Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Роман кислухин  
#1 Оставлено : 21 июля 2017 г. 17:59:57(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Имеем следующую ситуацию.
Ключ и сертификат расположены на токене RuToken. Пользователь подписывает документы.
После подписи первого документа извлекает носитель, но система продолжает успешно подписывать документы дальше (при этом спрашивает пароль к контейнеру - все как положено, так как контекст ключа не кэшируется в приложении, а сразу освобождается). На самОм токене пароля нет.
Больше того, если до этого уже было запущено другое приложение, использующее данный токен, то дальше токен уже не нужен совсем - без него все прекрасно подписывается в любых приложениях.
Проблема повторяется на Windows и (возможно с некоторыми вариациями) на Linux.
Куда смотреть? Настройки кэширования в рутокене отключены.
Offline Андрей Писарев  
#2 Оставлено : 21 июля 2017 г. 18:10:30(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.

Кэширование\служба хранения ключей включены?
Вкладка Безопасность.

Вкладка Общие - какая версия продукта?
Техническую поддержку оказываем тут
Наша база знаний
Offline Роман кислухин  
#3 Оставлено : 21 июля 2017 г. 18:19:26(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Кэширование выключено.
У заказчика КриптоПро 3.6.7777
Тестирую на 4.0.9842. Версия ядра 4.0.9014
Offline Агафьин Сергей  
#4 Оставлено : 24 июля 2017 г. 8:34:05(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Добрый день.
Если контекст освобождается, значит, и ключей в памяти оставаться не должно.
В вашем описании смущает то, что спрашивается какой-то пароль, хотя его на токене нет. А раз нет и токена, то его некуда предъявлять.
Подскажите, пожалуйста, может на системе есть другой контейнер с тем же именем?
Как система открывает контейнер? По короткому имени?
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Роман кислухин  
#5 Оставлено : 24 июля 2017 г. 10:37:56(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
На токене пароля нет, а на контейнере есть. Контейнер защищен паролем.
Другого контейнера с таким именем нет.
У меня подозрение, что ключей то как раз нет. А вот токен кэшируется целиком. Он же пароль спрашивает потом на контейнер. То есть доступ к ключу заново получает. А токен уже вынут.

Отредактировано пользователем 24 июля 2017 г. 10:42:22(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#6 Оставлено : 24 июля 2017 г. 13:31:30(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: Роман кислухин Перейти к цитате
На токене пароля нет, а на контейнере есть. Контейнер защищен паролем.
Другого контейнера с таким именем нет.
У меня подозрение, что ключей то как раз нет. А вот токен кэшируется целиком. Он же пароль спрашивает потом на контейнер. То есть доступ к ключу заново получает. А токен уже вынут.


Если речь идёт о Рутокене, то на нём записываются контейнеры без пароля.
Тот пароль, который провайдер называет "пароль для контейнера", на самом деле, для токена. Один на всех.

Я, честно говоря, так и не понял, что вы делаете и что вводите, но могу дать такой совет: если вы хотите перед подписью убедиться, что токен всё еще присутствует, то вызовите CryptGetProvParam(PP_SAME_MEDIA) - он позволит это определить.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Роман кислухин  
#7 Оставлено : 24 июля 2017 г. 15:12:57(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Прошу прощения, проверил все еще раз. Действительно была дискета примонтирована с этим контейнером.
Будем смотреть, что у заказчика происходит.
И да, пароль на рутокене для всех оказывается. Вроде раньше возможно было два пароля устанавливать... или это был не рутокен...

Отредактировано пользователем 24 июля 2017 г. 15:13:47(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#8 Оставлено : 25 июля 2017 г. 10:53:56(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: Роман кислухин Перейти к цитате
Прошу прощения, проверил все еще раз. Действительно была дискета примонтирована с этим контейнером.
Будем смотреть, что у заказчика происходит.
И да, пароль на рутокене для всех оказывается. Вроде раньше возможно было два пароля устанавливать... или это был не рутокен...


Когда пароль для каждого контейнера свой, при создании контейнера появляется окно создания пароля (два текстовых поля). Примеры: реестр, флешки, ФКН-носители, Alioth...
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.