Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Sinity  
#1 Оставлено : 8 июня 2021 г. 10:08:50(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Добрый день!
1) Для создания контейнера выбираем носитель JaCarta GOST 2.0 (PKCS#11).
UserPostedImage
2) В Крипто-Про CSP 5.0.11998 считыватель pkcs#11 добавлен и контейнеры видно. Также на компьютере установлен Единый Клиент JaCarta Версия 2.13.1 сборка 3100
UserPostedImage
3) Проблема возникает на некоторых порталах, таких как Госуслуги, Росфинмониторинг и т.д.
UserPostedImage
Если нажать отмена, то окно пропадает и появляется список сертификатов и можно зайти на госуслуги и прочие порталы.
Но если сертификатов много, то нажимать отмена нужно столько раз, сколько сертификатов.
Подскажите как убрать данное всплывающее окно?
На одном компьютере получилось, но алгоритм решения данной проблемы мной не выявлен.
Offline Агафьин Сергей  
#2 Оставлено : 8 июня 2021 г. 11:41:02(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 657
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 136 раз в 112 постах
Добрый день.
ID_56.... - это служебный контейнер JaCarta, который в будущих версиях исключен из списков. Пока что не выбирайте его.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 2 пользователей поблагодарили Grey за этот пост.
Бубубу оставлено 08.06.2021(UTC), Sinity оставлено 08.06.2021(UTC)
Offline Sinity  
#3 Оставлено : 8 июня 2021 г. 11:47:23(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Автор: Агафьин Сергей Перейти к цитате
Добрый день.
ID_56.... - это служебный контейнер JaCarta, который в будущих версиях исключен из списков. Пока что не выбирайте его.


Не выбирайте в плане чего? Он автоматически создается при генерации контейнера. Его нельзя удалить через крипто-про, нельзя в него установить личный сертификат и т.д. Но на госуслугах и т.д. идет обращение к этому контейнеру, чтобы указали носитель для него и все носители недоступны для данной операции. Там где используется просто крипто-про эцп браузер плагин, проблемы с всплывающими окнами не возникает.

Т.е. в будущих версиях этот контейнер не будет отображаться в Крипто-Про и соответственно всплывающих окон возникать не будет? я вас правильно понял?

Offline Агафьин Сергей  
#4 Оставлено : 8 июня 2021 г. 12:49:06(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 657
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 136 раз в 112 постах
Извините, не так понял вопрос сначала.
Да, смог воспроизвести проблему. Спасибо за обращение.

Постараемся решить.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Агафьин Сергей  
#5 Оставлено : 8 июня 2021 г. 13:24:23(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 657
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 136 раз в 112 постах
В чем проблема:
- Для перечисления контейнеров через PKCS#11 мы вызываем перечисление открытых ключей и формируем из их меток и идентификаторов что-то похожее на имя.
- PKCS#11-библиотека JaCarta возвращает в списке одну служебную запись (ID_56504b4f5f4944 = VPKO_ID). Ей нельзя воспользоваться, её нельзя удалить, она просто существует для каких-то внутренних целей.
- Плагин Госуслуг для перечисления сертификатов перечисляет "короткие" имена всех контейнеров, а потом пробует каждый открыть и достать оттуда сертификат.

Соответственно, плагин получает "фейковое" имя, но пробует по нему открыть контейнер. Провайдер с этим контейнером работать не умеет и показывает окно "вставьте нормальный контейнер с таким именем".

Ошибок тут три:
- провайдеру стоит знать об этом идентификаторе и не возвращать его из API;
- pkcs#11 библиотеке не стоит из основного API возвращать нерабочие служебные записи;
- плагину Госуслуг не стоит использовать "короткие" имена контейнеров - с длинными проблемы не будет.

На своей стороне мы ошибку исправили только в CSP 5.0 R3. Вроде, в CSP 5.0 R2 (и даже сертифицированный) исправление не вошло, но нужно перепроверить.

Постараюсь договориться о решении хотя бы одной из оставшихся неточностей. В качестве временного решения предлагаю создать контейнер с тем же именем в реестре:
Код:
csptest -keys -cont registry\\ID_56504b4f5f4944 -newk -keyt exchange -pass ""


Приношу извинения за сложившуюся ситуацию. Проект вышел крайне объемным и не все нюансы удалось решить.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 3 пользователей поблагодарили Grey за этот пост.
Sinity оставлено 08.06.2021(UTC), nickm оставлено 08.06.2021(UTC), Бубубу оставлено 08.06.2021(UTC)
Offline Sinity  
#6 Оставлено : 8 июня 2021 г. 14:10:04(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Спасибо за ответ.

Сразу еще вопрос по поводу библиотеки pkcs#11 и MacOS. Не нашел в версии Крипто-Про 5.0 для Mac добавление считывателей, как в версии для Windows.
Есть ли какая-то инструкция или отдельно библиотека pkcs#11 для Крипто-Про для операционной системы Mac?
Опять же для работы с JaCarta-2 ГОСТ. C Рутокен ЭЦП 2.0 вроде работает и на MacOS. А контейнеры JaCarta-2 ГОСТ Крипто-Про не видит.
Offline Агафьин Сергей  
#7 Оставлено : 8 июня 2021 г. 14:14:05(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 657
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 136 раз в 112 постах
Автор: Sinity Перейти к цитате
Спасибо за ответ.

Сразу еще вопрос по поводу библиотеки pkcs#11 и MacOS. Не нашел в версии Крипто-Про 5.0 для Mac добавление считывателей, как в версии для Windows.
Есть ли какая-то инструкция или отдельно библиотека pkcs#11 для Крипто-Про для операционной системы Mac?
Опять же для работы с JaCarta-2 ГОСТ. C Рутокен ЭЦП 2.0 вроде работает и на MacOS. А контейнеры JaCarta-2 ГОСТ Крипто-Про не видит.


Нужно установить Единый Клиент JaCarta для MacOS.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Sinity  
#8 Оставлено : 8 июня 2021 г. 14:19:56(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: Sinity Перейти к цитате
Спасибо за ответ.

Сразу еще вопрос по поводу библиотеки pkcs#11 и MacOS. Не нашел в версии Крипто-Про 5.0 для Mac добавление считывателей, как в версии для Windows.
Есть ли какая-то инструкция или отдельно библиотека pkcs#11 для Крипто-Про для операционной системы Mac?
Опять же для работы с JaCarta-2 ГОСТ. C Рутокен ЭЦП 2.0 вроде работает и на MacOS. А контейнеры JaCarta-2 ГОСТ Крипто-Про не видит.


Нужно установить Единый Клиент JaCarta для MacOS.


Это понятно, что нужно установить Единый Клиент. В Едином Клиенте Jacarta контейнеры видит, а в Крипто-Про нет.
Offline Агафьин Сергей  
#9 Оставлено : 8 июня 2021 г. 15:24:46(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 657
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 136 раз в 112 постах
Автор: Sinity Перейти к цитате
Это понятно, что нужно установить Единый Клиент. В Едином Клиенте Jacarta контейнеры видит, а в Крипто-Про нет.

Если видны PKCS#11-контейнеры Рутокен ЭЦП 2.0, но не видны с JaCarta, значит, проблемы в регистрации/установке pkcs11-библиотеки.
Мы по умолчанию прописываем путь до /Library/Frameworks/jcPKCS11-2.framework/jcPKCS11-2. Если у вас библиотека ставится в какое-то другое место, то путь можно изменить так:
Код:
/opt/cprocsp/sbin/cpconfig -ini '\config\KeyDevices\cryptoki_jacarta\PNP cryptoki\Default' -add string pkcs11_dll "/Library/Frameworks/jcPKCS11-2.framework/jcPKCS11-2"
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Sinity  
#10 Оставлено : 8 июня 2021 г. 15:43:36(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Спасибо. Проверим.
Offline Агафьин Сергей  
#11 Оставлено : 10 июня 2021 г. 11:05:59(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 657
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 136 раз в 112 постах
Автор: Агафьин Сергей Перейти к цитате
В чем проблема:
- Для перечисления контейнеров через PKCS#11 мы вызываем перечисление открытых ключей и формируем из их меток и идентификаторов что-то похожее на имя.
- PKCS#11-библиотека JaCarta возвращает в списке одну служебную запись (ID_56504b4f5f4944 = VPKO_ID). Ей нельзя воспользоваться, её нельзя удалить, она просто существует для каких-то внутренних целей.
- Плагин Госуслуг для перечисления сертификатов перечисляет "короткие" имена всех контейнеров, а потом пробует каждый открыть и достать оттуда сертификат.

Соответственно, плагин получает "фейковое" имя, но пробует по нему открыть контейнер. Провайдер с этим контейнером работать не умеет и показывает окно "вставьте нормальный контейнер с таким именем".

Ошибок тут три:
- провайдеру стоит знать об этом идентификаторе и не возвращать его из API;
- pkcs#11 библиотеке не стоит из основного API возвращать нерабочие служебные записи;
- плагину Госуслуг не стоит использовать "короткие" имена контейнеров - с длинными проблемы не будет.

На своей стороне мы ошибку исправили только в CSP 5.0 R3. Вроде, в CSP 5.0 R2 (и даже сертифицированный) исправление не вошло, но нужно перепроверить.

Постараюсь договориться о решении хотя бы одной из оставшихся неточностей. В качестве временного решения предлагаю создать контейнер с тем же именем в реестре:
Код:
csptest -keys -cont registry\\ID_56504b4f5f4944 -newk -keyt exchange -pass ""


Приношу извинения за сложившуюся ситуацию. Проект вышел крайне объемным и не все нюансы удалось решить.


Договорились с компанией "Аладдин Р.Д." о том, что в будущих версиях их PKCS#11-библиотеки служебный ключ будет убран из перечисления. Вероятно, обновление на ЕК JaCarta 2.14(15?) починит проблему.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
nickm оставлено 10.06.2021(UTC)
Offline Sinity  
#12 Оставлено : 11 июня 2021 г. 11:10:40(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Спасибо за ответ. Надеюсь, что все-таки в версии 2.14 ЕК Джакарты исправят проблему.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.