STS(WIF) + GOST

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

STS(WIF) + GOST

Опции

Предыдущая тема Следующая тема

Ozzy		#1 Оставлено : 11 сентября 2013 г. 1:50:55(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.12.2011(UTC) Сообщений: 22 Откуда: Москва		Добрый день, господа-специалисты. Реализовал службу STS, сервис и клиент. Для аутентификации клиента используются сертификаты. На сертификатах RSA работает корректно. Если сертификаты заменить на ГОСТ-овские, то не работает. В конфигурациях биндингов на клиенте, сервере и STS проставил algorithmSuite="BasicGost" Ошибка происходит при заключительном этапе перед получением клиентом токена. Исключение на клиенте не содержит полезной информации: "*An error occurred when verifying security for the message.". На STS в логах появляется сл ошибка: "Derived Key Token cannot derive key from the secret." Stacktrace: at System.ServiceModel.Security.Tokens.DerivedKeySecurityToken.Initialize(String id, Int32 generation, Int32 offset, Int32 length, String label, Byte[] nonce, SecurityToken tokenToDerive, SecurityKeyIdentifierClause tokenToDeriveIdentifier, String derivationAlgorithm, Boolean initializeDerivedKey) at CryptoPro.Sharpei.ServiceModel.CPDerivedKeySecurityToken.Initialize(String id, Int32 generation, Int32 offset, Int32 length, String label, Byte[] nonce, SecurityToken tokenToDerive, SecurityKeyIdentifierClause tokenToDeriveIdentifier, String derivationAlgorithm, Boolean initializeDerivedKey) at System.ServiceModel.Security.WSSecureConversation.DerivedKeyTokenEntry.CreateDerivedKeyToken(String id, String derivationAlgorithm, String label, Int32 length, Byte[] nonce, Int32 offset, Int32 generation, SecurityKeyIdentifierClause tokenToDeriveIdentifier, SecurityToken tokenToDerive) at System.ServiceModel.Security.WSSecureConversation.DerivedKeyTokenEntry.ReadTokenCore(XmlDictionaryReader reader, SecurityTokenResolver tokenResolver) at System.ServiceModel.Security.WSSecurityTokenSerializer.ReadTokenCore(XmlReader reader, SecurityTokenResolver tokenResolver) at System.ServiceModel.Security.WsSecurityTokenSerializerAdapter.ReadTokenCore(XmlReader reader, SecurityTokenResolver tokenResolver) at System.ServiceModel.Security.ReceiveSecurityHeader.ReadToken(XmlReader reader, SecurityTokenResolver tokenResolver, IList`1 allowedTokenAuthenticators, SecurityTokenAuthenticator& usedTokenAuthenticator) at System.ServiceModel.Security.ReceiveSecurityHeader.ReadToken(XmlDictionaryReader reader, Int32 position, Byte[] decryptedBuffer, SecurityToken encryptionToken, String idInEncryptedForm, TimeSpan timeout) at System.ServiceModel.Security.ReceiveSecurityHeader.ExecuteFullPass(XmlDictionaryReader reader) at System.ServiceModel.Security.ReceiveSecurityHeader.Process(TimeSpan timeout, ChannelBinding channelBinding, ExtendedProtectionPolicy extendedProtectionPolicy) at System.ServiceModel.Security.MessageSecurityProtocol.ProcessSecurityHeader(ReceiveSecurityHeader securityHeader, Message& message, SecurityToken requiredSigningToken, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationStates) at System.ServiceModel.Security.SymmetricSecurityProtocol.VerifyIncomingMessageCore(Message& message, String actor, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationStates) at System.ServiceModel.Security.MessageSecurityProtocol.VerifyIncomingMessage(Message& message, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationStates) at System.ServiceModel.Channels.SecurityChannelListener`1.ServerSecurityChannel`1.VerifyIncomingMessage(Message& message, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationState) at System.ServiceModel.Channels.SecurityChannelListener`1.SecurityReplyChannel.ProcessReceivedRequest(RequestContext requestContext, TimeSpan timeout) at System.ServiceModel.Channels.SecurityChannelListener`1.ReceiveItemAndVerifySecurityAsyncResult`2.OnInnerReceiveDone() at System.ServiceModel.Channels.SecurityChannelListener`1.ReceiveItemAndVerifySecurityAsyncResult`2.InnerTryReceiveCompletedCallback(IAsyncResult result) at System.Runtime.Fx.AsyncThunk.UnhandledExceptionFrame(IAsyncResult result) at System.Runtime.AsyncResult.Complete(Boolean completedSynchronously) at System.Runtime.InputQueue`1.AsyncQueueReader.Set(Item item) at System.Runtime.InputQueue`1.Dispatch() at System.Runtime.ActionItem.DefaultActionItem.TraceAndInvoke() at System.Runtime.ActionItem.CallbackHelper.InvokeWithoutContext(Object state) at System.Runtime.IOThreadScheduler.ScheduledOverlapped.IOCallback(UInt32 errorCode, UInt32 numBytes, NativeOverlapped nativeOverlapped) at System.Runtime.Fx.IOCompletionThunk.UnhandledExceptionFrame(UInt32 error, UInt32 bytesRead, NativeOverlapped* nativeOverlapped) at System.Threading._IOCompletionCallback.PerformIOCompletionCallback(UInt32 errorCode, UInt32 numBytes, NativeOverlapped* pOVERLAP) Поковырявшись, Я обнаружил, что в методе *DerivedKeySecurityToken.Initialize* (см. stacktrace) выполняется проверка ключей (*X509AsymmetricSecurityKey* в моём случае) токена (X509SecurityToken в моём случае) в плане поддержки алгоритма. Какого именно алгоритма - не знаю, но уверен, что какого-то из ГОСТовских. А, поскольку, дефолтная реализация, частью которой являются эти классы, заточена под RSA, то проверка не проходит и порождается исключение, которое всё ломает. Как Я понимаю, вместо этих классов должны были использоваться классы из CryptoPro.NET. В SDK Я обнаружил некое подобие необходимых классов, из чего могу сделать вывод, что интеграция предусмотрена. К тому же, об этом заявлено тут. Что же нужно дополнительно сделать в данном случае при переходе на ГОСТовские сертификаты? Готов предоставить более подробную информацию. Заранее благодарю.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

khomenko		#2 Оставлено : 11 сентября 2013 г. 8:39:51(UTC)
Статус: Активный участник Группы: Администраторы, Участники Зарегистрирован: 28.04.2010(UTC) Сообщений: 140 Откуда: Крипто-Про Поблагодарили: 15 раз в 14 постах		Добрый день, Требуется доп. информация: 1. Описать сценарий взаимодействия служб, привязок на STS и Сервисе. 2. Собрать информацию об установленном КриптоПро .NET Для этого выполнить команду:"C:\Program Files\Crypto Pro\.NET\alarm.exe" info Прислать полученный файл osinfo.xml Отредактировано пользователем 11 сентября 2013 г. 8:41:25(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Ozzy		#3 Оставлено : 11 сентября 2013 г. 10:35:01(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.12.2011(UTC) Сообщений: 22 Откуда: Москва		1. Не совсем понятно что требуется. Но попробую описать что есть: Сценарий взаимодействия со службами: - клиент принудительно сначала обращается напрямую к STS и получает токен - далее, при обращении к службе, используется полученный токен К сожалению, до обращения к службе дело не доходит. Т.е. конечная служба в этом сценарии не участвует совсем! Можно считать, что Я просто сделал клиент и STS, у которого прошу токен для некой службы. Ошибка происходит при третьем запросе при получении токена: - Req: RequestSecurityToken Resp: RequestSecurityTokenResponse - Req: RequestSecurityTokenResponse Resp: RequestSecurityTokenResponseCollection - Req: EncryptedData Resp: FAULT(An error occurred when verifying security for the message.) Для создания прокси к STS используется *WSTrustChannelFactory*, биндинг ws2007HttpBinding Выдержка из конфигурации STS: <system.serviceModel> <bindings> <ws2007HttpBinding> <binding> <security mode="Message"> <message clientCredentialType="Certificate" establishSecurityContext="false" negotiateServiceCredential="true" algorithmSuite="BasicGost"/> </security> </binding> </ws2007HttpBinding> </bindings> <behaviors> <serviceBehaviors> <behavior> <serviceMetadata httpGetEnabled="true"/> <serviceCredentials> <serviceCertificate findValue="this.gost" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectName"/> </serviceCredentials> </behavior> </serviceBehaviors> </behaviors> <services> <service name="System.ServiceModel.Security.WSTrustServiceContract"> <endpoint contract="System.ServiceModel.Security.IWSTrust13SyncContract" binding="ws2007HttpBinding" address="Cert"/> <endpoint contract="IMetadataExchange" binding="mexHttpBinding" address="mex"/> <host> <baseAddresses> <add baseAddress="http://this.gost:2001/Sts.svc"/> </baseAddresses> </host> </service> </services> </system.serviceModel> Выдержка из конфигурации клиента: system.serviceModel> <bindings> <ws2007HttpBinding> <binding> <security mode="Message"> <message clientCredentialType="Certificate" establishSecurityContext="false" negotiateServiceCredential="true" algorithmSuite="BasicGost"/> </security> </binding> </ws2007HttpBinding> </bindings> <behaviors> <endpointBehaviors> <behavior> <clientCredentials> <clientCertificate findValue="[hide]" storeLocation="CurrentUser" storeName="My" x509FindType="FindBySerialNumber"/> <serviceCertificate> <authentication revocationMode="NoCheck"/> </serviceCertificate> </clientCredentials> </behavior> </endpointBehaviors> </behaviors> <client> <endpoint contract="System.ServiceModel.Security.IWSTrustChannelContract" address="http://this.gost:2001/Sts.svc/Cert" binding="ws2007HttpBinding"/> </client> </system.serviceModel> 2. - прикрепил Вложение(я): osinfo.xml (136kb) загружен 2 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

khomenko		#4 Оставлено : 11 сентября 2013 г. 15:03:24(UTC)
Статус: Активный участник Группы: Администраторы, Участники Зарегистрирован: 28.04.2010(UTC) Сообщений: 140 Откуда: Крипто-Про Поблагодарили: 15 раз в 14 постах		Такой сценарий работы поддерживается. - Под какой Framework написано ваше приложение? Возможно решит проблему: - Установка последних обновлений для FW 3.5, 4.5 - Переустановка КриптоПро .NET


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Ozzy		#5 Оставлено : 12 сентября 2013 г. 8:21:52(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.12.2011(UTC) Сообщений: 22 Откуда: Москва		Приложение написано под .NET 4.5 Обновление .NET и переустановка КриптоПро.NET не помогли.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

khomenko		#6 Оставлено : 12 сентября 2013 г. 9:08:39(UTC)
Статус: Активный участник Группы: Администраторы, Участники Зарегистрирован: 28.04.2010(UTC) Сообщений: 140 Откуда: Крипто-Про Поблагодарили: 15 раз в 14 постах		Будем пробовать воспроизвести ошибку. Какое именно исключение вылетает из System.ServiceModel.Security.Tokens.DerivedKeySecurityToken.Initialize ? Для аутентификации клиента используется ГОСТовый сертификат ? Просьба ещё раз прислать инфорумацию об установленном КриптоПро .NET: "C:\Program Files\Crypto Pro\.NET\alarm.exe" info "C:\Program Files (x86)\Crypto Pro\.NET\alarm.exe" info Из быстрых решений можем предложить: - Попробовать запуститься на FW 3.5 (потребует изменений в проекте: ранее WIF не входил в состав FW) - Поробовать работать через WS(2007)FederationHttpBinding, т.е. не получать маркер безопасности явно через WSTrustChannel. Отредактировано пользователем 12 сентября 2013 г. 9:23:06(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Ozzy		#7 Оставлено : 12 сентября 2013 г. 10:17:38(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.12.2011(UTC) Сообщений: 22 Откуда: Москва		Исключение: <Exception> <ExceptionType>System.ArgumentException, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089</ExceptionType> <Message>Derived Key Token cannot derive key from the secret.</Message> <StackTrace> at System.ServiceModel.Security.Tokens.DerivedKeySecurityToken.Initialize(String id, Int32 generation, Int32 offset, Int32 length, String label, Byte[] nonce, SecurityToken tokenToDerive, SecurityKeyIdentifierClause tokenToDeriveIdentifier, String derivationAlgorithm, Boolean initializeDerivedKey) at CryptoPro.Sharpei.ServiceModel.CPDerivedKeySecurityToken.Initialize(String id, Int32 generation, Int32 offset, Int32 length, String label, Byte[] nonce, SecurityToken tokenToDerive, SecurityKeyIdentifierClause tokenToDeriveIdentifier, String derivationAlgorithm, Boolean initializeDerivedKey) at System.ServiceModel.Security.WSSecureConversation.DerivedKeyTokenEntry.CreateDerivedKeyToken(String id, String derivationAlgorithm, String label, Int32 length, Byte[] nonce, Int32 offset, Int32 generation, SecurityKeyIdentifierClause tokenToDeriveIdentifier, SecurityToken tokenToDerive) at System.ServiceModel.Security.WSSecureConversation.DerivedKeyTokenEntry.ReadTokenCore(XmlDictionaryReader reader, SecurityTokenResolver tokenResolver) at System.ServiceModel.Security.WSSecurityTokenSerializer.ReadTokenCore(XmlReader reader, SecurityTokenResolver tokenResolver) at System.ServiceModel.Security.WsSecurityTokenSerializerAdapter.ReadTokenCore(XmlReader reader, SecurityTokenResolver tokenResolver) at System.IdentityModel.Selectors.SecurityTokenSerializer.ReadToken(XmlReader reader, SecurityTokenResolver tokenResolver) at System.ServiceModel.Security.ReceiveSecurityHeader.ReadToken(XmlReader reader, SecurityTokenResolver tokenResolver, IList`1 allowedTokenAuthenticators, SecurityTokenAuthenticator& usedTokenAuthenticator) at System.ServiceModel.Security.ReceiveSecurityHeader.ReadToken(XmlDictionaryReader reader, Int32 position, Byte[] decryptedBuffer, SecurityToken encryptionToken, String idInEncryptedForm, TimeSpan timeout) at System.ServiceModel.Security.ReceiveSecurityHeader.ExecuteFullPass(XmlDictionaryReader reader) at System.ServiceModel.Security.StrictModeSecurityHeaderElementInferenceEngine.ExecuteProcessingPasses(ReceiveSecurityHeader securityHeader, XmlDictionaryReader reader) at System.ServiceModel.Security.ReceiveSecurityHeader.Process(TimeSpan timeout, ChannelBinding channelBinding, ExtendedProtectionPolicy extendedProtectionPolicy) at System.ServiceModel.Security.MessageSecurityProtocol.ProcessSecurityHeader(ReceiveSecurityHeader securityHeader, Message& message, SecurityToken requiredSigningToken, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationStates) at System.ServiceModel.Security.SymmetricSecurityProtocol.VerifyIncomingMessageCore(Message& message, String actor, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationStates) at System.ServiceModel.Security.MessageSecurityProtocol.VerifyIncomingMessage(Message& message, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationStates) at System.ServiceModel.Channels.SecurityChannelListener`1.ServerSecurityChannel`1.VerifyIncomingMessage(Message& message, TimeSpan timeout, SecurityProtocolCorrelationState[] correlationState) at System.ServiceModel.Channels.SecurityChannelListener`1.SecurityReplyChannel.ProcessReceivedRequest(RequestContext requestContext, TimeSpan timeout) at System.ServiceModel.Channels.SecurityChannelListener`1.ReceiveRequestAndVerifySecurityAsyncResult.ProcessInnerItem(RequestContext innerItem, TimeSpan timeout) at System.ServiceModel.Channels.SecurityChannelListener`1.ReceiveItemAndVerifySecurityAsyncResult`2.OnInnerReceiveDone() at System.ServiceModel.Channels.SecurityChannelListener`1.ReceiveItemAndVerifySecurityAsyncResult`2.InnerTryReceiveCompletedCallback(IAsyncResult result) at System.Runtime.Fx.AsyncThunk.UnhandledExceptionFrame(IAsyncResult result) at System.Runtime.AsyncResult.Complete(Boolean completedSynchronously) at System.Runtime.InputQueue`1.AsyncQueueReader.Set(Item item) at System.Runtime.InputQueue`1.Dispatch() at System.Runtime.InputQueue`1.OnDispatchCallback(Object state) at System.Runtime.ActionItem.DefaultActionItem.TraceAndInvoke() at System.Runtime.ActionItem.DefaultActionItem.Invoke() at System.Runtime.ActionItem.CallbackHelper.InvokeWithoutContext(Object state) at System.Runtime.IOThreadScheduler.ScheduledOverlapped.IOCallback(UInt32 errorCode, UInt32 numBytes, NativeOverlapped* nativeOverlapped) at System.Runtime.Fx.IOCompletionThunk.UnhandledExceptionFrame(UInt32 error, UInt32 bytesRead, NativeOverlapped* nativeOverlapped) at System.Threading._IOCompletionCallback.PerformIOCompletionCallback(UInt32 errorCode, UInt32 numBytes, NativeOverlapped* pOVERLAP) </StackTrace> <ExceptionString>System.ArgumentException: Derived Key Token cannot derive key from the secret.</ExceptionString> </Exception> Для аутентификации клиента и вообще везде используются ГОСТ-овые сертификаты. > - Поробовать работать через WS(2007)FederationHttpBinding, т.е. не получать маркер безопасности явно через WSTrustChannel. С начала так и сделал - та же ошибка. Прикрепляю инфорумацию об установленном КриптоПро .NET, а так же solution, чтобы Вам не пришлось долго воспроизводить ошибку. В нём Я максимально просто реализовал проблемные проекты. Вложение(я): C_Program_Files_(x86)_Crypto_Pro.NET_alarm.exe.xml (140kb) загружен 5 раз(а). C_Program_Files_Crypto_Pro.NET_alarm.exe.xml (149kb) загружен 3 раз(а). StsTest.zip (147kb) загружен 5 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Ozzy		#8 Оставлено : 16 сентября 2013 г. 14:43:20(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 26.12.2011(UTC) Сообщений: 22 Откуда: Москва		Есть ли какие-то сдвиги по данному вопросу? Будут ли какие-то комментарии от разработчиков?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#9 Оставлено : 17 сентября 2013 г. 1:12:43(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах		Не встали исправления на WCF. Попробуйте использовать максимально старый Framework.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#10 Оставлено : 29 октября 2013 г. 15:37:21(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах		Все три написали READY при запуске - какое поведение ожидается?
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close