Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline zhukovia  
#1 Оставлено : 8 октября 2021 г. 13:24:07(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Установлена Ubuntu 20.4 (+xrdp server) и КриптоПРО 5.0.12000. Если после установки открыть cptools и посмотреть контейнеры rutokien то их видно, если попробовать сделать тоже самое но от другого пользователя, то будет пусто. При этом в терминале pcsc_scan видит вставленный токиен под обоими пользователями. Помогает только переустановка КриптоПРО, но видит только первый запустивший.
Как можно это исправить?
Offline Grey  
#2 Оставлено : 8 октября 2021 г. 13:38:42(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 675
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 141 раз в 116 постах
Добрый день.
Это известная "особенность" новых дистрибутивов Linux.
Попробуйте советы из сообщения:
https://www.cryptopro.ru...&m=117125#post117125
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline zhukovia  
#3 Оставлено : 8 октября 2021 г. 14:06:39(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Действительно применение sudo chown root /var/opt/cprocsp/tmp/.5a189306* решило проблему.
А не планируется внесение учета этой особенности в сам КриптоПРО?
Offline Grey  
#4 Оставлено : 8 октября 2021 г. 14:40:50(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 675
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 141 раз в 116 постах
Автор: zhukovia Перейти к цитате
Действительно применение sudo chown root /var/opt/cprocsp/tmp/.5a189306* решило проблему.
А не планируется внесение учета этой особенности в сам КриптоПРО?


Как отмечено в сообщении, на которое дана ссылка, пока не очень понятна цель возможного исправления. Использование одного токена несколькими пользователями является нарушением с точки зрения правил пользования. Устройство является личным носителем. С легальными кейсами мы не знакомы - возможно, если вы опишите свой сценарий, у нас получится разобраться.

Уточню, что дело не "во вредности", а в том, что потенциальное исправление будет ресурсоемким и неприятным с точки зрения разработки, так что начинать подобное без веских причин не хотелось бы.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline basid  
#5 Оставлено : 10 октября 2021 г. 10:40:52(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 839

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 110 раз в 99 постах
А сценарий "несколько разных ключей (разных пользователей) на одном токене" - нормально обрабатывается?
Offline zhukovia  
#6 Оставлено : 11 октября 2021 г. 8:38:00(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Автор: Grey Перейти к цитате

Как отмечено в сообщении, на которое дана ссылка, пока не очень понятна цель возможного исправления. Использование одного токена несколькими пользователями является нарушением с точки зрения правил пользования. Устройство является личным носителем. С легальными кейсами мы не знакомы - возможно, если вы опишите свой сценарий, у нас получится разобраться.

Очень простой пример. Есть бухгалтерия состоящая из 3 человек, есть токиен юридического лица. Один бухгалтер использует его под своим пользователем для доступа к банку, а два других для доступа к госуслугам, например. При этом комп один, а пользователи разные. Возможно, конечно, что это мой частный случай и у остальных все иначе. Но вообщем решение в подсказаной ветке тоже неплохо работает.
Offline zhukovia  
#7 Оставлено : 11 октября 2021 г. 8:39:16(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Автор: basid Перейти к цитате
А сценарий "несколько разных ключей (разных пользователей) на одном токене" - нормально обрабатывается?

Нет, видит только тот кто первый открыл токиен, права вроде бы на все сразу ключи прописываются.
Offline Grey  
#8 Оставлено : 12 октября 2021 г. 11:34:02(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 675
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 141 раз в 116 постах
Автор: basid Перейти к цитате
А сценарий "несколько разных ключей (разных пользователей) на одном токене" - нормально обрабатывается?

Автор: zhukovia Перейти к цитате

Очень простой пример. Есть бухгалтерия состоящая из 3 человек, есть токиен юридического лица. Один бухгалтер использует его под своим пользователем для доступа к банку, а два других для доступа к госуслугам, например. При этом комп один, а пользователи разные. Возможно, конечно, что это мой частный случай и у остальных все иначе. Но вообщем решение в подсказаной ветке тоже неплохо работает.

Токен является личным ключевым носителем. То, что вы описываете, - очень странное с точки зрения безопасности использование. По сути, это как использовать нескольким разным людям один блокнот для записи своих паролей.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline zhukovia  
#9 Оставлено : 12 октября 2021 г. 13:04:41(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Автор: Grey Перейти к цитате
Автор: basid Перейти к цитате
А сценарий "несколько разных ключей (разных пользователей) на одном токене" - нормально обрабатывается?

Токен является личным ключевым носителем. То, что вы описываете, - очень странное с точки зрения безопасности использование. По сути, это как использовать нескольким разным людям один блокнот для записи своих паролей.

Возможно в других фирмах получают на каждого бухгалтера по отдельному токиену, у нас один на юр.лицо. Значит просто наш подход нестандартный, но проблема к счастью решилась.
Offline basid  
#10 Оставлено : 12 октября 2021 г. 20:42:53(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 839

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 110 раз в 99 постах
Автор: Grey Перейти к цитате
Токен является личным ключевым носителем.
Токен является защищённым носителем ключевой информации. Для доступа к ключевой информации требуется:
  1. Обладать токеном;
  2. Знать пин-код (конкретного) контейнера.
Организация может желать, например, чтобы сотрудники не могли выносить токен за пределы этой самой организации.
Токен, следовательно, может "вообще ни разу" не быть "личным ключевым носителем". Т.е. токен может находится или у одного из пользователей или на хранении в организации.
Хранение на токене нескольких ключевых контейнеров - вопрос, опять-таки, исключительно организации рабочего процесса.
Таким образом, доступ разных пользователей к одному ключевому контейнеру - да, плохо, а вот доступ разных пользователей к собственным (разным) ключевым контейнерам - совершенно нормально.
Offline two_oceans  
#11 Оставлено : 13 октября 2021 г. 6:13:04(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Автор: basid Перейти к цитате
Хранение на токене нескольких ключевых контейнеров - вопрос, опять-таки, исключительно организации рабочего процесса.
Таким образом, доступ разных пользователей к одному ключевому контейнеру - да, плохо, а вот доступ разных пользователей к собственным (разным) ключевым контейнерам - совершенно нормально.
Добрый день. Коллега, по организационные вопросы не буду спорить. Однако есть еще момент в том, что токены (по крайней мере те модели, что мне попадались) позволяют установить только пароль пользователя (по умолчанию 12345678) и опционально пароль администратора (для сброса пароля пользователя и форматирования токена).

Никакого разделения для установки на контейнер 1 пароля 1, а на контейнер 2 пароля 2 я не заметил, тупо запрашивается пароль пользователя для доступа ко всем контейнерам. Например, при копировании на токен запрашивается пароль пользователя токена, логично что потом спрашивает, то же что и при копировании. Оговорюсь, это был пассивный режим, насколько понимаю. Возможно что-то поменяется в активном режиме. Если знаете как поставить отдельные пароли на контейнеры - "тыкните носом" меня в методику, хотя бы для рутокенов.

Другими словами, как я понимаю, токен "по дизайну" не может быть использован несколькими людьми - пароль-то один. В тоже время на флешке на каждый контейнер можно поставить отдельный пароль и для них Ваша логика справедлива (при условии что пароли сложные и разные). Но вроде как даже так, желательно чтобы на одной флешке были контейнеры с одним ФИО - такой вопрос не раз поднимался в плане возможности хранения резервных копий контейнеров со всей организации на одном носителе (в сейфе, в опечатанной ёмкости, комиссионное вскрытие).

Отредактировано пользователем 13 октября 2021 г. 6:14:07(UTC)  | Причина: Не указана

Offline basid  
#12 Оставлено : 14 октября 2021 г. 6:47:34(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 839

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 110 раз в 99 постах
Автор: two_oceans Перейти к цитате
Однако есть еще момент в том, что токены (по крайней мере те модели, что мне попадались) позволяют установить только пароль пользователя
Да, тут меня переклинило - смешались в кучу пароль на контейнер "без токена" и пароль доступа к файловой системе токена.

Offline Grey  
#13 Оставлено : 14 октября 2021 г. 11:31:45(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 675
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 141 раз в 116 постах
Автор: two_oceans Перейти к цитате
Однако есть еще момент в том, что токены (по крайней мере те модели, что мне попадались) позволяют установить только пароль пользователя (по умолчанию 12345678) и опционально пароль администратора (для сброса пароля пользователя и форматирования токена).

Никакого разделения для установки на контейнер 1 пароля 1, а на контейнер 2 пароля 2 я не заметил, тупо запрашивается пароль пользователя для доступа ко всем контейнерам. Например, при копировании на токен запрашивается пароль пользователя токена, логично что потом спрашивает, то же что и при копировании. Оговорюсь, это был пассивный режим, насколько понимаю. Возможно что-то поменяется в активном режиме. Если знаете как поставить отдельные пароли на контейнеры - "тыкните носом" меня в методику, хотя бы для рутокенов.

Другими словами, как я понимаю, токен "по дизайну" не может быть использован несколькими людьми - пароль-то один. В тоже время на флешке на каждый контейнер можно поставить отдельный пароль и для них Ваша логика справедлива (при условии что пароли сложные и разные). Но вроде как даже так, желательно чтобы на одной флешке были контейнеры с одним ФИО - такой вопрос не раз поднимался в плане возможности хранения резервных копий контейнеров со всей организации на одном носителе (в сейфе, в опечатанной ёмкости, комиссионное вскрытие).


Спасибо за подробное описание проблемы - руки не дошли у самого :)

Добавлю еще, что существуют токены, у которых несколько независимых "пользовательских" ПИН-ов, под которыми разделяется доступ к ключам: Инфокрипт VPN-Key TLS и Рутокен TLS. Но, насколько мне известно, у них тоже в документации нет разрешения на использование разными людьми, т.к. для этого нужен сертификат по классу выше КС1.

Понятно, что может быть бесчисленное количество прикладных сценариев, которые будут полагаться на доверие внутри организации, но с формальной точки зрения это всё не очень верно. Так что для таких пользователей подойдет и не самый честный способ лечения (изменение прав доступа к файлам-блокировкам).
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline zhukovia  
#14 Оставлено : 14 октября 2021 г. 12:08:12(UTC)
zhukovia

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.08.2014(UTC)
Сообщений: 6
Российская Федерация

Автор: Grey Перейти к цитате
Так что для таких пользователей подойдет и не самый честный способ лечения (изменение прав доступа к файлам-блокировкам).

Полностью согласен, такой способ тоже подходит.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.