Понижение стойкости шифра Internet Explorer 8.0 после установки Крипто Про...

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Понижение стойкости шифра Internet Explorer 8.0 после установки Крипто Про сборки 3.6.6497

Опции

Предыдущая тема Следующая тема

Dronn32		#1 Оставлено : 8 ноября 2010 г. 19:08:43(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь		Добрый день. Развернули в организации новый терминальный сервер на базе Windows 2003 Server R2 Enterprise Edition. Для работы пользователей с защищенными интранет-сайтами головной организации установили Крипто Про 3.6.6497 (как я понимаю, последняя сборка). Через несколько дней начались жалобы пользователей на невозможность входа во все https ресурсы. В ходе анализа проблемы выяснилось, что у части пользователей понизилась стойкость шифра до 128 бит, сответственно интранет-сайты, работающие по ГОСТовым сертификатам, их сразу отбивают. Причем одномоментно на сервере работают пользователи, чей IE 8.0 демонстрирует стойкость 256 бит, и у которых соответственно никаких проблем нет. Другое замечание - в течение рабочего дня стойкость шифра может возвращаться со 128 до 256 бит. И с 256 до 128. Какие могут быть решения данной проблемы? Есть ли какие-нибудь особенности установки и эксплуатации СКЗИ Крипто Про на терминальных серверах?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Максим Коллегин		#2 Оставлено : 8 ноября 2010 г. 20:01:47(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах		Странно, раньше с таким не сталкивались. В eventlog ничего интересного?
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dronn32		#3 Оставлено : 9 ноября 2010 г. 12:02:18(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь		Да, нашел. "КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги." Больше ничего подозрительного... О системе - Server 2003, установлен SP2, а также все обновления, вышедшие до 9 ноября 2010 года (работает WSUS).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#4 Оставлено : 9 ноября 2010 г. 12:20:56(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах		А пользователей много?
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dronn32		#5 Оставлено : 9 ноября 2010 г. 13:44:15(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь		Около 150 пользователей


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#6 Оставлено : 9 ноября 2010 г. 14:07:55(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах		Включите диагностику csp, перезагрузитесь и пришлите eventlog после возникновения ошибок. Код: `REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\debug] "cpcsp"=dword:00000009 "cpcsp_fmt"=dword:00000039 "cpsspap"=dword:00000009 "cpsspap_fmt"=dword:00000039` Отредактировано пользователем 9 ноября 2010 г. 14:08:32(UTC) \| Причина: Не указана
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dronn32		#7 Оставлено : 10 ноября 2010 г. 23:21:13(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь		Reg - файл внедрил, сервер перегружен. Проверил стойкость шифра - пока 256 бит. Буду ждать начала проблем. Ранее тоже несколько дней все было в порядке.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dronn32		#8 Оставлено : 9 ноября 2011 г. 19:58:26(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь		Прошел год. К сожалению пришлось прервать тестирование версии 3.6.6497 на терминальном сервере и установить старую версию 3.6.5402 - проблема с понижением стойкости IE 8.0 до 128 бит ушла. В 2011 году сделали новый домен, ввели в строй новый терминальный сервер на базе Windows Server 2003 R2 x64 (боевой на 150 пользователей). Развернули такой же (по программной конфигурации) тестовый терминальный сервер (на 5 пользователей). Установили на боевой сервер сначала версию 3.6.6497 - опять понижение стойкости шифра IE 8.0 до 128 бит через 1 день работы. На WSUS специально не заводили, чтобы проверить, что патчи не оказывают влияния. На тестовом сервере проблем нет - стойкость 256 бит, все SSL - ресурсы доступны. Удаляем 3.6.6497, подчищаем утилитой cspclean. Ставим версию 3.6.6872 (самую свежую сборку) - на боевом сервере стойкость шифра 256 бит продержалась 2 дня, а потом опять понизилась до 128 бит. На тестовом опять все в порядке. Накатываем все патчи через WSUS - без изменений. Доменная политика - по умолчанию, никаких настроек специально не сделали. В реестре изменений с версией Крипто Про 3.6.5402 не находим. СКЗИ Крипто Про 3.6.6497 используем также локально примерно на 250 рабочих местах - нигде никогда проблем с доступом локально на SSL - ресурсы не наблюдалось и не наблюдается. На тестовом сервере так и не удается повторить проблему - все работает как надо. Поневоле можно сделать вывод о влиянии количества пользователей на работу IE 8.0. Прочитал весь ваш форум - проверил все, ничего не помогает. Что посоветуете? Пока на сервера ставим уже устаревшую 3.6.5402...


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#9 Оставлено : 9 ноября 2011 г. 21:57:50(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах		В eventlog нет подозрительных сообщений? Используется версия КС1? Возможно ли нашей техподдержке получить удаленный доступ к терминальной сессии, в которой будет стойкость 128 бит? Отредактировано пользователем 9 ноября 2011 г. 21:59:45(UTC) \| Причина: Не указана
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dronn32		#10 Оставлено : 10 ноября 2011 г. 15:11:23(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь		Как назло ничего в eventlog не наблюдаю подозрительного... Версию ставим все время КС1. По поводу удаленного доступа - вариантов нет. Интернет корпоративный, через головную организацию, отдельная подсеть. Есть надежда, что проблема проявится на тестовом сервере - там можно будет делать все что угодно (жалоб от пользователей не будет )


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close