Статус: Новичок
Группы: Участники
Зарегистрирован: 28.09.2018(UTC) Сообщений: 1  Откуда: Находка
|
Система WinServ2016
КриптоПро CSP 4.0.9953
Проблема: Было подключено 10 ЭЦП с 10 разными сертификатами, ничего не предпринималось, работа проходила в штатном режиме, через некоторое время один сертификат исчез, а на его место скопировался(перезаписался) другой из остальных 9 ЭЦП. В итоге получилось 8 ЭЦП с разными сертификатами и 2 ЭЦП с одинаковыми. Уточню, что ничего не делалось, все произшло в автоматическом режиме, т.е. самопроизвольно.
Также уточню, что ЭЦП были без пароля, экспортируемые, работали через сервер подписей СТМ.
Помогите выяснить что произошло, за чей счет приобретать новый сертификат и как избежать в дальнейшем такие казусы?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
Разобраться "кто виноват" будет сложно, так как токены видны всем если не стоит специальных программ разграничения доступа к USB портам. А уж токены без паролей и экспортируемые контейнеры - дают свободу действий всем. Может быть удастся обнаружить операцию перезаписи в каком-нибудь логе или журнале, но надежды на это мало.
Могу предположить, что в проблему лепту внесла "услужливость" драйвера токена (или сопутствующих драйверу утилит управления токеном), который каждый раз пытается поставить все что есть на токене в хранилище "Личные" и когда в "Личные" появляется новый сертификат предлагает скопировать его на токен. Хотя к удалению контейнера в норме приводить не должно. В идеале утилита управления токеном должна стоять только у администратора, рядовым пользователям нет необходимости заменять пинкоды без ведома администратора и утилита не нужна. Желательно проверить и другие используемые программы на такой функционал автоустановки и автоудаления сертификатов. У меня еще КриптоАрм пытается с любой флешки установить сертификат, даже если флешка абсолютно пуста.
На старых операционках нет драйвера токена в самой системе, поэтому все решается элементарно удалением драйвера и повисанием токена в неизвестных устройствах (модуль актуальной версии криптопро все равно работает с токеном, даже если в операционка не опознает токен как "считыватель смарт-карт").
В новых версиях windows токен изначально опознается как "считыватель смарт-карт" и начинается из коробки та самая "услужливость". Выходит, от такой проблемы безопаснее экзотический вариант хранить контейнеры на флешке отформатированной в NTFS и запретить доступ конкретным пользователям средствами NTFS. Чтобы программа от имени обычного пользователя не смогла ничего сделать с контейнером, а для служб (сервера подписания) открыть доступ.
Ну и конечно наиболее правильный ответ как избежать такого при использовании токенов: научить пользователей не жать на все подряд кнопки ОК, установить пин-код и вводить пин-код каждый раз когда идет обращение к контейнеру (не запоминать его). Однако к сожалению, это не очень совместимо с автоматизированным подписанием.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
