Активация функциональности ФКН в eToken

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Активация функциональности ФКН в eToken

Опции

Предыдущая тема Следующая тема

learner158		#1 Оставлено : 29 января 2020 г. 14:23:33(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.01.2020(UTC) Сообщений: 23		Здравствуйте. У меня есть e-token PRO Java 72K. Этот токен поддерживает аппаратную работу с криптоалгоритмами. Пожалуйста, подскажите: 1) Как активировать электронную подпись на eToken в Крипто-Про 5? Какие настройки нужно выставить, какой криптопровайдер выбрать, чтобы eToken выполнял подпись внутри себя, не вытаскивая закрытый ключ в оперативную память? 2) Как убедиться в том, что подпись выполняется именно на eToken и всё работает корректно?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#2 Оставлено : 29 января 2020 г. 14:40:04(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Добрый день. еТокен Pro Java 72k не поддерживает российские криптоалгоритмы. В связи с этим на данный момент CSP не умеет использовать его неизвлекаемые ключи. Но мы проводим работу по поддержке аппаратных западных ключей в провайдере. Сейчас она близка к завершению. После этого потребуется доработка модулей поддержки для данных токенов, которые разрабатываются компанией Thales (бывш. Gemalto, бывш. SafeNet). Если это технически возможно и в принципе им интересно, они добавят данную возможность. Если вам крайне требуется данная функциональность могу предложить описать ситуацию либо в официальное представительство Thales, либо дистрибьютеру токенов - TESSIS. Возможно, при наличии мотивации от пользователей работа по встраиванию поддержки в CSP 5.0 пойдет быстрее.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

learner158		#3 Оставлено : 29 января 2020 г. 14:52:23(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.01.2020(UTC) Сообщений: 23		Сергей, может быть Вы знаете, буду очень благодарен за ответ: Скриншот: https://ibb.co/MhzvS5S SafeNet Authentication Client сообщает, что подпись на eToken НЕ выполняется, хотя токен поддерживает аппаратную реализацию криптоалгоритмов. Не знаете ли Вы, почему не выполняется цифровая подпись на eToken? Отредактировано пользователем 29 января 2020 г. 14:53:16(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#4 Оставлено : 29 января 2020 г. 16:51:33(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: learner158 Сергей, может быть Вы знаете, буду очень благодарен за ответ: Скриншот: https://ibb.co/MhzvS5S SafeNet Authentication Client сообщает, что подпись на eToken НЕ выполняется, хотя токен поддерживает аппаратную реализацию криптоалгоритмов. Не знаете ли Вы, почему не выполняется цифровая подпись на eToken? Подозреваю, что речь о том, что на самом деле никакой криптографии в токене нет, а криптофункции выполняются программно.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

learner158		#5 Оставлено : 29 января 2020 г. 17:31:24(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.01.2020(UTC) Сообщений: 23		Получил ответ от TESSIS: "Данный нюанс наблюдается только для токенов, которые находятся в состоянии End Of Sale, End Of Support. Для текущих токенов данная информация отображается корректно. Для токенов старого поколения криптографические операции также выполняются на аппаратном уровне внутри ключа. Рекомендуем перейти на текущие версии токенов и актуальные версии программного обеспечения SafeNet Authentication Client." То есть по их словам, не смотря на пометку: «подпись выполняется на eToken - нет», на самом деле она выполняется на eToken. Но все равно, честно сказать, неизвестно. Правильно ли я понимаю, что чтобы выяснить это, нужно снимать дампы ОЗУ компьютера и смотреть не проскакивает ли там закрытый ключ? Или есть более простые способы как выяснить выполняются ли криптографические операции на токене?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#6 Оставлено : 30 января 2020 г. 4:42:20(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 396 раз в 366 постах		Насколько я понимаю, дистрибьюторы просто продвигают новые модели токенов. За старые токены денежки-то уже получили. Или даже не они получали. У меня тоже таких (алладиновских) с десяток в сейфе. Токен выполняет независимо от компьютера старую Джава виртуальную машину ("аппаратно" ага подписывает только на Джаве) и предполагаю что вероятно возможно перепрошить в том числе старые модели токенов на поддержку российских алгоритмов. Полагаю, с Джакартой что-то подобное сделали. Однако, первое, это может сделать только производитель токена (китайцы тоже скорее всего смогут на заводах). Так как нет смысла в ФКН, который каждый вирус сможет перепрошить и делать с ключом что угодно. Второе, скорее всего возникнут проблемы с объемом прошивки (версии Джавы отнюдь не уменьшаются в размере, либо адаптировать новые алгоритмы под старую Джаву либо "сжимать" новую версию Джавы либо менять микросхемы), то есть производителю нерентабельно модифицировать старые модели, так как "штучная" модификация прошивки выйдет дороже чем массово изготовить токен новой модели. Даже если не брать в расчет пересылку до завода и обратно, мало кто согласится платить за модификацию старой модели, когда есть новые. Интерфейс не меняется, все тот же USB. Другое дело, если бы мы смогли собрать несколько тысяч токенов одной модели и отправить мега заказ, тогда возможно производитель (или какая-то китайская компания) откликнулся и сделал что попросим. Цитата: Но все равно, честно сказать, неизвестно. Правильно ли я понимаю, что чтобы выяснить это, нужно снимать дампы ОЗУ компьютера и смотреть не проскакивает ли там закрытый ключ? Или есть более простые способы как выяснить выполняются ли криптографические операции на токене? Если, например, КриптоПро CSP сообщает, что аппаратный режим не активирован, то надеяться что на самом деле активирован сложно. Без дампов памяти ясно, что КриптоПро подпишет сам. Так что в идеале надо бы обращаться к токену напрямую или, например, на компьютере без всякого ПО, которое может выполнить подписание. Однако зарубежные алгоритмы встроены в большинство ОС, а российские официально не поддерживаются прошивкой, поэтому эксперимент провести весьма сложно. Писать свой драйвер токена? Снимать дампы к слову в принципе сложновато, так как "внутренняя кухня" CSP скрыта в драйвере (а драйвер, полагаю, в привелегированном режиме) и вся конструкция detour вызовов крайне плохо реагирует на присутствие ловушек и отладчиков (у меня даже в depends программа подписания дает ошибку на загрузке криптобиблиотек, чего говорить о полноценном отладчике). Более перспективно, пожалуй, включить собственное логирование криптопровайдера и по логу установить, что результат получен извне, а не вычислен. Отредактировано пользователем 30 января 2020 г. 5:43:41(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

learner158		#7 Оставлено : 30 января 2020 г. 12:00:25(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.01.2020(UTC) Сообщений: 23		Подскажите, где в КриптоПро CSP 5 посмотреть сведения об активности режима ФКН?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#8 Оставлено : 30 января 2020 г. 13:40:35(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: learner158 Подскажите, где в КриптоПро CSP 5 посмотреть сведения об активности режима ФКН? Простой путь - в окне выбора носителя при создании контейнера написано. Более сложный: csptest -keys -cont container_name -info В конце вывода будет что-то вроде: Код: `Carrier flags: This reader is non-removable. This reader does not support unique carrier names. This reader is not virtual. This carrier does not have embedded cryptography.`
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close