Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Белый Алексей  
#1 Оставлено : 26 ноября 2020 г. 14:57:00(UTC)
Белый Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Добрый день!

Столкнулись с проблемой необычно низкой производительности пакетного подписания https://dss.cryptopro.ru...documents.html#signmulty

При подписи 1 файла размером 300 Кб алгоритмом Cades XLT в непакетном режиме имеем такую производительность:

Запрос к ресурсу /SignServer/rest/api/documents выполнен за 6,875 сек.

При подписи пакета из 3 файлов общим объёмом 1 Мб тем же алгоритмом получаем длительное зависание:

Запрос к ресурсу /SignServer/rest/api/documents/packagesignature выполнен за 75,091 сек.

Зависимость от размера дальше линейная, пакеты по 20 Мб висят на подписи по 20 минут.

Это следствие каких-то архитектурных ограничений работы пакетного режима или с этим что-то можно сделать настройками?
Offline Винтик  
#2 Оставлено : 26 ноября 2020 г. 17:31:30(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 399

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 14 раз в 11 постах
Ну всё - сейчас скажут вот видите 5ЖИ нам как небо и земля, чтоб были облака :-)
Offline Андрей Солдатов  
#3 Оставлено : 27 ноября 2020 г. 0:26:30(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 326
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 69 раз в 65 постах
Автор: Белый Алексей Перейти к цитате
Добрый день!

Столкнулись с проблемой необычно низкой производительности пакетного подписания https://dss.cryptopro.ru...documents.html#signmulty

При подписи 1 файла размером 300 Кб алгоритмом Cades XLT в непакетном режиме имеем такую производительность:

Запрос к ресурсу /SignServer/rest/api/documents выполнен за 6,875 сек.

При подписи пакета из 3 файлов общим объёмом 1 Мб тем же алгоритмом получаем длительное зависание:

Запрос к ресурсу /SignServer/rest/api/documents/packagesignature выполнен за 75,091 сек.

Зависимость от размера дальше линейная, пакеты по 20 Мб висят на подписи по 20 минут.

Это следствие каких-то архитектурных ограничений работы пакетного режима или с этим что-то можно сделать настройками?


Доброй ночи.
Искусственных ограничений в режиме работы пакетной подписи в части скорости обработки запросов нет)
Пришлите мне в личку следующую информацию:
- номер сборки КриптоПро DSS;
- пример запроса;
- журнал capi2 и лог IIS на время обработки "медленного" запроса (с указанием точного времени отправки запроса).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Белый Алексей  
#4 Оставлено : 1 декабря 2020 г. 14:31:34(UTC)
Белый Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей Солдатов Перейти к цитате
Автор: Белый Алексей Перейти к цитате
Добрый день!

Столкнулись с проблемой необычно низкой производительности пакетного подписания https://dss.cryptopro.ru...documents.html#signmulty

При подписи 1 файла размером 300 Кб алгоритмом Cades XLT в непакетном режиме имеем такую производительность:

Запрос к ресурсу /SignServer/rest/api/documents выполнен за 6,875 сек.

При подписи пакета из 3 файлов общим объёмом 1 Мб тем же алгоритмом получаем длительное зависание:

Запрос к ресурсу /SignServer/rest/api/documents/packagesignature выполнен за 75,091 сек.

Зависимость от размера дальше линейная, пакеты по 20 Мб висят на подписи по 20 минут.

Это следствие каких-то архитектурных ограничений работы пакетного режима или с этим что-то можно сделать настройками?


Доброй ночи.
Искусственных ограничений в режиме работы пакетной подписи в части скорости обработки запросов нет)
Пришлите мне в личку следующую информацию:
- номер сборки КриптоПро DSS;
- пример запроса;
- журнал capi2 и лог IIS на время обработки "медленного" запроса (с указанием точного времени отправки запроса).


Номер сборки 2.0.3

К сожалению, у меня нет доступа у журналам сервера, но хочется понять принципиальную проблему.

Мы проверили формирование подписи по разным алгоритмам, выводы в целом такие:
  • Пакетная и одиночная подпись работают с одинаковой скорости

  • Подпись с алгоритмом Cades-T выполняется за приемлемое время (6 сек на 300 кб)

  • Когда ставим алгоритм XLT, то время подписи файла даже в 1 кб - 21 секунда. Дальше это скэйлится по количеству файлов в пакете - на каждый файл условно по 20 сек, независимо от размера


В XLT включаются данные сертификата и списка отзыва, но время в 20 секунд на формирование этих данных в подпись не выглядит технически оправданным.

вот пример тела запроса на открытие транзакции. Далее подтверждение вторым фактором и запрос самой подписи к /SignServer/rest/api/documents с передачей id транзакции (именно на нём и подвисает на 20 сек).

DSSquery_2020-12-01-11-32-48__SignServer_rest_api_transactions.zip (388kb) загружен 3 раз(а).

Хочется понять - формирование xlt в 20 сек на файл является объективным ограничением архитектуры системы? Можно ли как-то на это повлиять?
Offline Андрей Солдатов  
#5 Оставлено : 1 декабря 2020 г. 15:29:50(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 326
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 69 раз в 65 постах
Добрый день.

Автор: Белый Алексей Перейти к цитате
Хочется понять - формирование xlt в 20 сек на файл является объективным ограничением архитектуры системы?

Нет, не является.
Указанные таймауты, как правило, свидетельствуют о наличии сетевых проблем при формировании подписи. Т.к. таймаут возникает при создании CAdES-XLT1 и не возникает при создании CAdES-T, логично предположить, что он связан с доступностью OCSP службы.

Автор: Белый Алексей Перейти к цитате
Можно ли как-то на это повлиять?

Да, нужно убедиться в сетевой доступности и отсутствии задержек при обращении к OCSP службе, устранить их при обнаружении.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Белый Алексей  
#6 Оставлено : 16 декабря 2020 г. 15:32:18(UTC)
Белый Алексей

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.11.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей Солдатов Перейти к цитате
Добрый день.

Нет, не является.
Указанные таймауты, как правило, свидетельствуют о наличии сетевых проблем при формировании подписи. Т.к. таймаут возникает при создании CAdES-XLT1 и не возникает при создании CAdES-T, логично предположить, что он связан с доступностью OCSP службы.


Андрей, добрый день!

Я пытаюсь выполнить подпись XLT на стенде https://stenddss.cryptopro.ru/hsess/, маленький файл с текстом "123" подписывается 16 сек.

Прикладываю содержимое запроса на открытие транзакции /hsess/rest/api/transactions

DSSquery_2020-12-16-14-34-01__hsess_rest_api_transactions (1kb) загружен 2 раз(а).

После подтверждения транзакции формирование подписи на запрос к ресурсу /hsess/rest/api/documents выполняется за ~16 сек.

Последняя транзакция создавалась 16.12.2020 14:35:06.

Можете прокомментировать, почему операция выполняется так долго?

Отредактировано пользователем 16 декабря 2020 г. 15:41:19(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#7 Оставлено : 17 декабря 2020 г. 19:30:02(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 326
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 69 раз в 65 постах
Автор: Белый Алексей Перейти к цитате
Автор: Андрей Солдатов Перейти к цитате
Добрый день.

Нет, не является.
Указанные таймауты, как правило, свидетельствуют о наличии сетевых проблем при формировании подписи. Т.к. таймаут возникает при создании CAdES-XLT1 и не возникает при создании CAdES-T, логично предположить, что он связан с доступностью OCSP службы.


Андрей, добрый день!

Я пытаюсь выполнить подпись XLT на стенде https://stenddss.cryptopro.ru/hsess/, маленький файл с текстом "123" подписывается 16 сек.

Прикладываю содержимое запроса на открытие транзакции /hsess/rest/api/transactions

DSSquery_2020-12-16-14-34-01__hsess_rest_api_transactions (1kb) загружен 2 раз(а).

После подтверждения транзакции формирование подписи на запрос к ресурсу /hsess/rest/api/documents выполняется за ~16 сек.

Последняя транзакция создавалась 16.12.2020 14:35:06.

Можете прокомментировать, почему операция выполняется так долго?


Добрый вечер.
Проверим данные по производительности указанного тестового сервиса и по результату сообщим.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
Белый Алексей оставлено 28.07.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.