Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Агафьин Сергей  
#11 Оставлено : 10 июня 2021 г. 11:05:59(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: Агафьин Сергей Перейти к цитате
В чем проблема:
- Для перечисления контейнеров через PKCS#11 мы вызываем перечисление открытых ключей и формируем из их меток и идентификаторов что-то похожее на имя.
- PKCS#11-библиотека JaCarta возвращает в списке одну служебную запись (ID_56504b4f5f4944 = VPKO_ID). Ей нельзя воспользоваться, её нельзя удалить, она просто существует для каких-то внутренних целей.
- Плагин Госуслуг для перечисления сертификатов перечисляет "короткие" имена всех контейнеров, а потом пробует каждый открыть и достать оттуда сертификат.

Соответственно, плагин получает "фейковое" имя, но пробует по нему открыть контейнер. Провайдер с этим контейнером работать не умеет и показывает окно "вставьте нормальный контейнер с таким именем".

Ошибок тут три:
- провайдеру стоит знать об этом идентификаторе и не возвращать его из API;
- pkcs#11 библиотеке не стоит из основного API возвращать нерабочие служебные записи;
- плагину Госуслуг не стоит использовать "короткие" имена контейнеров - с длинными проблемы не будет.

На своей стороне мы ошибку исправили только в CSP 5.0 R3. Вроде, в CSP 5.0 R2 (и даже сертифицированный) исправление не вошло, но нужно перепроверить.

Постараюсь договориться о решении хотя бы одной из оставшихся неточностей. В качестве временного решения предлагаю создать контейнер с тем же именем в реестре:
Код:
csptest -keys -cont registry\\ID_56504b4f5f4944 -newk -keyt exchange -pass ""


Приношу извинения за сложившуюся ситуацию. Проект вышел крайне объемным и не все нюансы удалось решить.


Договорились с компанией "Аладдин Р.Д." о том, что в будущих версиях их PKCS#11-библиотеки служебный ключ будет убран из перечисления. Вероятно, обновление на ЕК JaCarta 2.14(15?) починит проблему.

С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
nickm оставлено 10.06.2021(UTC)
Offline Sinity  
#12 Оставлено : 11 июня 2021 г. 11:10:40(UTC)
Sinity

Статус: Участник

Группы: Участники
Зарегистрирован: 03.07.2012(UTC)
Сообщений: 13

Сказал(а) «Спасибо»: 2 раз
Спасибо за ответ. Надеюсь, что все-таки в версии 2.14 ЕК Джакарты исправят проблему.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.