Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline АлександрTRU  
#1 Оставлено : 11 июля 2019 г. 22:08:25(UTC)
АлександрTRU

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Челябинск

Добрый день! Специально зарегистрировался чтобы задать вопрос ибо уже выбился из сил. Подскажите пожалуйста куда копать? Проблема в следующем:

Имеется машинка под управлением Win10 1809 (сборка 17763.557), введенная в домен Active Directory, права пользовательские.
Был сгенерирован самоподписанный сертификат для шифровки и расшифровки файлов. Шифровка файлов проходит успешно, но при попытке расшифровать зашифрованный(открытым ключом сертификата) файл появляется ошибка - "У Вас отсутствует личный сертификат, необходимый для расшифрования указанного файла"Brick wall Brick wall .

Естественно сертификат установлен в хранилище (в оснастке "Сертификаты" его можно увидеть). Даже при попытке на этой же машине зашифровать и расшифровать файл появляется эта ошибка.

Используется КриптоАРМ 5.4.1.93.

PS: В среде с Win7, без домена всё прекрасно работает.

Буду благодарен если кто-нибудь подскажет куда копать...

PSS: Видел про проблему прав в домене (https://www.cryptopro.ru/news/2017/10/problemy-dostupa-k-klyucham-kriptopro-csp-v-sluchae-obnovleniya-do-windows-10-fall-crea), но предложенный в статье фикс не помог :(
Offline two_oceans  
#2 Оставлено : 12 июля 2019 г. 5:22:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день. Вообще в Десятке есть доступ к этому закрытому ключу? Предполагаю, еще может быть какое-то ограничение в десятке (или в домене) в плане использования именно самоподписанных сертификатов. Не пробовали сделать доменный УЦ и выпустить сертификат на нем? Доменный УЦ обычно групповой политикой распространяет свой сертификат в "доверенные корневые центры сертификации" компьютеров домена.

Наверно нужно больше информации как Вы шифруете/расшифровываете. Дело в том, что обычно файлы шифруются открытым ключом получателя, а расшифровываются закрытым (то есть должна присутствовать отметка у сертификата в хранилище "Личные": "Имеется закрытый ключ сертификата"). Это обеспечивает возможность расшифровки только получателем. "при попытке расшифровать зашифрованный(открытым ключом сертификата)" при такой схеме и должна выходить ошибка.

Если не выходит ошибки, то наверно Вы шифруете файлы "самому себе", в этом случае самоподписанный сертификат+закрытый ключ должны быть те же самые на одном и втором копьютере.

Есть еще более сложная схема при которой вырабатывается общий ключ (для выработки нужен нужен закрытый ключ одной стороны и открытый ключ другой стороны) и тогда файл смогут расшифровать и получатель и отправитель. Если Вы пользуетесь такой схемой, то кроме своего закрытого ключа Вам нужен еще и открытый ключ другой стороны как для шифрования, так и для расшифровки. При шифровании XML сертификат отправителя прикладывается в зашифрованном файле, насчет КриптоАрм не проверял. Кажется есть еще вариант поставить сертификаты другой стороны в другое хранилище (Адресная книга или Другие пользователи).

Offline Андрей Писарев  
#3 Оставлено : 12 июля 2019 г. 11:11:25(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.



АлександрTRU,

КриптоПРО CSP\Сервис\Протестировать\По сертификату

Этот сертификат проходит тестирование без проблем и находится контейнер для него?


Автор: two_oceans Перейти к цитате


Наверно нужно больше информации как Вы шифруете/расшифровываете. Дело в том, что обычно файлы шифруются открытым ключом получателя, а расшифровываются закрытым (то есть должна присутствовать отметка у сертификата в хранилище "Личные": "Имеется закрытый ключ сертификата"). Это обеспечивает возможность расшифровки только получателем. "при попытке расшифровать зашифрованный(открытым ключом сертификата)" при такой схеме и должна выходить ошибка.




Да, а еще могли переустановить сертификат через простой импорт и потерять связь с контейнером.


АлександрTRU,
установите сертификат с привязкой к контейнеру через КриптоПРО CSP\Сервис\Установить личный сертификат.
Там же есть опция с поиском контейнера - находит контейнер?

Техническую поддержку оказываем тут
Наша база знаний
Offline АлександрTRU  
#4 Оставлено : 12 июля 2019 г. 22:07:50(UTC)
АлександрTRU

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Челябинск

Автор: Андрей Писарев Перейти к цитате
Здравствуйте.



АлександрTRU,

КриптоПРО CSP\Сервис\Протестировать\По сертификату

Этот сертификат проходит тестирование без проблем и находится контейнер для него?


Автор: two_oceans Перейти к цитате


Наверно нужно больше информации как Вы шифруете/расшифровываете. Дело в том, что обычно файлы шифруются открытым ключом получателя, а расшифровываются закрытым (то есть должна присутствовать отметка у сертификата в хранилище "Личные": "Имеется закрытый ключ сертификата"). Это обеспечивает возможность расшифровки только получателем. "при попытке расшифровать зашифрованный(открытым ключом сертификата)" при такой схеме и должна выходить ошибка.




Да, а еще могли переустановить сертификат через простой импорт и потерять связь с контейнером.


АлександрTRU,
установите сертификат с привязкой к контейнеру через КриптоПРО CSP\Сервис\Установить личный сертификат.
Там же есть опция с поиском контейнера - находит контейнер?



Спасибо за отклик!
Шифруем открытым, расшифровываем закрытым :)
Сертификат не перетаскивался с машины (не импортировался и не экспортировался, машинка та же где и генерировался сертификат). Закрытый ключ и контейнер имеются и определяются, но вот тестирование проходит с ошибкой.

Скриншот о том что закрытый ключ имеется (не уверен что это надёжный пруф, но других не знаю к сожалению, извините): Screenshot_3.png (3kb) загружен 2 раз(а).

Вот результат тестирования сертификата (убраны персональные данные субъекта):
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя 1f87fd01-8d73-4ffe-8c93-e7412b1c0f32
уникальное имя REGISTRY\\1f87fd01-8d73-4ffe-8c93-e7412b1c0f32
FQCN \\.\REGISTRY\1f87fd01-8d73-4ffe-8c93-e7412b1c0f32
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись Ошибка 0x8007065B: Ошибка исполнения функции.
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10-2001, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу

действителен с 11 июля 2019 г. 23:30:48
действителен по 11 июля 2020 г. 23:30:48
серийный номер 3097 4EB1 73DC 7A8D
Срок действия закрытого ключа 10 октября 2020 г. 5:30:48
Использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 10 октября 2020 г. 5:31:02

Ради эксперимента проверил права на ветку в реестре в которой хранится контейнер и ключ - все в норме, нужные права есть, и в порядке бреда экспортировал ветку реестра с ключом и импортировал на другую машину (изменив SID), иии на другой машине шифровка и расшифровка прошла успешно. Выходит что дело в пользователе и в машинке?Think
Offline Андрей Писарев  
#5 Оставлено : 12 июля 2019 г. 23:43:40(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Цитата:
Ошибка 0x8007065B: Ошибка исполнения функции


Обычно такое - при просроченной лицензии.

Вкладка Общие - статус лицензии?

Техническую поддержку оказываем тут
Наша база знаний
Offline АлександрTRU  
#6 Оставлено : 13 июля 2019 г. 8:13:43(UTC)
АлександрTRU

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.07.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Челябинск

Автор: Андрей Писарев Перейти к цитате
Цитата:
Ошибка 0x8007065B: Ошибка исполнения функции


Обычно такое - при просроченной лицензии.

Вкладка Общие - статус лицензии?



Да, действительно, у КриптоПРО CSP лицензия истекла. Я правильно понимаю что вечного триала нет, и дальше только покупка лицензии?

Bezymjannyjj.png (82kb) загружен 11 раз(а).
Offline Андрей Писарев  
#7 Оставлено : 13 июля 2019 г. 12:53:34(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: АлександрTRU Перейти к цитате

Да, действительно, у КриптоПРО CSP лицензия истекла. Я правильно понимаю что вечного триала нет, и дальше только покупка лицензии?
Bezymjannyjj.png (82kb) загружен 11 раз(а).


Триальная лицензия - на 3 месяца и в данном случае истекла еще в ноябре 2018.

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.