КриптоПро CSP 4.0.9963 R4 - дефект с контейнерами

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

КриптоПро CSP 4.0.9963 R4 - дефект с контейнерами - миф или реальность?

Опции

Предыдущая тема Следующая тема

Винтик		#1 Оставлено : 25 июня 2019 г. 20:23:00(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.11.2014(UTC) Сообщений: 401 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 16 раз в 12 постах		Здравствуйте. Есть слух, что КриптоПро CSP 4.0.9963 R4 имеет схожий дефект как бетка ViPNet CSP 4.2.11, но если там бетка то тут сертиф. версия?! Может по этому срочно R5 появилась? Пока это не подтвердил лично, но лучше такое не скрывать. ИТОГ сбоя ViPNet CSP 4.2.11 - делает контейнеры только для "себя". Из последних попыток развернуть pfx у меня есть предположение, что не верно распознаётся СКЗИ и решается или легко пофиксив реестр и какую то библиотеку, или второе. Т.е. всё что до него он прекрасно принимает, а вот то что ниже беда. Не знаю как дела с 4.2.10 было, но скорее всего нормально, иначе бы замечено было. Вот и думаю теперь, может R5 уже только использовать, а то если с 4.0.9963 R4 так же, то это будет не весело.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#2 Оставлено : 26 июня 2019 г. 5:16:24(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 396 раз в 366 постах		Добрый день. Цитата: Может по этому срочно R5 появилась? Исключить конечно такое не могу, но маловероятно. КриптоПро всегда выпускает новую версию, пока предыдущая еще на финальной стадии сертификации. Просто потому что разработка и исправление багов идет все время, это хорошо видно по этому форуму. Особенно конечно радует раздел Java, когда новую версию выпускают буквально за считанные дни после выяснения всех обстоятельств бага. Поэтому сомнительно считать, что выпустили R5 из-за конкретного бага или количество багов отражает плохое качество. Скорее уж скорость выявления багов отражает популярность продукта, а скорость устранения - признак хорошего качества. Как по мне, многие программисты используют криптопровайдер очень извращенными способами (требуя чуть ли не всю полноту низкоуровневых функций в высокоуровневых интерфейсах плагина, Java, php и т.д.) и я бы половину обращений вообще не рассматривал, потому что кто хочет подписать xmldsig в какой-то очередной извращенной ГИС - изучит низкоуровневое API и сделает через него. Однако сотрудники КриптоПро находят время вникнуть в проблему и подготовить какое-то исправление (когда его можно сделать быстро) или рассказать о правильном способе использования. Цитата: Есть слух, что КриптоПро CSP 4.0.9963 R4 имеет схожий дефект как бетка ViPNet CSP 4.2.11 ... ИТОГ сбоя ViPNet CSP 4.2.11 - делает контейнеры только для "себя". ... Т.е. всё что до него он прекрасно принимает, а вот то что ниже беда. Не знаю как дела с 4.2.10 было, но скорее всего нормально, иначе бы замечено было. Что-то как-то непонятно написано, приходится собирать смысл из кусочков Вашего сообщения. Правильно ли я понял, что подозреваете, что контейнеры сделанные в КритоПро 4.0.9963 будут открываться только им? Если да, то я все равно как-то не вижу проблемы: пока что критичных глюков в версии 9963 не замечено и сертификат соответствия на несколько лет вперед. В то же время срок действия сертификата как правило не превышает 15 месяцев. Облако версией 4.0 скорее не поддерживается. Значит какой-либо эффект может быть только для очень узкой доли пользователей с носителями с неизвлекаемым ключом. В то же время у старых версий срок действия сертификата уже гораздо ближе к окончанию. Немного непонятно кому в таких условиях понадобится откатываться на старую версию. Если версии новее будут понимать контейнеры 9963, то вообще доля пользователей на кого это повлияет стремиться к нулю. Цитата: Пока это не подтвердил лично, но лучше такое не скрывать. С этим не поспоришь. Цитата: Из последних попыток развернуть pfx у меня есть предположение, что не верно распознаётся СКЗИ и решается или легко пофиксив реестр и какую то библиотеку, или второе. Вообще, честно, наверно надо не увлекаться переносом pfx между разными криптопровайдерами, потому что в сертификате аккредитованных УЦ ясным образом указывается криптопровайдер. Хорошо, я сам такое планирую, потому что совместить 2 криптопровайдера для подписания сложно. Поэтому тема мне тоже интересна. Как я понял, в старых vipnet были несовместимости с TK26 и в новых версиях их должны были исправить, возможно потому старые версии и не открывают то, что сделано в новых. В случае КриптоПро стандарт ТК26 поддерживается в утилите p12tocp, обычный экспорт pfx из certmgr несовместим по алгоритмам c ТК26. К слову, буквально несколько дней назад здесь на форуме была выложена новая версия p12tocp, ее пробовали? По Вашему сообщению осталось непонятно направление, в котором пробовали перености pfx. Для предметного разговора желательно посмотреть какие оиды прописаны в pfx файле. Это поможет определить какой там в точности формат шифрования и определиться со способом обработки. Вообще мне кажется было бы гораздо удобнее иметь некую "панель управления криптопровайдерами", чтобы можно было на лету переключать криптопровайдер ответственный за тот или иной конкретный алгоритм по всем функциям. Если один криптопровайдер отвечает за одну функцию для алгоритма, а другой за другую, то алгоритм скорее всего будет неработоспособен. Имеющаяся сейчас функциональность в панели управления КриптоПро более ориентирована на типы криптопровайдеров и на параметры конкретного алгоритма. В условиях гост-2012, когда типы криптопровайдеров отличаются у разных компаний для одного и того же по сути алгоритма с одними и теми же оидами ТК26 этого уже не достаточно. Из недавнего опыта "подружить" КриптоПро с Кодом безопасности, мне уже понятно что для вступления в силу регистрации оидов перезагрузка не нужна, но точные условия пока не понятны - иногда вступает в силу сразу же иногда через добрых полчаса. Однако смысл в том, что изменение без перезагрузки, "на лету" возможно. Отредактировано пользователем 26 июня 2019 г. 5:30:59(UTC) \| Причина: Не указана

1 пользователь поблагодарил two_oceans за этот пост.		Ufimka оставлено 26.06.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Винтик		#3 Оставлено : 26 июня 2019 г. 8:01:04(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.11.2014(UTC) Сообщений: 401 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 16 раз в 12 постах		Автор: two_oceans Что-то как-то непонятно написано, приходится собирать смысл из кусочков Вашего сообщения. Правильно ли я понял, что подозреваете, что контейнеры сделанные в КритоПро 4.0.9963 будут открываться только им? Если да, то я все равно как-то не вижу проблемы: пока что критичных глюков в версии 9963 не замечено и сертификат соответствия на несколько лет вперед. Да вы верно поняли, проблем больших нет, только если вы не столкнулись с тем, что на пример где то используется сертиф. СКЗИ R3 и другого дика у них нет, покупать денег как бывает нет, другой использовать нельзя т.к. понимаете СКЗИ это не просто так... и вот тут если представьте в УЦ сертиф. R4, а на месте R3 то тут поверьте будут проблемы. КриптоПро CSP 4.0 R3 4.0.9944 (исполнения 1-Base/2-Base и 1-Lic/2-Lic) Сертифицированная версия КриптоПро CSP 4.0.9944 (Xenocrates) от 22.02.2018. Сертификаты соответствия: СФ/114-3379, СФ/124-3380, СФ/114-3382, СФ/124-3383 от 11.05.2018 действительны до 15.01.2021 КриптоПро CSP 4.0 R4 4.0.9963 (исполнения 1-Base/2-Base и 1-Lic/2-Lic) Сертифицированная версия КриптоПро CSP 4.0.9963 (Abel) от 23.11.2018. Сертификаты соответствия: 1-Base: СФ/114-3610 от 10 января 2019 до 15 января 2021 2-Base: СФ/124-3611 от 10 января 2019 до 15 января 2021 3-Base: СФ/124-3612 от 10 января 2019 до 10 января 2022 1-Lic: СФ/114-3613 от 10 января 2019 до 15 января 2021 2-Lic: СФ/124-3614 от 10 января 2019 до 15 января 2021 ===== А так проблем конечно нет, там где всё что попало можно.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#4 Оставлено : 26 июня 2019 г. 10:56:25(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 396 раз в 366 постах		Автор: Винтик и вот тут если представьте в УЦ сертиф. R4, а на месте R3 то тут поверьте будут проблемы. Насчет УЦ легко поверю, там заключение на определенную версию и даже номер и срок действия может отличаться от версий в свободном доступе. Сколько аккредитованных УЦ? Около 300 кажется? С клиентскими машинами где уровень безопасности КС3 тоже поверю. Я полагаю речь все же идет не о повышении версии, а об откате, так как сертифицированной версии "свежее" пока нет. К моменту появления таковой вполне возможно, что даже если был баг, был он будет исправлен. Если УЦ и будет обновляться, то на свежую версию с получением кучи заключений. На клиентской машине с уровнем безопасности КС1 или КС2 все проще (которых, полагаю, в разы больше чем УЦ и КС3): у меня куча сертификатов выданных Федеральным казначейством и о средстве субъекта в них указано только "Средство электронной подписи: "КриптоПро CSP" (версия 4.0)" никакой привязки к точной версии нет. Клиентский номер (купленный) подходит для всех 4.0, остается только организационный вопрос с получением копии на материальном носителе и получении копии сертификата соответствия. Опять же для всех бюджетных учреждений вопрос не стоит - ФК выдает как минимум 1 копию документации на организацию. Так про какие организации все же идет речь? Еще можно выбирать УЦ, которые не сами выдают контейнер, а дают клиенту сформировать контейнер и принимают запрос на сертификат. Хотя наверно переспрошу еще раз - именно контейнеры или pfx, сфоромированные при помощи экспорта из остастки сертификаты, когда исходно ключ был в контейнере КриптоПро 9963, потому что если хотя бы что-то одно все же нормально открывается, то проблемы вообще нет как таковой. У меня сейчас как раз есть возможность протестировать контейнеры и pfx между R3 и R4. Вообще вроде контейнер копировал с сервера где R4 (других 4.0 там не было, гост-2012) на ноут c R3 и все было нормально, попробую еще раз. Отредактировано пользователем 26 июня 2019 г. 11:38:36(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#5 Оставлено : 26 июня 2019 г. 12:12:48(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,415 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 728 раз в 629 постах		Нам неизвестно подобных "дефектов".
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Винтик		#6 Оставлено : 26 июня 2019 г. 12:18:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 20.11.2014(UTC) Сообщений: 401 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 16 раз в 12 постах		Хорошо, это очень хорошо! Спасибо! КриптоПро и Рутокены - Рулят! Каждый по своему, но всё же молодца!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close