Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Агафьин Сергей  
#1 Оставлено : 21 марта 2017 г. 12:24:00(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 556
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
После релиза "КриптоПро CSP 4.0 R2" начали поступать обращения от пользователей, которые сообщают о неработоспособности провайдера с токенами марки еТокен.
В данной теме хотелось бы кратно описать причины данной проблемы и пути решения.

Начиная с версии "КриптоПро CSP 4.0.9797 Poincare" в состав криптопровайдера входит модуль поддержки носителей Gemalto/Safenet, который обеспечивает работу носителей eToken 4100/5100/5105/5110/5205. Также данный модель поддержки корректно работает со старыми носителями eToken Java Pro.

CSP 4.0 выбирает, какой модуль использовать для подключенного носителя, на основе его ATR (байтовой строки, которую мы считаем уникальной для конкретной серии носителей). К сожалению, ATR старых eToken Java и новых токенов совпадает. Так что было принято решение о замене регистрации модуля поддержки компании "Аладдин Р.Д." (etok.dll) модулем Gemalto/Safenet (safenet.dll), который показал полную совместимость со всеми токенами в рамках наших тестов.

Однако после релиза провайдера выяснилось одно неприятное свойство. Судя по всему, при своей работе etok.dll каким-то образом меняет файловую структуру токена, что заставляет модуль safenet.dll "считать", что на токене больше нет свободного места. Информация об указанной проблеме передана разработчикам модуля поддержки Safenet и, возможно, решение будет добавлено в одной из следующих версий.

Таким образом, получается, что последняя версия криптопровайдера CSP 4.0 корректно работает с уже записанными ранее ключами на любой eToken, но, при этом, может возвращать ошибку "Нет свободного места" при попытке создать контейнер на токене, который ранее использовался с любой другой версией CSP (3.6, 3.9).

Для временного решения данной проблемы есть несколько путей:

  • Отформатировать токен через Safenet Authentication Client (рекомендуемый).
  • Удалить регистрацию модуля Safenet и вернуть регистрацию Аладдин (если на токене есть действительные ключи):
    1. Панель управления.
    2. КриптоПро CSP.
    3. При наличии UAC нажать "Запустить с правами администратора".
    4. Вкладка "Оборудование" - "Настроить типы носителей".
    5. Найти в списке "SafeNet Pro Java" и удалить.
    6. Нажать "Добавить" и добавить все доступные варианты eToken

  • Расширить регистрацию SafeNet дополнительными папками (только для опытных пользователей):
    1. Открыть редактор реестра Windows (regedit.exe);
    2. На 64-битных машинах найти ветку [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\KeyCarriers\safenet_pro\Default], а на 32-битных: [HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\KeyCarriers\safenet_pro\Default];
    3. Установить ключ Folders в значение "CC00\CC01\CC02\CC03\CC04\CC05\CC06\CC07\CC08\CC09\CC10\CC11\CC12\CC13\CC14\CC15\CC16\CC17\CC18\CC19" (без кавычек).


Приношу извинения за то, что данная проблема, связанная с конфликтом продуктов компаний "Аладдин Р.Д." и Gemalto/Safenet, не была обнаружена нами на этапе тестирования. Надеюсь, в будущих версиях 4.0 всё будет исправлено и заработает "из коробки".

Отредактировано модератором 21 марта 2017 г. 13:20:01(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline irina-chebakova  
#2 Оставлено : 27 сентября 2017 г. 8:50:11(UTC)
irina-chebakova

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.08.2011(UTC)
Сообщений: 76

Поблагодарили: 2 раз в 2 постах
подскажите, решена ли данная проблема в новых сборках?
Offline Агафьин Сергей  
#3 Оставлено : 27 сентября 2017 г. 9:02:09(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 556
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: irina-chebakova Перейти к цитате
подскажите, решена ли данная проблема в новых сборках?


Добрый день.
Сложно сказать. Модуль несколько раз обновился, и воспроизвести проблему нам так и не удалось.
Если будет замечено, что после обновления провайдера нельзя создать на токене ещё один ключ, напишите в ЛС -
постараюсь разобраться.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline irina-chebakova  
#4 Оставлено : 27 сентября 2017 г. 9:57:41(UTC)
irina-chebakova

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.08.2011(UTC)
Сообщений: 76

Поблагодарили: 2 раз в 2 постах
на сборке 9842 у нас воспроизводилась ошибка, невозможно было сгенерировать
Offline Alex_04  
#5 Оставлено : 29 сентября 2017 г. 15:12:53(UTC)
Alex_04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2014(UTC)
Сообщений: 67
Мужчина
Российская Федерация

Сказал «Спасибо»: 13 раз
Поблагодарили: 4 раз в 4 постах
Автор: irina-chebakova Перейти к цитате
на сборке 9842 у нас воспроизводилась ошибка, невозможно было сгенерировать

Автор: Grey Перейти к цитате
После релиза "КриптоПро CSP 4.0 R2" начали поступать обращения от пользователей, которые сообщают о неработоспособности провайдера с токенами марки еТокен.
... Надеюсь, в будущих версиях 4.0 всё будет исправлено и заработает "из коробки".

Сборка 4.0.9842 - это и есть релиз "КриптоПро CSP 4.0 R2". Выше речь шла о более новых сборках, которые перечислены здесь: Актуальная версия КриптоПро CSP 4.0. Последние - 4.0.9907 и 4.0.9914, вот на них бы и проверить.

Отредактировано пользователем 29 сентября 2017 г. 15:15:17(UTC)  | Причина: Не указана

Offline Винтик  
#6 Оставлено : 3 февраля 2018 г. 10:57:36(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 372

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Замечал такое на страх токенах, думал что это сами токены уже ломаются с годами.
Но может это только совпадение т.к. наблюдалось на 3.9 версии.
На сборке 4.0. было тоже самое (4.0.9842) сборки выше пока опасался применять,
хотя сейчас вижу уже билд 9939
Offline nikva76@ya.ru  
#7 Оставлено : 16 мая 2018 г. 10:14:22(UTC)
nikva76@ya.ru

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2018(UTC)
Сообщений: 2
Российская Федерация
Откуда: Курган

Добрый день
Еще одна проблема. при установке КриптоПро 4 (Сборка 4.0.9842) etokin не принимает пароль, пишет постоянно что пароль не верный.

Отредактировано пользователем 16 мая 2018 г. 10:15:12(UTC)  | Причина: Не указана

Offline Винтик  
#8 Оставлено : 16 мая 2018 г. 17:05:53(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 372

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Автор: nikva76@ya.ru Перейти к цитате
Добрый день
Еще одна проблема. при установке КриптоПро 4 (Сборка 4.0.9842) etokin не принимает пароль, пишет постоянно что пароль не верный.


А вы уверены что он верный?

А то у нас были не раз, приносят - и не знаю пароля.
Т.е. он не на одном ПК не проходит.
И ещё не знаю с чем связано - но очень старые еТокены (это я считаю которым больше 5-7 лет)
по моему уже по времени ломаются и не инициализировать даже не как.
Offline Агафьин Сергей  
#9 Оставлено : 17 мая 2018 г. 8:35:43(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 556
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: nikva76@ya.ru Перейти к цитате
Добрый день
Еще одна проблема. при установке КриптоПро 4 (Сборка 4.0.9842) etokin не принимает пароль, пишет постоянно что пароль не верный.


Добрый день.
Очень похоже, что эту же ошибку мы наконец смогли воспроизвести вчера. Логи передали разработчикам модуля. Попробуйте рекомендацию из первого сообщения темы:
Цитата:
Удалить регистрацию модуля Safenet и вернуть регистрацию Аладдин (если на токене есть действительные ключи):
  • Панель управления.
  • КриптоПро CSP.
  • При наличии UAC нажать "Запустить с правами администратора".
  • Вкладка "Оборудование" - "Настроить типы носителей".
  • Найти в списке "SafeNet Pro Java" и удалить.
  • Нажать "Добавить" и добавить все доступные варианты eToken
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline nikva76@ya.ru  
#10 Оставлено : 17 мая 2018 г. 8:44:13(UTC)
nikva76@ya.ru

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2018(UTC)
Сообщений: 2
Российская Федерация
Откуда: Курган

Пароль веден был верный. Мы написали в блокнот и скопировали в окно ввода, и не верный пароль, на другом компьютере крипто про 3.6 все нормально пароль подходит, далее на этом компьютере обновляем до крипто про 4 и пароль не верный. Етокен был куплен в декабре 2017

Отредактировано пользователем 17 мая 2018 г. 8:45:49(UTC)  | Причина: Не указана

Offline Винтик  
#11 Оставлено : 17 мая 2018 г. 17:15:45(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 372

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Автор: nikva76@ya.ru Перейти к цитате
Пароль веден был верный. Мы написали в блокнот и скопировали в окно ввода, и не верный пароль, на другом компьютере крипто про 3.6 все нормально пароль подходит, далее на этом компьютере обновляем до крипто про 4 и пароль не верный. Етокен был куплен в декабре 2017


Странно, но может быть.
Однако на том же ПК вы в панели управления еТокена проверьте данные, там всё нормально принимается?
Offline Винтик  
#12 Оставлено : 8 сентября 2018 г. 8:26:15(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 372

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Автор: Агафьин Сергей Перейти к цитате
Автор: nikva76@ya.ru Перейти к цитате
Добрый день
Еще одна проблема. при установке КриптоПро 4 (Сборка 4.0.9842) etokin не принимает пароль, пишет постоянно что пароль не верный.


Добрый день.
Очень похоже, что эту же ошибку мы наконец смогли воспроизвести вчера. Логи передали разработчикам модуля. Попробуйте рекомендацию из первого сообщения темы:
Цитата:
Удалить регистрацию модуля Safenet и вернуть регистрацию Аладдин (если на токене есть действительные ключи):
  • Панель управления.
  • КриптоПро CSP.
  • При наличии UAC нажать "Запустить с правами администратора".
  • Вкладка "Оборудование" - "Настроить типы носителей".
  • Найти в списке "SafeNet Pro Java" и удалить.
  • Нажать "Добавить" и добавить все доступные варианты eToken


Хороший совет.
На той недели заметил ещё такой случай (сразу бы и не предположил), ключ был JaCarta LT, но суть может быть похожа.
Пользователь производил обновление 3.9 на 4.0 (версия которую им выдали, это пред. сертиф. версия R2) и не мог в итоге
найти ключ (он не отображался). Хоть ЛТ точно может и без ЕК, но когда такое то поставили и его.
В ЕК ключ нашёлся (не сразу но нашёлся, драйвера в ОС "перезапросили"), но в КриптоПро его так и не было.
Потом обратился к вкладки типы носителей и всё стало ясно - там просто не было не одного носителя и даже возможности добавить нет.
Это было проверено и с правами админа.

Сделал два предположения:
1) когда обновляли запустили установку "просто так" не выбирая "запустить от админа" в итоге и не получилось
установить как надо
2) Мог помешать Каспер, т.к. его не отключили.

ИТОГ: Зачистил утилитой все следы от КриптоПро, произвёл установку "как надо" - во вкладке появился весь список ключей и проблема решена.

Отредактировано пользователем 8 сентября 2018 г. 8:27:28(UTC)  | Причина: исправление опечатки

Offline Агафьин Сергей  
#13 Оставлено : 8 сентября 2018 г. 9:54:41(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 556
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Это странно. JaCarta LT к данному запросу не имеет никакого отношения. Она поддерживается всеми нашими провайдерами "из коробки" с 2012 года. Никаких "особенностей" в регистрации носителя нет. Вероятно пользователь что-то перемудрил с настройками.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline x09  
#14 Оставлено : 18 июня 2019 г. 8:05:25(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 34
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Добрый день, не совсем в тему, но частично ;)


Имеем AltLinux 8.2, CryptoCSP 4.0.9969, SafeNet eToken 5100. К с этим токеном работать? Раньше были смарткарты, там все просто - вставил карту, в token-manager установил серт в личное хранилище и все работает. А тут как?

Код:
[root@bd05l amd64]#  /opt/cprocsp/bin/amd64/csptest -card -enum -v -v
MSI StarReader SMART [Smart Card Reader Interface] (20070818000000000) 00 00
  No card in the reader
  No applet
SafeNet eToken 5100 [Main Interface] 01 00
  Card present, ATR=3B D5 18 00 81 31 FE 7D 80 73 C8 21 10 F4 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,030 sec
[ErrorCode: 0x00000000]
Offline Агафьин Сергей  
#15 Оставлено : 18 июня 2019 г. 8:39:01(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 556
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Добрый день. Токен Safenet eToken 5100 поддерживается в CSP только на Windows.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.