logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline neigel  
#21 Оставлено : 12 апреля 2016 г. 20:56:26(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 52
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Автор: ГОСТface_killah Перейти к цитате
В общих чертах:

Для взаимодействия с картой (для организации защищённого канала с ней) требуются cv-сертификаты. Cv-сервисы, управляя этими сертификатами, упрощают Вам жизнь. Если по каким-то причинам доступ к данным сервисам невозможен, потребуется получить и установить данные сертификаты самостоятельно и пользоваться картой, пока не истекут.

"но что делать дальше, чтобы получить CV-сертификат, если ФУО в регионе не фурычит" здесь вопрос всё же к uecard.ru




то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо?

и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?

Offline Alexander A. Nikitkov  
#22 Оставлено : 12 апреля 2016 г. 22:22:24(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 320
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 51 раз в 51 постах
Цитата:
Где почитать про это?
более детально тут http://www.uecard.ru/upl...0c328024d0f40e25f882.pdf
Offline Агафьин Сергей  
#23 Оставлено : 13 апреля 2016 г. 11:44:53(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 475
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 2 раз
Поблагодарили: 77 раз в 71 постах
Автор: neigel Перейти к цитате

то есть подключение к сервису требуется однократно и если оно удалось, то ни в какую ФУО топать не надо?
и между чем и чем организуется защищенный канал? между картой и приложением (криптопровайдером)? а в чем его смысл и где хранится закрытый ключ, к которому выпускается CV-сертификат?

Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто.

Вкратце логика работы выглядит так:
1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов.
2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации.
3) В провайдере генерируется ключевая пара (ЗК хранится в реестре).
4) ОК отправляется на центр, где происходит создание CV-сертификатов.
5) Сертификаты возвращаются в провайдер и запоминаются в реестре.

В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново.

Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline neigel  
#24 Оставлено : 13 апреля 2016 г. 22:24:44(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 52
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Автор: Grey Перейти к цитате

Подключение требуется для получения cv-сертификатов. Они запрашиваются при первом обращении к карте на данной ЭВМ, а затем при окончании срока их действия (или срока действия ключа). Проблема в том, что, как правило, они имеют крайне ограниченные сроки (не более месяца), так что перевыпускать CV-сертификаты нужно относительно часто.

Вкратце логика работы выглядит так:
1) Организуется защищенный канал (TLS) между криптопровайдером и центром выдачи CV-сертификатов.
2) По данному каналу производится общение CV-центра с картой, что приводит к их взаимной аутентификации.
3) В провайдере генерируется ключевая пара (ЗК хранится в реестре).
4) ОК отправляется на центр, где происходит создание CV-сертификатов.
5) Сертификаты возвращаются в провайдер и запоминаются в реестре.

В дальнейшем перед каждым сеансом работы происходит взаимная аутентификация провайдера (с использованием CV-сертификатов и ЗК) и карты (с использованием ЗК,ОК карты), в результате которой между ними устанавливается защищенный канал. Если карте не подошли сертификаты, провайдер запускает цикл их получения заново.

Как писал мой коллега, если данный процесс не может быть выполнен на конкретной ЭВМ, провайдер предоставляет возможность создания запроса на CV-сертификат с сохранением его на флешке, чтобы затем отнести его в ФУО и получить цепочку сертификатов "оффлайн". Поскольку этот процесс, мягко говоря, более накладный, то и срок действия полученных таким образом сертификатов может быть расширен.


О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? )

Или это просто способ держать юзера на поводке?

P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить?

Отредактировано пользователем 13 апреля 2016 г. 23:09:47(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#25 Оставлено : 14 апреля 2016 г. 10:13:45(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 475
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 2 раз
Поблагодарили: 77 раз в 71 постах
Автор: neigel Перейти к цитате

О! Спасибо огромное за пояснения! Только осталось понять, от кого прячется обмен между криптопровайдером и картой, если ЗК для этого обмена доступен любому, кто умеет читать реестр на локальной машине? Кто в этой модели злодей? )

Или это просто способ держать юзера на поводке?

P.S.: Почитал доку. Это способ наделить терминал определенными правами. Только вот какой смысл ограничивать срок действия CV-сертификата месяцем, если локальное время можно переводить?


А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера.
Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает).
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline neigel  
#26 Оставлено : 14 апреля 2016 г. 10:36:21(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 52
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Автор: Grey Перейти к цитате

А на эти вопросы ответы могут дать только в ФУО. Нам передали спецификацию карты, мы реализовали терминальную часть, научились с ней работать и выложили на сайт в виде криптопровайдера.
Нарушитель для таких протоколов тот, кто сидит в канале между картой и терминалом. Чтобы не казалось совсем надуманным, вспомните, что УЭК имеет и бесконтактный интерфейс (хотя, увы, наш провайдер его и не поддерживает).


Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )
Offline Агафьин Сергей  
#27 Оставлено : 14 апреля 2016 г. 11:35:48(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 475
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 2 раз
Поблагодарили: 77 раз в 71 постах
Автор: neigel Перейти к цитате

Спасибо за ответы! А спецификация карты - это секретная вещь или она открыта? )


В целом, закрытая. Но достаточно подробностей доступно и в открытых частях, которые выдает Google по запросу "спецификация уэк filetype:pdf".
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline SedoVlas  
#28 Оставлено : 30 октября 2016 г. 18:36:35(UTC)
SedoVlas

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.03.2015(UTC)
Сообщений: 5
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Pray И, что, проблема с Windows 10 так и не решилась в недрах КриптоПро?
Если судить по затуханию темы... d'oh!
Offline Femi  
#29 Оставлено : 31 октября 2016 г. 10:31:04(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,369
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 4 раз
Поблагодарили: 64 раз в 43 постах
Автор: SedoVlas Перейти к цитате
Pray И, что, проблема с Windows 10 так и не решилась в недрах КриптоПро?
Если судить по затуханию темы... d'oh!


https://www.cryptopro.ru...ptopro-csp-uec/downloads
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Hauteriv  
#30 Оставлено : 21 февраля 2017 г. 2:20:38(UTC)
Hauteriv

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.02.2017(UTC)
Сообщений: 5

Очень полезная тема, спасибо большое
Offline Andrey099  
#31 Оставлено : 24 февраля 2017 г. 12:01:18(UTC)
Andrey099

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2015(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
вопрос такой.
обновился с win7 до win10 переустановил криптопро (по ссылке из этой темы)
и случилось страшное, пин код либо изменился, либо еще что.
в общем 3 раза ввел и все неправильно (вводил 100% правильно, и правильный пин)
куда теперь бежать? что делать?
Offline Агафьин Сергей  
#32 Оставлено : 27 февраля 2017 г. 10:19:12(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 475
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 2 раз
Поблагодарили: 77 раз в 71 постах
Автор: Andrey099 Перейти к цитате
вопрос такой.
обновился с win7 до win10 переустановил криптопро (по ссылке из этой темы)
и случилось страшное, пин код либо изменился, либо еще что.
в общем 3 раза ввел и все неправильно (вводил 100% правильно, и правильный пин)
куда теперь бежать? что делать?


А куда вводили? В прикладное ПО или в окна криптопровайдера?
Контейнер на карте есть? Перечисление в панели управления его показывает?

Попробуйте запустить uectool.exe из состава дистрибутива и:
1) Проверить доступность сервиса
2) Удалить аутентификационные данные
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Andrey099  
#33 Оставлено : 27 февраля 2017 г. 18:28:00(UTC)
Andrey099

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2015(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Grey Перейти к цитате
А куда вводили? В прикладное ПО или в окна криптопровайдера?

в окно ввода пин кода для доступа.
так же как и всегда ранее.

Offline Andrey099  
#34 Оставлено : 27 февраля 2017 г. 18:30:10(UTC)
Andrey099

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2015(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Grey Перейти к цитате
1) Проверить доступность сервиса

доступен.

ищу конверт с пин кодами, который выдали при получении карты. шансы что найду 50на50

что делать если не найду?
в сбер ходил месяц назад (хотел счет к другому банку привязать) они УЭК не выдают.
и вобще похоже про100 загнулась.


Offline Агафьин Сергей  
#35 Оставлено : 28 февраля 2017 г. 9:07:18(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 475
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 2 раз
Поблагодарили: 77 раз в 71 постах
Автор: Andrey099 Перейти к цитате
Автор: Grey Перейти к цитате
А куда вводили? В прикладное ПО или в окна криптопровайдера?

в окно ввода пин кода для доступа.
так же как и всегда ранее.

Вот это окно откуда появляется? Кто его порождает? Провайдер или какое-то стороннее ПО? При какой операции оно появляется?

Автор: Andrey099 Перейти к цитате
Автор: Grey Перейти к цитате
1) Проверить доступность сервиса

доступен.

ищу конверт с пин кодами, который выдали при получении карты. шансы что найду 50на50

что делать если не найду?
в сбер ходил месяц назад (хотел счет к другому банку привязать) они УЭК не выдают.
и вобще похоже про100 загнулась.


Если ПИН верный, но карта его не принимала, то, возможно, это наведенная ошибка из-за проблем с сервисом. Аутентификационные данные удаляли? В перечислении через "Панель управления - КриптоПро УЭК CSP" контейнер виден? Приведите вывод команды "csptest -card -uecard" (csptest - консольная утилита из Program Files / Crypto Pro / UCSP).
Если ПИН действительно ошибочный, то заблокировать можно с помощью PUK из конверта с ПИН-ами. Что делать, если его не найдете, полагаю, уже не к нам вопрос. Напишите в ФУО. Но, скорее всего, только перевыпуск.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Andrey099  
#36 Оставлено : 28 февраля 2017 г. 15:30:49(UTC)
Andrey099

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2015(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Grey Перейти к цитате
Вот это окно откуда появляется? Кто его порождает? Провайдер или какое-то стороннее ПО? При какой операции оно появляется?


окно появляется при обращении к ключу ЭЦП. если при входе на сайт налог.ру в личный кабинет выбрать вход через ЭЦП, выбираем проверить технические условия подключения.
далее выскакивает окно с выбором личного сертификата (по другому ЭЦП) выбираем его, и через 10-15 секунд выходит окно. я так понимаю, что порождает его криптопро или если точнее плагин, который обращается к устройству чтения и требует ввода пин кода для доступа к ключу.

к сожалению проверить пока не смогу больше, т.к. карточка ЭЦП с собой, а средство доступа в другом месте. как вернуть, попробую проверить все и напишу. орентировочно через неделю смогу.

Offline Andrey099  
#37 Оставлено : 27 апреля 2017 г. 14:43:40(UTC)
Andrey099

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2015(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
]в чем было дело не знаю, но нашел конверт с пинами. восстановил win7, где раньше все работало, ввел puk код. и все восстановилось.
проверил в вин10, в госуслуги и налоги заходил.

и вот теперь опять проблема.
win10
на налог ру в личном кабинете не могу ничего подписать.
попробовал на win 7 - с лету все подписалось.
куда копать? что делать.
ноут с win7 скоро уйдет на разборку. надо на win10 все настроить как то.

вот скрин ошибки
2017-04-27_14-39-41.png (12kb) загружен 8 раз(а).

может быть проблема в версии эксплорера?
на win 10 такая стоит
2017-04-27_14-42-16.png (16kb) загружен 3 раз(а).
криптопро такой

2017-04-27_14-49-58.png (19kb) загружен 3 раз(а).

Отредактировано пользователем 27 апреля 2017 г. 14:54:20(UTC)  | Причина: Не указана

Offline Andrey099  
#38 Оставлено : 27 апреля 2017 г. 15:13:42(UTC)
Andrey099

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2015(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
разобрался.
помогло сообщение
http://www.cryptopro.ru/...ts&m=66192#post66192
Автор: Андрей * Перейти к цитате
Пуск\Все программы\КРИПТО-ПРО\Сертификаты\

Сертификаты текущего пользователя\Личное\Реестр\Сертификаты


Откройте свой сертификат.
На вкладке Путь сертификации - есть сертификат вашего УЦ?

Если есть - щелкаете на нем дважды.
Откроется окно, на вкладке Общие - есть кнопка для установки.
Устанавливаете сертификат в хранилище: доверенные корневые сертификаты.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.