Крипто Про CSP + СКЗИ- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

4 Страницы<123 4 >

Крипто Про CSP + СКЗИ

Опции

Предыдущая тема Следующая тема

Рад. Ион		#11 Оставлено : 22 мая 2018 г. 22:15:19(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		А есть кто в Криптопро работает и что-то может сказать по существу вопросов? И видел JaCarta SE?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#12 Оставлено : 23 мая 2018 г. 9:14:23(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Добрый день. Автор: Рад. Ион Так дело в том, что клиент говорит не "про какое-то ПО", а что именно установка Криптопро csp привела к отказу JaCarta ЕГАИС. То есть клиент работал через какое-то приложение с ЕГАИС, потом решил попользовать данный токен в КриптоПро CSP (какой версии, кстати?) и какими-то действиями заблокировал токен? Учитывая, что там не менее 10 попыток ввода пароля, довольно странный сценарий. Автор: Рад. Ион В Аладдин мне дали такую вот ссылку на документ о "бесконфликтности" совместной работы https://old.aladdin-rd.r...t/downloads/get?ID=45846 с комментарием, что JaCarta ЕГАИС это JaCarta PKI/ГОСТ и он встроен в Криптопро csp. Это верная информация. Данный документ был выпущен по результатам совместных испытаний. JaCarta PKI/ГОСТ поддерживается как ключевое хранилище в провайдерах CSP 3.9 и CSP 4.0. Что такое JaCarta SE я не знаю, такого токены мы не встречали и заключение на работу с ним не выдавали. Автор: Рад. Ион 1. Использование JaCarta SE вместе с КриптоПро CSP в системе ЕГАИС может привести к блокировке JaCarta SE ? Конечно. Если токену 10 раз предъявили неправильный пароль, то он будет заблокирован. Более того, любое ПО, которое использует токен, может его заблокировать. Например, "Единый клиент JaCarta". Кстати говоря, его же через ЕК можно и разблокировать с помощью пароля администратора. На что ушло два дня, не очень понятно. Автор: Рад. Ион ЦентрИнформ ответил, что так как JaCarta PKI/ГОСТ - СКЗИ, то использовать его совместно с СКЗИ КРИПТО-ПРО CSP нельзя без прохождения оценки влияния в фсб. И что совместная работа Криптопро csp и JaCarta ЕГАИС - не соответствует их рекомендациям. Автор: Рад. Ион 2. Возможно ли использовать два этих СКЗИ на одном ПК при совместной работе? Автор: Рад. Ион 3. Если возможно, то есть ли (нужно ли) заключение фсб о корректности встраивания двух СКЗИ? КриптоПро CSP 3.9/4.0 не используют токен как СКЗИ (не вызывают криптографические функции). Оценка влияния ФСБ, насколько мне известно, в данном случае не нужна. Ответственные за эти вопросы коллеги отпишут чуть позже.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Станислав Смышляев		#13 Оставлено : 23 мая 2018 г. 9:24:26(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 10.04.2013(UTC) Сообщений: 186 Сказал(а) «Спасибо»: 1 раз Поблагодарили: 81 раз в 62 постах		Здравствуйте! Во-первых, оценка влияния, в соответствии с формуляром, должна проводиться в отношении прикладных систем, в которые встраивается СКЗИ (см. пункт 1.5 Формуляра ЖТЯИ.00087-01 30 01), но никак не в отношении носителей, упомянутых в формуляре (см. п. 3.8). Во-вторых, оценка влияния даже для прикладных систем должна проводиться не всегда, а только в некоторых случаях, перечисленных в Формуляре, относящихся, неформально говоря, либо к использованию в гос.органах, либо в системах, напрямую с ними связанных. Таким образом, отсылка к оценке влияния в данном случае является некорректной.
		С уважением, Станислав Смышляев, к.ф.-м.н., Заместитель генерального директора ООО "КРИПТО-ПРО" Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#14 Оставлено : 23 мая 2018 г. 11:54:49(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: Grey То есть клиент работал через какое-то приложение с ЕГАИС, потом решил попользовать данный токен в КриптоПро CSP (какой версии, кстати?) и какими-то действиями заблокировал токен? Учитывая, что там не менее 10 попыток ввода пароля, довольно странный сценарий. В JaCarta SE всего 3 (три) попытки ввода пароля. Не угадал - на выброс ключ. Нельзя разблокировать. Для работы в ЕГАИС токен всегда был подключен к ПК. Насколько я понимаю, КриптоПро закэшировал пароль от другого токена JaCarta (для отчетности) и в какой-то момент обращался к JaCarta SE с неправильным паролем. У нашей компании нет продаж алкоголя и настроенного JaCarta SE. Промоделировать ситуацию мы не можем. Поверять на других клиентах не будем. Дорого. ЕГАИС глобальная система с большим количеством клиентов. Неужели вообще до этого не проверяли как оно работает? Автор: Grey Это верная информация. Данный документ был выпущен по результатам совместных испытаний. JaCarta PKI/ГОСТ поддерживается как ключевое хранилище в провайдерах CSP 3.9 и CSP 4.0. Что такое JaCarta SE я не знаю, такого токены мы не встречали и заключение на работу с ним не выдавали. Ну так в Аладдин говорят, что JaCarta SE это JaCarta PKI/ГОСТ. Что совместная работа оттестирована. Но на вопрос как это все работает с ЕГАИС - тут конкретного ответа не дают. Мне бы получить некое заключение, что установка ПО КриптоПро не сказалась на работе с системой ЕГАИС и не могла привести к блокировке JaCarta SE. Но пока только понятно, что они как раз как-то и должны были начать друг с другом работать. Автор: Grey ]Конечно. Если токену 10 раз предъявили неправильный пароль, то он будет заблокирован. Более того, любое ПО, которое использует токен, может его заблокировать. Например, "Единый клиент JaCarta". Кстати говоря, его же через ЕК можно и разблокировать с помощью пароля администратора. На что ушло два дня, не очень понятно. Так два дня ушло на получение нового токена с ключом к ЕГАИС. Теперь клиент заказал два таких ключа, чтобы избежать простоя. Так им посоветовали в точке продаж. А заблокировать само устройство не проблема - 3 попытки ввода пароля. В Яндекс вводим "егаис jaсarta заблокирован" и видим массовое явление.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#15 Оставлено : 23 мая 2018 г. 12:29:56(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: svs Здравствуйте! Во-первых, оценка влияния, в соответствии с формуляром, должна проводиться в отношении прикладных систем, в которые встраивается СКЗИ (см. пункт 1.5 Формуляра ЖТЯИ.00087-01 30 01), но никак не в отношении носителей, упомянутых в формуляре (см. п. 3.8). Во-вторых, оценка влияния даже для прикладных систем должна проводиться не всегда, а только в некоторых случаях, перечисленных в Формуляре, относящихся, неформально говоря, либо к использованию в гос.органах, либо в системах, напрямую с ними связанных. Таким образом, отсылка к оценке влияния в данном случае является некорректной. Добрый день, Станислав! Да, полностью согласен с вами в случае если носитель - не сертифицированный СЗКИ . Но Jacarta ГОСТ и Jacarta-2 ГОСТ и рутокен эцп 2.0 и ряд других носителей сертифицированных как СКЗИ - они же со своими Формулярами! И именно эти устройства(крипто-ключи) создают закрытые ключи внутри себя при совместной работе с КриптоПро csp . Во всяком случае такое декларируется. Вот в презентации Jacarta-2 ГОСТ https://www.aladdin-rd.r...-2_GOST_prezentaciya.pdf Аладдин заявляет, что "В результате встраивание JaCarta-2 ГОСТ в прикладное ПО при использовании функций из белого списка максимально упрощено, а обязательная в таких случаях проверка оценки влияния (корректности встраивания СКЗИ) становится простой формальной процедурой Получается, что по вашему формуляру оценка влияния Jacartа PKI/ГОСТ может и не проводиться, а по формуляру Аладдин при использовании Jacarta ГОСТ обязательно должна проводиться оценка влияния. Центринформ говорит что должна проводиться оценка влияния, и пока ее нет нельзя устанавливать КриптоПро там где используется Jacarta SE. Если эта оценка влияния сделана - мы покажем этот документ клиенту и вопрос будет закрыт. Мы будем искренне благодарны!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#16 Оставлено : 23 мая 2018 г. 13:13:51(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: Рад. Ион Насколько я понимаю, КриптоПро закэшировал пароль от другого токена JaCarta (для отчетности) и в какой-то момент обращался к JaCarta SE с неправильным паролем. Это невозможно. Пароли сохраняются с уникальным номером носителя. Так что если там что-то и записано для другого токена, то будет проверяться только на нем. Если же был записан пароль от этого токена, потом его как-то снаружи поменяли на другой машине и вернули обратно, то после первой попытки пользователя просят ввести правильный. Автор: Рад. Ион Ну так в Аладдин говорят, что JaCarta SE это JaCarta PKI/ГОСТ. Что совместная работа оттестирована. Но на вопрос как это все работает с ЕГАИС - тут конкретного ответа не дают. Мне бы получить некое заключение, что установка ПО КриптоПро не сказалась на работе с системой ЕГАИС и не могла привести к блокировке JaCarta SE. Но пока только понятно, что они как раз как-то и должны были начать друг с другом работать. Если это прямо ровно PKI/ГОСТ с другой наклеечкой на корпусе, то мы ручаемся за его поддержку. Я только не понимаю, причем тут вообще ЕГАИС. Эти же системы никак КриптоПро CSP не используют. Они, вроде, вообще RSA-шные, а не ГОСТ-овые. То есть, пользователь использовал флешку в программе А, потом поставил программу B, которая умеет работать с флешкой совсем по другим сценариям, сломал, а теперь жалуется, что программы А и B не совместимы друг с другом. Где-то тут изъян в логике.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#17 Оставлено : 23 мая 2018 г. 15:42:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: Рад. Ион Если это прямо ровно PKI/ГОСТ с другой наклеечкой на корпусе, то мы ручаемся за его поддержку. Чем дальше в лес, тем больше дров — всё сущее бесконечно и взаимосвязано. Знания рождают новые вопросы, с ответа на которые возникают следующие. ЦентрИнформ говорит, что PKI/ГОСТ и Jacarta SE - разные устройства. Аладдин говорит, что одинаковые. Но чуть-чуть отличаются. Даже не знаю что сказать. А вы не можете сами узнать - одинаковые они или разные? Чтобы без испорченных телефонов. А то может я со студентом в техподдержке Аладдин общаюсь - и получаю ответ, что одинаковые, но чуть-чуть отличаются. Автор: Рад. Ион Я только не понимаю, причем тут вообще ЕГАИС. Эти же системы никак КриптоПро CSP не используют. Они, вроде, вообще RSA-шные, а не ГОСТ-овые. Сертификат КЭП записывается на аппаратный крипто-ключ (Jacarata SE или Рутокен ЭЦП 2.0) - сертифицированный ключевой носитель, специальное usb-устройство, предназначенное для создания, безопасного хранения и использования ключей КЭП. https://egais.center-inf...ect.php#ci-hidden-1-desc Там и ГОСТ и RSA ФСРАР точно использует КриптоПро CSP . Я не знаю возможно ли настроить ЕГАИС через КриптоПро CSP. Автор: Рад. Ион То есть, пользователь использовал флешку в программе А, ДА, но не с флэшкой, а с СКЗИ. Оно подписывает, что-то шифрует в ЕГАИС Автор: Рад. Ион потом поставил программу B, которая умеет работать с флешкой совсем по другим сценариям, Мы поставили КриптоПро CSP. Но не для ЕГАИС, для другой отчетности. И не флэшка у клиента, а другое СКЗИ. С флэшкой проблемы бы не было. А тут мы вмешались в работу сертифицированного СКЗИ. Другим СКЗИ. Автор: Рад. Ион сломал, а теперь жалуется, что программы А и B не совместимы друг с другом. Где-то тут изъян в логике. Получается не клиент сломал, а мы. Центринформ говорит клиенту, что мы виноваты. Хотя установка КриптоПро csp ну как бы совсем не криминал. Нам в ответ Аладдин дает сертификат совместимости. Центринформ говорит, что Jacarta SE это СКЗИ и что такой сертификат вообще не имеет право существовать, так как обязательная в таких случаях проверка оценки влияния (корректности встраивания СКЗИ) со стороны фсб и докуиент от фсб должен быть. Может быть для москвичей сумма, что нам предъявил клиент - это ерунда. Но для нас это месячная зарплата сотрудника. Поэтому хочется понять возможно ли использовать Крипто Про CSP + СКЗИ Jacarta SE на одном ПК. Ну и про оценку влияния то же.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#18 Оставлено : 24 мая 2018 г. 11:02:51(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Автор: Рад. Ион Чем дальше в лес, тем больше дров — всё сущее бесконечно и взаимосвязано. Знания рождают новые вопросы, с ответа на которые возникают следующие. ЦентрИнформ говорит, что PKI/ГОСТ и Jacarta SE - разные устройства. Аладдин говорит, что одинаковые. Но чуть-чуть отличаются. Даже не знаю что сказать. А вы не можете сами узнать - одинаковые они или разные? Чтобы без испорченных телефонов. А то может я со студентом в техподдержке Аладдин общаюсь - и получаю ответ, что одинаковые, но чуть-чуть отличаются. Спросил. Будет ответ - сообщу. Автор: Рад. Ион С флэшкой проблемы бы не было. А тут мы вмешались в работу сертифицированного СКЗИ. Другим СКЗИ. Ни в какую работу вы не вмешались. У "КриптоПро CSP" на токене выделенное место, где мы храним свои ключи. Их умеет использовать только CSP. Ключи, которые использует ЕГАИС, находятся в другом месте. Единственное, что пересекается, - это работа с паролем токена. Любые команды, которые отправляют в токен, засинхронизированы на уровне операционной системы. Единственный способ заблокировать токен - неверно предъявить пароль N раз через любое ПО. Всё в рамках документации. Автор: Рад. Ион Поэтому хочется понять возможно ли использовать Крипто Про CSP + СКЗИ Jacarta SE на одном ПК. Практически не сомневаюсь, что возможно. Это даже не зависит от ответа на вопрос, равно ли PKI/ГОСТ и SE. Еще раз. От того, совместим ли токен с КриптоПро CSP или не совместим, совершенно не зависит возможность пользователя его сломать. Про оценку влияния вообще очень странная логика. Даже, допустим, если это было бы так (что неправда), какое это имеет отношение к вашему вопросу? Как вообще в теории можно пользоваться токеном так, чтобы его нельзя было заблокировать? Это же его неотъемлемое свойство - быть, как минимум, "флешкой с паролем".
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Агафьин Сергей		#19 Оставлено : 24 мая 2018 г. 13:33:42(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 215 раз в 174 постах		Получил ответ. Всё интереснее и проще. SE = PKI/ГОСТ, просто на нем некоторые настройки дефолтные установлены, а называется по-другому, чтобы пользователи не заморачивались с настройкой для ЕГАИС. А проблема с ПИН-ом другая. У пользователя на токене два разных апплета (приложения): PKI и ГОСТ. Первый используется для CSP, второй - для ЕГАИС. У них разные ПИН-коды с разными независимыми значениями. Никакой коллизии между системами ЕГАИС и теми, что используют CSP, вообще нет. Даже по паролям (в последнем своем сообщении я ошибся). Так что ситуация простая. Пользователь хотел воспользоваться PKI-апплетом, вводил пароль от ГОСТ, тот, соответственно не подошел. PKI-апплет был заблокирован. Важно: на работу ГОСТ-апплета (используемого в ЕГАИС) блокировка PKI-апплета не влияет никак.
		С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Рад. Ион		#20 Оставлено : 24 мая 2018 г. 13:58:43(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 21.05.2018(UTC) Сообщений: 16		Автор: Grey Получил ответ. Всё интереснее и проще. SE = PKI/ГОСТ, просто на нем некоторые настройки дефолтные установлены, а называется по-другому, чтобы пользователи не заморачивались с настройкой для ЕГАИС. А проблема с ПИН-ом другая. У пользователя на токене два разных апплета (приложения): PKI и ГОСТ. Первый используется для CSP, второй - для ЕГАИС. У них разные ПИН-коды с разными независимыми значениями. Никакой коллизии между системами ЕГАИС и теми, что используют CSP, вообще нет. Даже по паролям (в последнем своем сообщении я ошибся). Так что ситуация простая. Пользователь хотел воспользоваться PKI-апплетом, вводил пароль от ГОСТ, тот, соответственно не подошел. PKI-апплет был заблокирован. Важно: на работу ГОСТ-апплета (используемого в ЕГАИС) блокировка PKI-апплета не влияет никак. Я тоже параллельно провел исследование. Вы чуть раньше меня написали. Но у меня другие результаты. И это уже интересно. См. описание JaCarta SE https://ca.kontur.ru/articles/313 СКБ Контур так же подтвердил, что Jacarta SE это НЕ PKI/ГОСТ ! Токен JaCarta SE PKI/ГОСТ сочетает в себе возможности трех приложений, или апплетов — Приложение «ГОСТ» позволяет формировать квалифицированную электронную подпись при помощи сертифицированной реализации российских криптографических алгоритмов ГОСТ Р34.10-2001, ГОСТ 28147-89 и ГОСТ Р34.11-94. Алгоритмы реализованы на самом устройстве, что повышает безопасность использования ЭП — ведь ключ подписи никогда не покидает токен, его невозможно использовать или скопировать без ведома владельца. — Приложение «PKI» используется для строгой 2-х или 3-х факторной аутентификации пользователей в различных информационных системах. — Приложение «SE» реализует фискальные функции внутри токена — считает количество операций, совершенных с приложением «ГОСТ» и хранит их журнал. PKI/ГОСТ - это два первых апплета. БЕЗ ТРЕТЬЕГО! Который реализует фискальные функции! А вот еще https://egais.center-inf...gais/nositel-jacarta.php Для аппаратного крипто-ключа JaCarta SE не требуется дополнительный криптопровайдер (например, КриптоПро CSP), т.к. он уже находится внутри JaCarta SE. Вообщем я понимаю, что мы косякнули, но КОЛЛЕГИ - КАК ТАК-ТО? JaCarta SE с 16 го года в ЕГАИС. Все люди мучаются - токены блокируются. Ответ производителя - сами виноваты. Покупайте новый токен. Или еще один, а этот по гарантии заменим. Я понимаю, что это выгодно производителю токенов. Но вы ж с этого не зарабатываете, а только теряете. Страшно спрашивать как в ЕГАИС Рутокен 2.0 работает с CSP. Он же тоже встроен в Криптопро csp? Он же то же СКЗИ и не как флэшка? Вообщем ситуация видится так. Вы вместе с Аладдин протестировали некоторые модели. А далее Аладдин продолжает штамповать новые модели и активно распространяет их на рынке. А все косяки - наши и ваши. Просто удивительно - ведь JaCarta SE на рынке с 16 го года!!!!! А формуляры на свои СКЗИ производители токенов предоставляют? Возможно их вообще использовать без оценок влияния и проверки корректности встраивания?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

4 Страницы<123 4 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close