Jump to content

Recommended Posts

День добрый!

Решил подробно потестить CryptoFile. В ходе экспериментов возник вопрос.

Имеем ПК с установленными ViPNet CryptoService + CryptoFile.

Также имеем три ключевых контейнера: один нормальный, во втором сертификат истёк по сроку действия, в третьем сертификат отозван.

Пробую подписать файл, выбирая каждый контейнер, по очереди.

Ну, с первым контейнером понятно - там всё чинно-благородно...

А вот со вторым и третьим я был странно удивлён.

CryptoFile мало того, что без проблем даёт мне сформировать подпись для файла, используя контейнеры с истёкшим и отозванным сертификатами (только скромные предупреждения выдаёт, но процесс не блокирует), так ещё и при проверке таких электронных подписей пишет "Статус подписи: ВЕРНА". :blink:

Это как?!

По идее, при использовании второго или третьего контейнера, CryptoFile мне даже не должен позволить произвести подписание файла (извини, брат, сертификат ключа проверки ЭП, соответствующий данному ключу ЭП, истёк/отозван - до свидания). А он, мало того что позволяет это сделать, так ещё и созданную таким образом подпись считает верной. :huh:

ViPNet CryptoService 3.2(11.18357)

ViPNet CryptoFile 4.0.1.26414

Share this post


Link to post
Share on other sites

Здравствуйте.

Более полугода прошло, а толку нет.

Мало того - судя по происходящему (подробности далее по тексту), становится очевидным, что некоторые представители ИнфоТеКС (искренне надеюсь, что это не политика Компании в целом) предпочитают действовать, а точнее бездействовать, по принципу "откровенное игнорирование проблемы - лучший способ её решения".

Итак, по порядку...

По вышеописанному (см. топик) вопросу, являющемуся очевидной "дырой" в функционировании ПО ViPNetCryptoFile, я обратился по электронной почте (soft@infotecs.ru) 26.09.14. Да-да, более полугода тому назад. И даже реакция была. Мне тут же ответили со стандартным уведомлением о том, что "...с Вами свяжется ответственный сотрудник..." и даже с номером открытого тикета #001-00-309430.

Более того, на следующий день, 27.09.14, действительно пришло письмо от менеджера по продуктам, в котором он пытался мне объяснить, что возможность создать ЭП, не взирая на то, что сертификат подписанта истёк/аннулирован, которую без проблем предоставляет актуальная версия ViPNet CryptoFile, это "ничего страшного" (понятно, что задача менеджера по продуктам компании - хвалить и защищать продукт, не взирая ни на что...), но, тем не менее, в заключении своего письма добавил (цитата): "...Данные недостатки будут устранены в ближайшем релизе CryptoFile.".

Ну что же... Не смотря на предпринятую попытку выдать возможность заверения электронного документа заведомо недействительной ЭП за норму, в целом, учитывая заключение письма, вполне нормальный конструктивный диалог выстраивался. Как мне тогда казалось...

Доверившись информации о скором выпуске нового релиза ПО с исправлением заявленных недостатков, полученной от представителя ИнфоТеКС, я сообщил эту радостную весть курируемым специалистам по ИБ в подразделениях всего региона, на чём и успокоился, ожидая новую сборку.

Однако, шли дни, но на сайте по прежнему лежала версия 4.0.1.26414 от 11.08.14 (она и сейчас там лежит: http://infotecs.ru/d...oduct=10360) и никаких новых релизов не появлялось.

06.11.14 я обратился по электронной почте к тому самому менеджеру со скромным вопросом - есть ли какие-либо ориентировочные сроки выхода нового релиза? На что он ответил, что (цитата) "...планировали на конец года...". Ну конец года так конец года. Что уж... ноябрь на дворе.

Накануне Нового года, 15.12.14, поскольку на сайте было без изменений, черкнул ещё раз письмо на ту же тему в адрес общавшегося со мной менеджера. В ответ - полная тишина. Тикет #001-00-309430 "повис в воздухе".

24.12.14 повторил попытку, но уже в адрес soft@infotecs.ru. И, час спустя, поступило письмо с шаблоном "...с Вами свяжется ответственный сотрудник..." и информацией о том, что открыт ещё один тикет #001-00-340817.

О как даже! Опять тикет СТП открыт! Значит, возможно, всё-таки толк будет? Окрылённый второй волной надежды :) , я стал ждать обещанной связи от ответственного сотрудника (ну, или просто появления на сайте новой сборки ПО с устранёнными недостатками, что ещё лучше).

Однако, минул Новый Год, отшумели каникулы, наступил Февраль, а в почте пусто. Ну и на сайте по версии никаких движений, само собой.

10.02.15, ответом (чтобы в Теме был номер тикета) на письмо от 24.12.14, я позволил себе скромно напомнить об открытом и по-прежнему не решённом тикете. Через 5 минут пришло уведомление о прочтении моего письма адресатом, и на этом - всё, опять полная тишина. Обратной связи - ноль. Как говорится, полный игнор. Теперь и тикет #001-00-340817 "повис в воздухе". Так и висит по сей день.

Ну и в завершение. Вчера, 03.06.15, ответом по тикету #001-00-309430 я осмелился ещё раз о себе напомнить (на hotline@infotecs.ru) и, спустя несколько часов, получил "Ticket #: 001-00-309430 Closed", без какой-либо информации по сути проблемы. Вот так вот.

Как видно из вышеизложенных в хронологии событий, ОАО "ИнфоТеКС", по крайней мере в данной конкретной ситуации, предпочло действовать по алгоритму:

  • попытались убедить, что заявленная проблема вовсе не проблема, а так и надо;
  • клиент оказался "шибко вумным", поэтому всё-таки наличие проблемы признали (а как иначе - она явная, как ни крути);
  • пообещали, что проблема будет исправлена в следующей версии, планируемой "на конец года" (но на самом деле никто никакой новой версии не делает и баг не исправляет);
  • видя, что клиент попался настойчивый, попробовали просто перестать отвечать на письма (авось, устанет и отстанет);
  • поняв, что не останет, просто молча закрыли тикет, без объяснений и без попыток решения заявленной проблемы.

Что тут скажешь... Браво!

Поскольку, как видно из вышеизложенного, общение по электронной почте приняло исключительно односторонний характер уже довольно давно, пишу здесь.

Может быть, хотя бы на настоящей Конференции кто-нибудь из представителей ИнфоТеКС внесёт ясность в вопрос?

P.S. С одной стороны, я понимаю, что продукт FreeWare и возиться с ним, скорее всего, разработчиками просто не хочется - ресурсы тратить надо, а профит ноль. С другой стороны, зачем вообще нужен продукт, который совершенно легко позволяет создать ЭП, используя скомпрометированный ключ? Будь он хоть трижды бесплатный...

А с третьей стороны, я уж вообще не понимаю поведения/отношения представителей ИнфоТеКС в вышеописанной истории-переписке. Не будете исправлять баг? Так и сообщите, а не "кормите сказками" о новом релизе. Будете исправлять, но за пол-года не успели? Ну так напишите нормально - так, мол, и так... Баг пофиксим, релиз будет. В 2014 не успели, планируем тогда-то...

А то ни "да", ни "нет", ни даже "может быть". Вместо этого просто откровенный игнор и закрытие тикетов "волевым усилием" без какого-либо их завершения/решения и комментариев.

Share this post


Link to post
Share on other sites

Добрый день, MORO.

прокомментирую конец Вашего сообщения: "Ну и в завершение. Вчера, 03.06.15, ответом по тикету #001-00-309430 я осмелился ещё раз о себе напомнить (на hotline@infotecs.ru) и, спустя несколько часов, получил "Ticket #: 001-00-309430 Closed", без какой-либо информации по сути проблемы. Вот так вот."

Судя по нашей базе тикетов - тикет открыт, и при всем при этом он находится в работе. Посему мне непонятно, почему Вам пришло письмо без объяснения причин закрытия тикета.

К сожалению, мне сложно прокомментировать ситуацию по Вашему запросу, поскольку новая версия CF пока не выходила.

P.S. Постараюсь ускорить процесс, ну или как минимум прояснить ситуацию по Вашему запросу.

P.P.S. Мы всегда отвечаем на письма и обращения наших Заказчиков и Партнеров, допускаю, что в данном случае запрос "потерялся". Буду разбираться. По результатам отпишу Вам.

Share this post


Link to post
Share on other sites

Спасибо Вам! :)

Вне зависимости от результата!

P.S. Вся переписка у меня есть. Если вдруг-что - могу выслать.

Share this post


Link to post
Share on other sites

Ситуация немного прояснилась:

В рамках подготовки Криптофайла к сертификации описанное Вами поведение Криптофайла (именно поведение, а не уязвимость, как заявлялось изначально) должно было быть исправлено (СКЗИ не должно позволять использовать невалидные сертификаты), однако в виду определенных причин сертификация Криптофайла была отложена, работы приостановлены.

Исправление так и не было произведено, релиз не состоялся.

В настоящее время планируется сертификация Криптофайла в составе другого продукта, поэтому работы по продукту возобновлены и продолжены.

Срок выхода релиза Криптофайла с указанным исправлением можно предварительно ожидать в 3-4 кварталах 2015 года.

Share this post


Link to post
Share on other sites

О! Наконец-то информация.

Спасибо ещё раз!

Бум ждать...

Share this post


Link to post
Share on other sites

Приношу Вам свои извинения за такую неразбериху и такие сроки.

Ситуация действительно неоднозначная получилась.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.