Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Stein  
#1 Оставлено : 4 апреля 2012 г. 17:57:37(UTC)
Stein

Статус: Участник

Группы: Участники
Зарегистрирован: 25.01.2008(UTC)
Сообщений: 29
Откуда: Moscow

Все добрый день. Тестирую Крипто-Про EFS.
Поставил последнюю сборку 3.6, EFS, без лицензий. На виртуальной машине, ОС XP SP3 с последними обновлениями.
Создал самоподписанный сертификат.

При попытке зашифровать директорию с файлом выдается сообщение - Ошибка при изменении атрибутов для файла: C:\Documents. Недостаточно памяти для завершения операции.

Куда копать? Как исправить?
Offline Stein  
#2 Оставлено : 4 апреля 2012 г. 18:09:17(UTC)
Stein

Статус: Участник

Группы: Участники
Зарегистрирован: 25.01.2008(UTC)
Сообщений: 29
Откуда: Moscow

Дополнение: В системном логе наличествует ошибка от cpefs "Невозможно провести операцию статического Диффи-Хеллмана, т.к. не совпадают параметры открытых ключей."
Offline Dmitry-support  
#3 Оставлено : 4 апреля 2012 г. 18:20:21(UTC)
Dmitry-support

Статус: Участник

Группы: Участники
Зарегистрирован: 06.02.2012(UTC)
Сообщений: 21

Поблагодарили: 1 раз в 1 постах
Здравствуйте.

Каким образом делали самоподписанный сертификат? Если через оснастку, то удалите его, и создайте, например по такому шаблону:

[NewRequest]
Subject = "CN=certreq_nokus"
KeyLength = 512
ProviderName = "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider"
KeySpec = "AT_KEYEXCHANGE"
RequestType = Cert
SMIME = FALSE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.10.3.4.1

Можно создать с помощью утилиты certreq, однако она доступна на системах выше Vista. Можете сделать и потом просто ключи перенести.
Offline Stein  
#4 Оставлено : 4 апреля 2012 г. 19:03:49(UTC)
Stein

Статус: Участник

Группы: Участники
Зарегистрирован: 25.01.2008(UTC)
Сообщений: 29
Откуда: Moscow

Да, через оснастку EFS.

Сгенерировал ключи и сертификат на тестовом уц. Добавил OID. С ним шифрование заработало.
После добавил к списку сертификат, сгенерированный в оснастке, удалил сертификат сгенерированный на тестовом уц . Расшифрование работает.

Это фича такая? Странно, что в документации не нашел ничего про это.

Еще у меня нет в консоли EFS пункта Контролируемые файлы. Это так надо? =)
Для папки получается нельзя выбрать список сертификатов для расширования? У меня кнопка "Подробно" активна только для свойств файла.

Так все-таки какой правильный порядок зашифрования файлов?
Offline Dmitry-support  
#5 Оставлено : 4 апреля 2012 г. 20:20:00(UTC)
Dmitry-support

Статус: Участник

Группы: Участники
Зарегистрирован: 06.02.2012(UTC)
Сообщений: 21

Поблагодарили: 1 раз в 1 постах
Цитата:
Это фича такая?

это известный баг оснастки, в дальнейшем будет исправлен.

Цитата:
Еще у меня нет в консоли EFS пункта Контролируемые файлы. Это так надо? =)

Да :) На данный момент имеющаяся на сайте документация не актуальна во всех аспектах. Документация под новые сборки сейчас пишется.

Папка шифруется точно также как и файл.

ПКМ на файле - Дополнительно -Зашифровать содержимое (галочку ставим\убираем) - Применить.
Offline vikabr  
#6 Оставлено : 15 октября 2014 г. 16:56:52(UTC)
vikabr

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.10.2014(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Автор: Stein Перейти к цитате
Все добрый день. Тестирую Крипто-Про EFS.
Поставил последнюю сборку 3.6, EFS, без лицензий. На виртуальной машине, ОС XP SP3 с последними обновлениями.
Создал самоподписанный сертификат.

При попытке зашифровать директорию с файлом выдается сообщение - Ошибка при изменении атрибутов для файла: C:\Documents. Недостаточно памяти для завершения операции.

Куда копать? Как исправить?


Всё то же самое. Пытаюсь внедрить EFS, пока что без лицензии. Тестовая машина windows7, ошибка та же самая.
Ответ "Dmitry-support" не понятен, не могли бы описать поподробнее как сгенерировать сертификат. Так же интересует присутствие данного бага в платной версии.
Offline Павел Смирнов  
#7 Оставлено : 16 октября 2014 г. 11:12:56(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Обновили версию КриптоПро EFS на сайте. В данной сборке ошибка устранена.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline efs_Алексей  
#8 Оставлено : 14 мая 2020 г. 17:18:42(UTC)
efs_Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.05.2020(UTC)
Сообщений: 5
Российская Федерация

Добрый день.

Тестирую КриптоПро EFS для покупки\использования в своей организации.

Столкнулся с аналогичной проблемой.

На виртуальной машине установлена Windows Server 2012 R2 x64 (без AD)
Под пользователем Админ создан сертификат агента восстановления, сертификат подключен в локальные политики безопасности, закрытый ключ импортирован в личные сертификаты.
Установлен КриптоПро CSP 4.0.9963
Установлен КриптоПро EFS 1.0.1780 efs-x64.msi
Создан самоподписанный сертификат через оснастку КриптоПро EFS, находится в Личное и Доверенные лица.

При шифровании файла появляется ошибка - "Ошибка изменения атрибутов для файла. Плохая версия поставщика." В журнале Windows - Служба "Смарт-карта" перешла в состояние Остановлена. - Затем - Служба "Смарт-карта" перешла в состояние Работает.

Роль центра сертификации не установлена. Необходима ли она? Интересует работа на сервере вне домена.

Подскажите в чем может быть проблема? Что я мог упустить?
Offline Дмитрий Пичулин  
#9 Оставлено : 14 мая 2020 г. 19:11:10(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: efs_Алексей Перейти к цитате
Добрый день.

Тестирую КриптоПро EFS для покупки\использования в своей организации.

Столкнулся с аналогичной проблемой.

На виртуальной машине установлена Windows Server 2012 R2 x64 (без AD)
Под пользователем Админ создан сертификат агента восстановления, сертификат подключен в локальные политики безопасности, закрытый ключ импортирован в личные сертификаты.
Установлен КриптоПро CSP 4.0.9963
Установлен КриптоПро EFS 1.0.1780 efs-x64.msi
Создан самоподписанный сертификат через оснастку КриптоПро EFS, находится в Личное и Доверенные лица.

При шифровании файла появляется ошибка - "Ошибка изменения атрибутов для файла. Плохая версия поставщика." В журнале Windows - Служба "Смарт-карта" перешла в состояние Остановлена. - Затем - Служба "Смарт-карта" перешла в состояние Работает.

Роль центра сертификации не установлена. Необходима ли она? Интересует работа на сервере вне домена.

Подскажите в чем может быть проблема? Что я мог упустить?

Через панель управления КриптоПро CSP, сертификаты (пользователя и агента) успешно проходят Сервис > Протестировать... ?

Типичная ошибка, что сертификат агента восстановления RSA-шный.
Знания в базе знаний, поддержка в техподдержке
Offline efs_Алексей  
#10 Оставлено : 18 мая 2020 г. 11:32:07(UTC)
efs_Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.05.2020(UTC)
Сообщений: 5
Российская Федерация

Спасибо за ответ.
Через КриптоПро CSP - Протестировать... видится только один контейнер и сертификат, пользователя. Он проверку проходит успешно.
Сертификат агента восстановления как я понимаю через КриптоПро можно создать только через запрос - руками.
Поставлю роль ЦС без домена.

Подскажите *.ini шаблон который был описан выше для этого подойдет?
Offline Дмитрий Пичулин  
#11 Оставлено : 18 мая 2020 г. 17:24:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: efs_Алексей Перейти к цитате
Спасибо за ответ.
Через КриптоПро CSP - Протестировать... видится только один контейнер и сертификат, пользователя. Он проверку проходит успешно.
Сертификат агента восстановления как я понимаю через КриптоПро можно создать только через запрос - руками.
Поставлю роль ЦС без домена.

Подскажите *.ini шаблон который был описан выше для этого подойдет?

Подойдёт, только он немного устарел, лучше использовать современный провайдер 2012 года: ProviderName = "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
Знания в базе знаний, поддержка в техподдержке
Offline efs_Алексей  
#12 Оставлено : 19 мая 2020 г. 14:14:12(UTC)
efs_Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.05.2020(UTC)
Сообщений: 5
Российская Федерация

Спасибо за ответ.

На чистой машине установил роль ЦС.
Установил КриптоПро CSP 5.0.11455 КС1

С помощью CertReq запросил сертификат по шаблону:
[NewRequest]
Subject = "CN=Администратор"
KeyLength = 512
ProviderName = "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
KeySpec = "AT_KEYEXCHANGE"
RequestType = Cert
SMIME = FALSE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.10.3.4.1

Полученный сертификат имеет атрибуты:
  • Все политики выдачи
  • Восстановление файлов


Сертификат добавил в Локальных политиках безопасности, как сертификат агента восстановления. Так же он находится в Личных сертификатах и в Доверенные лица.

Установил КриптоПро EFS.
Создал самоподписанный сертификат через оснастку КриптоПро EFS.
Полученный сертификат имеет атрибуты:
  • Все политики выдачи
  • Разрешает шифрование данных на диске


Сертификат добавил в личные и Доверенные лица.
Поставил галочку - Объявить текущим сертификатом.
Перезагрузился.

Через КриптоПро сертификаты проходят тестирование успешно.

При попытке зашифровать файл - снова такая же ошибка, при этом автоматически создается RSA сертификат, файл при этом становится зеленым, шифрутеся, но его содержимое простой текст - исчезает.


Подскажите куда копать дальше?



Результаты теста сертификатов в контейнере:

---------------- 1 ----------------

Проверка завершена успешно ошибок не обнаружено
Контейнер закрытого ключа пользователя
имя CertReq-bfdae153-5a34-4dfe-9701-47817e829417
уникальное имя REGISTRY\\CertReq-bfdae153-5a34-4dfe-9701-47817e829417
FQCN \\.\REGISTRY\CertReq-bfdae153-5a34-4dfe-9701-47817e829417
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
CN=Администратор
REGISTRY\\CertReq-bfdae153-5a34-4dfe-9701-47817e829417; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
Root
CN=Администратор
не содержит ссылку на закрытый ключ
CA
CN=Администратор
не содержит ссылку на закрытый ключ
TrustedPeople
CN=Администратор
не содержит ссылку на закрытый ключ
имя сертификата Администратор
субъект CN=Администратор
поставщик CN=Администратор
действителен с 19 мая 2020 г. 11:52:28
действителен по 19 мая 2021 г. 12:12:28
серийный номер 2EE9 5AC8 2CF7 4EA3 4470 1B9E D27E C3A5
Срок действия закрытого ключа 19 августа 2021 г. 11:52:28
Использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
Симметричный ключ отсутствует
загрузка ключей успешно
Версия контейнера 2
Значение ControlKeyTimeValidity 1
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 19 августа 2021 г. 12:02:19


---------------- 2 ----------------

Проверка завершена успешно ошибок не обнаружено
Контейнер закрытого ключа пользователя
имя 4a0a2bb8-53e3-46e7-804f-79ce6cf7d800
уникальное имя REGISTRY\\4a0a2bb8-53e3-46e7-804f-79ce6cf7d800
FQCN \\.\REGISTRY\4a0a2bb8-53e3-46e7-804f-79ce6cf7d800
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
CN=Администратор
REGISTRY\\4a0a2bb8-53e3-46e7-804f-79ce6cf7d800; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
TrustedPeople
CN=Администратор
4a0a2bb8-53e3-46e7-804f-79ce6cf7d800; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
имя сертификата Администратор
субъект CN=Администратор
поставщик CN=Администратор
действителен с 19 мая 2020 г. 12:22:36
действителен по 19 мая 2021 г. 12:22:36
серийный номер 36B1 69E7 EBFA 62BF 46C0 21A0 F366 9205
Срок действия закрытого ключа 19 августа 2021 г. 12:22:36
Использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
Симметричный ключ отсутствует
загрузка ключей успешно
Версия контейнера 2
Значение ControlKeyTimeValidity 1
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 19 августа 2021 г. 12:22:43

Offline efs_Алексей  
#13 Оставлено : 22 мая 2020 г. 9:09:55(UTC)
efs_Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.05.2020(UTC)
Сообщений: 5
Российская Федерация

Не подскажите, что делать дальше?
Offline Дмитрий Пичулин  
#14 Оставлено : 22 мая 2020 г. 14:17:00(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
Автор: efs_Алексей Перейти к цитате
Не подскажите, что делать дальше?

Если хотите более оперативно решить вопрос -- обратитесь к нашей техподдержке (ссылка в подписи каждого сообщения).

На форуме решение данного вопроса может занять много времени.
Знания в базе знаний, поддержка в техподдержке
Offline efs_Алексей  
#15 Оставлено : 25 мая 2020 г. 10:02:03(UTC)
efs_Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.05.2020(UTC)
Сообщений: 5
Российская Федерация

К сожалению, платная техподдержка нами пока не покупалась. Как раз для покупки и хотелось выяснить, возможна ли нормальная работа КриптоПро EFS вне домена.

Подождем ответа тут.
Offline Александр Лавник  
#16 Оставлено : 23 июня 2020 г. 15:47:08(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,051
Мужчина
Российская Федерация

Сказал «Спасибо»: 32 раз
Поблагодарили: 475 раз в 454 постах
Автор: efs_Алексей Перейти к цитате
К сожалению, платная техподдержка нами пока не покупалась. Как раз для покупки и хотелось выяснить, возможна ли нормальная работа КриптоПро EFS вне домена.

Подождем ответа тут.

Здравствуйте.

Если тема еще актуальна, то, пожалуйста, создайте обращение на портале технической поддержки и опишите в нем подробно текущую ситуацию.

Техническая поддержка на портале оказывается и без наличия сертификата на техническую поддержку, но время ответа будут больше, чем при наличии такого сертификата.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.