому повороту событий, а вот внутренности провайдера (более конкретно, наш ГОСТ-овый curl) нет. Это связано с тем, что по нашему предположению боевые DSS-сервера будут работать только на ГОСТе.

Тем не менее, есть способы обхода проблемы. Сейчас я перепроверю их и напишу о них ещё одно сообщение.

С уважением,
Зубов Иван, КриптоПро
Техническую поддержку оказываем тут
Наша база знаний
Offline Зубов Иван  
#6 Оставлено : 2 ноября 2017 г. 18:17:27(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 29
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 10 раз в 10 постах
Небезопасный, но быстрый способ обойти проблему заключается в том, чтобы в cptools изменить ссылку на сервер DSS, заменив в адресе https на http. Разумеется, это следует делать только для отладки и только если вы не боитесь передачи данных по сети в открытом виде (то есть для каких-нибудь чисто тестовых аккаунтов).

Есть способ куда лучше, однако несколько более сложный.
1. Открываем в текстовом редакторе файл с конфигом (/etc/opt/cprocsp/config64.ini или config.ini).
2. Находим секцию [apppath].
3. Находим в ней строку вида
"libcurl.so" = "/opt/cprocsp/lib/amd64/libcpcurl.so"
4. Заменяем её на строку вида
"libcurl.so" = "/usr/lib/x86_64-linux-gnu/libcurl.so.4.3.0"
где путь указывает к обычной, не ГОСТовой библиотеке curl, которую вам возможно придётся установить дополнительно.
5. Сохраняем изменения и пробуем пойти по https из cptools ещё раз. Всё должно сработать.

Только что проверил это на Ubuntu 14.04 с libcurl3 7.35.0-1ubuntu2.9 и CSP 5.0.10904-5.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Зубов Иван за этот пост.
Aleksandr G* оставлено 03.11.2017(UTC)
Offline Aleksandr G*  
#7 Оставлено : 3 ноября 2017 г. 9:41:38(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 29 раз в 27 постах
Вариант с заменой curl сработал, сертификаты установились. Спасибо
Offline neigel  
#8 Оставлено : 31 марта 2018 г. 0:11:18(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 91
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Автор: ivan_zubov Перейти к цитате
Здравствуйте!
Приложения для аутентификации являются отдельными маленькими программами, и на Windows это окошко браузера, а на *nix в общем случае это консольное приложение. В отдельных пакетах есть также Cocoa-приложение для macOS и GTK+2-приложение для других *nix для выбрасывания окошка браузера.


Может быть, вы вытащете это в интерфейс DBus под линуксом? Чтобы этим могло заниматься любое сторонее приложение реализующее такой интерфейс. По аналогии с тем, как, например, стэк Bluetooth вызывает приложение для ввода PIN-кода.

thanks 1 пользователь поблагодарил neigel за этот пост.
Зубов Иван оставлено 03.04.2018(UTC)
Offline Зубов Иван  
#9 Оставлено : 2 апреля 2018 г. 18:01:59(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 29
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 10 раз в 10 постах
neigel, спасибо за идею, поразмышляем об этом!
Техническую поддержку оказываем тут
Наша база знаний
Offline Зубов Иван  
#10 Оставлено : 3 апреля 2018 г. 10:55:09(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 29
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 10 раз в 10 постах
neigel, если посмотреть на проблему более детально, то создаётся впечатление, что выбор DBus был бы не самым удачным решением.

Хочется, чтобы CSP работал из коробки на всей массе поддерживаемых *nix-систем, включая Linux, macOS, FreeBSD, Solaris и AIX.

1. По этой причине вариант реализовать работу только через DBus видится неподходящим: даже если предположить, что он есть во всех современных Linux из коробки (это, кстати, требует серьёзной проверки), на macOS он похоже реализован в качестве отдельной программы, которую надо в лучшем случае скачивать и устанавливать, в худшем -- заодно компилировать и настраивать. Наверняка есть и другие контр-примеры, но этого, как мне кажется, уже достаточно.

2. Сделать DBus-интерфейс там, где DBus есть, а в других случаях обойтись без него видится плохой идеей по другим причинам. Грубо говоря, это приведёт к удвоению кода для взаимодействия, что приведёт к удвоению багов в коде и уменьшению покрытия кода в два раза (предположим, что есть N машин, и тогда половина будет тестировать версию без DBus, а половина -- с DBus). Если один и тот же код будет работать на всех платформах, будет намного проще и надёжнее.

Тем не менее, за интересную мысль вам спасибо!
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.