27 февраля, суббота 02:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сигнатура/Верба + eToken

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сигнатура/Верба + eToken

    Предлагаю делиться опытом использования вышеуказанных СКЗИ совместно с ключами eToken, а заодно и порешать возникшие проблемы.
    Тема вроде простая, но есть некоторые нюансы, с которыми мне пришлось столкнуться... может кому-то это пригодится.
    Используются: eToken Pro 72K (Java) + PKI-client 5.1 SP1 и нижеуказанные проги:

    Верба-OW версии 6.1.2
    Для поддержки eToken необходимо:
    1. включить данный тип носителей при инсталляции вербы. Если Верба изначально была проинсталлирована без токенов - просто так их не добавишь.. придется полностью деинсталлить Вербу и потом заново инсталлить с нуля с поддержкой нужного типа носителей.
    2. скачать с сайта разработчика Вербы дополнительный патч: http://security.ru/default.php?target=update_etoken
    И кстаи не получилось запустить вербу под Windows 7. Инсталляция всех компонентов прошла без проблем, но при попытке загрузить ключи вылетает ошибка на датчике случайных чисел.

    Сигнатура 3.5.259.12
    Включить поддержку токенов можно без переинсталляции Сигнатуры.. для этого необходимо через Установку-удаление программ выполнить "изменение" ядра Сигнатуры и там добавить необходимый тип носителя.
    Нюанс: если при инсталляции Сигнатуры был выбран дисковод - то в дальнейшем его нельзя просто так отключать от компа (например если используется внешний usb-дисковод), т.к. при запуске Сигнатура проверяет наличие всех выбранных типов носителей.. если дисковода нет - сразу-же вываливается с ошибкой. В этом случае необходимо каждый раз перед отключением-подключением внешнего дисковода производить отключение-подключение соответствующего типа носителя в криптоядре.

    Выявилась общая проблема (проявляется на обоих вышеуказанных СКЗИ):
    Для повышения уровня безопасности начали внедрять у себя eToken Network Logon (позволяет организовать вход в комп/домен без логина/пароля с использованием токена).
    Логинюсь на компы с отдельным токеном, запускаю вербу/сингатуру, вставляю токены с соответствующими ключами - в итоге обе СКЗИ их не видят.
    Есть предположение, что Верба/Сигнатура пытаются загрузить ключи с токена, подключенного первым (а первый токен как раз без ключей, т.к. я с него логинюсь в комп). Причем в обоих СКЗИ при загрузке ключей нет возможности выбрать конкретный токен из нескольких подключенных... стоит "авто" и других вариантов не предлагается. В итоге на данных компах пока приходиться логиниться обычным способом (без токенов)
    Может кто-нибудь сталкивался с этим или знает как разрулить эту проблему?

  • #2
    так вроде говорили, что Верба с Сигнатурой не дружат на одном компе.

    Комментарий


    • #3
      Я и не говорил, что они на одном компе... просто у обоих СКЗИ идентичная ситуация при работе с токенами (если к компу подключено несколько токенов).
      Моделировал данную ситуацию меняя порядок подключения токенов - мои предположения подтвердились.. обе проги ищут ключи только на токене, подключенном первым.

      А насчет дружбы - на этом форуме были описаны способы как их подружить.

      Комментарий


      • #4
        Setevoy,
        Новость про не работу под Win7 печальна. Если удастся подружить, будьте любезны, отпишитесь с рецептом. А Сигнатура под 7кой заработала?

        Комментарий


        • #5
          Сигнатуру под W7 я не проверял, но если верить форуму на сайте разработчика Сигнатуры (http://www.x509.ru/forum/viewforum.php?id=5), это работает.
          Кроме того, экспериментальным путем выяснилось, что и Сигнатура, и Верба вероятнее всего используют один и тот-же API при работе со считывателями (только разных версий). Выяснилось это после установки на одном компе Вербы и Сигнатуры. Обе проги при установке создают одну и ту-же ветку реестра HKLM\Software\MDPREI\Cryptography с одинаковой внутренней структурой и пишут в одни и те-же системные папки файлы с идентичными именами (файлы считывателей, ДСЧ и т.д.)
          Т.е. когда после установки Вербы я установил Сигнатуру, Сигнатура переписала вербовские файлы своими и после этого обе проги нормально работали (с сигнатуровским файлами)
          Как их установить на одном компе описано в этй ветке форума http://bankir.ru/dom/showthread.php?t=105651&page=1
          Если под W7 у Вербы возникает проблема с ДСЧ, соответственно подменив вербовский файл ДСЧ сигнатуровским, эту проблему вероятнее всего удасться решить.
          Единственная проблема при этом - при удалении одной из прог придется заново переинсталлить вторую, т.к. общие файлы при этом удалятся.
          Последний раз редактировалось Setevoy; 21.06.2011, 09:05.

          Комментарий


          • #6
            Пообщался с разработчиками Вербы.
            1. Оказывается у меня была устаревшая сборка. Выпуски начиная с 6.1.2.33 должны нормально работать под W7.
            2. Все мои описанные ранее предположения подтвердились:
            - используется то-же API, что и в Сигнатуре.
            - в текущей версии нет поддержки использования нескольких токенов.. берет ключи только с первого токена .. в новой возможно будет.

            Комментарий


            • #7
              пока разработчики не решат эту проблему в новых версиях - ситуацию можно разрулить путем переноса ключей на другой тип носителей, например на РуТокен
              т.е. авторизация в компе происходит по етокену, а ключи грузятся с рутокена (или наоборот)

              Комментарий


              • #8
                Поделюсь своим опытом - можно съэкономить немного времени при обновлении Verba под eToken, если удалить только Модуль поддержки криптографии, а потом поверх поставить Вербу уже с поддержкой нужных ключей. Кстати, кто-нибудь внедрял eToken на оболочке SSighnEx? Как я сегодня посмотрел, коллеги для ФТС с одного ключа подписывают КА, а другим шифруют. Будут ли работать в таком случае по очереди 2 токена или два ключа на одном токене?

                Комментарий


                • #9
                  Коллеги, помогите, может кто сталкивался.
                  Переводим ключи на eToken. С сигнатурой проблем не возникло. С Вербой почти тоже. Только вот когда по 365-П обрабатываю файлы, он спрашивает пароль на контейнер после обработки каждого файла. Там их в архиве 100 штук... Кто может сталкивался? Как убрать этот запрос?

                  Комментарий


                  • #10
                    Сообщение от akinori Посмотреть сообщение
                    Коллеги, помогите, может кто сталкивался.
                    Переводим ключи на eToken. С сигнатурой проблем не возникло. С Вербой почти тоже. Только вот когда по 365-П обрабатываю файлы, он спрашивает пароль на контейнер после обработки каждого файла. Там их в архиве 100 штук... Кто может сталкивался? Как убрать этот запрос?
                    Сигнатуру ещё не переводил. Тоже интересно.

                    Комментарий


                    • #11
                      в Сигнатуре и Вербе никаких проблем с eToken нет
                      При работе с Вербой надо использовать HD-ключи (фалы из папок HD1 на ключевых дискетах).
                      Соответственно в этом случае пин-код будет запрашиваться только 1 раз.
                      Как настраивать обработку 365-П на работу с токенами, где-то на форуме уже описывалось

                      Структура папок получается следующая:
                      \VERBA\FAXKEY\серия1\Lfax.spr
                      \VERBA\FAXKEY\серия2\Lfax.spr
                      \VERBA\OPENKEY\серия1\Lpub.spr
                      \VERBA\OPENKEY\серия2\Lpub.spr
                      \VERBA\KEY\серия1\HD-ключи
                      \VERBA\KEY\серия2\HD-ключи

                      Комментарий


                      • #12
                        Тоже столкнулся с этой проблемой - запросом ПИН-кода по количеству файлов. Не совсем понял предыдущего оратора в части использования секретных ключей, подготовленных для хранения на ЖМД. Ведь для использования РМП необходимо пройти предварительную настройку при загрузке ключей. И там первый вопрос - в части использования этого самого секретного ключа. Если отвечаешь "да", следует вопрос - где его взять?.. И где же его взять, ведь Токен не виден в файловой системе?. И потом - само по себе хранение секретного ключа на жестком диске разве не бяка с точки безпасности?.. Т.е. в первой позиции "Каталог с закрытыми ключами" у меня стоит "rutoken", а в случае использования секретного ключа я должен указывать его место расположения на ЖМД?..
                        Во всем остальном Верба с Токенами работает отлично, очень быстро (в сравнении с дискетами). Ключи я разнёс по разным типам токенов: рутокен - подпись, етокен - шифрование.

                        Комментарий


                        • #13
                          HD-ключи - это специальным образом сформированные файлы с рабочими ключами, зашифрованные ключем, расположенным на ключевом носителе (дискете, токенах), и предназначены именно для хранения на жестких дисках (для ускорения обработки)
                          сами по себе они не могут быть использованы, только в паре с соответствующими ключевыми носителями.
                          как настраивать ПТКПСД - рассказывалось где-то тут http://bankir.ru/dom/threads/37479-П...en#post2847677
                          в настройках ПТКПСД указываем:
                          Устройство ключевой дискеты: eToken
                          Путь к файлу секретных ключей: C:\VERBA\Key
                          Путь к открытым ключам: C:\VERBA

                          в этом случае при инициализации сначала будет запрашиваться ключевой носитель, и уже потом будут использоваться соответствующие ему HD-ключи из указанной папки

                          аналогично указывается и в настройках 365-П.
                          вот только один момент - в ПТКПСД вроде-бы не было поддержки ruToken.. только eToken и еще какие-то типы (описание было в readme к клиенту ПТКПСД 5.44)

                          ну и соответственно есть общая проблема у вербы и сигнатуры - в текущих версиях они не могут работать одновременно с несколькими ключами, расположенными на однотипных носителях
                          т.е. к примеру нельзя вставить в комп одновременно более одного однотипного токена с ключами.
                          Последний раз редактировалось Setevoy; 06.08.2012, 15:14.

                          Комментарий


                          • #14
                            Сообщение от akinori Посмотреть сообщение
                            Коллеги, помогите, может кто сталкивался.
                            Переводим ключи на eToken. С сигнатурой проблем не возникло. С Вербой почти тоже. Только вот когда по 365-П обрабатываю файлы, он спрашивает пароль на контейнер после обработки каждого файла. Там их в архиве 100 штук... Кто может сталкивался? Как убрать этот запрос?
                            ПИН-код по умолчанию для Вербы и Сигнатуры - 11111111

                            Комментарий


                            • #15
                              Сообщение от Setevoy Посмотреть сообщение
                              Как настраивать обработку 365-П на работу с токенами, где-то на форуме уже описывалось
                              Перекопала весь форум в поисках как настроить работу SCsign с ключами, предназначенными для хранения на ЖМД (HD-ключи). Если можно, поделитесь ссылкой.

                              Комментарий


                              • #16
                                а если, например, для OPENKEY у меня есть одна и та же серия 942009 на 2-х дискетах, и файл IPub.spr есть в 2-х сериях и размер файла разный.
                                Как мне вписаться в эту схему?
                                \VERBA\FAXKEY\серия1\Lfax.spr
                                \VERBA\FAXKEY\серия2\Lfax.spr
                                \VERBA\OPENKEY\серия1\Lpub.spr
                                \VERBA\OPENKEY\серия2\Lpub.spr
                                \VERBA\KEY\серия1\HD-ключи
                                \VERBA\KEY\серия2\HD-ключи

                                Комментарий


                                • #17
                                  Все открытые ключи загрузи в один справочник и пути на всех ключах до этого спр. укажи...
                                  проверено работает...

                                  Комментарий


                                  • #18
                                    Сообщение от Setevoy Посмотреть сообщение
                                    HD-ключи - это специальным образом сформированные файлы с рабочими ключами, зашифрованные ключем, расположенным на ключевом носителе (дискете, токенах), и предназначены именно для хранения на жестких дисках (для ускорения обработки)
                                    сами по себе они не могут быть использованы, только в паре с соответствующими ключевыми носителями.
                                    То есть я правильно понимаю, что в момент подписания, секретные ключи находятся в оперативной памяти в открытом виде, и подпись происходит вне токена?

                                    Комментарий

                                    Обработка...
                                    X