Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
Каким образом CSP (на Linux) можно настроить на использование внешней гаммы, полученной на АРМ выработки внешней гаммы?
Куда складывать полученный файлы с гаммой и как объяснить CSP что их надо использовать?
Будет ли после этого возможность генерировать ключи без использования биологического ДСЧ?
Будет ли эта гамма использоваться при выработки эфемерных ключей DH?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
Ответ есть в "ЖТЯИ.00050-02 90 02-02. Руководство администратора безопасности. [Linux|FreeBSD|Solaris|AIX].doc" 6.3. Настройка оборудования СКЗИ КриптоПро CSP: ... Для добавления ДСЧ КПИМ: # ./cpconfig -hardware rndm -add cpsd -name 'cpsd rng' -level 3 # ./cpconfig -hardware rndm -configure cpsd -add string /db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1 # ./cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1 Также надо скопировать файлы с данными, полученными на "АРМ выработки внешней гаммы", положим, что они лежат в /tmp/db[1,2]: # cp /tmp/db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1 # cp /tmp/db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1 ... После настройки будет использоваться тот ДСЧ, чей приоритет ("-level 3" вверху) выше (число меньше). Обычно у БиоДСЧ приоритет 5. Гамма тратится только на создание неэфемерных ключей. А также - на случайные числа GenRandom(), если установлено PP_USE_HARDWARE_RNG. Отредактировано пользователем 31 марта 2011 г. 18:26:57(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
А что делать если после описанных действий внешняя гамма всё равно не хочет использоваться? Файлы с гаммой на месте, каждый по 36 байт (генерировалось на один ключ) Код:# cpconfig -hardware rndm -view
Nick name: CPSD
Connect name:
Rndm name: cpsd rng
Rndm level: 3
Nick name: BIO_TUI
Connect name:
Rndm name: Биологический текстовый
Rndm level: 5
Код:# cpconfig -hardware rndm -configure cpsd -view
[\config\Random\cpsd\Default]
Name = cpsd rng
Level = 3
/db1/kis_1 = /var/opt/cprocsp/dsrf/db1/kis_1
/db2/kis_1 = /var/opt/cprocsp/dsrf/db2/kis_1
Код:# csptest -v
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
При генерации ключей из командной строки вылазит БиоДСЧ. А вызов Код:CryptSetProvParam(hProv, PP_USE_HARDWARE_RNG, NULL, 0)
неизменно фэйлится с ошибкой 0x80090020 Если же удалить "cpsd rng", то вызов CryptSetProvParam(PP_USE_HARDWARE_RNG) завершается успешно. Но при вызове CryptGenRandom всё равно вылазит БиоДСЧ. Так же прошу уточнить, в какой момент гамма тратится на генерацию случайных чисел? - При каждом вызове CryptGenRandom. - Только при вызовах CryptGenRandom для каждого нового контекста. - При инициализации первого нового контекста после перезагрузки ОС. - Используется иная логика (какая?). Отредактировано пользователем 6 мая 2011 г. 19:29:17(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
1. Пришлите вывод
ls -lR /var/opt/cprocsp/dsrf/
2. Включите протоколирование:
# /opt/cprocsp/sbin/архитектура/cpconfig -loglevel cpcsp -mask 0xF
# /opt/cprocsp/sbin/архитектура/cpconfig -loglevel capi20 -mask 0xF
# /opt/cprocsp/sbin/архитектура/cpconfig -loglevel capilite -mask 0xF
и пришлите что добавляется в /var/log/messages при попытке сделать ключи. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
1. Код:# ls -lR /var/opt/cprocsp/dsrf/
/var/opt/cprocsp/dsrf/:
total 12K
drwxr-xr-x 2 root root 4.0K 2011-05-10 19:34 db1/
drwxr-xr-x 2 root root 4.0K 2011-05-10 19:34 db2/
-rw-rw-rw- 1 root root 8 2011-05-10 19:38 kpim
/var/opt/cprocsp/dsrf/db1:
total 4.0K
-rw-rw-rw- 1 root root 36 2011-05-10 19:34 kis_1
/var/opt/cprocsp/dsrf/db2:
total 4.0K
-rw-rw-rw- 1 root root 36 2011-05-10 19:34 kis_1
2. Код:# csptest -keyset -newkeyset -cont '\\.\HDIMAGE\Limpopo'
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 147422307
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "Limpopo"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuilds/mybuild/CSP/samples/csptest/ctkey.c:1553:GenKey()
Error number 0x80090020 (-2146893792).
An internal error occurred.
Total:
[ErrorCode: 0x80090020]
При этом в /var/log/messages не добавляется ничего вообще. Добавление/удаление файла /var/opt/cprocsp/dsrf/kpim и игры с правами доступа к /var/opt/cprocsp/dsrf/db[1|2]/kis_1 ни на что не влияют. НО! Если скопировать kis_1, генерировавшиеся на два ключа (по 72 байта) - то картина несколько иная: Код:# csptest -keyset -newkeyset -cont '\\.\HDIMAGE\Limpopo'
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 150469731
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "Limpopo"
Signature key is not available.
Attempting to create a signature key...
CryptoPro CSP: Set password on produced container "Limpopo".
Password:
Retype password:
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
An error occurred in running the program.
/dailybuilds/mybuild/CSP/samples/csptest/ctkey.c:1553:GenKey()
Error number 0x80090020 (-2146893792).
An internal error occurred.
Total:
[ErrorCode: 0x80090020]
В /var/log/messages по прежнему пусто. После этого kis_1 обрезаются до нуля. Хм.. на один ключ хватило, а потом кончилось, хотя генерировалось гаммы на два ключа? Или генератору на пару ключей надо материала? Отредактировано пользователем 10 мая 2011 г. 23:46:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
И еще, при работе genkpim выдает: Код:C:\Program Files\Crypto Pro\CSP>genkpim.exe 1 DDAABBFF 1k
Generating KPIM for 1 [b]signature[/b] keys into 1k/
А на echnage ключи он гамму генерировать предназначен? Или это просто сообщение такое?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
Сгенерировал гамму на 10 ключей. На генерацию двух пар ключей для контейнера (signature/exchange) ушло 144 байта гаммы - 4 куска... Да, и на вызов CryptSetProvParam(PP_USE_HARDWARE_RNG) тоже тратится по два куска гаммы... Отредактировано пользователем 11 мая 2011 г. 0:22:07(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
