Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Алексей1987  
#1 Оставлено : 10 августа 2021 г. 10:49:32(UTC)
Алексей1987

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2020(UTC)
Сообщений: 64
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
Всем добрый день, просьба пояснить ситуацию по работе одновременно установленных криптопровайдера CryptoPro и VipNet на одном АРМ.

Возникшие вопросы:
1. Корректно или не корректно будут работать два данных криптопровайдера, установленные у одного и того же пользователя на одной АРМ рабочей станции;
2. Могут ли возникать какие либо проблемные взаимодействия этих двух криптопровайдеров. Допустим - проблемы со входом на некоторые защищенные ресурсы через один из криптопровайдеров;
3. Учитывая, что оба криптопровайдера поддерживают отечественное шифрование типа ГОСТ Р 34.11/34.10-2001 или ГОСТ Р 34.11-2012/34.10-2012 возможна ли ситуация что один криптопровайдер корректно работает с документами ГОСТ2001\2012 а второй криптопровайдер при этом выдает ошибку?
4. Есть ли у данного ПО взаимоисключающие требования друг к другу?
5.

"Учитывайте, что у ключевых контейнеров КриптоПро CSP и ViPNet СSP разные форматы"

Offline Алексей1987  
#2 Оставлено : 10 августа 2021 г. 11:13:33(UTC)
Алексей1987

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2020(UTC)
Сообщений: 64
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
Актуальна ли информация в базе знаний за 2011 год, касаемая крипто про 3.6 и vipnet 4.2???
Просьба подтвердить данную информацию сотрудниками КП. Если информация актуальная я буду тестировать это все на последних (предпоследних) версиях CyrptoPro и VipNet клиентов.

https://support.cryptopr...data-csp-i-kriptopro-csp

Отредактировано пользователем 10 августа 2021 г. 11:14:53(UTC)  | Причина: Не указана

Offline Алексей1987  
#3 Оставлено : 10 августа 2021 г. 11:15:30(UTC)
Алексей1987

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2020(UTC)
Сообщений: 64
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
Заранее спасибо!

Отредактировано пользователем 10 августа 2021 г. 11:16:23(UTC)  | Причина: Не указана

Offline two_oceans  
#4 Оставлено : 11 августа 2021 г. 8:35:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Добрый день.
Не сотрудник КП, но порекомендую устанавливать на одном АРМ - один отечественный криптопровайдер. Нужно подходить критически к инструкциям, требующим установку только конкретного криптопровайдера: во многих случаях КП и Випнет взаимозаменяемы, но есть множество инструкций, рекомендующих Випнет только потому, что он "бесплатный" (на самом деле, стоимость лицензии неявно включена в стоимость выпуска сертификата в прайсе УЦ). Бесплатность Випнета конечно не имеет значения, когда у Вас уже установлен КП и куплена на него лицензия. Для работы в ЕГИССО, например, Випнет не обязателен, КП прекрасно справляется. Однако если лицензии КП еще не куплено, то и Випнет подойдет.

Если же "очень надо" именно 2 криптопровайдера, то ситуация примерно такая:
Могу сказать, что сама основа (вопрос 1) у обоих криптопровайдеров работает корректно при совместной установке, искажения получаемых хэшей и подписей нет. Однако, действительно, есть накладки с использованием функционала из других приложений (вопросы 2-3). КП, как правило, не тестирует совместимость со всеми "сторонними" криптопровайдерами, зато сторонние криптопровайдеры считаются с КП. Скорее всего у той стороны получите более актуальный список "накладок", но конечно приправленный субъективнымы заверениями "мы сделали правильно, а вот они ...". С этим связан и разный результат при разном порядке установки 2 криптопровайдеров - сторонние определяют наличие КП.

1. С конфликтом базовых компонентов действительно проблема (условно) решилась в времена крипто про 3.6 и vipnet 4.2.


2. Кроме базового компонента в новых версиях добавились еще компоненты (в частности, Гост TLS) и некоторые из них выполняют схожие функции. У конкретных компонентов действительно есть взаимоисключающие требования (вопрос 4). Для корректной работы нужно определиться какая компонента какого криптопровайдера Вам нужна и отключить ненужные при установке. Тут нужно отметить, в ряде случаев после отключения компонентов одного криптопровайдера придется переустановить/восстановить установку другого.

Последний абзац той инструкции, точно актуален. Если подробнее, то он деактивирует модуль Гост TLS Випнета (без удаления компоненты) и возвращает стандартный системный Гост TLS, с которым работает КриптоПро (предполагается, что включены компоненты КП для поддержки Microsoft CryptoApi и расширенной поддержки программ Майкрософт). Результат в принципе тот же, как если удалить Випнет.

Отдельно про вопрос 5: 1) технически возможно конвертировать ключи Випнет в формат КП при условии что ключ экспортируемый (соответствующая тема есть на форуме). В теории возможно и обратное преобразование, но придется "допиливать" перешифровку pfx по рекомендациям ТК26.

Однако при конвертировании ключа в другой криптопровайдер оказывается, что в сертификате указан исходный криптопровайдер, то есть формально появляется нарушение законодательства (используется не то СКЗИ, что указано в сертификате).
2) в случае хранения ключа/доступа к ключу на токене через PKCS11, там может применяться "формат контейнера" токена и нет разницы из какого криптопровайдера проводятся операции.
Offline Алексей1987  
#5 Оставлено : 11 августа 2021 г. 10:40:42(UTC)
Алексей1987

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2020(UTC)
Сообщений: 64
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
two_oceans спасибо за большой подробный ответ!

Да, естественно вынужденная ситуация.
Проблема именно с VipNet при попытке подписания документа в одной из популярных систем, условно назовем его "функциональное программное обеспечение", вход в которую осуществляется как из КриптоПро так и из VipNet.
При этом ругань именно на алгоритм подписи типа ГОСТ Р 34.11/34.10-2001 или ГОСТ Р 34.11-2012/34.10-2012.
Утверждается что VipNet 100% это поддерживает, как и КриптоПро (и это так и есть). Но документы не подписать.
Вот пытаюсь выяснить это совокупность факторов, не соответствие клиентов и подписываемых документов или еще что-то.

Offline Алексей1987  
#6 Оставлено : 20 августа 2021 г. 11:01:30(UTC)
Алексей1987

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2020(UTC)
Сообщений: 64
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
Коллеги дополнительный вопрос:
https://support.cryptopr...pnet-csp-v-kriptopro-csp

я так понимаю эта инструкция хотя и относительно свежая не рабочая?
Делаю все как сказано - при этом в Инструментах КриптоПро после "Импорта ключей" все выглядит как будто нормально, но закрытая часть никуда не попадает - ни в реестр, ни еще куда либо.
Просьба прояснить ситуацию, на данный момент у меня ощущение что сертификаты, выпущенные под VipNet невозможно подцепить в КриптоПро.
Offline two_oceans  
#7 Оставлено : 20 августа 2021 г. 13:11:38(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Добрый день.
Совместимость инструкции может немного отличаться в зависимости от версии. Может быть упало в считыватель Директория? Расположение что-то вроде "%localappdata%\crypto pro\keys"

2 года назад я переносил ключ випнета в криптопро 4 успешно, правда в 4 версии не было Инструментов и нужно было использовать утилиту p12util (доступна на сайте КриптоПро, где-то на форуме была инструкция как пользоваться. Поцитирую свою команду из батника:
Код:
p12util.x64.exe -p12tocp -rdrfolder k:\ -contname 888888 -ex -passcp 1234 -passp12 12345678 -infile k:\2019.pfx
После работы создавался контейнер (папка k:\888888.000).

Отредактировано пользователем 20 августа 2021 г. 13:13:55(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.