Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
Здравствуйте. При попытке импорта сертификата через cptools, после ввода данных пользователя (которые почемуто надо вводить в консоли. не доустановил какой то пакет?) возникает ошибка 0x2F89. В логах: Цитата:cpcsp[4378]: 14:46:57.307956 support_an_fopen:87 p:4378 t:0x0x7f13c7846c10 support_an_fopen("/etc/opt/cprocsp/config64.ini", "r+b") = 0x(nil) fail Permission denied(13)
cpcsp[4378]: 14:46:57.308286 support_an_fopen:87 p:4378 t:0x0x7f13c7846c10 support_an_fopen("/etc/opt/cprocsp/config64.ini", "r+b") = 0x(nil) fail Permission denied(13)
cpcsp[4407]: libssp: AddToMessageLog unknown error
libssp[4378]: libssp: AddToMessageLog unknown error Попробовал под sudo: Цитата:sudo: alg : TTY=pts/4 ; PWD=/home/alg/Downloads/linux-amd64_deb ; USER=root ; COMMAND=/opt/cprocsp/bin/amd64/cptools
sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
cpcsp[4753]: libssp: AddToMessageLog unknown error
libssp[4729]: libssp: AddToMessageLog unknown error CryptoPro CSP ver. 5.0.0.0.10874. OS: Ubuntu, goslinux, MacOS
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
>dpkg -l | grep cprocsp Цитата:
ii cprocsp-cptools-gtk-64 5.0.10874-5 amd64 GUI application for various CSP tasks. Build 10874.
ii cprocsp-curl-64 5.0.10874-5 amd64 CryptoPro Curl shared library and binaris. Build 10874.
ii cprocsp-rdr-cloud-64 5.0.10874-5 amd64 DSS keys support module
ii cprocsp-rdr-gui-gtk-64 5.0.10874-5 amd64 GUI components for CryptoPro CSP readers. Build 10874.
ii lsb-cprocsp-base 5.0.10874-5 all CryptoPro CSP directories and scripts. Build 10874.
ii lsb-cprocsp-ca-certs 5.0.10874-5 all CA certificates. Build 10874.
ii lsb-cprocsp-capilite-64 5.0.10874-5 amd64 CryptoAPI lite. Build 10874.
ii lsb-cprocsp-kc1-64 5.0.10874-5 amd64 CryptoPro CSP KC1. Build 10874.
ii lsb-cprocsp-rdr-64 5.0.10874-5 amd64 CryptoPro CSP readers. Build 10874.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
>/etc/opt/cprocsp$ ls -la Цитата:total 40
drwxr-xr-x 2 root root 4096 ноя 2 14:40 .
drwxr-xr-x 3 root root 4096 ноя 2 14:26 ..
-rw-r--r-- 1 root root 16994 ноя 2 14:31 config64.ini
-rw-r--r-- 1 root root 255 ноя 2 14:40 license.ini
-rw-r--r-- 1 root root 34 окт 5 02:58 release
-rwxr-xr-x 1 root root 1206 окт 5 02:59 stunnel.conf
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
Возможно поможт понять в чём проблема: При анализе трафика сниффером видно, что на linux в Client hello нет ГОСТ шифросюит. Скрин того, что происходит после ввода пароля:  linux.png (125kb) загружен 47 раз(а).Однако в последнем сообщении ГОСТ всё таки появляется, но далее нет никакого обмена с сервисом dss: linux-2.png (85kb) загружен 42 раз(а).Проверил на Windows (где корректно отрабатывает установка сертификатов), там ГОСТ отправляется в первом client hello
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 50  Сказал «Спасибо»: 7 раз
Поблагодарили: 24 раз в 22 постах
|
Здравствуйте!
Извините за немгновенную реакцию, из-за которой вам пришлось лезть в Wireshark! Действительно, здесь имеет место разное поведение на Windows и *nix. Приложения для аутентификации являются отдельными маленькими программами, и на Windows это окошко браузера, а на *nix в общем случае это консольное приложение. В отдельных пакетах есть также Cocoa-приложение для macOS и GTK+2-приложение для других *nix для выбрасывания окошка браузера.
Наш тестовый сервер dss.cryptopro.ru работает не на ГОСТовых, а на иностранных алгоритмах. Проверенные вами два приложения для аутентификации (окошко на Windows и консольный скрипт на *nix) готовы к такому повороту событий, а вот внутренности провайдера (более конкретно, наш ГОСТ-овый curl) нет. Это связано с тем, что по нашему предположению боевые DSS-сервера будут работать только на ГОСТе.
Тем не менее, есть способы обхода проблемы. Сейчас я перепроверю их и напишу о них ещё одно сообщение.
С уважением,
Зубов Иван, КриптоПро |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 50 Сказал «Спасибо»: 7 раз
Поблагодарили: 24 раз в 22 постах
|
Небезопасный, но быстрый способ обойти проблему заключается в том, чтобы в cptools изменить ссылку на сервер DSS, заменив в адресе https на http. Разумеется, это следует делать только для отладки и только если вы не боитесь передачи данных по сети в открытом виде (то есть для каких-нибудь чисто тестовых аккаунтов).
Есть способ куда лучше, однако несколько более сложный.
1. Открываем в текстовом редакторе файл с конфигом (/etc/opt/cprocsp/config64.ini или config.ini).
2. Находим секцию [apppath].
3. Находим в ней строку вида
"libcurl.so" = "/opt/cprocsp/lib/amd64/libcpcurl.so"
4. Заменяем её на строку вида
"libcurl.so" = "/usr/lib/x86_64-linux-gnu/libcurl.so.4.3.0"
где путь указывает к обычной, не ГОСТовой библиотеке curl, которую вам возможно придётся установить дополнительно.
5. Сохраняем изменения и пробуем пойти по https из cptools ещё раз. Всё должно сработать.
Только что проверил это на Ubuntu 14.04 с libcurl3 7.35.0-1ubuntu2.9 и CSP 5.0.10904-5. |
|
 1 пользователь поблагодарил Зубов Иван за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
Вариант с заменой curl сработал, сертификаты установились. Спасибо
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.12.2014(UTC) Сообщений: 91  Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: ivan_zubov  Здравствуйте!
Приложения для аутентификации являются отдельными маленькими программами, и на Windows это окошко браузера, а на *nix в общем случае это консольное приложение. В отдельных пакетах есть также Cocoa-приложение для macOS и GTK+2-приложение для других *nix для выбрасывания окошка браузера.
Может быть, вы вытащете это в интерфейс DBus под линуксом? Чтобы этим могло заниматься любое сторонее приложение реализующее такой интерфейс. По аналогии с тем, как, например, стэк Bluetooth вызывает приложение для ввода PIN-кода.
|
1 пользователь поблагодарил neigel за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 50 Сказал «Спасибо»: 7 раз
Поблагодарили: 24 раз в 22 постах
|
neigel, спасибо за идею, поразмышляем об этом! |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 50 Сказал «Спасибо»: 7 раз
Поблагодарили: 24 раз в 22 постах
|
neigel, если посмотреть на проблему более детально, то создаётся впечатление, что выбор DBus был бы не самым удачным решением.
Хочется, чтобы CSP работал из коробки на всей массе поддерживаемых *nix-систем, включая Linux, macOS, FreeBSD, Solaris и AIX.
1. По этой причине вариант реализовать работу только через DBus видится неподходящим: даже если предположить, что он есть во всех современных Linux из коробки (это, кстати, требует серьёзной проверки), на macOS он похоже реализован в качестве отдельной программы, которую надо в лучшем случае скачивать и устанавливать, в худшем -- заодно компилировать и настраивать. Наверняка есть и другие контр-примеры, но этого, как мне кажется, уже достаточно.
2. Сделать DBus-интерфейс там, где DBus есть, а в других случаях обойтись без него видится плохой идеей по другим причинам. Грубо говоря, это приведёт к удвоению кода для взаимодействия, что приведёт к удвоению багов в коде и уменьшению покрытия кода в два раза (предположим, что есть N машин, и тогда половина будет тестировать версию без DBus, а половина -- с DBus). Если один и тот же код будет работать на всех платформах, будет намного проще и надёжнее.
Тем не менее, за интересную мысль вам спасибо! |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
