Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline tfdev  
#1 Оставлено : 11 марта 2021 г. 12:46:58(UTC)
tfdev

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2016(UTC)
Сообщений: 5

Здравствуйте.

Наблюдаем ошибку при работе cpSSL.jar


Имеем
I. web сервер:
1. spring boot 2.1.8.RELEASE (Apache Tomcat/9.0.24)
2. JCP
3. Сервер обрабатывает http и https

II web client
соединяется с сервером по https с использованием JCP.


в консоли видим следующее

2021-03-11 12:17:37.072 ERROR 25940 --- [io2-8443-exec-1] ru.CryptoPro.ssl.SSLLogger : https-jsse-nio2-8443-exec-1, fatal error: 20: bad record MAC

javax.crypto.BadPaddingException: bad record MAC
at ru.CryptoPro.ssl.cl_64.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_27.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLEngineImpl.b(Unknown Source) [cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source) [cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLEngineImpl.unwrap(Unknown Source) [cpSSL.jar:41789]
at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:624) [na:1.8.0_51]
at org.apache.tomcat.util.net.SecureNio2Channel$1.completed(SecureNio2Channel.java:913) [tomcat-embed-core-9.0.24.jar!/:9.0.24]
at org.apache.tomcat.util.net.SecureNio2Channel$1.completed(SecureNio2Channel.java:897) [tomcat-embed-core-9.0.24.jar!/:9.0.24]
at sun.nio.ch.Invoker.invokeUnchecked(Invoker.java:126) [na:1.8.0_51]
at sun.nio.ch.Invoker$2.run(Invoker.java:218) [na:1.8.0_51]
at sun.nio.ch.AsynchronousChannelGroupImpl$1.run(AsynchronousChannelGroupImpl.java:112) [na:1.8.0_51]
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142) [na:1.8.0_51]
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617) [na:1.8.0_51]
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-embed-core-9.0.24.jar!/:9.0.24]
at java.lang.Thread.run(Thread.java:745) [na:1.8.0_51]

2021-03-11 12:17:37.073 ERROR 25940 --- [io2-8443-exec-1] ru.CryptoPro.ssl.SSLLogger : https-jsse-nio2-8443-exec-1 fatal: engine already closed. Rethrowing
2021-03-11 12:17:37.073 ERROR 25940 --- [io2-8443-exec-1] ru.CryptoPro.ssl.SSLLogger : javax.net.ssl.SSLException: bad record MAC

Можно ли с этим жить?
Влияет ли это на консистентность передаваемых данных?
Offline Евгений Афанасьев  
#2 Оставлено : 11 марта 2021 г. 13:58:15(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,964
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
1. Включите, пожалуйста, полное логирование для JTLS так: https://support.cryptopr...lirovnija-kriptopro-jtls
ConsoleHandler и SSLLogger с уровнем ALL
Соберите лог с ошибкой и приложите.
2. Ваше приложение выступает в роли сервера? Ошибка в нем? Какой клиент к нему подключается (csptest и т.п.)?
3. Что за ОС, где запускается сервер?

Отредактировано пользователем 11 марта 2021 г. 13:59:55(UTC)  | Причина: Не указана

Offline tfdev  
#3 Оставлено : 11 марта 2021 г. 14:29:06(UTC)
tfdev

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2016(UTC)
Сообщений: 5

Здравствуйте.
1. Логирвание включено. Однако по причине того, что в консоль сыпется очень много информации, то отловить лог JTLS не предчтавляется возможным. Попробовали напрвить вывод в файл ( ... > file), всё равно SSLLogger сыпет лог в консоль. Как направить вывод в файл?
2. Ошибка на сервере. Клиент самописный.
3. Ubuntu (Debian GNU/Linux 7.11 (wheezy))
Offline Евгений Афанасьев  
#4 Оставлено : 11 марта 2021 г. 15:46:13(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,964
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Автор: tfdev Перейти к цитате
Здравствуйте.
1. Логирвание включено. Однако по причине того, что в консоль сыпется очень много информации, то отловить лог JTLS не предчтавляется возможным. Попробовали напрвить вывод в файл ( ... > file), всё равно SSLLogger сыпет лог в консоль. Как направить вывод в файл?
2. Ошибка на сервере. Клиент самописный.
3. Ubuntu (Debian GNU/Linux 7.11 (wheezy))


1. Нужно настроить handler у SSLLoger, например, передать ему FileHandler (https://docs.oracle.com/javase/7/docs/api/java/util/logging/FileHandler.html), примерно:
Код:

java.util.logging.FileHandler.pattern = %h/java%u.log
java.util.logging.FileHandler.limit = 50000
java.util.logging.FileHandler.count = 1
java.util.logging.FileHandler.maxLocks = 100
java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
java.util.logging.FileHandler.level = ALL

ru.CryptoPro.ssl.SSLLogger.level = ALL
ru.CryptoPro.ssl.SSLLogger.handlers = java.util.logging.FileHandler

Лог должен создаваться в папке пользователя user.home.
2. Полностью самописный протокол, алгоритмы и обмен сообщениями (шифрование, выработка имитовставки)?
Offline tfdev  
#5 Оставлено : 11 марта 2021 г. 16:43:29(UTC)
tfdev

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2016(UTC)
Сообщений: 5

jcp.log (1,854kb) загружен 2 раз(а).Лог во вложении. Резать не стал.

Отредактировано пользователем 11 марта 2021 г. 16:44:00(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#6 Оставлено : 11 марта 2021 г. 17:01:50(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,964
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Автор: Евгений Афанасьев Перейти к цитате
2. Полностью самописный протокол, алгоритмы и обмен сообщениями (шифрование, выработка имитовставки)?
Попробуйте проверить с помощью csptest подключение, у csptest из состава КриптоПро CSP есть команды вида -tlsc:
Код:

csptest -tlsc -server <сервер> -port <порт> -v -v

bad record MAC - нарушение целостности записей.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.