Jump to content
Sign in to follow this  
kondigor

Контейнеры Ключей Администратора Цус

Recommended Posts

Разбираюсь с переносом контейнеров ключей администратора УКЦ

На полигоне при первоначальной настройке УКЦ указал сохранение ключей в файл, в стандартный каталог

C:\Program Files\InfoTeCS\ViPNet Administrator\KC\Admin_***X0002

Вижу в нем 2 файла:

adm-DC09-DA89-7F04-1556

admkey

Затем выполняю процедуру “Смена места хранения контейнера ключей администратора” (руководствео администратора УКЦ, стр. 252) - указываю перенести ключи в другую папку - типа c:\key

После этого файл admkey перемещается в c:\key, а файл adm-DC09-DA89-7F04-1556 остается на старом месте

При попытке переноса ключей админа УКЦ с eToken - в указанной папке на диске тоже создается один файл admkey

Подскажите плз, что именно содержится в каждом из файлов (adm-DC09-DA89-7F04-1556 и admkey)

После первичной инициализации УКЦ в свойствах администратора на вкладке ключи виден только один путь к контейнеру ключей - вида C:/Program Files/InfoTeCS/ViPNet Administrator/KC/Admin_***X0002\adm-50F8-AA1C-3186-6657:.0B0B2EDB3C79938C (цифры в имени файла другие - т.к. это вторая попытка)

Share this post


Link to post
Share on other sites

После установки Vipnet Client на машину с Vipnet Administrator в настройках параметров безопасности, на вкладке Криптопровайдер видно 2 контейнера - один с именем adm-50F8-AA1C-3186-6657, другой - admkey

А после смены места хранения ключей администратора из УКЦ и перезапуска Vipnet Client - видно, что admkey переезжает по новому пути, а adm-50F8-AA1C-3186-6657 остается по старому - в C:/Program Files/InfoTeCS/ViPNet Administrator/KC/Admin_***X0002

За что отвечает каждый из этих двух файлов?

Share this post


Link to post
Share on other sites

В своё время тоже изучал и тестировал это:

При процедуре первичной инициализации УКЦ для администратора УКЦ создаются:

- Контейнер admkey. Содержит 2 ключа: Персональный ключ администратора (ПКА), зашифрованный на парольном ключе данного администратора, и Ключ защиты ключевого центра (КЗКЦ), зашифрованный на ПКА.

- Контейнер adm-ХХХХХХХХХХХ. Содержит ключи подписи администратора УКЦ, зашифрованные на ПКА.

Помимо этого, вне зависимости от способа хранения ключей администратора УКЦ, создаются мастер-ключи УКЦ (МК персональных ключей, МК ключей защиты, МК ключей обмена). Все эти мастер-ключи зашифрованы на КЗКЦ и предназначены для генерации ключей узлов и пользователей (персональных ключей, ключей защиты, ключей обмена). Мастер ключи хранятся в каталоге УКЦ в защищенном контейнере (файле). На токене их хранить невозможно.

Исследование и тестирование УКЦ выявило, что если при первичной инициализации УКЦ было выбрано хранение ключей администратора УКЦ на токене, то контейнер ключей adm-ХХХХХХХХХХХ будет храниться только на этом токене и перенести его на другой токен или в файл – невозможно. Контейнер ключей Admkey можно переносить с токена на токен, с токена в файл (потом сделать копию этого файла и перенести на второй токен и т.п.) средствами самого УКЦ (функция Администраторы – Сменить – Ключевой носитель).

Получается, что при хранении ключей администратора УКЦ на токене, сделать дубликат Admkey можно, а adm-ХХХХХХХХХХХ нельзя. И если токен выйдет из строя, то Заказчик потеряет ключ подписи администратора УКЦ (Уполномоченного лица УКЦ), которым подписываются все выпущенные в УКЦ ключи подписи пользователей (сертификаты). В такой ситуации при выпуске ключевых дистрибутивов УКЦ будет выдавать ошибку об отсутствии ключа и не сможет выпускать ключевые дистрибутивы для сетевых узлов.

Если у Заказчика именно на токене хранятся ключи администратора УКЦ, то есть риск при выходе его из строя, потерять эти ключи.

Если при первичной инициализации УКЦ было выбрано хранение ключей администратора УКЦ в файле, то контейнер ключей adm-ХХХХХХХХХХХ будет храниться только в этом файле и перенести его на токен – невозможно. Контейнер ключей Admkey можно переносить с файла на токен и обратно средствами самого УКЦ (функция Администраторы – Сменить – Ключевой носитель). Т.е. при задании в первоначальной установке хранения ключей администратора УКЦ в файле, мы можем потом сделать их резервные копии и снизить до нуля риск потери этих важных ключей. А после перенести Admkey на токен и обеспечить двухфакторную аутентификацию в УКЦ. Правда при этом adm-ХХХХХХХХХХХ так и останется храниться в файле.

Share this post


Link to post
Share on other sites

Поковыряв стенд, пришел к таким же результатам

Если при инициализации УКЦ сохранить ключи на внешнем устройстве, то на токене видно 2 контейнера: adm-DC09-DA89-7F04-1556 и admkey. Причем увидеть эти контейнеры смог только после установки Vipnet Client на машину с Administrator - через Настройка параметров безопасности - Устройства.

После выполнения процедуры “Смена места хранения контейнера ключей администратора” контейнер adm-DC09-DA89-7F04-1556 остался на токене.

Войти в УКЦ по получившемуся файлу admkey в папке можно - но при попытке создать ключевой дистрибутив для нового пользователя - ошибка "Ключ не найден"

Странно, что в документации нет предупреждения на этот счет :(

Поскольку процесс уже пошел - сейчас скучно будет переставлять УКЦ и переинициализировать всех клиентов. И сознавать, что поломка токена будет фатальной - тоже скучно. Буду думать в сторону создания второй учетной записи администратора УКЦ - со своим токеном или файловым контейнером ключей. Есть ли грабли в таком варианте?

Share this post


Link to post
Share on other sites

Поскольку процесс уже пошел - сейчас скучно будет переставлять УКЦ и переинициализировать всех клиентов. И сознавать, что поломка токена будет фатальной - тоже скучно. Буду думать в сторону создания второй учетной записи администратора УКЦ - со своим токеном или файловым контейнером ключей. Есть ли грабли в таком варианте?

Грабли есть.

В админгайде по ViPNet Administrator (УКЦ) v. 3.2 есть "Глава 7. Управление администраторами программы ViPNet Удостоверяющий и ключевой центр". Почитайте. Общий смысл - "Использование нескольких учетных записей администраторов программы ViPNet УКЦ не рекомендуется по ряду причин".

Я тестировал. Но столкнулся ещё и с другими трудностями.

Если первый администратор хранит свои ключи (admkey и adm-ХХХХХХ) на токене, то при создании второго администратора и выбора для хранения его ключей второго токена, воткнутого в комп, происходит ошибка:

Тип события: ошибка

Время: 19 июля 2013 г. 17:52:38

Источник: CSP

Идентификатор: 1110

Сообщение: Ошибка импорта ключа в контейнер.

Файл приложения:

C:\Program Files\InfoTeCS\ViPNet Administrator\KC\KeyCenter.exe

Контейнер:

1|1\2|{FAF4CB7A-F43B-4DB6-B61D-4FE0536CAC68}\3|{CA19A82D-D727-4113-A5CF-8D932E49B7C3}\4|1\5|300\6|300\7|16\008945ae \8|admkey

Код ошибки (Win): 29

С выбором токена я не ошибался... именно пустой выбирал для второго администратора.

Если местом хранения ключей второго администратора выбирать файл, то всё ОК. Создается второй администратор.

Также всё ОК, если первый администратор, с помощью которого зашли в УКЦ, работает без токена (хранит ключи в файле), а для второго администратора при создании выбираем хранить ключи в токене. При этом всего один токен воткнут в комп. При двух воткнутых токенах (один с ключами, по не текущего админа и второй пустой) тоже всё нормально.

Ошибка происходит только если в УКЦ зашел админ с ключами на токене и создается новый админ с ключами на другом токене.

Тестировал на eToken Pro Java 72K. В Инфотекс писал (мы с ними партнерствуем всё же), но вразумительного ответа не было.

Share this post


Link to post
Share on other sites

Получил от суппорта обновленную документацию на УКЦ (которой нет ни на сайте, ни на сертифицированных дисках)

И там в описании процедуры "Смена места хранения контейнера ключей администратора" появилось примечание:

В процессе операции смены места хранения ключей администратора переносится только ключ защиты УКЦ. Контейнеры с ключами подписи из состава ключей администратора в переносе не участвуют.

Share this post


Link to post
Share on other sites

Читал...

Да, там тоже есть оговорка - При необходимости организации многопользовательской работы можно создать дополнительные учетные записи администраторов программы ViPNet Удостоверяющий и ключевой центр. Однако данная возможность присутствует только для совместимости с ПО ViPNet предыдущих версий. Если УКЦ устанавливается впервые, а не в результате обновления УКЦ версии 3.1.x, не рекомендуется использовать больше одной учетной записи администратора УКЦ

Итого - чтобы сделать полноценный бэкап ключей админа УКЦ - придется отказаться от использования токенов вообще. Печально

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.