Исчезновение ключа.

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Исчезновение ключа.

Опции

Предыдущая тема Следующая тема

MipT.Shurik		#1 Оставлено : 10 ноября 2010 г. 13:33:20(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 15.10.2010(UTC) Сообщений: 10 Откуда: Moscow		Добрый день. Возникла следующая проблема. Используем крипто-про 3.0 на редхат 5. Используем часто, нагрузка на шифрование большая. И имеется следующий баг через какойто время ключ и почему то чаще всего используемый затирается. Т.е. файлы с этим ключом как то изменяются и ключ приходится копировать заново. Сейчас это раз в два месяца где-то. Раньше раза два в месяц было, когда версия 2.0 стояла. Может ли это быть из-за того что сейчас используем команду для подписи например такую: /opt/cprocsp/bin/ia32/csptest -keyset -sign GOST -container имя-контейнера -in -out хотя по идее надо через cryptcp. csptest ведь мы проверяем также целостность ключа и если нагрузка большая, то с течением времени ключ и затирается из-за этого. И еще. Можно ли права на файлы закрытых ключей поставить для пользователя, который подписывает шифрует, только на чтение? Чтобы точно не происходило затирание.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Татьяна		#2 Оставлено : 10 ноября 2010 г. 19:00:38(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про Поблагодарили: 40 раз в 37 постах		Здравствуйте. Судя по приведенной команде "/opt/cprocsp/bin/ia32/csptest ..." CSP у Вас не 3.0, а 3.6 . Это хорошо. Ключ на каком носителе? Если дискета, то она может просто физически повреждаться -- отсюда и проблема. Поставить права только на чтение нельзя, поскольку при каждом считывании ключей необходимо производить перемаскирование и перезапись ключа(требования безопасности). csptest хуже чем cryptcp только в том отношении, что csptest -- наша тестовая утилита, она разрабатывалась для служебных целей и при подписи выполняет меньше функций(например, не проверяет сертификат подписывающего на доверенность и на отзыв). В плане "нагрузки на ключ" она не отличается от cryptcp. На описанное Вами поведение пока никто не жаловался, хотя наш продукт используется довольно широко, в том числе и под нагрузкой. Интересует, как мы можем воспроизвести проблему и насколько интенсивно используется CSP, увеличивается ли частота возникновения проблемы при увеличении интенсивности использования CSP. Пока единственный вариант -- проблемы с файловой системой. Кроме того, в контейнере с ключами ключ хранится в двух экземплярах -- маловероятно, что повредятся оба.
		Татьяна ООО Крипто-Про


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

MipT.Shurik		#3 Оставлено : 11 ноября 2010 г. 13:46:01(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 15.10.2010(UTC) Сообщений: 10 Откуда: Moscow		Татьяна написал: Здравствуйте. Судя по приведенной команде "/opt/cprocsp/bin/ia32/csptest ..." CSP у Вас не 3.0, а 3.6 . Это хорошо. Ключ на каком носителе? Если дискета, то она может просто физически повреждаться -- отсюда и проблема. Поставить права только на чтение нельзя, поскольку при каждом считывании ключей необходимо производить перемаскирование и перезапись ключа(требования безопасности). csptest хуже чем cryptcp только в том отношении, что csptest -- наша тестовая утилита, она разрабатывалась для служебных целей и при подписи выполняет меньше функций(например, не проверяет сертификат подписывающего на доверенность и на отзыв). В плане "нагрузки на ключ" она не отличается от cryptcp. На описанное Вами поведение пока никто не жаловался, хотя наш продукт используется довольно широко, в том числе и под нагрузкой. Интересует, как мы можем воспроизвести проблему и насколько интенсивно используется CSP, увеличивается ли частота возникновения проблемы при увеличении интенсивности использования CSP. Пока единственный вариант -- проблемы с файловой системой. Кроме того, в контейнере с ключами ключ хранится в двух экземплярах -- маловероятно, что повредятся оба. ключ хранится на диске в хранилище HDIMAGE. В моем случае crypcp идет с параметром nochain, т.е. не проверяет сертификат. Будет в таком случае "нагрузка на ключ" больше? если да, то какие еще параметры указать, чтобы она была меньше? С этой проблемой насколько я знаю от нас обращались к вам около двух лет назад где-то, тогда решить не смогли. Какой-то баг операционной системы что-ли. Только на версии 2.0 было хуже, ключ затирался два раза в месяц , сейчас где-то раз в два месяца. Дальше. "Поставить права только на чтение нельзя, поскольку при каждом считывании ключей необходимо производить перемаскирование и перезапись ключа" Можно ли как то от этого избавиться? "Кроме того, в контейнере с ключами ключ хранится в двух экземплярах -- маловероятно, что повредятся оба." Один экземпляр я знаю где находится, а где второй? Вот добавлю инфу по файловой свистеме LABEL=/ / ext3 defaults 1 1 LABEL=/opt /opt ext3 defaults 1 2 LABEL=/home /home ext3 defaults 1 2 LABEL=/usr /usr ext3 defaults 1 2 LABEL=/var /var ext3 defaults 1 2 LABEL=/boot /boot ext3 defaults 1 2 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 LABEL=SWAP-sda6 swap swap defaults 0 0 /dev/fd0 /var/opt/cprocsp/mnt/0 auto noauto,user 0 0 /dev/fd1 /var/opt/cprocsp/mnt/1 auto noauto,user 0 0 /dev/fd2 /var/opt/cprocsp/mnt/2 auto noauto,user 0 0 /dev/fd3 /var/opt/cprocsp/mnt/3 auto noauto,user 0 0 /dev/fd4 /var/opt/cprocsp/mnt/4 auto noauto,user 0 0 /dev/fd5 /var/opt/cprocsp/mnt/5 auto noauto,user 0 0 /dev/fd6 /var/opt/cprocsp/mnt/6 auto noauto,user 0 0 /dev/fd7 /var/opt/cprocsp/mnt/7 auto noauto,user 0 0 Еще кое что. Подпись через csptest отличается от подписи через cryptcp, тем что создает бинарный файл. Снять подпись с помощью команды cryptcp не удалось, для этого надо будет спрашивать у клиента, какой командой он снимает подпись. Отредактировано пользователем 11 ноября 2010 г. 20:08:06(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Татьяна		#4 Оставлено : 12 ноября 2010 г. 19:22:17(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про Поблагодарили: 40 раз в 37 постах		>Дальше. "Поставить права только на чтение нельзя, поскольку при каждом считывании ключей необходимо производить перемаскирование и перезапись ключа" Можно ли как то от этого избавиться? избавиться нельзя -- требование безопасности(чтобы нельзя было получить дополнительную информацию о ключе по побочным каналам) >"Кроме того, в контейнере с ключами ключ хранится в двух экземплярах -- маловероятно, что повредятся оба." Один экземпляр я знаю где находится, а где второй? в контейнере хранятся primary.key, mask.key, primary2.key, mask2.key . primary.key, mask.key -- один экземпляр ключа primary2.key, mask2.key -- второй экземпляр про форматы подписей в csptest и cryptcp уже написала Вам на почту.
		Татьяна ООО Крипто-Про


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close