Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Звездный_Лорд  
#1 Оставлено : 19 ноября 2020 г. 10:04:52(UTC)
Звездный_Лорд

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 3
Российская Федерация

Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?
Offline Андрей *  
#2 Оставлено : 19 ноября 2020 г. 10:36:08(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 369 раз
Поблагодарили: 1443 раз в 1109 постах
Автор: Звездный_Лорд Перейти к цитате
Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?


Здравствуйте.

При создании контейнера можно указывать его имя.
Техническую поддержку оказываем тут
Наша база знаний
Offline Звездный_Лорд  
#3 Оставлено : 19 ноября 2020 г. 10:41:24(UTC)
Звездный_Лорд

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 3
Российская Федерация

Автор: Андрей * Перейти к цитате
Автор: Звездный_Лорд Перейти к цитате
Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?


Здравствуйте.

При создании контейнера можно указывать его имя.


Добрый день. Как это сделать?
Offline Андрей *  
#4 Оставлено : 19 ноября 2020 г. 10:44:34(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 369 раз
Поблагодарили: 1443 раз в 1109 постах
Автор: Звездный_Лорд Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: Звездный_Лорд Перейти к цитате
Добрый день, коллеги. Нужно уточнить важный момент. Есть ли у скзи Крипто-про такая фишка, которая позволяла бы при получении контейнера задавать самому пользователю имя контейнера? Пока не встречал этого, но есть информация, что где-то планировалась такая доработка. То есть, на текущий момент при получении контейнера сама СКЗИ генерирует имя этого контейнера, а пользователь хотел бы сам задавать это имя при генерации. Будут ли похожие доработки или такое поведение криптографии в принципе недопустимо?


Здравствуйте.

При создании контейнера можно указывать его имя.


Добрый день. Как это сделать?


Что Вы делаете "при получении контейнера"?

Получении от кого?
Вы программно генерируете запрос на сертификат (создавая контейнер), верно?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#5 Оставлено : 19 ноября 2020 г. 10:46:44(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 369 раз
Поблагодарили: 1443 раз в 1109 постах
функция CryptAcquireContext, второй параметр - имя контейнера.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#6 Оставлено : 19 ноября 2020 г. 10:48:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 369 раз
Поблагодарили: 1443 раз в 1109 постах
Имя контейнера - описано в CPDN
Техническую поддержку оказываем тут
Наша база знаний
Offline Звездный_Лорд  
#7 Оставлено : 19 ноября 2020 г. 11:24:56(UTC)
Звездный_Лорд

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 3
Российская Федерация

Автор: Андрей * Перейти к цитате
Имя контейнера - описано в CPDN


Большое спасибо!) то есть можно сделать так, чтобы при получении контейнера, пользователь сам мог указать имя этого контейнера?
Offline Андрей *  
#8 Оставлено : 19 ноября 2020 г. 11:43:07(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 369 раз
Поблагодарили: 1443 раз в 1109 постах
Автор: Звездный_Лорд Перейти к цитате
Автор: Андрей * Перейти к цитате
Имя контейнера - описано в CPDN


Большое спасибо!) то есть можно сделать так, чтобы при получении контейнера, пользователь сам мог указать имя этого контейнера?


Конечно.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#9 Оставлено : 21 ноября 2020 г. 3:36:57(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,162
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 265 раз в 249 постах
Если правильно понимаю, это касается дружественного имени контейнера.
Цитата:
FOLDER Не может использоваться при создании ключа.

Вопрос 1: а что можно сделать с заданием как раз имени папки - часть имени FQCN?

Типичная ситуация - сайт Федерального казначейства формирует запрос на сертификат и автоматом указывает в дружественное имя ФИО и дату без года, после этого автоматически генерируется абракадабра в имени папки с контейнером, причем одинаковая каждый год (от первых 8 символов дружественного имени, то есть фамилии в данном случае). С учетом того, что на сайт нужно зайти по прошлогоднему сертификату, чтобы сформировать запрос на новый, контейнер с прошлого года будет подключен одновременно при генерации нового и выбран тот же носитель (количество портов usb на ноутбуках не резиновое) - начинаются вариации имени папки .000 .001 и так далее.
Интерфейс УЦ от Контура вписывает в начало последовательный номер, что спасает частично, но нисколько не информативно. Можно конечно через MiTM заменить код формирования дружественного имени на сайте, но как-то это притянуто за уши и может нарушить нормальную генерацию.

Можно ли как-то переопределить специфику генерации имени папки (для HDIMAGE и флешек)? В идеале - возможность зарегистрировать в реестре свою функцию преобразования дружественного имени в 8dot3 имя папки (по аналогии с кодированием объектов CryptoApi), а если вернулось неподходящее для носителя значение, то генерировать как сейчас.

Вопрос 2: что насчет импорта pfx, напомните, появилась ли возможность задать имя контейнера в командной строке вместо гуида?

Отредактировано пользователем 21 ноября 2020 г. 4:38:53(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#10 Оставлено : 22 ноября 2020 г. 14:57:23(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: two_oceans Перейти к цитате
Если правильно понимаю, это касается дружественного имени контейнера.
Вопрос 1: а что можно сделать с заданием как раз имени папки - часть имени FQCN?

Можно ли как-то переопределить специфику генерации имени папки (для HDIMAGE и флешек)? В идеале - возможность зарегистрировать в реестре свою функцию преобразования дружественного имени в 8dot3 имя папки (по аналогии с кодированием объектов CryptoApi), а если вернулось неподходящее для носителя значение, то генерировать как сейчас.[SPOILER]Переделывать имя папки вручную непросто, так как при генерации Криптопро CSP записывает в реестр соответствие дружественного имени папки и FQCN, поэтому нужно либо менять дружественное имя (например, вписывать при копировании контейнера нужное имя папки в первые символы дружественного имени) либо стирать соответствие в реестре.

Добрый день. Переопределить нельзя. Не очень понятно, как можно просто и безопасно зарегистрировать в реестре "функцию" преобразования имени.
Есть другое решение: вы можете установить настройку, которая позволит использовать на hdimage полноценные длинные имена, как и для Реестра. Тут, конечно, вам придется самостоятельно контроллировать, чтобы генерировались контейнеры с корректным набором символов.

Для активации нужно в [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\KeyDevices\HDIMAGE\Default] добавить DWORD-значение long_names = 1. Для флэшек добавить такое же значение сюда: [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\KeyDevices\FAT12\PNP FAT12\Default]

Важное замечание: ключи из папок 8.3 тоже будут видны, но папки будут интерпретироваться как полные имена контейнеров, так что у них всех изменятся unique-имена. Пример:
Раньше было HDIMAGE\\folderna.000\4FCC, теперь станет HDIMAGE\\folderna.000. А так как именно такой формат имен используется в ссылках на закрытые ключи, все ссылки из личного хранилища станут невалидными. Сертификаты нужно будет переустановить:
csptest -absorb -cert -pattern hdimage

Важное замечания 2: имена контейнеров тоже изменятся. Если раньше оно могло быть FolderName и лежать в папке folderna.000, то теперь отображаемое имя будет folderna.000.

Отредактировано пользователем 22 ноября 2020 г. 15:00:27(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 2 пользователей поблагодарили Агафьин Сергей за этот пост.
Андрей * оставлено 22.11.2020(UTC), two_oceans оставлено 23.11.2020(UTC)
Offline two_oceans  
#11 Оставлено : 23 ноября 2020 г. 10:13:34(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,162
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 265 раз в 249 постах
Автор: Агафьин Сергей Перейти к цитате
вы можете установить настройку, которая позволит использовать на hdimage полноценные длинные имена
Это конечно интересный вариант. Уточню: 1) правильно ли я понимаю, что hdimage это считыватель "директория" на Windows? Тут действительно настройка не помешает, наверно. 2) для FAT12 будут просматриваться все папки на несистемных разделах жесткого диска? Тогда ой, быстродействие может сильно упасть.

Цитата:
Переопределить нельзя. Не очень понятно, как можно просто и безопасно зарегистрировать в реестре "функцию" преобразования имени.
Ну это было сказано просто как "мозговой штурм" - когда идеи выдвигаются, а потом совместно рассматривается годная идея или нет. Про безопасность конечно требует более детального анализа всех факторов. На первый взгляд, все достаточно просто и уже широко используется при регистрации провайдера в Microsoft CryptoApi, не нужно изобретать велосипед. Навскидку не вижу причины почему закрытие просмотра ограниченной лицензии, форматирование просмотра средств ЭП клиента/издателя безопасно так регистрировать, а функцию определяющую имя папки по дружественному имени вдруг небезопасно. Общий формат параметров функций описан Майкрософт, а что внутри блоба может и варьироваться в зависимости от оида.

Например, я вижу в реестре регистрацию некой функции криптопровайдера 4.0:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllEncodeObject\#5001]
"FuncName"="RNetEncodeObject"
"Dll"="C:\\Program Files (x86)\\Common Files\\Crypto Pro\\Shared\\cpext.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllFormatObject\1.2.643.2.2.49.2]
"FuncName"="RNetDllFormatRestrictedCSPKeyLicense"
"Dll"="C:\\Program Files (x86)\\Common Files\\Crypto Pro\\Shared\\cpext.dll"
Допустим, присвоить новый оид для дружественного имени в определенной кодировке и абстрактно считать короткое имя "Formatted" формой для дружественного. Для перевода вызывать системную CryptFormatObject (Microsoft CryptoApi) с оидом в lpszStructType и дружественным именем в pbEncoded, длиной в cbEncoded; получать короткое в pbFormat/pcbFormat. Как вариант, CryptEncodeObjectEx тоже подходит, но склоняюсь больше к CryptFormatObject, так как там возвращаемое значение - строка. Вызов одной системной функции вставить не так сложно, а система уже найдет переопределенную функцию в реестре.

Учитывая, что функции: не передается информация о считывателе; момент создания контейнера мал по сравнению со сроком действия ключа; следовательно вероятность, что "плагин" представит информацию, интересующую потенциального нарушителя, достаточно мала.

Отредактировано пользователем 23 ноября 2020 г. 10:17:31(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#12 Оставлено : 23 ноября 2020 г. 12:32:14(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: two_oceans Перейти к цитате
Автор: Агафьин Сергей Перейти к цитате
вы можете установить настройку, которая позволит использовать на hdimage полноценные длинные имена
Это конечно интересный вариант. Уточню: 1) правильно ли я понимаю, что hdimage это считыватель "директория" на Windows? Тут действительно настройка не помешает, наверно. 2) для FAT12 будут просматриваться все папки на несистемных разделах жесткого диска? Тогда ой, быстродействие может сильно упасть.

1) Да.
2) Наоборот. При открытии контейнера по короткому имени провайдер просматривает все папки, читает в них name.key и сравнивает. Если включить long_names, то открытие происходит сходу одной командой. Перечисление контейнеров почти ничем не отличается.

Цитата:
Например, я вижу в реестре регистрацию некой функции криптопровайдера 4.0:
....
Допустим, присвоить новый оид для дружественного имени в определенной кодировке и абстрактно считать короткое имя "Formatted" формой для дружественного. Для перевода вызывать системную CryptFormatObject (Microsoft CryptoApi) с оидом в lpszStructType и дружественным именем в pbEncoded, длиной в cbEncoded; получать короткое в pbFormat/pcbFormat. Как вариант, CryptEncodeObjectEx тоже подходит, но склоняюсь больше к CryptFormatObject, так как там возвращаемое значение - строка. Вызов одной системной функции вставить не так сложно, а система уже найдет переопределенную функцию в реестре.
Учитывая, что функции: не передается информация о считывателе; момент создания контейнера мал по сравнению со сроком действия ключа; следовательно вероятность, что "плагин" представит информацию, интересующую потенциального нарушителя, достаточно мала.

Подключение сторонних модулей к CSP - весьма опасная тема. Все такие модули должны быть дополнительно происследованы. Именно поэтому вариант с дополнительной библиотекой в принципе не может рассматриваться. Если бы была потребность заложиться на какие-то регулярные выражения или шаблоны, которые можно хранить в реестре, еще куда ни шло, но "логику" мы подключать даем только в крайних случаях.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline two_oceans  
#13 Оставлено : 24 ноября 2020 г. 14:50:26(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,162
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 265 раз в 249 постах
Автор: Агафьин Сергей Перейти к цитате
2) Наоборот. При открытии контейнера по короткому имени провайдер просматривает все папки, читает в них name.key и сравнивает. Если включить long_names, то открытие происходит сходу одной командой. Перечисление контейнеров почти ничем не отличается.
2.1) Разве все? Ведь если к имени папки xxxxxxxx.000 добавить допустим прочерк в конце xxxxxxxx.000_ или xxxxxxxx.000_000, то контейнер исчезает из перечисления. Не уверен какие именно при этом возникают изменения в имени формата 8.3 в файловой системе NTFS, но впечатление, что либо есть некий фильтр, отбрасывающий неформатные имена папок из перечисления либо для таких длинных имен операционная система удаляет имя формата 8.3 вообще. Если же "предполагаемый фильтр" формата (не так уж важно, в криптопровайдере или в операционной системе) перестанет работать при длинных именах, то количество просматриваемых папок резко увеличится. Кроме того, нужно отметить, что папки с отсутствующим или поврежденным name.key все же появляются в перечислении, то есть перечисление немного другой случай чем открытие заданного контейнера.
2.2) Не до конца ясно какое имя имеется ввиду в фразе "При открытии контейнера по короткому имени"? Прошу пояснить: если перечисляются все папки и читается name.key, то за какой надобностью в реестре создается раздел с длинным дружественным именем контейнера, в котором находится параметр shortcut с FQCN именем. Криптопровайдер просто не принимает никакую другую папку с тем же дружественным именем, то есть наличие shortcut по всей видимости, отключает перечисление папок при открытии контейнера и заставляет обратится к конкретной папке. Вывод получается что реальный алгоритм явно сложнее чем описано в цитате выше.
Цитата:
Если бы была потребность заложиться на какие-то регулярные выражения или шаблоны, которые можно хранить в реестре, еще куда ни шло, но "логику" мы подключать даем только в крайних случаях.
Позиция понятна, хоть и возвращается только строчка Вы не хотите потенциально давать информацию об адресном пространстве криптопровайдера сторонней библиотеке.

Насчет регулярных выражений и шаблонов тоже интересный вариант. Правильно ли я понял, что включить дату (по описанной в предыдущих сообщениях схеме в виде трех алфавитно-цифровых позиций) в имя папки реализуемо?

Тогда остается вопрос как реализовать получение кода пользователя, тут наверно реестр не очень подходит, пользователей может быть много. XML файл, значения которого подставляются в регулярное выражение? Что-то вроде простого: если в дружественном имени нашлась такая строка, вывести в короткое имя такую строку. LDAP запрос к ActiveDirectory полагаю вообще не вписывается в такое локальное формирование имени?

В целом, я так понял проще стереть shortcut из реестра или изменить name.key чем договориться о поддержке иного способа формирования короткого имени папки.

Offline basid  
#14 Оставлено : 26 ноября 2020 г. 8:50:29(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 816

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 102 раз в 93 постах
Автор: two_oceans Перейти к цитате
если к имени папки xxxxxxxx.000 добавить допустим прочерк в конце xxxxxxxx.000_ или xxxxxxxx.000_000, то контейнер исчезает из перечисления. Не уверен какие именно при этом возникают изменения в имени формата 8.3
...
2.2) Не до конца ясно какое имя имеется ввиду в фразе "При открытии контейнера по короткому имени"?
Код:
dir /x имя
должно снять основные вопросы по коротким именам.
thanks 1 пользователь поблагодарил basid за этот пост.
two_oceans оставлено 29.11.2020(UTC)
Offline Агафьин Сергей  
#15 Оставлено : 26 ноября 2020 г. 9:50:36(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 616
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 115 раз в 101 постах
Автор: two_oceans Перейти к цитате
2.1) Разве все? Ведь если к имени папки xxxxxxxx.000 добавить допустим прочерк в конце xxxxxxxx.000_ или xxxxxxxx.000_000, то контейнер исчезает из перечисления. Не уверен какие именно при этом возникают изменения в имени формата 8.3 в файловой системе NTFS, но впечатление, что либо есть некий фильтр, отбрасывающий неформатные имена папок из перечисления либо для таких длинных имен операционная система удаляет имя формата 8.3 вообще. Если же "предполагаемый фильтр" формата (не так уж важно, в криптопровайдере или в операционной системе) перестанет работать при длинных именах, то количество просматриваемых папок резко увеличится. Кроме того, нужно отметить, что папки с отсутствующим или поврежденным name.key все же появляются в перечислении, то есть перечисление немного другой случай чем открытие заданного контейнера.

1) Действительно, если long_names=0, то перечисление не возвращает папки, которые не подходят под формат 8.3. Но это не значит, что провайдер их не перечисляет.
2) Формально небольшая разница, действительно, будет. В одном случае провайдер получает имя папки и отбраковывает по имени. В другом - получает имя папки, открывает её (пустая операция) и проверяет, есть ли там файлы name.key / header.key. Если это внезапно начнет сказываться на производительности, есть простое решение: отключить регистрацию "Все съемые диски" и явно зарегистрировать только конкретный раздел, где хранятся ключи.
Автор: two_oceans Перейти к цитате
2.2) Не до конца ясно какое имя имеется ввиду в фразе "При открытии контейнера по короткому имени"? Прошу пояснить: если перечисляются все папки и читается name.key, то за какой надобностью в реестре создается раздел с длинным дружественным именем контейнера, в котором находится параметр shortcut с FQCN именем. Криптопровайдер просто не принимает никакую другую папку с тем же дружественным именем, то есть наличие shortcut по всей видимости, отключает перечисление папок при открытии контейнера и заставляет обратится к конкретной папке. Вывод получается что реальный алгоритм явно сложнее чем описано в цитате выше.

Короткое имя - это уникальное имя контейнера в терминах CryptoAPI на конкретном считывателе. Например "Василий Эдуардович".
https://cpdn.cryptopro.r...LPSZ_CONTAINER_NAME.html
shortcut'ы в CSP 5.0 не поддерживаются. В 4.0, мне казалось, выключены по умолчанию.

Автор: two_oceans Перейти к цитате
В целом, я так понял проще стереть shortcut из реестра или изменить name.key чем договориться о поддержке иного способа формирования короткого имени папки.

Да)
Я бы посоветовал их вообще отключить, если они зачем-то включены: в [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters] добавить DisableShortcuts=1.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
two_oceans оставлено 29.11.2020(UTC)
Offline two_oceans  
#16 Оставлено : 29 ноября 2020 г. 9:41:18(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,162
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 265 раз в 249 постах
Автор: Агафьин Сергей Перейти к цитате
Я бы посоветовал их вообще отключить, если они зачем-то включены: в [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters] добавить DisableShortcuts=1.
Большое спасибо. Действительно, в этом параметре стоял 0. Если правильно понимаю, это чекбокс "сохранять информацию об использованных съемных носителях", снятый по умолчанию при установке криптопровайдера? И чекбокс в панели управления КриптоПро CSP на закладке Безопасность?
Странно, обычно я этот чекбокс не отмечаю при установке.

Есть вероятность, что на этом компьютере обновлял криптопровайдер поверх предыдущей версии (4.0.9944 - 4.0.9963), при этом часть интерфейса установки не отображается и параметры берутся не совсем ясно по какой логике (не совпадают ни со значениями прошлой версии, ни с параметрами по умолчанию).

Перепроверил на другом (новом) компьютере, где точно не было предыдущей версии до 4.0.9963, там чекбокс не отмечен. Придется перепроверить все компьютеры и протестировать ПО удостоверяющих центров, не ставит ли этот параметр в 0.
Автор: basid Перейти к цитате
Код:
dir /x имя
должно снять основные вопросы по коротким именам.
Спасибо что напомнили и сэкономили время. Обычно меня не интересовали короткие имена, так что этим параметром никогда не пользовался. Хотя dir регулярно использую при восстановлении компов, но только с маской без прочих параметров. Уже собирался писать программу на основе TWIN32_FIND_DATA.cAlternateName, но к нему какие-то мутные комментарии, когда оно заполнено.

Отредактировано пользователем 29 ноября 2020 г. 9:50:55(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.