Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Anton GTT  
#1 Оставлено : 15 февраля 2023 г. 14:12:44(UTC)
Anton GTT

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2023(UTC)
Сообщений: 11
Российская Федерация
Откуда: Томск

Здравствуйте,
столкнулся с тем, что криптопро видит контейнер только если это флешка. При использовании других типов носителя криптопро их не видит. При этом если ставить клиент для токенов (safenet client или Jacarta Единый клиент) все носители видны. Причем проблема именно в версии CryptoPRO SCP 5.0.11455, если поставить актуальную (5.0.12500) сборку контейнеры видны, все действия доступны. Логично было бы обновится и не мучится, НО есть проблема - на обновление лицензии денег нет - указание от департамента использовать только сертифицированные версии и, соответственно, версию CryptoPRO SCP 5.0.11455 т.к. подходит лицензия от CryptoPRO SCP 4.х.

Установлено

В комп вставлена JaCarta PKI


Устройство есть в списке подключенных


Служба смарт-карт работает


Устанавливал на чистую ОС через скрипт install_gui.sh. Выбирал все пункты кроме KC2. Подскажите в чем причина.
Offline nickm  
#2 Оставлено : 15 февраля 2023 г. 14:44:32(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,345

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: Anton GTT Перейти к цитате
если поставить актуальную (5.0.12500) сборку контейнеры видны, все действия доступны.

Цитата:
Нами был написан модуль поддержки Cryptoki (cryptoki.dll, cprocsp-rdr-cryptoki), который отображает интерфейс READER в PKCS#11.

Код:
cprocsp-rdr-cryptoki-*


Почитайте, КриптоПро СSP 5.0 R2 и PKCS#11 и устанавливайте библиотеки от токенов.
Offline Anton GTT  
#3 Оставлено : 15 февраля 2023 г. 15:18:51(UTC)
Anton GTT

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2023(UTC)
Сообщений: 11
Российская Федерация
Откуда: Томск

Автор: nickm Перейти к цитате

Почитайте, КриптоПро СSP 5.0 R2 и PKCS#11 и устанавливайте библиотеки от токенов.


Спасибо, это было сделано. Библиотека входит в состав единого клиента Jacarta и он был установлен. Как я и писал - в клиенте контейнеры видны.
Offline nickm  
#4 Оставлено : 15 февраля 2023 г. 15:40:51(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,345

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: Anton GTT Перейти к цитате
все носители видны

Автор: Anton GTT Перейти к цитате
в клиенте контейнеры видны.

Так носители или контейнеры?

Автор: Anton GTT Перейти к цитате

Устройство есть в списке подключенных

Здесь карт-ридер "ACR38 SmartCard Reader" является носителем?

Вот тут недавно разбирались и безотносительно версии СКЗИ, там так же был засвечен указанный ридер, правда ОС другая.

Можно воспользоваться советом и выполнить:
Автор: Андрей Русев Перейти к цитате
Диагностика работы токенов и смарт-карт всегда примерно одинаковая: раз, два.









Offline Anton GTT  
#5 Оставлено : 15 февраля 2023 г. 16:00:10(UTC)
Anton GTT

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2023(UTC)
Сообщений: 11
Российская Федерация
Откуда: Томск

В единый клиент jacarta видно и носитель (карту) и контейнер в нем. Причём видит не только jacarta, но и
SafeNet eToken 5100. Для SafeNet etoken установлен SafeNet Authentication Client. На "железном" уровне все работает, могу ввести пин-код, посмотреть содержимое и т.д. Но криптопро именно в версии 5.0.11455 вообще не видит ничего, кроме флешек. Ни в консоли ни в gui (scptool).
Offline Grey  
#6 Оставлено : 15 февраля 2023 г. 16:04:10(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: Anton GTT Перейти к цитате
В единый клиент jacarta видно и носитель (карту) и контейнер в нем. Причём видит не только jacarta, но и
SafeNet eToken 5100. Для SafeNet etoken установлен SafeNet Authentication Client. На "железном" уровне все работает, могу ввести пин-код, посмотреть содержимое и т.д. Но криптопро именно в версии 5.0.11455 вообще не видит ничего, кроме флешек. Ни в консоли ни в gui (scptool).


Добрый день.
Поддержки eToken 5100 на Linux нет и не планируется - модуль для данного носителя разработан компанией SafeNet (Gemalto-Thales) только под Windows. Полагаю, больше портировать его на Unix некому.

Для работы с PKCS#11-ключами нужно использовать 5.0.12000. В ранних версиях этой функциональности просто нет.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Grey за этот пост.
nickm оставлено 15.02.2023(UTC)
Offline Anton GTT  
#7 Оставлено : 15 февраля 2023 г. 16:25:45(UTC)
Anton GTT

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2023(UTC)
Сообщений: 11
Российская Федерация
Откуда: Томск

SafeNet eToken был подключен для теста, и кстати в версии 5.0.12500 он полностью работает.
Задача была в обеспечении работы jacarta pki на AstraLinux с Криптопро csp 5.0.11455. Возможности использовать другой версии КриптоПро нет по описанным причинам.
Offline Grey  
#8 Оставлено : 16 февраля 2023 г. 13:20:34(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: Anton GTT Перейти к цитате
SafeNet eToken был подключен для теста, и кстати в версии 5.0.12500 он полностью работает.
Задача была в обеспечении работы jacarta pki на AstraLinux с Криптопро csp 5.0.11455. Возможности использовать другой версии КриптоПро нет по описанным причинам.


5100 не может работать. Вы уверены, что это именно этот токен? То, что его так служба смарт-карт называет, - не показатель. Главное - номер модели на корпусе.

JaCarta PKI работает с CSP без проблем и без PKCS#11 в CSP 5.0.11455. Единственное, зачем для данного токена может понадобиться PKCS#11, - RSA-ключи.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Anton GTT  
#9 Оставлено : 17 февраля 2023 г. 6:06:43(UTC)
Anton GTT

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2023(UTC)
Сообщений: 11
Российская Федерация
Откуда: Томск

Автор: Grey Перейти к цитате
Автор: Anton GTT Перейти к цитате
SafeNet eToken был подключен для теста, и кстати в версии 5.0.12500 он полностью работает.
Задача была в обеспечении работы jacarta pki на AstraLinux с Криптопро csp 5.0.11455. Возможности использовать другой версии КриптоПро нет по описанным причинам.


5100 не может работать. Вы уверены, что это именно этот токен? То, что его так служба смарт-карт называет, - не показатель. Главное - номер модели на корпусе.

JaCarta PKI работает с CSP без проблем и без PKCS#11 в CSP 5.0.11455. Единственное, зачем для данного токена может понадобиться PKCS#11, - RSA-ключи.


Вот тестовый токен, и как его видит криптопро 5.0.12600.
03.JPG (44kb) загружен 7 раз(а). 04.JPG (212kb) загружен 10 раз(а).

КриптоПРО 4 и 5.0.11455 вообще не видит никаких носителей, кроме флешек. Сравнивая файлы версий я нашел, что в версиях до 11455 d файле config64.ini который находится в каталоге /etc/opt/cprocsp нет никаких упоминаний носителей типа JaCarta и etoken, а в более поздних - есть. Есть строки rutoken, но таких у меня нет - проверить нечем.

PS проверил на аналогичной сборке для windows - все работает. Только считыватель опознается как Aladin Token JC

Отредактировано пользователем 17 февраля 2023 г. 6:15:10(UTC)  | Причина: Не указана

Offline nickm  
#10 Оставлено : 17 февраля 2023 г. 6:21:20(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,345

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: Anton GTT Перейти к цитате
Сравнивая файлы версий я нашел, что в версиях до 11455 в файле config64.ini который находится в каталоге /etc/opt/cprocsp нет никаких упоминаний носителей типа JaCarta и etoken, а в более поздних - есть.

А что, если в Своих экспериментах зайти чуть далее и подложить config64.ini от версии 5.0.12600 к 5.0.11455?

Это конечно не рекомендованный сценарий, но попробовать конечно можно...

А вообще, можно глянуть, сценарии какого пакета наполняют конфиг строками, которые проявили у Вас интерес, и этим пакетом может оказаться один из cprocsp-rdr-* пакетов.

Отредактировано пользователем 17 февраля 2023 г. 6:25:52(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.