Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Куликов  
#1 Оставлено : 30 марта 2011 г. 21:18:46(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
Каким образом CSP (на Linux) можно настроить на использование внешней гаммы, полученной на АРМ выработки внешней гаммы?

Куда складывать полученный файлы с гаммой и как объяснить CSP что их надо использовать?

Будет ли после этого возможность генерировать ключи без использования биологического ДСЧ?
Будет ли эта гамма использоваться при выработки эфемерных ключей DH?

Offline Русев Андрей  
#2 Оставлено : 31 марта 2011 г. 18:22:23(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 835

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 210 раз в 163 постах
Ответ есть в "ЖТЯИ.00050-02 90 02-02. Руководство администратора безопасности. [Linux|FreeBSD|Solaris|AIX].doc"
6.3. Настройка оборудования СКЗИ КриптоПро CSP:
...
Для добавления ДСЧ КПИМ:
# ./cpconfig -hardware rndm -add cpsd -name 'cpsd rng' -level 3
# ./cpconfig -hardware rndm -configure cpsd -add string /db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1
# ./cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1
Также надо скопировать файлы с данными, полученными на "АРМ выработки внешней гаммы", положим, что они лежат в /tmp/db[1,2]:
# cp /tmp/db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1
# cp /tmp/db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1
...

После настройки будет использоваться тот ДСЧ, чей приоритет ("-level 3" вверху) выше (число меньше). Обычно у БиоДСЧ приоритет 5.
Гамма тратится только на создание неэфемерных ключей. А также - на случайные числа GenRandom(), если установлено PP_USE_HARDWARE_RNG.

Отредактировано пользователем 31 марта 2011 г. 18:26:57(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Offline Андрей Куликов  
#3 Оставлено : 31 марта 2011 г. 21:45:31(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
Спасибо!
Offline Андрей Куликов  
#4 Оставлено : 6 мая 2011 г. 19:22:23(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
А что делать если после описанных действий внешняя гамма всё равно не хочет использоваться?

Файлы с гаммой на месте, каждый по 36 байт (генерировалось на один ключ)

Код:
# cpconfig -hardware rndm -view

Nick name: CPSD
Connect name:
Rndm name: cpsd rng
Rndm level: 3

Nick name: BIO_TUI
Connect name:
Rndm name: Биологический текстовый
Rndm level: 5


Код:
# cpconfig -hardware rndm -configure cpsd -view

[\config\Random\cpsd\Default]

Name = cpsd rng
Level = 3
/db1/kis_1 = /var/opt/cprocsp/dsrf/db1/kis_1
/db2/kis_1 = /var/opt/cprocsp/dsrf/db2/kis_1


Код:
# csptest -v
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.


При генерации ключей из командной строки вылазит БиоДСЧ.
А вызов
Код:
CryptSetProvParam(hProv, PP_USE_HARDWARE_RNG, NULL, 0)

неизменно фэйлится с ошибкой 0x80090020


Если же удалить "cpsd rng", то вызов CryptSetProvParam(PP_USE_HARDWARE_RNG) завершается успешно.
Но при вызове CryptGenRandom всё равно вылазит БиоДСЧ.

Так же прошу уточнить, в какой момент гамма тратится на генерацию случайных чисел?
- При каждом вызове CryptGenRandom.
- Только при вызовах CryptGenRandom для каждого нового контекста.
- При инициализации первого нового контекста после перезагрузки ОС.
- Используется иная логика (какая?).

Отредактировано пользователем 6 мая 2011 г. 19:29:17(UTC)  | Причина: Не указана

Offline Татьяна  
#5 Оставлено : 10 мая 2011 г. 15:29:59(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
1. Пришлите вывод

ls -lR /var/opt/cprocsp/dsrf/

2. Включите протоколирование:

# /opt/cprocsp/sbin/архитектура/cpconfig -loglevel cpcsp -mask 0xF
# /opt/cprocsp/sbin/архитектура/cpconfig -loglevel capi20 -mask 0xF
# /opt/cprocsp/sbin/архитектура/cpconfig -loglevel capilite -mask 0xF

и пришлите что добавляется в /var/log/messages при попытке сделать ключи.
Татьяна
ООО Крипто-Про
Offline Андрей Куликов  
#6 Оставлено : 10 мая 2011 г. 23:41:11(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
1.
Код:
# ls -lR /var/opt/cprocsp/dsrf/
/var/opt/cprocsp/dsrf/:
total 12K
drwxr-xr-x 2 root root 4.0K 2011-05-10 19:34 db1/
drwxr-xr-x 2 root root 4.0K 2011-05-10 19:34 db2/
-rw-rw-rw- 1 root root    8 2011-05-10 19:38 kpim

/var/opt/cprocsp/dsrf/db1:
total 4.0K
-rw-rw-rw- 1 root root 36 2011-05-10 19:34 kis_1

/var/opt/cprocsp/dsrf/db2:
total 4.0K
-rw-rw-rw- 1 root root 36 2011-05-10 19:34 kis_1


2.
Код:
# csptest -keyset -newkeyset  -cont '\\.\HDIMAGE\Limpopo'
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 147422307
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "Limpopo"

Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuilds/mybuild/CSP/samples/csptest/ctkey.c:1553:GenKey()
Error number 0x80090020 (-2146893792).
An internal error occurred.
Total:
[ErrorCode: 0x80090020]


При этом в /var/log/messages не добавляется ничего вообще.
Добавление/удаление файла /var/opt/cprocsp/dsrf/kpim и игры с правами доступа к /var/opt/cprocsp/dsrf/db[1|2]/kis_1 ни на что не влияют.

НО! Если скопировать kis_1, генерировавшиеся на два ключа (по 72 байта) - то картина несколько иная:
Код:
# csptest -keyset -newkeyset  -cont '\\.\HDIMAGE\Limpopo'
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 150469731
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "Limpopo"

Signature key is not available.
Attempting to create a signature key...
CryptoPro CSP: Set password on produced container "Limpopo".
Password:
Retype password:
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
An error occurred in running the program.
/dailybuilds/mybuild/CSP/samples/csptest/ctkey.c:1553:GenKey()
Error number 0x80090020 (-2146893792).
An internal error occurred.
Total:
[ErrorCode: 0x80090020]

В /var/log/messages по прежнему пусто.

После этого kis_1 обрезаются до нуля.
Хм.. на один ключ хватило, а потом кончилось, хотя генерировалось гаммы на два ключа?
Или генератору на пару ключей надо материала?

Отредактировано пользователем 10 мая 2011 г. 23:46:45(UTC)  | Причина: Не указана

Offline Андрей Куликов  
#7 Оставлено : 10 мая 2011 г. 23:52:50(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
И еще, при работе genkpim выдает:
Код:
C:\Program Files\Crypto Pro\CSP>genkpim.exe 1 DDAABBFF 1k
Generating KPIM for 1 [b]signature[/b] keys into 1k/

А на echnage ключи он гамму генерировать предназначен?
Или это просто сообщение такое?
Offline Андрей Куликов  
#8 Оставлено : 10 мая 2011 г. 23:57:56(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
Сгенерировал гамму на 10 ключей.

На генерацию двух пар ключей для контейнера (signature/exchange) ушло 144 байта гаммы - 4 куска...

Да, и на вызов CryptSetProvParam(PP_USE_HARDWARE_RNG) тоже тратится по два куска гаммы...

Отредактировано пользователем 11 мая 2011 г. 0:22:07(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.