Статус: Новичок
Группы: Участники
Зарегистрирован: 17.06.2011(UTC)
Сообщений: 5
Откуда: RU
|
Добрый день!
Прошу проконсультировать по вопросу совпадения наименований контейнеров СКЗИ "КриптоПро" 3.6.
Ситуация совпадения наименований контейнеров возникает, если у клиента на одном компьютере установлена программа "Клиент-Банк" компании BSS (СКЗИ "КриптоПро" 3.6.) с несколькими организациями, руководителем которых является одно лицо.
Например, у клиента есть две организации:
ООО "Калинка" (Николаева Елена Васильевна - директор) и
ООО "Калинка Гурмэ" (Николаева Елена Васильевна - директор то же лицо).
14.03.2011 для ООО "Калинка" первоначально были изготовлены технологические ключи (сроком на 2 месяца), имя контейнера "Николаева Елена Васильевна 1".
16.03.2011 клиентом самостоятельно изготовлены рабочие ключи, имя контейнера "Николаева Елена Васильевна 2".
Все контейнеры находятся на флеш-носителе.
28.11.2012 Николаева Елена Васильевна открывает вторую организацию ООО "Калинка Гурмэ" и для неё изготавливаются
технологические ключи, имя контейнера "Николаева Елена Васильевна 1" (имя каталога другое: degkhwby.010).
При изготовлении клиентом рабочих ключей "КриптоПро" находит на флеш-носителе контейнер с наименованием "Николаева Елена Васильевна 1",
но организация ООО "Калинка". И рабочие ключи ООО "Калинка" затираются новыми для организации ООО "Калинка Гурмэ".
Таким образом происходит утрата действующих рабочих ключей ООО "Калинка".
Такая ситуация возникает у клиентов достаточно часто.
Данный пример описывает только две организации. На практике есть организации, установленные на одном компьютере, руководителем которых является одно лицо и эта ситуация ещё более усложняется.
Прошу рассмотреть данную ситуацию и предложить решение этого вопроса.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Создать контейнер на носителе с таким же именем невозможно. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 26
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
|
Имеется в виду создание контейнеров с одинаковыми ФИО на разные носители скорей всего. Тоже работем со связкой BSS и Крипто-Про, имеем проблемы на стороне клиентов с несколькими организациями когда имена контейнеров одинаковы (вообще это должно решаться еще на этапе создания ключей). Решаем батничком который при запуске каждого клиент-банка подчищает ветки с запомненными shortcut'ами или прописывает путь в shortcut до нужного контейнера. Но эти проблемы возникают только в процессе работы (при подписании документа), а при запросе новых ключей как раз проблема решается, так как новый ключ создается с цифрой следующей по порядку от имеющихся в соответствующих ветках реестра, соответственно пересечение имен пропадает. Странно что у вас они затираются. Отредактировано пользователем 7 декабря 2012 г. 10:57:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.06.2011(UTC)
Сообщений: 5
Откуда: RU
|
Благодарю за отзыв, n1ck!
Есть некоторые моменты - для уточнения.
Если у клиента на одном компьютере несколько организаций (например, более 20-ти), то размещать ключи на разные носители не целесообразно и для клиента достаточно затруднительно использование отдельного носителя для каждой организации.
Поэтому для клиента предпочтительно использование одного носителя.
Использование реестра крайне не желательно из соображений безопасности.
По поводу затирания ключей момент такой:
например, на флешке уже есть действующие ключи - имя контейнера "Николаева Елена Васильевна 2" (ООО "Калинка").
Для нас неизвестно какие контейнеры есть на носителе клиента.
Штатным образом изготавливаются технологические ключи, автоматически контейнеру присваивается имя контейнера "Николаева Елена Васильевна 1".
Но при перегенерации ключей для второй организации будет создан новый контейнер - "Николаева Елена Васильевна 2" (ООО "Калинка Гурмэ"), который затрет действующие ключи ООО "Калинка".
Вот примерно такая ситуация происходит у клиента.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.06.2011(UTC)
Сообщений: 5
Откуда: RU
|
maxdm написал:Создать контейнер на носителе с таким же именем невозможно. Одним из вариантов решения данного вопроса является следующее предложение. Для однозначного определения наименования контейнера, чтобы исключить совпадение наименований контейнеров ключей, возможено формирование технологических ключей с указанием ОГРН той организации, для которой изготавливаются ключи, например, для ООО "Калинка Гурмэ": Николаева Елена Васильевна (ОГРН 1127747001470) для ООО "Калинка": Николаева Елена Васильевна (ОГРН 1097746169762) Такой вариант создания ключей позволит однозначно определить отношение владельца электронной подписи соответствующей организации. Вопрос достаточно актуальный для многих клиентов, использующих КриптоПро. В качестве предложения к разработчикам КриптоПро: возможно ли реализовать связку: владелец электронной подписи - соответствующая организация на уровне идентификаторов или может быть другим образом? Это просто предложение к размышлению об улучшении продукта КриптоПро. Просьба понимать правильно, как пожелание.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 03.04.2008(UTC) Сообщений: 380 Откуда: Россия, г. Белгород Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
|
SergMir написал:Добрый день!
Прошу проконсультировать по вопросу совпадения наименований контейнеров СКЗИ "КриптоПро" 3.6.
Ситуация совпадения наименований контейнеров возникает, если у клиента на одном компьютере установлена программа "Клиент-Банк" компании BSS (СКЗИ "КриптоПро" 3.6.) с несколькими организациями, руководителем которых является одно лицо.
Например, у клиента есть две организации:
ООО "Калинка" (Николаева Елена Васильевна - директор) и
ООО "Калинка Гурмэ" (Николаева Елена Васильевна - директор то же лицо).
14.03.2011 для ООО "Калинка" первоначально были изготовлены технологические ключи (сроком на 2 месяца), имя контейнера "Николаева Елена Васильевна 1".
16.03.2011 клиентом самостоятельно изготовлены рабочие ключи, имя контейнера "Николаева Елена Васильевна 2".
Все контейнеры находятся на флеш-носителе.
28.11.2012 Николаева Елена Васильевна открывает вторую организацию ООО "Калинка Гурмэ" и для неё изготавливаются
технологические ключи, имя контейнера "Николаева Елена Васильевна 1" (имя каталога другое: degkhwby.010).
При изготовлении клиентом рабочих ключей "КриптоПро" находит на флеш-носителе контейнер с наименованием "Николаева Елена Васильевна 1",
но организация ООО "Калинка". И рабочие ключи ООО "Калинка" затираются новыми для организации ООО "Калинка Гурмэ".
Таким образом происходит утрата действующих рабочих ключей ООО "Калинка".
Такая ситуация возникает у клиентов достаточно часто.
Данный пример описывает только две организации. На практике есть организации, установленные на одном компьютере, руководителем которых является одно лицо и эта ситуация ещё более усложняется.
Прошу рассмотреть данную ситуацию и предложить решение этого вопроса. расскажите что за ПО вы используете для создания ключей, контейнеров ... было бы неплохо скрин того как вы создаете ключи потому как maxdm прав на счет невозможности
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.06.2011(UTC)
Сообщений: 5
Откуда: RU
|
Используется ПО компании ООО "Банк Софт Системс". Технологические ключи для клиентов создаем на сервере: Администрирование, Криптозащита, Ручная генерация сертификата, затем заполняем необходимые поля: криптопровайдер, параметры: CN, O, L, S, C, E (не знаю как прикрепить скрин). Пользователь SergMir прикрепил следующие файлы:  Форма заполненеия полей при генерации ЭП.JPG (54kb) загружен 181 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 26
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
|
Цитата:Но при перегенерации ключей для второй организации будет создан новый контейнер - "Николаева Елена Васильевна 2" (ООО "Калинка Гурмэ"), который затрет действующие ключи ООО "Калинка". Как перегенерацию делаете на стороне клиента? Настройка - Криптозащита - Запросы клиентов на регистрацию сертификатов? Вопрос разработчикам: Логика назначения имени новым контейнерам определяется самим Крипто-Про, или зависит от ПО использующим Крипто-Про, в данном случае BSS? Независимо от того, кем определяется такая логика, из личного опыта работы BSS+Крипто-Про видится так: Если уже имеется контейнер "Николаева Елена Васильевна 2", то при генерации нового имя должно быть "Николаева Елена Васильевна 3". Но последняя цифра в названии контейнера определяется не из списка контейнеров присутствующих в данный момент на носителях, а из имеющихся веток в реестре "KeyDevices\Passwords\Название Контейнера", то есть можно в реестре самому добавить ветку "Николаева Елена Васильевна 3" (прописав произвольный параметр shortcut), и при генерации нового ключа ему должно присвоиться "Николаева Елена Васильевна 4".
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.06.2011(UTC)
Сообщений: 5
Откуда: RU
|
n1ck написал:Как перегенерацию делаете на стороне клиента? Настройка - Криптозащита - Запросы клиентов на регистрацию сертификатов? Да, так. n1ck написал:Вопрос разработчикам:
Логика назначения имени новым контейнерам определяется самим Крипто-Про, или зависит от ПО использующим Крипто-Про, в данном случае BSS?
Независимо от того, кем определяется такая логика, из личного опыта работы BSS+Крипто-Про видится так:
Если уже имеется контейнер "Николаева Елена Васильевна 2", то при генерации нового имя должно быть "Николаева Елена Васильевна 3". Но последняя цифра в названии контейнера определяется не из списка контейнеров присутствующих в данный момент на носителях, а из имеющихся веток в реестре "KeyDevices\Passwords\Название Контейнера", то есть можно в реестре самому добавить ветку "Николаева Елена Васильевна 3" (прописав произвольный параметр shortcut), и при генерации нового ключа ему должно присвоиться "Николаева Елена Васильевна 4". Я правильно понимаю, что если ключи на флешке, то в реестре содержится только номер контейнера? А если несколько организаций и все ключи на флешке, тогда что пишется в реестр и как КриптоПро будет распознавать эти организации? Конечно идея интересная.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 26
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
|
Цитата:Я правильно понимаю, что если ключи на флешке, то в реестре содержится только номер контейнера?
А если несколько организаций и все ключи на флешке, тогда что пишется в реестр и как КриптоПро будет распознавать эти организации?
Конечно идея интересная. "Реестр" имеется в виду реестр Windows. При первом обращении к ключам, в реестре записывается название контейнера: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\S-1-5-21(самый длинный раздел)\KeyDevices\passwords\Названия контейнеров и параметр shortcut с уникальным именем. При последующем обращении к названию контейнера, он будет ломиться вот на это уникальное имя, меняя которое можно принудительно указать к какому именно контейнеру необходимо обратиться в данный момент, даже если дружественные имена одинаковы.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
