Добрый день!
Кнопка "Пересчитать хэши" активна?

Добрый день.
Если кнопка "пересчитать хэши" активна, значит что в окне выше кнопки есть хотя бы один файл хэш которого на данный момент не совпадает со значением сохраненным в реестре при предыдущем пересчете хэшей. В расчет берутся как файлы КриптоПро (для которых можно предоставить "эталонное значение"), так и системные - для которых правильное значение может измениться, например, при обновлении windows (соответственно отследить все значения для системных файлов для каждого набора обновлений, всех версий и всех редакций Windows не представляется возможным - на ту же Семерку с сп1 выходило не менее 700 обновлений, из которых актуальны около 250 - поэтому фиксированного "эталона" системных файлов нет, просто контролируется совпадение с предыдущим расчетом).

Поэтому нужно посмотреть в каком файле выявлена ошибка, если все ошибки в системных файлах, то достаточно проверить что все измененные файлы подписаны Майкрософт потом спокойно нажать кнопку "пересчитать хэши". Если измененные системные файлы без подписи Майкрософт - стоит бить тревогу или откатываться на предыдущее состояние системы. Если ошибки в файлах КриптоПро - только тогда имеет смысл сравнить хэши с "эталоном".

Проще использовать общий принцип доверия к подписи.
А так - "Требования к эксплуатации СКЗИ" из "КриптоПро CSP. Руководство администратора безопасности Общая часть" из документации к вашей версии.
Когда у нас есть доверенный дистрибутив, то его можно распаковать, получив административную точку, где файлы находятся на диске так же, как они будут расположены после установки. Следовательно, всё тем же cpverify, можно получить "эталонные" хэши контролируемых файлов.

Отредактировано пользователем 31 октября 2019 г. 6:44:39(UTC)  | Причина: Не указана

Хорошо. Я слишком всё усложнил.

Начальная установка КРИПТОПРО CSP делается с доверенного дистрибутива.
Установщик рассчитывает хэши и их можно скопировать в буфер обмена при помощи аплета КРИПТОПРО в панели управления:

Это список состоит из файлов самого криптопровайдера (CSP) и некоторых системных файлов.
Файлы CSP могут меняться только вместе с обновлением CSP. Изменились - выясняем кто и почему делал (пере)установку и почему этот некто не произвёл в записи в журнале и всё такое прочее.

Системные файлы могут меняться только в процессе штатного обновления и, обычно, это раз в месяц.
Тут уже возможны варианты - или просто положиться на подпись файла или предварительно провести обновление на "контрольной" системе и сравнить хэши "тех" и "этих".

Ещё один вариант - автоматизировать пересчёт хэшей (задача на системное событие) и проверять, что пересчёт происходит только после обновлений. Ну или не проверять, хотя это уже (злостная) профанация.

Нет.
Получили эталонные хэши при начальной установке.
Обнаружили изменение и определили изменённые файлы. Определили причину изменения файлов.
Если причина "допустимая" (обновление системы или/и обновление/переустановка CSP), то вписали нужное в журнал учёта, сделали пересчёт хэшей и сохранили новые эталонные значения.