СЗИ тестЫ (средства защиты информации Ы другое)

Vipnet csp перенос ключей на другой компьютер

Извлечение закрытого ключа из контейнера VipNet

Поддерживает ключи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012.

VipNetExtract — первый способ

Позволяет извлечь закрытый ключ из любого контейнера. Требуется установленный VipNet CSP и установленный сертификат. Закрытый ключ должен быть экспортируемым.

В разработке

VipNetExtract2 — второй способ

Извлечение закрытого ключа из файлового контейнера. Не требует наличия установленного VipNet CSP.

Экспорт PFX (p12) из СКЗИ ViPNet CSP и импорт в КриптоПро CSP

Экспорт PFX (p12) из СКЗИ ViPNet CSP в соответствии с требованиями ТК26
и импорт созданного PFX в КриптоПро.

Утилита для импорта транспортных контейнеров PKCS#12 в контейнеры КриптоПро CSP:

Утилита предназначена для импорта транспортных контейнеров ключей ГОСТ Р 34.10-2001
и ГОСТ Р 34.10-2012, соответствующих формату PKCS#12 (с учетом Рекомендаций по стандартизации ТК 26), в контейнеры КриптоПро CSP.

=== Пример
p12util.x64.exe -p12tocp -rdrfolder D:p12tocpv -contname 123456 -ex -passcp 123456 -passp12 123456 -infile D:p12tocpv123456.pfx

1) Положительный исход зависит от многих факторов, потому сказать, что это 100% решение нельзя, это и не требуется в данном случае.

2) . ВНИМАНИЕ контейнеры созданные на ViPNet CSP 4.4.0.58302 могут не приниматься на версиях ниже 4.2.11 — потому в данном случае это тоже
может быть причиной неудачи. Например если была «генерация» на 4.2.11 не возможно было экспортировать в «.pfx»

3) Из (1) и (2) получилось, что наилучшие результаты были при использовании сертифицированных версий (до и после) и установленных как единственный СКЗИ.

Тесты были произведены на нескольких версиях, с учётом (2) генерация была сделана на версии 4.2.2.36190 ( совместно в ОС был
установлен КриптоПро 4.0.9969, он там был установлен до. что в итоге дало понять, что при генерации это не вызвало проблем, но при экспорте
оказалось это всё сводило на нет «обратное преобразование», что сразу не было известно и было проверенно после).

+ успешный результат
— не успешный результат

Vip_4_2_2_36190 +
Vip_4_2_2_36190_Кр_4_0_9963 —
Vip_4_2_2_36190_Кр_4_0_9969 1 — (это был первоначальный тест. )
Vip_4_2_2_36190_Кр_4_0_9969 2 — (повтор на другом ПК воспроизвести ошибку первоначального теста, подтвердил результаты pfx с такого места «не работал»)
Vip_4_2_2_36190_Кр_4_0_9971 2 — (попытка обновить КриптоПро так же давала сбой.
Дополнительно в таком сочетании была проверка экспорта в pfx и из КриптоПро, что
вызвало аналогичный результат)
Vip_4_2_2_36190_Кр_4_0_9971 2 Кр удалён + (После удаления КриптоПро и восстановления
функций ViPNet CSP, который повредились, всё прошло успешно)
Vip_4_2_8_51670 + (Проверил два варианта с корневыми и без, на всякий случай)
Vip_4_2_8_51670_Кр_4_0_9963 — (аналогичный сбой как и с пред. версией)
Vip_4_2_11_58000 +
Vip_4_2_11_58000_Кр_4_0_9963 + (бетка совместно с КриптоПро не вызвала
пред. проблем, но не путайте с проблемой (2) контейнер тут от версии ниже)
Vip_4_4_0_58302 +

Как итог — получается, что попытаться можно и это делается.

===
. ВНИМАНИЕ если вы так же будите пользоваться такими простыми паролями, не забудьте после успешного выполнения
скопировать ваш полученный контейнер и присвоить ему соответствующий надёжный пароль.

====
Ещё только не забывать, что параметр остаётся:
Средства электронной подписи: СКЗИ «ViPNet CSP», версия 4.2
Та мне будет «КриптоПро CSP» (версия 4.0)
Как пример.

Устанавливаем VipNet CSP

Если Вы настраиваете доступ в личный кабинет с компьютера, на котором установлен и настроен модуль 1С-Отчетность, т.е. 1С успешно обменивается документами с налоговым органом, можно переходить к шагу Настройка VipNet CSP.

Если Вы хотите использовать полученный сертификат от 1С-Отчетность на другом компьютере — имеете на это полное право, при чем абсолютно бесплатно — переходим к загрузке программы. Для простоты воспользуемся поиском от Яндекса и переходим к странице загрузки.

Задайте в Яндексе поиск по ключевым словам vipnet csp

Нам необходима версия VipNet CSP с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89. В данный момент это версия 4.2.

на странице VipnetCSP нажимаем Загрузка

Выберите дистрибутив VinCSP и нажмите ссылку

Для того, чтобы скачать дистрибутив и вместе с тем получить бесплатную лицензию на использование VipNet CSP необходимо заполнить свои данные: ФИО и адрес электронной почты, а также принять условия пользовательского соглашения.

Заполните регистрационную информацию для загрузки vipnet csp

Ссылка на загрузку вместе с серийным номером придет на указанный адрес электронной почты. Загружаем криптопровайдер переходом по ссылке из письма. После загрузки, VipNet CSP необходимо установить. С установкой, как правило, не возникает сложностей, поэтому после перезагрузки компьютера переходим к шагу регистрации криптопровайдера.

(Un)split tunneling

Еще один факт, который знают далеко не все: по умолчанию ViPNet-клиент работает в режиме split tunnel (когда можно указать, какой трафик заворачивать в туннель, а какой нет). У ViPNet существует технология «Открытого Интернета» (позже переименована в «Защищенный интернет-шлюз»). Многие ошибочно приписывают этот функционал координатору, а не клиенту. На клиенте, который зарегистрирован за координатором с такой функцией, создается два набора предустановленных фильтров. Первый разрешает взаимодействие только с самим координатором и его туннелями, второй – с остальными объектами, но запрещает доступ к координатору ОИ и его туннелям. Причем, согласно концепции вендора, в первом случае координатор должен либо туннелировать прокси-сервер, либо сам являться прокси-сервером. Служебный трафик, а также прием и передача конвертов (как служебных, так и приложений), работают в любой конфигурации.

Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.

Работа ViPNet CSP Linux в режиме замкнутой программной среды

Если вы устанавливаете ПО ViPNet CSP Linux на компьютер под управлением ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) и планируете работать с данным ПО в режиме замкнутой программной среды, используйте открытый ключ infotecs_pub_key.gpg, входящий в комплект поставки ViPNet CSP Linux, и следуйте инструкциям из справочного центра Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212431

Если вы устанавливаете ПО ViPNet CSP Linux на компьютер под управлением ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и планируете использовать данное ПО в режиме замкнутой программной среды, выполните следующие действия:

1) Установите пакет из состава Astra Linux astra-digsig-oldkeys.
2) Поместите открытый ключ infotecs_pub_key.gpg, входящий в комплект поставки ViPNet CSP Linux, в следующий каталог:
/etc/digsig/keys/legacy/keys/
3) Следуйте инструкциям из справочного центра Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212431

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector