Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17  Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Добрый день!
Подскажите как решить проблему кеширования закрытого ключа на АстраЛинукс SE 1.7.5
После нескольких подписаний документов, если вынуть токен с закрытым ключом, то подписание документа происходит и без него.
Видимо происходите кеширование ЗК в памяти.
Как запретить кеширование на постоянной основе?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323
Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
|
Автор: alvserg  Как запретить кеширование на постоянной основе? Можете прочитать в документации к СКЗИ про параметр: Цитата:2.6.1 Кэширование контейнеров закрытых ключей
При хранении ключей в службе хранения ключей возможно применение кэширования контейнеров закрытых ключей (только для пассивных хранилищ ключевой информации без использования криптографических механизмов, реализованных на смарт-карте/токене). Кэширование заключается в том, что считанные с носителя ключи остаются в памяти сервиса.
Такой ключ доступен после завершения работы загрузившего этот ключ приложения. Также ключ из кэша может быть доступен и после извлечения ключевого носителя из считывателя, для этого необходимо добавить параметр реестра AllowWorkWithoutCarrier со значением «1» в ветку HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\CryptoPro\Cryptography\CurrentVersion\Parameters.
Каждый ключ из кэша доступен любому приложению, которое работает под той же учётной записью, что и приложение, поместившее этот ключ в кэш. Все ключи из кэша доступны до завершения работы службы хранения ключей. При переполнении кэша очередной ключ записывается на место самого раннего ключа, помещённого в кэш.
Кэширование контейнеров позволяет увеличить производительность приложений за счет более быстрого доступа к закрытому ключу, т.к. считывание ключа осуществляется только один раз. На форуме, говорилось, например, здесь. Отредактировано пользователем 6 ноября 2024 г. 19:09:01(UTC)
| Причина: Не указана
|
 1 пользователь поблагодарил nickm за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Я правильно понимаю, что параметр AllowWorkWithoutCarrier надо выставить в 0, чтоб отключить кеширование ?
Везде пишут про 1
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323
Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
|
Автор: nickm На форуме, говорилось, например, здесь. И, например, здесь. Автор: alvserg Я правильно понимаю, что параметр AllowWorkWithoutCarrier надо выставить в 0, чтоб отключить кеширование ?
Везде пишут про 1 Вы какую версию СКЗИ используете? Да, задайте в указанном параметре 0 и проверьте достигли ли Вы желаемого, т.к. многое зависит от сценария использования. + в самом конфигурационном файле СКЗИ имеется комментарий: Код:$ cat /etc/opt/cprocsp/config64.ini | iconv -f WINDOWS-1251 -t UTF-8 | grep -i allowwork -A5
#AllowWorkWithoutCarrier=0
# AllowWorkWithoutCarrier=1 отключает требование держать токен или смарт-карту
# воткнутыми в считыватель, что значительно повышает скорость
# криптографических операций на пассивных токенах и не меняет на активных.
# Такое поведение соответствует КриптоПро CSP 4.0 и КриптоПро CSP 5.0 R1.
|
1 пользователь поблагодарил nickm за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Добрый день!
DisableCachePasswords = 1
AllowWorkWithoutCarrier = 0
cached = 0
Указанные настройки не помогли. Закрытый ключ продолжает кэшироваться. И пароль каждый раз не запрашивает
Версия КриптоПро CSP - 11455
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323
Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
|
Автор: alvserg Версия КриптоПро CSP - 11455 Согласно комментария, в указанной версии СКЗИ Вы этого не добьётесь: Автор: nickm Код:$ cat /etc/opt/cprocsp/config64.ini | iconv -f WINDOWS-1251 -t UTF-8 | grep -i allowwork -A5
#AllowWorkWithoutCarrier=0
# AllowWorkWithoutCarrier=1 отключает требование держать токен или смарт-карту
# воткнутыми в считыватель, что значительно повышает скорость
# криптографических операций на пассивных токенах и не меняет на активных.
# Такое поведение соответствует КриптоПро CSP 4.0 и КриптоПро CSP 5.0 R1.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Извините за назойливость, но мне нужен белее чёткий ответ для обоснования руководству. Я верно понимаю, что эксплуатируемая нами версия не позволяет отменить кэширование и это её штатное неотключаемое поведение на Astra Linux? И даже сохранение пароля нельзя отключить? По моему опыту, его можно сбросить, но это разово. Потом он опять сохраняется. Начиная с какой версии можно настроить отмену кеширования закрытого ключа? Отредактировано пользователем 14 ноября 2024 г. 11:15:09(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323
Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
|
Автор: alvserg мне нужен белее чёткий ответ для обоснования руководству. Полагаю, что любой ответ на форуме не будет являться "чётким", в таком случае Вам следует обратиться в тех.поддержку, где получить желаемый ответ. Являюсь таким же пользователем как и Вы, и обрабатываю доступную официальную информацию ( например), которую привёл Вам выше - ответы, документация и комментарий к конфигурационному файлу; Автор: alvserg Я верно понимаю, что эксплуатируемая нами версия не позволяет отменить кэширование и это её штатное неотключаемое поведение на Astra Linux? И даже сохранение пароля нельзя отключить? Похоже на то, что в ранних версиях СКЗИ это поведение по умолчанию и не настраиваемое; Автор: alvserg Начиная с какой версии можно настроить отмену кеширования закрытого ключа? Обсуждаемый выше параметр заявлен с версии v5R2 (например, вот ответы сотрудников ( 1), ( 2)). Отредактировано пользователем 14 ноября 2024 г. 12:48:21(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил nickm за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
