Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#1 Оставлено : 12 ноября 2020 г. 9:02:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Добрый день,

Приобрел на Авито недорого пару (запасной в т.ч.) считывателей SafeTouch PRO, по описанию и на вид новые в упаковках, по словам продавца источник - один из банков.

При нажатии и отпускании двух кнопок SafeTouch PRO одновременно, считыватель показывает следующее:

Цитата:
HW 01.04.01 FW 1.1.0S
build: 08.11.2017

Наверно, это какая-то очень старая прошивка?


Интересно, почему при подключении SafeTouch PRO этот считыватель даже ненужно вручную добавлять в КриптоПРО в качестве считывателя?

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

автоматически показал мне следующее после подключения SafeTouch PRO:
Цитата:

Nick name: HDIMAGE
Connect name:
Reader name: HDD key storage

Nick name: SafeTech SafeTouch (01040101000100) 00 00
Connect name:
Reader name: SafeTech SafeTouch (01040101000100) 00 00


Считыватель ACR и даже Rutoken ECP2 Touch приходилось прописывать вручную с помощью команд:

Цитата:
./cpconfig -hardware reader -add "ACS ACR3901U ICC Reader 00 00"
./cpconfig -hardware reader -add 'Aktiv Rutoken ECP 01 00'



Тестирую подписание смарткартой Rutoken ECP2 2100 следующими скриптами:

Цитата:
/opt/cprocsp/bin/amd64/csptestf -sfsign -sign -in $1 -out $1.sig -my "$CertCN" -detached;

и

/opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn "$CertCN" -pin 12345678 $1 $1.sig;



При включенной опции КриптоПРО "Show advanced / Settings": "Enforce trust screen device usage" они выдают ошибки аналогично обычному считывателю, а без этой опции они работают аналогично обычному считывателю без какого-либо подтверждения подписания :( но и без сообщений об ошибках, т.е. молча без запроса нажатия кнопки подтверждения успешно генерируют подпись.

Что я делаю не так? Как добиться запроса на подтверждение подписания от SafeTouch PRO?

Визуализация подписываемого документа на дисплее считывателя и интеграция с программой подписания мне пока ненужна, нужно просто слепое подтверждение по количеству транзакций, аналогичное криптотокену Rutoken ECP2 Touch USB.

Отредактировано пользователем 12 ноября 2020 г. 9:37:35(UTC)  | Причина: Не указана

Offline sanyo  
#2 Оставлено : 12 ноября 2020 г. 9:12:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Версии установленных пакетов КриптоПро:

Цитата:
ii cprocsp-cptools-gtk-64 5.0.11944-6 amd64 GUI application for various CSP tasks. Build 11944.
ii cprocsp-curl-64 5.0.11944-6 amd64 CryptoPro cURL shared library and application. Build 11944.
ii cprocsp-pki-cades-64 2.0.14071-1 amd64 CryptoPro ECP SDK
ii cprocsp-pki-phpcades-64 2.0.14071-1 amd64 CryptoPro ECP SDK PHP extension
ii cprocsp-pki-plugin-64 2.0.14071-1 amd64 CryptoPro ECP Browser plug-in
ii cprocsp-rdr-esmart-64 5.0.11944-6 amd64 Esmart support module
ii cprocsp-rdr-gui-gtk-64 5.0.11944-6 amd64 CryptoPro CSP GTK GUI components. Build 11944.
ii cprocsp-rdr-jacarta-64 5.0.0 amd64 JaCarta components for CryptoPro CSP for use JaCarta devices. Build 1170.
ii cprocsp-rdr-pcsc-64 5.0.11944-6 amd64 CryptoPro CSP. PC/SC devices support. Build 11944.
ii cprocsp-rdr-rutoken-64 5.0.11944-6 amd64 Rutoken support module
ii lsb-cprocsp-base 5.0.11944-6 all CryptoPro CSP directories and scripts. Build 11944.
ii lsb-cprocsp-ca-certs 5.0.11944-6 all CryptoPro CA certificates. Build 11944.
ii lsb-cprocsp-capilite-64 5.0.11944-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 11944.
ii lsb-cprocsp-devel 5.0.11944-6 all CryptoPro CSP developer headers and examples. Build 11944.
ii lsb-cprocsp-kc1-64 5.0.11944-6 amd64 CryptoPro CSP KC1. Build 11944.
ii lsb-cprocsp-kc2-64 5.0.11944-6 amd64 CryptoPro CSP KC2. Build 11944.
ii lsb-cprocsp-pkcs11-64 5.0.11944-6 amd64 CryptoPro PKCS11. Build 11944.
ii lsb-cprocsp-rdr-64 5.0.11944-6 amd64 CryptoPro CSP common libraries and utilities. Build 11944.
Offline Агафьин Сергей  
#3 Оставлено : 12 ноября 2020 г. 9:31:14(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 612
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Добрый день.
Цитата:
Наверно, это какая-то очень старая прошивка?

Не знаю. Это вопрос к SafeTech.
Цитата:
Интересно, почему при подключении SafeTouch PRO этот считыватель даже ненужно вручную добавлять в КриптоПРО в качестве считывателя?

Никакие PCSC-считыватели не нужно добавлять вручную.
Цитата:
Считыватель ACR и даже Rutoken ECP2 Touch приходилось прописывать вручную с помощью команд:

Цитата:
./cpconfig -hardware reader -add "ACS ACR3901U ICC Reader 00 00"
./cpconfig -hardware reader -add 'Aktiv Rutoken ECP 01 00'

В ряде случаев это делает только хуже.

Цитата:
Тестирую подписание смарткартой Rutoken ECP2 2100 следующими скриптами:

Тут есть несколько нюансов:
1) Ключ на вашей карте должен быть неизвлекаемый. Проверить это можно так:
Код:
csptest -keys -enum -verifyco -unique

Если в строчке имени контейнра будет rutoken_crypt_sc, всё ок. Если rutoken_ecp_sc - ключ просто хранится в файле и зачитывается в память ОС.
2) Недавно мы тестировали данную карту и выявили ошибку - SafeTouch не перехватывает команду подписи, которую посылает провайдер. С аналогичным токеном всё ок, а с картой иногда ничего не отображается. Информацию передали разработчикам около месяца назад.
3) Могу предложить для начала пользоваться менее мощным режимом: выключить флажок Enforce, оставить только Enable. Но тогда дополнительно в команды csptest/cryptcp нужно передавать ключик -display.

Рекомендую во избежание ошибок не пользоваться одновременно КС1 и КС2 - провайдерами. В 99% случаев достаточно КС1.

Отредактировано пользователем 12 ноября 2020 г. 9:32:59(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#4 Оставлено : 12 ноября 2020 г. 10:01:50(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

1) Ключ на вашей карте должен быть неизвлекаемый. Проверить это можно так:
Код:
csptest -keys -enum -verifyco -unique



Предложенная вами команда:
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyco -unique
выдает следующее:

Цитата:
CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (GHASH; AESNI; RSA; ).
AcquireContext: OK. HCRYPTPROV: 16914739
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 2.210 sec
[ErrorCode: 0x00000000]



Ключ с тестовым сертификатом получен следующим образом:
http://forum.rutoken.ru/post/15023

Отредактировано пользователем 12 ноября 2020 г. 10:10:31(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#5 Оставлено : 12 ноября 2020 г. 10:06:49(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 612
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: sanyo Перейти к цитате
Ключ с тестовым сертификатом получен следующим образом:
http://forum.rutoken.ru/post/15023

Ключ pkcs-ный (rutoken_pkcs_sc_3b89646b), так что, наверное, работать должно не хуже (да и не лучше).
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#6 Оставлено : 12 ноября 2020 г. 10:08:13(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
./list_keys.sh
Цитата:
++ /opt/cprocsp/bin/amd64/csptestf -keyset -container pkcs_key_02e6 -info
CSP (Type:80) v5.0.10006 KC2 Release Ver:5.0.11944 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (GHASH; AESNI; RSA; ).
AcquireContext: OK. HCRYPTPROV: 35547507
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP
Container name: "pkcs_key_02e6"
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x21e6aa3
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
Type:Encrypt Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142

Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801

Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591

Type:Hash Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799

Type:Encrypt Name:'GR 34.12-15 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026160

Type:Encrypt Name:'GR 34.12-15 K'(14) Long:'GOST R 34.12-2015 128 Kuznyechik'(33)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026161

Type:Hash Name:'GR 34.13-15 M MAC'(18) Long:'GOST R 34.13-2015 64 Magma MAC'(31)
DefaultLen:64 MinLen:8 MaxLen:64 Prot:0 Algid:00032828

Type:Hash Name:'GR 34.13-15 K MAC'(18) Long:'GOST R 34.13-2015 128 Kuznyechik MAC'(37)
DefaultLen:128 MinLen:8 MaxLen:128 Prot:0 Algid:00032829

Type:Hash Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032820

Status:
ControlKeyTimeValidity: 1

Provider mode: CSP_MODE_SERVICE

Provider handles used: 2
Provider handles max: 1048576
CPU Usage: 0 %
CPU Usage by CSP: 0 %
Measurement interval: 117 ms

Virtual memory used: 502480 KB
Virtual memory used by CSP: 505824 KB
Free virtual memory: 1499284 KB
Total virtual memory: 2001764 KB

Physical memory used: 502480 KB
Physical memory used by CSP: 7428 KB
Free physical memory: 1499284 KB
Total physical memory: 2001764 KB

Key pair info:
HCRYPTKEY: 0x21e6aa3
AlgID: CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590):
AlgClass: ALG_CLASS_KEY_EXCHANGE
AlgType: ALG_TYPE_DH
AlgSID: 70
KP_HASHOID:
1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
KP_DHOID:
1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
KP_SIGNATUREOID:
1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию)
Permissions:
CRYPT_READ
CRYPT_WRITE
CRYPT_IMPORT_KEY
0x10000
0x20000
0x100000
KP_CERTIFICATE:
Subject: CN=AAA, SN=AAA, G=AAA, INN=XXX, SNILS=XXX, O=AAA, OGRN=XXX, T=AAA, C=RU, S=г. Москва, L=г. Москва
Valid : 10.11.2020 15:26:43 - 10.11.2021 15:26:43 (UTC)
Issuer : C=RU, S=Russia, L=Moscow, O=ZAO Aktiv-Soft, OU=Rutoken, CN=Rutoken TEST CA GOST

Container version: 4
Carrier flags:
This reader is removable.
This reader supports unique carrier names.
This reader is not virtual.
This carrier operation mode (applet) uses embedded cryptography.
This carrier operation mode (applet) does not use secure messaging.
This carrier operation mode (applet) does not support private key import.
This carrier is able to request signature confirmation.
Keys in container:
exchange key
Extensions (maxLength: 1):
none
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 2.480 sec
[ErrorCode: 0x00000000]

Offline sanyo  
#7 Оставлено : 12 ноября 2020 г. 10:09:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Ключ с тестовым сертификатом получен следующим образом:
http://forum.rutoken.ru/post/15023

Ключ pkcs-ный (rutoken_pkcs_sc_3b89646b), так что, наверное, работать должно не хуже (да и не лучше).


К сожалению пока SafeTouch PRO ничего у меня не блокирует при подписании :(

И хотя бы работает как обычный считыватель без подтверждения, но оооочеень глючный :(

Отредактировано пользователем 13 ноября 2020 г. 10:38:26(UTC)  | Причина: Не указана

Offline sanyo  
#8 Оставлено : 12 ноября 2020 г. 10:12:55(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

2) Недавно мы тестировали данную карту и выявили ошибку - SafeTouch не перехватывает команду подписи, которую посылает провайдер. С аналогичным токеном всё ок, а с картой иногда ничего не отображается. Информацию передали разработчикам около месяца назад.


Вы предполагаете, что это проблема в прошивке SafeTouch PRO?

Предусмотрено ли для устройств SafeTouch PRO обновление прошивки с технической точки зрения?

Как быть пользователям типа меня, кто не является сотрудником банка с организационной точки зрения?

SafeTech давали ли какие-нибудь предположительные прогнозы по времени исправления ошибки?

Отредактировано пользователем 12 ноября 2020 г. 10:13:52(UTC)  | Причина: Не указана

Offline sanyo  
#9 Оставлено : 12 ноября 2020 г. 10:17:46(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

Никакие PCSC-считыватели не нужно добавлять вручную.
Считыватель ACR и даже Rutoken ECP2 Touch приходилось прописывать вручную с помощью команд:
В ряде случаев это делает только хуже.


Получается, в документации Rutoken:
https://dev.rutoken.ru/p...e.action?pageId=65142840
устаревшая информация?
Копия:
http://www.freezepage.com/1605165591RPXWBETJVJ

Отредактировано пользователем 12 ноября 2020 г. 11:05:16(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#10 Оставлено : 12 ноября 2020 г. 10:22:56(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 612
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: sanyo Перейти к цитате
Предусмотрено ли для устройств SafeTouch PRO обновление прошивки с технической точки зрения?

Я когда-то обновлял. Насколько помню, этот процесс включал в себя специальное закрытое ПО, скрутку USB-проводов (для папа-папа), вскрытие корпуса с установкой скрепки. Не уверен, что это штатный процесс.
Автор: sanyo Перейти к цитате
Как быть пользователям типа меня, кто не является сотрудником банка с организационной точки зрения?

Написать в техническую поддержку разработчика.
Автор: sanyo Перейти к цитате
SafeTech давали ли какие-нибудь предположительные прогнозы по времени исправления ошибки?

Нет.

Дополнительно замечу, что, если вы подписываете корректные данные, которые SafeTouch умеет парсить, он все равно отобразит сообщение. Описываемая вами проблема, скорее, имеет еще другое измерение - вы подаете данные в некорректном формате. Попробуйте в cptools или cpanel протестировать контейнер. Что-то отобразится?

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#11 Оставлено : 12 ноября 2020 г. 10:24:49(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате

3) Могу предложить для начала пользоваться менее мощным режимом: выключить флажок Enforce, оставить только Enable. Но тогда дополнительно в команды csptest/cryptcp нужно передавать ключик -display.

В режиме Enforce у меня не работает ни один считыватель, ни обычный ACS, ни SafeTouch PRO.

Автор: Агафьин Сергей Перейти к цитате

Рекомендую во избежание ошибок не пользоваться одновременно КС1 и КС2 - провайдерами. В 99% случаев достаточно КС1.


Видел упоминания на форумах, что в некоторых случаях лучше использовать только KC1. С чем это связано?
Offline sanyo  
#12 Оставлено : 12 ноября 2020 г. 10:38:30(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Предусмотрено ли для устройств SafeTouch PRO обновление прошивки с технической точки зрения?

Я когда-то обновлял. Насколько помню, этот процесс включал в себя специальное закрытое ПО, скрутку USB-проводов (для папа-папа), вскрытие корпуса с установкой скрепки. Не уверен, что это штатный процесс.


Ну хотя бы так, все же хотелось бы получить рабочую связку КриптоАРМ+КриптоПРО+SafeTouchPRO , столько времени потрачено уже на изучение и добычу оборудования :)
Я почему-то думал, что мне удастся решить все мои вопросы со смарткартами максимум за месяц, но к новому году уже исполнится полгода моим попыткам Brick wall Anxious

Многое жутко ненадежно, нестабильно, недоотлажено, что относится к рукриптографии на смарткартах, глюк в SafeTouch PRO и/или его дровах приводит к тому, что даже другие обычные считыватели вообще перестают работать, приходится перезагружать компьютер (возможно достаточно рестартануть какие-то модули ядра?), чтобы работал хотя бы обычный считыватель ACS.
Знал бы заранее, ограничился бы Rutoken ECP2 Touch (с кнопкой) и не мучался, это пипец какой-то, что приходится преодолевать в варианте с SafeTouch PRO.

Перезапуск PCSCD и сервиса КриптоПРО:

Цитата:
/etc/init.d/cprocsp stop;
/etc/init.d/pcscd stop;
sleep 1s;
/etc/init.d/pcscd restart;
/etc/init.d/cprocsp start;

не помогают!

Автор: Агафьин Сергей Перейти к цитате

Написать в техническую поддержку разработчика.

Впечатление, что кроме технического директора обычные небанковские пользователи там даром никому ненужны. А Павел нарасхват, его эксплуатируют непрерывно 24x7. Да и спрашивать там кого-нибудь кроме Павла часто бесполезно что-нибудь сложнее, чем уже описанное в их рекламной брошуре на сайте. Мало того, любые вопросы от небанковских сотрудников выглядят для них как вопросы злобных хакеров.


Автор: Агафьин Сергей Перейти к цитате

Дополнительно замечу, что, если вы подписываете корректные данные, которые SafeTouch умеет парсить, он все равно отобразит сообщение. Описываемая вами проблема, скорее, имеет еще другое измерение - вы подаете данные в некорректном формате. Попробуйте в cptools или cpanel протестировать контейнер. Что-то отобразится?


Когда смотрел раньше, там была ошибка, кажется, про цепочку сертификатов.
Иногда SafeTouch PRO и/или КриптоПро дико глючит, перестает работать даже обычный считыватель до рестарта демона pcscd.
И вот как раз сейчас заглючило, уже несколько раз пытался посмотреть контейнеры, SafeTouch PRO перестал видеть смарткарту.
Попробовал оба экземпляра устройства SafeTouch PRO, одинаково глючат (т.е. это не зависит от дефекта отдельно взятого устройства, может быть только от одинаковой прошивки обоих), это точно исправляется перезагрузкой компьютера, возможно можно какие-то сервисы или драйвера рестартануть, пока не знаю какие.

Отредактировано пользователем 12 ноября 2020 г. 11:32:51(UTC)  | Причина: Не указана

Offline sanyo  
#13 Оставлено : 12 ноября 2020 г. 10:54:27(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Перезагрузил компьютер, SafeTouch PRO хотя бы увидел смарткарту, но в контейнерах cptools по прежнему ничего не показывает.
При попытке посмотреть контейнеры, начинает очень медленно (примерно 1 раз в 5 секунд) мигать зеленая кнопка - предположительно запрос на подтверждение операции?. Пробовал нажать ее несколько раз, cptools при этом выходит из режима ожидания ответа от считывателя, но по прежнему в контейнерах пусто, как будто считыватель не показал контейнеры.

Переткнул смарткарту в считыватель ACS:

https://i.paste.pics/adf...ba455d990c3e97638584.png

UserPostedImage

Отредактировано пользователем 12 ноября 2020 г. 11:01:41(UTC)  | Причина: Не указана

Offline sanyo  
#14 Оставлено : 12 ноября 2020 г. 11:37:12(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Даже после перезагрузки операционной системы подпись документа работает с переменным успехом, иногда выпадывая в ошибку:

Цитата:
++ /opt/cprocsp/bin/amd64/csptestf -sfsign -sign -in /download/test.txt -out /download/test.txt.sig -my SNILS=XXX -detached

Source message length: 3
Calculated signature (or signed message) length: 659
../../../../CSPbuild/CSP/samples/csptest/signtsf.c:604:Signature creation error
Error 0x80004005: Unspecified error
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 2.750 sec
[ErrorCode: 0x80004005]


Второй способ подписания тоже глючит даже на считывателе ACS:
Цитата:

./sign2_cryptcp.sh /download/test.txt
++ /opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn SNILS=XXX -pin 12345678 /download/test.txt /download/test.txt.sig
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:г. Москва, г. Москва, RU, AAA, XXX, AAA, XXX, XXX, AAA, AAA, AAA
Valid from 10.11.2020 15:26:43 to 10.11.2021 15:26:43

Certificate chain is not checked for this certificate:
RDN:г. Москва, г. Москва, RU, AAA, XXX, AAA, XXX, XXX, AAA, AAA, AAA
Valid from 10.11.2020 15:26:43 to 10.11.2021 15:26:43

The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder '/download/':
/download/test.txt... Signing the data...
Error: Key does not exist.

../../../../CSPbuild/CSP/samples/CPCrypt/DSign.cpp:374: 0x8009000D
[ErrorCode: 0x8009000d]



Рестартанул сервисы, второй способ подписания заработал:

Цитата:
++ /opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn SNILS=XXX -pin 12345678 /download/test.txt /download/test.txt.sig
CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.
Command prompt Utility for file signature and encryption.

The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?YThe certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder '/download/':
/download/test.txt... Signing the data...

Signed message is created.
[ErrorCode: 0x00000000]



Хочет - работает, не хочет - не работает, это на считывателе ACS даже без использования SafeTouch PRO (хотя он подключен тоже).

Отредактировано пользователем 12 ноября 2020 г. 11:58:36(UTC)  | Причина: Не указана

Offline sanyo  
#15 Оставлено : 12 ноября 2020 г. 11:48:26(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Очень часто SafeTouch PRO не видит карту или система не видит считывателя SafeTouch PRO.

Причем на обоих экземплярах считывателя SafeTouch PRO.

Видит он ее очень редко, даже затрудняюсь сказать при каких волшебных обстоятельствах, но такое уже тоже случалось несколько раз!

Рестартанул сервисы, SafeTouch PRO по прежнему не видит карту. Brick wall

Передернул USB кабель SafeTouch PRO и о чудо, SafeTouch PRO увидел карту! Applause

Цитата:
pcsc_scan
Using reader plug'n play mechanism
Scanning present readers...
0: ACS ACR3901U ICC Reader 00 00
1: SafeTech SafeTouch (01040101000100) 01 00

Thu Nov 12 14:06:46 2020
Reader 0: ACS ACR3901U ICC Reader 00 00
Event number: 0
Card state: Card removed,
Reader 1: SafeTech SafeTouch (01040101000100) 01 00
Event number: 9
Card state: Card inserted,
ATR: 3B 9C 96 00 52 75 74 6F 6B 65 6E 45 43 50 73 63

ATR: 3B 9C 96 00 52 75 74 6F 6B 65 6E 45 43 50 73 63
+ TS = 3B --> Direct Convention
+ T0 = 9C, Y(1): 1001, K: 12 (historical bytes)
TA(1) = 96 --> Fi=512, Di=32, 16 cycles/ETU
250000 bits/s at 4 MHz, fMax for Fi = 5 MHz => 312500 bits/s
TD(1) = 00 --> Y(i+1) = 0000, Protocol T = 0

+ Historical bytes: 52 75 74 6F 6B 65 6E 45 43 50 73 63
Category indicator byte: 52 (proprietary format)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 9C 96 00 52 75 74 6F 6B 65 6E 45 43 50 73 63
Aktiv Rutoken ECP SC T0
https://www.rutoken.ru/p...ucts/all/rutoken-ecp-sc/



/opt/cprocsp/bin/amd64/cryptcp -sign -detach -display -dn SNILS=XXX -pin 12345678 /download/test.txt /download/test.txt.sig
опцию -display утилита cryptcp успешно проигнорировала.

Но таки подписала:
Цитата:

The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y

Certificate chains are checked.
Folder '/download/':
/download/test.txt... Signing the data...

Signed message is created.
[ErrorCode: 0x00000000]


Разве все это нормально? Brick wall Brick wall Brick wall

Отредактировано пользователем 12 ноября 2020 г. 12:06:10(UTC)  | Причина: Не указана

Offline sanyo  
#16 Оставлено : 12 ноября 2020 г. 12:09:01(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Не знаете, есть ли значительные отличия в аппаратной части SafeTouch PRO 2020 и SafeTouch PRO 2017?

Можно ли залить современную последнюю прошивку в устройства 2017-2018 года выпуска?
Offline sanyo  
#17 Оставлено : 12 ноября 2020 г. 12:09:42(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Опишу мои приключения со считывателями смарткарт.

Считыватель с AliExpress:
https://www.aliexpress.com/item/4000076936354.html
$7 USD
Оказался несовместим с Linux вопреки своему описанию.

Вообще как только не издевался надо мной этот АлиЭкспресс, впечатление, что у них прямо интегрирован пульт управления для вредителей от ганстолкеров. То выбрасывает из системы, как будто не было логина, не дает редактировать личные персональные данные, постоянно показывает всплывающие окна с рекламой, каждый раз зачем то спрашивает в какую страну доставлять сразу же после логина с айпи другой страны, не давал мне заказать оборудование по безопасности (старую матплату для Libreboot) по моей старой дебитовой карте, имитируя различные сбои, хотя эта карта нормально оплачивает во всех других сервисах типа Авито, пришлось добавить к ним другую платежную карту, самопроизвольно повторялись отмененные еще неотправленные, но уже оплаченные заказы, по которым ожидался refund, и в итоге отправлялись мне вопреки моему отказу, была какая-то дичь при попытке добавить новый адрес доставки и многое другое :(
Я выиграл спор по поводу его несовместимости с Linux (хотя поддержка была заявлена на странице описания лота), якобы должен быть частичный рефанд $6 USD в мою пользу, внутри подробного описания спора пишет, что refund завершен, а в списке заказов во всплывающем окне, что еше незавершен - в процессе. Причем учетка неновая, на ней десятки успешных заказов.

Я пробовал в том числе и из разных виртуалок, запущенных с различных LiveCD через различные туннели, сомневаюсь, что причина в трояне на моей рабочей станции.

Если это называется искусственный интеллект в области защиты от фрода, то более правильное название такому - искусственное отсутствие интеллекта. Если бы мне не заблокировали PayPal из-за постоянно терявшихся на таможне РФ посылок с E-bay в конце 2016 года, то даром бы этот АлиЭкспресс был ненужен.

Впечатление, что они делают свой АлиЭкспресс как образцово-показательный пример того, как делать ненужно, как бы антогонист нормальному человеческому e-bay, который уже лет 10 еще до появления AliExpress работал вполне приемлемо.

Если на eBay оплата по картам заработает для любых лотов, то забуду Алишку, как страшный сон.
Продавцы то ведь из Китая и там и там одинаковые, но на eBay хотя бы сама площадка сделана качественно и ей приятно пользоваться.

Авито:
БУ считыватель Safe Touch 2015: 150руб + 500 руб доставка. Несовместимость с современными смарткартами Rutoken ECP2, ладно оставим для коллекции, поехали дальше.
Пара новых считывателей Safe Touch PRO 2017: 1500 руб + 500 руб доставка, проблемы с ними описаны в данной ветке форума.

Итого впустую на считыватели потрачено больше 3 тыр. :(
На эти деньги можно было купить нормальный считыватель с цифровой клавиатурой, совместимый даже с OpenSC! типа Reiner CyberJack PIN PAD или даже смарткарту HSM2 SC:
http://forum.rutoken.ru/post/14900/#p14900
https://www.smartcard-hs.../sc-hsm-4k-datasheet.pdf
https://www.cardomatic.d...SmartCard-HSM-4K-Dual-IF
https://support.nitrokey...-crypttab-script/2670/14

Да еще по своей глупой доверчивости купил Rutoken 2151, а он даже не может генерировать ключи RSA2048. Это еще минус 1 тыр впустую :(

Причем до этого однажды на Авито удалось купить пару очень хороших новых считывателей ACS ACR3901U H3 за 1500 руб + 500 руб доставка = итого 2 тыр за оба.
После прошивки оба этих считывателей ACR3901U работают со смарткартами Rutoken и eToken через PKCS11 очень стабильно, никаких глюков.
С КриптоПРО менее стабильно, а при подключении одновременно еще и SafeTouch PRO вообще начинается какой-то цирк.
Впрочем SafeTouch PRO не работает нормально даже и без одновременного подключения других считывателей типа ACR3901U :(

На форуме банкиров кстати тоже видел сообщение о ненадежности работы SafeTouch:
Цитата:

Поддержка Safe-Touch в системе ДБО "iBank 2" отсутствует.

Реализовывать не планируем.

Причина - низкое качество Safe-Touch.

На текущий момент в системе "iBank 2" поддерживаются USB-токены "Рутокен ЭЦП" (Актив-Софт + Анкад) и "iBank 2 Key" (на базе 8-битного карточного чипа STMicroelectronics c СКЗИ "ФОРОС", разработки "СмартПарк"). Токены поставляются со склада БИФИТа.


https://bankir.ru/dom/fo...ru?p=3878177#post3878177

Не исключаю, что в последних версиях прошивок SafeTouch PRO его ошибки и глюки исправлены, но как это проверить, пока не представляю, отложил эту затею на потом.

Видимо недаром многие смарткарточные чипы продают сразу же интегрированными с подобранными для них USB считывателями в виде так называемых USB криптотокенов.

Отредактировано пользователем 5 декабря 2020 г. 6:10:13(UTC)  | Причина: Не указана

Offline sanyo  
#18 Оставлено : 12 ноября 2020 г. 14:50:45(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Цитата:
Надо было разобраться с интересным устройством - SafeTouch. Это устройство умеет показывать сведения о подписываемом документе на встроенном экране. И тут первый облом - нужен нормальный сертификат, выданный УЦ.


https://www.cryptopro.ru...ts&m=43902#post43902

Может быть, SafeTouch PRO глючит с тестовыми сертификатами, у которых нет цепочки доверия?

Как мне свой тестовый сертификат сделать доверенным (в пределах моего компьютера)?

Отредактировано пользователем 12 ноября 2020 г. 14:51:48(UTC)  | Причина: Не указана

Offline sanyo  
#19 Оставлено : 13 ноября 2020 г. 2:16:32(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 104
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Пожалуйста, уточните, что подразумевается под:

Цитата:
reader: Улучшена совместимость SafeTouch Pro с Рутокен ФКН (CPCSP-7647).
reader: Добавлена поддержка SafeTouch, совместимого с Рутокен ФКН (CPCSP-8717).

capilite: Добавлена частичная поддержка устройств отображения подписи (PinPad, SafeTouch, Cloud) (CPCSP-10182).


https://www.cryptopro.ru...aspx?g=posts&t=13703

ведь судя по ответам сотрудников Rutoken:
http://forum.rutoken.ru/post/14993/#p14993

Защита канала ФКН не работает с Rutoken+SafeTouch ?

Отредактировано пользователем 13 ноября 2020 г. 2:19:49(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#20 Оставлено : 13 ноября 2020 г. 8:08:05(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 612
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: sanyo Перейти к цитате

ведь судя по ответам сотрудников Rutoken:
http://forum.rutoken.ru/post/14993/#p14993

Защита канала ФКН не работает с Rutoken+SafeTouch ?


Рутокен ЭЦП 2.0 3000 и SafeTouch - совместимые устройства. Мы проводили трехстороннюю работу для этого. Не поручусь за версию прошивки SafeTouch, начиная с которой это доступно, но в тех устройствах, что есть у нас, всё работает корректно.

Подробности: https://www.cryptopro.ru...roistv-kontrolya-podpisi

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 13.11.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.