Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 6 
|
Каким образом можно включить проверку сроков действия закрытых ключей алгоритма ГОСТ Р 34.10-2012?
Выполнить это в соответствии с п 6.8 "Руководства администратора безопасности" не получилось, gpedit.msc отсутствует, в реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2012 отсутствует.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,433  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
|
Настройки срока действия переехали в другое место и они включены по умолчанию. Вы смотрели в последней версии документации? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 6
|
Да, в последней. В какое место они переехали? По умолчанию они у меня не проверяются.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 10.04.2013(UTC) Сообщений: 186 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
|
Добрый день! В сертифицированной для Windows 10 версии CSP 4.0 документация будет обновлена. В частности, в ней появились следующие изменения (данный вариант уже был выложен на сайт вместе с версией 4.0.9797, см. документ "Правила пользования"): Изменение параметра ControlKeyTimeValidity Для операционных систем группы Windows необходимо изменить значение ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity (для 64-битных операционных систем), HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity (для 32-битных операционных систем). Настройка СКЗИ для остальных ОС осуществляется с помощью утилиты cpconfig с помощью команды ./cpconfig -ini \config\parameters -add long ControlKeyTimeValidity <значение> Отредактировано пользователем 18 октября 2016 г. 12:01:58(UTC)
| Причина: Не указана |
С уважением, Станислав Смышляев, к.ф.-м.н., Заместитель генерального директора ООО "КРИПТО-ПРО" Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 6
|
Развернул все на другой операционной системе (Windows 7 максимальная), где есть редактор группой политики. Установил все настройки в соответствии с документацией.
в ПО выполняется подписание с помощью вызова функции CryptMsgUpdate с предварительной проверкой сертификатов. Проверка выполняется следующим образом:
Построение цепочки с помощью вызова функции CertGetCertificateChain;
Проверка цепочки с помощью вызова CertVerifyCertificateChainPolicy с флагом CPCERT_CHAIN_POLICY_PRIVATEKEY_USAGE_PERIOD.
При истекшем сроке действия закрытого ключа и корректном сертификате подписание выполняется.
Должна ли в моем случаи, при проведенных проверках, выполняться проверка закрытого ключа.
Если нет, то каким образом её можно осуществить.
Если должна могли бы указать, что еще нужно настроить и как.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 10.04.2013(UTC) Сообщений: 186 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
|
Подскажите, пожалуйста,
1) Точную версию СКЗИ.
2) Настроили ли Вы все в соответствии с текущей (процитированной мной выше) документацией?
|
С уважением, Станислав Смышляев, к.ф.-м.н., Заместитель генерального директора ООО "КРИПТО-ПРО" Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 6
|
1.Версия продукта: 4.0.9708
Версия ядра СКЗИ: 4.0.9006 КС2
ВЫполнил следующие дейсвия:
1. Для операционных систем группы Windows выставить необходимое значение групповой политики можно в Редакторе локальной групповой политики (Выполнить -> gpedit.msc), в разделе «Классические административные шаблоны (ADM)». Для ключей алгоритма ГОСТ Р 34.10-2001 необходимо изменить значение ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2001.
Выставление значения «0» для ключей алгоритма ГОСТ Р 34.10-2001 не допускается.
Для ключей алгоритма ГОСТ Р 34.10-2012 как для коротких (256 бит), так и для длинных (512 бит) необходимо изменить значение ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2012.
В соответствии с документацией.
Не помогло.
2. Выполнил в соответствии с Вашими рекомендациями
ключа: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity не было, я его создал, присвоил значение 2.
Не помогло.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 10.04.2013(UTC) Сообщений: 186 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
|
На всякий случай уточню (учитывая, что у Вас КС2) - после изменений настроек перезагружались (либо службу перезапускали)? |
С уважением, Станислав Смышляев, к.ф.-м.н., Заместитель генерального директора ООО "КРИПТО-ПРО" Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.10.2016(UTC) Сообщений: 6
|
Извиняюсь, функция CertVerifyCertificateChainPolicy вызывается с флагом CPCERT_CHAIN_POLICY_SIGNATURE
Да перезагружался.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,433 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
|
Настройки в CSP предназначены для проверки при использовании секретного ключа. Для проверки политик сертификата нужны другие параметры. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
