Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 80  Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
Автор: ГОСТface_killah  В общих чертах:
Для взаимодействия с картой (для организации защищённого канала с ней) требуются cv-сертификаты. Cv-сервисы, управляя этими сертификатами, упрощают Вам жизнь. Если по каким-то причинам доступ к данным сервисам невозможен, потребуется получить и установить данные сертификаты самостоятельно и пользоваться картой, пока не истекут.
"но что делать дальше, чтобы получить CV-сертификат, если ФУО в регионе не фурычит" здесь вопрос всё же к uecard.ru
то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо? и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324  Сказал «Спасибо»: 4 раз Поблагодарили: 53 раз в 53 постах
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 616   Откуда: Москва Сказал «Спасибо»: 3 раз Поблагодарили: 115 раз в 101 постах
|
Автор: neigel  то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо? и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?
Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто. Вкратце логика работы выглядит так: 1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов. 2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации. 3) В провайдере генерируется ключевая пара (ЗК хранится в реестре). 4) ОК отправляется на центр, где происходит создание CV-сертификатов. 5) Сертификаты возвращаются в провайдер и запоминаются в реестре. В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново. Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен. |
С уважением, Сергей Агафьин, Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 80  Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Grey  Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто.
Вкратце логика работы выглядит так: 1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов. 2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации. 3) В провайдере генерируется ключевая пара (ЗК хранится в реестре). 4) ОК отправляется на центр, где происходит создание CV-сертификатов. 5) Сертификаты возвращаются в провайдер и запоминаются в реестре.
В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново.
Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен.
О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? ) Или это просто способ держать юзера на поводке? P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить? Отредактировано пользователем 13 апреля 2016 г. 23:09:47(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 616   Откуда: Москва Сказал «Спасибо»: 3 раз Поблагодарили: 115 раз в 101 постах
|
Автор: neigel  О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? )
Или это просто способ держать юзера на поводке?
P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить?
А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера. Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает). |
С уважением, Сергей Агафьин, Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 80  Сказал(а) «Спасибо»: 5 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Grey  А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера. Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает).
Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 616   Откуда: Москва Сказал «Спасибо»: 3 раз Поблагодарили: 115 раз в 101 постах
|
Автор: neigel  Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )
В целом, закрытая. Но достаточно подробностей доступно и в открытых частях, которые выдает Google по запросу "спецификация уэк filetype:pdf". |
С уважением, Сергей Агафьин, Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.03.2015(UTC) Сообщений: 5   Откуда: Москва Сказал «Спасибо»: 1 раз
|
 И, что, проблема с Windows 10 так и не решилась в недрах КриптоПро? Если судить по затуханию темы...
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,375   Откуда: Москва Сказала «Спасибо»: 9 раз Поблагодарили: 64 раз в 43 постах
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.02.2017(UTC) Сообщений: 5
|
Очень полезная тема, спасибо большое
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.04.2015(UTC) Сообщений: 27  Сказал(а) «Спасибо»: 3 раз
|
вопрос такой. обновился с win7 до win10 переустановил криптопро (по ссылке из этой темы) и случилось страшное, пин код либо изменился, либо еще что. в общем 3 раза ввел и все неправильно (вводил 100% правильно, и правильный пин) куда теперь бежать? что делать?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 616   Откуда: Москва Сказал «Спасибо»: 3 раз Поблагодарили: 115 раз в 101 постах
|
Автор: Andrey099  вопрос такой. обновился с win7 до win10 переустановил криптопро (по ссылке из этой темы) и случилось страшное, пин код либо изменился, либо еще что. в общем 3 раза ввел и все неправильно (вводил 100% правильно, и правильный пин) куда теперь бежать? что делать?
А куда вводили? В прикладное ПО или в окна криптопровайдера? Контейнер на карте есть? Перечисление в панели управления его показывает? Попробуйте запустить uectool.exe из состава дистрибутива и: 1) Проверить доступность сервиса 2) Удалить аутентификационные данные |
С уважением, Сергей Агафьин, Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.04.2015(UTC) Сообщений: 27  Сказал(а) «Спасибо»: 3 раз
|
Автор: Grey  А куда вводили? В прикладное ПО или в окна криптопровайдера? в окно ввода пин кода для доступа. так же как и всегда ранее.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.04.2015(UTC) Сообщений: 27  Сказал(а) «Спасибо»: 3 раз
|
Автор: Grey  1) Проверить доступность сервиса доступен. ищу конверт с пин кодами, который выдали при получении карты. шансы что найду 50на50 что делать если не найду? в сбер ходил месяц назад (хотел счет к другому банку привязать) они УЭК не выдают. и вобще похоже про100 загнулась.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 616   Откуда: Москва Сказал «Спасибо»: 3 раз Поблагодарили: 115 раз в 101 постах
|
Автор: Andrey099  Автор: Grey  А куда вводили? В прикладное ПО или в окна криптопровайдера? в окно ввода пин кода для доступа. так же как и всегда ранее. Вот это окно откуда появляется? Кто его порождает? Провайдер или какое-то стороннее ПО? При какой операции оно появляется? Автор: Andrey099  Автор: Grey  1) Проверить доступность сервиса доступен. ищу конверт с пин кодами, который выдали при получении карты. шансы что найду 50на50 что делать если не найду? в сбер ходил месяц назад (хотел счет к другому банку привязать) они УЭК не выдают. и вобще похоже про100 загнулась. Если ПИН верный, но карта его не принимала, то, возможно, это наведенная ошибка из-за проблем с сервисом. Аутентификационные данные удаляли? В перечислении через "Панель управления - КриптоПро УЭК CSP" контейнер виден? Приведите вывод команды "csptest -card -uecard" (csptest - консольная утилита из Program Files / Crypto Pro / UCSP). Если ПИН действительно ошибочный, то заблокировать можно с помощью PUK из конверта с ПИН-ами. Что делать, если его не найдете, полагаю, уже не к нам вопрос. Напишите в ФУО. Но, скорее всего, только перевыпуск. |
С уважением, Сергей Агафьин, Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.04.2015(UTC) Сообщений: 27  Сказал(а) «Спасибо»: 3 раз
|
Автор: Grey  Вот это окно откуда появляется? Кто его порождает? Провайдер или какое-то стороннее ПО? При какой операции оно появляется? окно появляется при обращении к ключу ЭЦП. если при входе на сайт налог.ру в личный кабинет выбрать вход через ЭЦП, выбираем проверить технические условия подключения. далее выскакивает окно с выбором личного сертификата (по другому ЭЦП) выбираем его, и через 10-15 секунд выходит окно. я так понимаю, что порождает его криптопро или если точнее плагин, который обращается к устройству чтения и требует ввода пин кода для доступа к ключу. к сожалению проверить пока не смогу больше, т.к. карточка ЭЦП с собой, а средство доступа в другом месте. как вернуть, попробую проверить все и напишу. орентировочно через неделю смогу.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.04.2015(UTC) Сообщений: 27  Сказал(а) «Спасибо»: 3 раз
|
]в чем было дело не знаю, но нашел конверт с пинами. восстановил win7, где раньше все работало, ввел puk код. и все восстановилось. проверил в вин10, в госуслуги и налоги заходил. и вот теперь опять проблема. win10 на налог ру в личном кабинете не могу ничего подписать. попробовал на win 7 - с лету все подписалось. куда копать? что делать. ноут с win7 скоро уйдет на разборку. надо на win10 все настроить как то. вот скрин ошибки  2017-04-27_14-39-41.png (12kb) загружен 9 раз(а).может быть проблема в версии эксплорера? на win 10 такая стоит  2017-04-27_14-42-16.png (16kb) загружен 4 раз(а).криптопро такой  2017-04-27_14-49-58.png (19kb) загружен 4 раз(а).Отредактировано пользователем 27 апреля 2017 г. 14:54:20(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.04.2015(UTC) Сообщений: 27  Сказал(а) «Спасибо»: 3 раз
|
разобрался. помогло сообщение http://www.cryptopro.ru/...ts&m=66192#post66192Автор: Андрей *  Пуск\Все программы\КРИПТО-ПРО\Сертификаты\
Сертификаты текущего пользователя\Личное\Реестр\Сертификаты
Откройте свой сертификат. На вкладке Путь сертификации - есть сертификат вашего УЦ?
Если есть - щелкаете на нем дважды. Откроется окно, на вкладке Общие - есть кнопка для установки. Устанавливаете сертификат в хранилище: доверенные корневые сертификаты.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close