Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
СКАД "Сигнатура", Как настроить СКАД "Сигнатуру - 3"
 
Разобрался ...
1. Почему то здесь нельзя использовать русские буквы (Не любят Россию)
2. Путь до файлов "*.pse" должен быть короткий
3. Вместо ivanov надо писать именно то что написано в сертификате ключа после поля CN="Vasiliy"
т.е.   :
# pki1 configuration file
default: Vasiliy

local: Vasiliy
pse: pse://signed/C:\IO1\local.pse
localstore: file://C:\IO1\local.gdbm

4. и строка вызова команды должна быть примерно такая:
spki1utl.exe -sign -profile Vasiliy -in rec.txt -out rec.s
 
Цитата
Владимир П пишет:
Здравствуйте.
при запуске
spki1utl.exe -sign -profile pki1.conf -in rec.txt -out rec.s
После -profile нужно писать то, что вы указали в Pki1.conf  в метке Local
Например, если  в файле pki1.conf  у вас написано
Local: Vasya

то строка должна выглядеть
spki1utl.exe -sign -profile Vasya -in rec.txt -out rec.s
 
Цитата
ilika пишет:
3. запустить справочник сертификатов и считать ключ.

4. в шедуллере создать задачу на запуск этого батника с нужной периодичностью.

Беда в том, что после закрытия программы "Справочник сертификатов" опять приходится вставлять дискету  :cry:   :cry:   :cry:
 
Цитата
Andrey пишет:
Беда в том, что после закрытия программы "Справочник сертификатов" опять приходится вставлять дискету

Андрей! Сдается мне, что это - далеко не самая страшная беда!   ;-)
Зато не приходится туда-сюда вставлять дискетку кошмарное кол-во раз,
ежели Вам надо обработать за один проход десяток-другой файлов, а
Справочник сертификатов не запущен!
Работающая в цикле FOR утилитка просто каждый раз засасывает ключики из справочника...
Да и по требованиям без-ти владелец ключиков сам заинтересован, чтобы сертификат после обработки очередной порции файлов выгружался из памяти.
 
Цитата
Владимир П пишет:
Разобрался ...
1. Почему то здесь нельзя использовать русские буквы (Не любят Россию)


Уважаемый!!! Надо в правильной кодировочке писать и будет вам счастье!!!
 
Цитата
KVG пишет:
Работающая в цикле FOR утилитка просто каждый раз засасывает ключики из справочника...
Да и по требованиям без-ти владелец ключиков сам заинтересован, чтобы сертификат после обработки очередной порции файлов выгружался из памяти.
В таком случае риторический вопрос :можно ли по этим самым требованиям безопасности ставить справочник ВСЕМ, кто имеет право на дешифрацию? Или  этот справочник может и должен быть установлен только у админа ??? И как в таком разе обойтись без дискеты?  :|
(Кстати, год от года их кач-во все хуже и хуже, по моим наблюдениям)
 
Цитата
Andrey пишет:
Беда в том, что после закрытия программы "Справочник сертификатов" опять приходится вставлять дискету
а зачем закрытать то справочник?
загрузить его утром 1 раз в память - считать ключ с дискеты - вытащить дискету - СВЕРНУТЬ\НЕ ЗАКРЫВАТЬ справочник сертификатов.
работать.
 
Цитата
Andrey пишет:
(Кстати, год от года их кач-во все хуже и хуже, по моим наблюдениям)
Согласен. -)
Выход только в том - чтобы иметь N- копий ключевой дискеты.
 
Цитата
Andrey пишет:
В таком случае риторический вопрос :можно ли по этим самым требованиям безопасности ставить справочник ВСЕМ, кто имеет право на дешифрацию? Или этот справочник может и должен быть установлен только у админа ??? И как в таком разе обойтись без дискеты? (Кстати, год от года их кач-во все хуже и хуже, по моим наблюдениям)

Можно не ставить, но тогда для обработки каждого файла наверно придется туда-сюда совать дискету и кликать мышкой подтверждение. Поэтому справочник ИМХО ставить надо всем, кто участвует в процессе приема/передачи.
Вдобавок ведь активным становится\ сертификат именно того лица, которое загружает свои ключи. Так что имея СС, но не имея чужой дискеты, можно ведь подписать только от своего имени?

Кстати любопытно - у вас одни люди подписывают, другие шифруют? Интересная практика в таком случае.

Про качество дискет - ЭТО НЕ В БРОВЬ, А В ГЛАЗ !!!
 
Цитата
ilika пишет:
а зачем закрытать то справочник?загрузить его утром 1 раз в память - считать ключ с дискеты - вытащить дискету - СВЕРНУТЬ\НЕ ЗАКРЫВАТЬ справочник сертификатов.работать.

Это было бы идеально. Но при этом владелец подписи должен сидеть в отдельном кабинете и уходя закрывать дверь на ключ и опечатывать своей печатью? Понятно, что вставая с рабочего места консоль можно заблокировать и проч. Но тем не менее особо бдительные особы зразу заблажили, типа, что за дела, тогда любой и без моей дискеты может подпись поставить? Короче, лучше советовать исполнителям, вставая из-за клавы справочник закрывать!

Кстати, если этот форум читают авторы софта, хотелось бы узнать - у них есть планы в дальнейших версиях помещать ключи в таблетки Touch Memory, например? А от командной строки перейти к контекстному меню проводника? Ведь полно ж программ, которые именно так и делают. Причем по тем же самым ГОСТам! И вроде ничего при этом не нарушают! А удобно-то как !!!!!!!!!!!!!!!!!!!!!
 
Самая главная проблема, что не подписать несколько файлов, одним нажатием кнопки, приходиться на каждом файле, подтвержать установку подписи.  Может разработчики хоть бы  сделали работу с маской.
PS .Все еще ищу  "руководство программиста"
 
Цитата
Алексей Размустов пишет:
Самая главная проблема, что не подписать несколько файлов, одним нажатием кнопки, приходиться на каждом файле, подтвержать установку подписи. Может разработчики хоть бы сделали работу с маской.

Одним нажатием кнопки на иконке - можно.
"рисуешь" батник - пример смотри выше и будет вам счастье.
 
Цитата
KVG пишет:
Это было бы идеально. Но при этом владелец подписи должен сидеть в отдельном кабинете и уходя закрывать дверь на ключ и опечатывать своей печатью? Понятно, что вставая с рабочего места консоль можно заблокировать и проч. Но тем не менее особо бдительные особы зразу заблажили, типа, что за дела, тогда любой и без моей дискеты может подпись поставить? Короче, лучше советовать исполнителям, вставая из-за клавы справочник закрывать!

У каждой организации свои порядки. можно решить проблему внутренним регламентом. выделить отдельную комнату - ограничить туда доступ, поставить сейф, поставить комп., организовать на нем АРМ . утром ответственный включает АРМ, открывает сейф - достает все что нужно, загружает все что надо и система сама работает. вечером ответственный заходит - выключает АРМ. помещает в сейф все что положено.
 
Народ, кто-нибудь пробовал ставить сигнатуру на windows 2003 server sp1?
У меня при запуске справочника сертификатов вылезает ошибка:

Продукт: СКАД СИГНАТУРА.
Сборка: 3.0.135.5.
Дата: 30.11.2005 08:23:05 GMT.
Справочник сертификатов: Ошибка запуска программы.
Стек ошибок:
0x0e06d06c:процедуры файла конфигурации:NCONF_get_string:отстутствует значение:group=OIDs_6 name=OID:w:\ssleay\crypto\conf\conf_lib.c:329
0x40068003:модуль CSP:SignInit:криптографическая ошибка ERR_READ_DSCH::w:\ssleay\crypto\vcert\vcert.c:534
 
Ого сколько сообщений - значит пошла в народ программа ;-)? Честно говоря если бы сообщения были на нашем форуме, то и отвечать получалось бы чаще, но пусть будет здесь:

rush - работает (и на xp sp2), скорее всего проблема со считывателем (м.б. нет дисковода, тогда надо его удалить из считывателей) или с инициализацией ДСЧ - проверьте запуском asrkeyw.exe

Алексей Размустов - попросите своё ТУ чтобы сделали запрос, сделаем (а в утилите много чего ещё не хватает к сожалению, но четкого задания по её интерфейсу не было)

KVG - поддерживаются eToken (старый и с 135.14 новый на 64k), Dallas TM (начиная с 96, можно с Аккордом) , Slb смарт-карты, ещё много чего

Владимир П  - дело скорее действительно в кодировке файла (должна быть Win1251)
 
Цитата
sergesim пишет:

Ого сколько сообщений - значит пошла в народ программа ;-)?

Ну  да!  ;-)  Еще  бы  ей  не  пойти!  Наше  ТУ  всем  клиентам  ласты  заломало, типа:
"Лицом к стене, ноги на ширину плеч, руки за голову! -
В след. субботу в обязательном переходим с TULASIGN на СКАД!
Об готовности доложить немедля! Кто не успел - типа Ваши проблемы! Все!!!" :(
Особый цимус ситуации в том, что тренировались чутка со 2-й версией,
а переходим на 3-ю.
 
Цитата
sergesim пишет:
Честно говоря если бы сообщения были на нашем форуме, то и отвечать получалось бы чаще, но пусть будет здесь:


Как  ни  странно  но  Форум  http://www.x509.ru/forum/viewforum.php?id=5
компании Валидата  пустой,  а  здесь  люди  посещают  вроде....

Цитата
sergesim пишет:
Алексей Размустов - попросите своё ТУ чтобы сделали запрос, сделаем

Сергей!  Сделать-то Вы может и сделаете,  и  что  с  того?  Годы  пройдут, пока
новая версия дойдет до клиентов.  Ту,  что  раздали  -  она  вроде  сертифицирована?  А  кто ж новую  так быстро станет сертифицировать?  Это ж и денег  немеряно  стоит  и  времени наверно?  И  потом  ее  опробование  должно  пройти и т.д. и т.п.   И  пока  ее ТУ получат,  а потом уж нам раздадут?  Так  что ситуация тупиковая на мой взгляд!  А так хочется ошибиться!

Кстати,  Алексей  писал, что беда, мол, СС подписывает по 1 файлу.  Так ладно, хоть в справочник сертификатов встроен мастер ЭЦП.  А  почему мастера шифрования нет?  Ну а то, что они просто обязаны уметь работать со списком *.*  - это и к бабке не ходи!
 
Кстати на секлабе скоро будет реализована возможность блогов для компаний. Компании смогут публиковать любые новости и обсуждать их в сответствующем разделе.
 
Цитата
Администратор пишет:

Кстати на секлабе скоро будет реализована возможность блогов для компаний.
Компании смогут публиковать любые новости и обсуждать их в сответствующем
разделе.  

Ребята! Вы просто молодцы, что оперативно организовали такой живой форум!
Кстати, на банкир.ру аналог тоже не очень интересный...
Все-таки в России 89 регионов, в каждом есть терр. управление ЦБ и у них
десятки (может у кого и сотни?) клиентов. И все мы (ну или почти все) много
лет парились в командной строке с TULASIGN и CRNET! :-(  
И вот теперь снова годы и годы будем париться с командной строкой  SPKI1UTL.EXE ...
Воистину - мы не ищем легких путей! :-((
Жуть какая-то, когда читаешь признания типа:

Цитата
sergesim  пишет:

(а в утилите много чего ещё не хватает к сожалению, но четкого задания
по её интерфейсу не было)  

Тем паче, что нас в здешнем ТУ "лечат" тем, что задание путное как раз было,
но типа в Туле все программеры разбежались и делать было некому... :-(
Так или иначе - теперь неважно! Главное, что нам-то сплошная головная боль.
Кому хоть однажды довелось работать с АРМ ЭЦП от Информзащиты или с той же
ЭЦП Crypton LITE for Windows от фирмы АНКАД , тот поймет, про что я.
Там после инсталляции продукта просто в контекстном меню проводника
появляется доп. пункт. И ВСЕ!!!
ВЫБИРАЙ! ПОДПИСЫВАЙ! ПРОВЕРЯЙ! Хоть 10, хоть 100 файлов.
Успех - ЗЕЛЕНЕНЬКОЕ на экране.
Ошибка - КРАСНЕНЬКОЕ сообщение!  МАЛИНА !!!

К слову сказать, внимательно перечитал все сообщения на всех трех страницах форума.
И лишь однажды слово "дешифрация" попалось. А так в основном "подпись", "подпись"...
Что сие означает? Что СКАД преимущественно для ЭЦП используется? И у всех каналы
с ТУ типа Континентами закрыты? Везет людям... А вопрос на самом деле не праздный,
каким может показаться. Лично от нас, к примеру, при отравке требуют :

     ARJ  -> ЭЦП -> Шиф-ние -> ЭЦП

Тот, кто с ЭЦП дружит не первый год, понимает, что в долголетний архив
(на случай возможного разбора  конфликтных ситуаций - наверняка такое приложение
у всех  в Договоре есть!) надо  складывать  файлы подписанные, но никак не
закриптованные.
Во всяком случае нам в ТУ сказали, что и через 5 лет, когда нынешние ключики
давно умрут, но и с новыми ключиками,  имея сохраненные базы
local.pse и local.gdbm ЭЦП на старых файлах проверить можно будет.
А вот расшифровать потом уже будет невозможно. Конечно, я за что купил,
за то и продаю - ведь как проверишь? До новых ключиков-то еще дожить  надо? :)  
В т.ч. и самой СКАД Сигнатуре тоже надо бы? :D


Короче, раз так говорят, значит  -  номер :
          SPKI1UTL.EXE -sign -encrypt ...............
за один проход делать смысла нет! :-(

Поэтому ИМХО в этой ситуации (с учетом того, что отправлять/получать приходится
за раз и по 60-70 файлов) батник  типа  ...

SPKI1UTL.EXE -sign -in %1 -out out\%1  
SPKI1UTL.EXE -verify -in out\%1 -out uu\%1

особого счастья (как неоднократно нас заверяли выше) наверно не принесет?
А меж тем в документе "СКАД Сигнатура. Программный исполняемый модуль
командной строки для ОС Windows. Руководство пользователя
(ЯЦИТ.00109-03 34 06)"  вот такой пример ну точно никому бы наверно
не помешал?

@echo off
rem Командный файл для: ЭЦП --> Шиф-ние --> ЭЦП  
rem ПРИМЕР ЗАПУСКА:   otpravka.BAT C:\mail_out\*.arj      !!! Работает только в W2K/XP !!!

set FILES=%1
set LOGFILE=C:\log.txt

cd /D C:\KEYS\OPER1\   (если в этой папке и pki1.conf поместить, и local.pse и local.gdbm
                            для пользователя OPER1, то все работает как часы!)

for %%F in (%FILES%) do  (

spki1utl.exe -sign -profile OPER1 -in %%~fF -out %%~fF.sign  2>> %LOGFILE%

IF ERRORLEVEL==0 spki1utl.exe -encrypt -profile OPER1 -in %%~fF.sign -out %%~fF.crypt  2>> %LOGFILE%

IF ERRORLEVEL==0 spki1utl.exe -sign -profile OPER1 -in %%~fF.crypt -out C:\TERMINAL\OUT\%%~nF%%~xF 2>> %LOGFILE%

IF ERRORLEVEL==0 (  del %%~fF.crypt  &  del %%~fF  &  move %%~fF.sign  ...\...  ( куда-нить в архив  )

echo. >> %LOGFILE%  )

(Слава богу, язык командных файлов в W2K/XP намного помощней, чем в Win9* !
Да и в Windows 2000 Resource Kit утилит полезных поприбавилось!
Так что при необходимости и желании вышеприведенный костяк можно на любой
вкус  до ума довести!)

А на вход хоть сотню, хоть две файлов подавай - и никаких операторов shift
не надо !!! Просто сиди и жди, когда сие "безобразие" закончится! :)
Разумеется, справочник сертификатов в это время должен быть уже загружен!
В конце цикла в лог вставляется пустая строка, чтобы выходной
поток сообщений для каждого файла был хоть как-то разделен.
Впрочем лог - это ВООБЩЕ (!) отдельная тема для разговора... :)
Если она кому-то интересна.

Цитата
George on-Don пишет:

Ну попробуй в бат файле циклом for ))) - я тоже скоро буду этот вопрос решать)))

George! Как считаешь? Вопрос частично решен? :-))
 
KVG,
Это конечно хорошо.  Вот например такая ситуация. Программое обеспечение установлено у бухгалтера, который отвечает за свою ЭЦП, по идее что от него требуется это вставить дискетку и подписать файлы, зачем он должен знать про загруженный справочник сертификатов (и помнить какой профиль сейчас действителен). Он должен нажать на кнопочку в программе "ПОДПИСАТЬ" и всё - больше его ничего не долно интересовать. Всё остальное дело администратора информационной безопасности - следить за справочниками сертификатов, выдавать дискетки с ключами и т.д. Вот этого пока в Сигнатуре НЕТ  и пока наверное не будет. а если смотреть тенденцию - то при следующей версии, и при загруженном справочнике сертификатов будут появляться окошечки - "А вы уверены что именно этот файл вы хотите подписать", "а вы точно уверены что хотите......" и.тд.  Хочется чтобы софт был более приближен к людям (не все же программисты со стажем)
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 3)