Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Dronn32  
#1 Оставлено : 8 ноября 2010 г. 19:08:43(UTC)
Dronn32

Статус: Участник

Группы: Участники
Зарегистрирован: 01.11.2010(UTC)
Сообщений: 11
Откуда: Ставрополь

Добрый день.
Развернули в организации новый терминальный сервер на базе Windows 2003 Server R2 Enterprise Edition. Для работы пользователей с защищенными интранет-сайтами головной организации установили Крипто Про 3.6.6497 (как я понимаю, последняя сборка). Через несколько дней начались жалобы пользователей на невозможность входа во все https ресурсы. В ходе анализа проблемы выяснилось, что у части пользователей понизилась стойкость шифра до 128 бит, сответственно интранет-сайты, работающие по ГОСТовым сертификатам, их сразу отбивают. Причем одномоментно на сервере работают пользователи, чей IE 8.0 демонстрирует стойкость 256 бит, и у которых соответственно никаких проблем нет. Другое замечание - в течение рабочего дня стойкость шифра может возвращаться со 128 до 256 бит. И с 256 до 128.

Какие могут быть решения данной проблемы? Есть ли какие-нибудь особенности установки и эксплуатации СКЗИ Крипто Про на терминальных серверах?
Offline Максим Коллегин  
#2 Оставлено : 8 ноября 2010 г. 20:01:47(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Странно, раньше с таким не сталкивались. В eventlog ничего интересного?
Знания в базе знаний, поддержка в техподдержке
Offline Dronn32  
#3 Оставлено : 9 ноября 2010 г. 12:02:18(UTC)
Dronn32

Статус: Участник

Группы: Участники
Зарегистрирован: 01.11.2010(UTC)
Сообщений: 11
Откуда: Ставрополь

Да, нашел. "КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги."
Больше ничего подозрительного... О системе - Server 2003, установлен SP2, а также все обновления, вышедшие до 9 ноября 2010 года (работает WSUS).
Offline Максим Коллегин  
#4 Оставлено : 9 ноября 2010 г. 12:20:56(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
А пользователей много?
Знания в базе знаний, поддержка в техподдержке
Offline Dronn32  
#5 Оставлено : 9 ноября 2010 г. 13:44:15(UTC)
Dronn32

Статус: Участник

Группы: Участники
Зарегистрирован: 01.11.2010(UTC)
Сообщений: 11
Откуда: Ставрополь

Около 150 пользователей
Offline Максим Коллегин  
#6 Оставлено : 9 ноября 2010 г. 14:07:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Включите диагностику csp, перезагрузитесь и пришлите eventlog после возникновения ошибок.

Код:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\debug]
"cpcsp"=dword:00000009
"cpcsp_fmt"=dword:00000039
"cpsspap"=dword:00000009
"cpsspap_fmt"=dword:00000039

Отредактировано пользователем 9 ноября 2010 г. 14:08:32(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Dronn32  
#7 Оставлено : 10 ноября 2010 г. 23:21:13(UTC)
Dronn32

Статус: Участник

Группы: Участники
Зарегистрирован: 01.11.2010(UTC)
Сообщений: 11
Откуда: Ставрополь

Reg - файл внедрил, сервер перегружен. Проверил стойкость шифра - пока 256 бит. Буду ждать начала проблем. Ранее тоже несколько дней все было в порядке.
Offline Dronn32  
#8 Оставлено : 9 ноября 2011 г. 19:58:26(UTC)
Dronn32

Статус: Участник

Группы: Участники
Зарегистрирован: 01.11.2010(UTC)
Сообщений: 11
Откуда: Ставрополь

Прошел год. К сожалению пришлось прервать тестирование версии 3.6.6497 на терминальном сервере и установить старую версию 3.6.5402 - проблема с понижением стойкости IE 8.0 до 128 бит ушла. В 2011 году сделали новый домен, ввели в строй новый терминальный сервер на базе Windows Server 2003 R2 x64 (боевой на 150 пользователей). Развернули такой же (по программной конфигурации) тестовый терминальный сервер (на 5 пользователей). Установили на боевой сервер сначала версию 3.6.6497 - опять понижение стойкости шифра IE 8.0 до 128 бит через 1 день работы. На WSUS специально не заводили, чтобы проверить, что патчи не оказывают влияния. На тестовом сервере проблем нет - стойкость 256 бит, все SSL - ресурсы доступны. Удаляем 3.6.6497, подчищаем утилитой cspclean. Ставим версию 3.6.6872 (самую свежую сборку) - на боевом сервере стойкость шифра 256 бит продержалась 2 дня, а потом опять понизилась до 128 бит. На тестовом опять все в порядке. Накатываем все патчи через WSUS - без изменений. Доменная политика - по умолчанию, никаких настроек специально не сделали. В реестре изменений с версией Крипто Про 3.6.5402 не находим. СКЗИ Крипто Про 3.6.6497 используем также локально примерно на 250 рабочих местах - нигде никогда проблем с доступом локально на SSL - ресурсы не наблюдалось и не наблюдается. На тестовом сервере так и не удается повторить проблему - все работает как надо. Поневоле можно сделать вывод о влиянии количества пользователей на работу IE 8.0. Прочитал весь ваш форум - проверил все, ничего не помогает. Что посоветуете? Пока на сервера ставим уже устаревшую 3.6.5402...
Offline Максим Коллегин  
#9 Оставлено : 9 ноября 2011 г. 21:57:50(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
В eventlog нет подозрительных сообщений?
Используется версия КС1?
Возможно ли нашей техподдержке получить удаленный доступ к терминальной сессии, в которой будет стойкость 128 бит?

Отредактировано пользователем 9 ноября 2011 г. 21:59:45(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Dronn32  
#10 Оставлено : 10 ноября 2011 г. 15:11:23(UTC)
Dronn32

Статус: Участник

Группы: Участники
Зарегистрирован: 01.11.2010(UTC)
Сообщений: 11
Откуда: Ставрополь

Как назло ничего в eventlog не наблюдаю подозрительного... Версию ставим все время КС1. По поводу удаленного доступа - вариантов нет. Интернет корпоративный, через головную организацию, отдельная подсеть. Есть надежда, что проблема проявится на тестовом сервере - там можно будет делать все что угодно (жалоб от пользователей не будетDrool )
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.