× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Не понятная ошибка при подписи документов

07 окт 2020 12:35 - 07 окт 2020 12:41 #17114 от FarWinter

shaburoff пишет: Немного проясняется ситуация с Jinn-Client. Начал сравнивать файлы (хеш-суммы) JinnClient.exe на Интернет станции с рабочим компом и они оказались разные

У вас возможно на 64х битную ОС Windows установлен 32х битный Jinn-Client.

Выполните в TotalCommander в каталоге c:\Program Files\Security Code\
приложенный файл Jinn-Client-x64.md5 ссылка

У меня разница в инет-сети и в ЗКВС была только в файле JSConfig.xml
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 окт 2020 13:16 - 07 окт 2020 16:34 #17115 от FarWinter

shaburoff пишет: Слева на скрине это версия Jinn-Client установленная с дистрибутива для "Соболя", она и стояла у нас на всех рабочих компах, т.к. у нас стоят Соболя, а справа на интернет станции, установлен версия без Соболя.


Мне кажется, у вас ещё какой-то KB для Windows не хватает на ПК в сети ЗКВС
(там, в KB что-то про поддержку sha шифрование, если ни чего не путаю)

У меня на первом скриншоте c ПК в интернет-сети, вкладка Цифровые подписи
в столбце - Алгоритм выборки - стоит sha1, а у вас Электронная почта - нет данных

Хотя на виртуальной машине Win7x64 без этой KB, через Jinn-Client всё подписывается.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 окт 2020 13:32 - 07 окт 2020 17:08 #17116 от FarWinter

shaburoff пишет: Наверное ограничивать касперский стал с 1.10.2020 года или настройки изменились у касперского или исполняемый файл JinnClient.exe был с корректной цифровой подписью до 01.10.2020, попробовать дату изменить и проверить будет работать или нет, но это уже завтра.

Лучше проверить, взять один файл JinnClient.exe из сети ЗКВС скопировать на ПК где установлены все последние KB Windows и посмотреть свойства файла, там скорее всего покажет что с сертификатом всё в порядке, значит просто не хватает какой то KB в сети ЗКВС.



Можно установить KB4474419 для Windows 7
www.catalog.update.microsoft.com/Search.aspx?q=4474419
эта KB добавляет поддержку алгоритма подписи SHA-2 (скорее всего и с sha1 она правит),
во всяком случае после установки её на виртуальную машину Win7x64,
в Свойствах файла JinnClient.exe теперь на вкладке Цифровые подписи
в столбце - Алгоритм выборки - стоит sha1

Ещё KB4474419 нужна для установки KES 11.4.0.233,
Касперский не будет устанавливаться пока не будет этой KB,
будет ругаться на отсутствие поддержки алгоритма подписи SHA-2




shaburoff пишет: Слева на скрине это версия Jinn-Client установленная с дистрибутива для "Соболя", она и стояла у нас на всех рабочих компах, т.к. у нас стоят Соболя.

Зачем вам сейчас Jinn-Client установленный с дистрибутива для "Соболя", если вы подписываете Контейнером закрытого ключа на флешке ?

Отдельный инсталлятор Jinn-Client 1.0.3050 [ Нажмите, чтобы развернуть ]
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 окт 2020 18:56 - 07 окт 2020 19:19 #17117 от Wmffre

shaburoff пишет: Немного проясняется ситуация с Jinn-Client. Начал сравнивать файлы (хеш-суммы) JinnClient.exe на Интернет станции с рабочим компом и они оказались разные, смотрю у них размер даже разный, хотя версия файла одна - 1.0.3050.0.

В случае, если на интернет-компьютере установлен Jinn-client из дистрибутива без соболя, а на компьютере в локальной сети казначейства установлен Jinn-client из дистрибутива с соболем, то это нормально, так как это разные программы, установленные из разных инсталляторов. Пусть Вас не смущает, что у них версия называется одинаково, зато даже строки деинсталляции программ, которые можно найти в реестре, разные.

shaburoff пишет: Открыл вкладку цифровые подписи (см на скрине) вот тут стало доходить почему Касперский блокировал

Возможно, что на компьютере в локальной сети казначейства не установлены корневые сертификаты, которые на интернет-компьютере скачиваются и устанавливаются автоматически. Обновите корневые сертификаты на локальном компьютере вручную. Инструкция по ссылке .

FarWinter пишет: Зачем вам сейчас Jinn-Client установленный с дистрибутива для "Соболя", если вы подписываете Контейнером закрытого ключа на флешке ?

Это требование безопасников: локальная сеть казначейства требует установку криптографических программ не ниже KC2, KC1 уже нельзя. А для KC2 обязательно требуется установка платы ПАК "Соболь".
Спасибо сказали: shaburoff

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 окт 2020 03:46 #17119 от shaburoff

FarWinter пишет: У вас возможно на 64х битную ОС Windows установлен 32х битный Jinn-Client.


Исключено, дистрибутив Jinn-Client без поддержки ПАК "Соболь" и дистрибутив с поддержкой ПАК "Соболь" различаются, как и файл JinnClient.exe этих дистрибутивов.

JinnClient.exe без поддержки ПАК "Соболь" весит 6 231 288 байт, md5 - 764c729b8fcc06517e63f176c7794c99

JinnClient.exe c поддержкой ПАК "Соболь" весит 6 230 096 байт, md5 - 7376680aa5dad3e3778b8c930a6f0994

FarWinter пишет:
Мне кажется, у вас ещё какой-то KB для Windows не хватает на ПК в сети ЗКВС
(там, в KB что-то про поддержку sha шифрование, если ни чего не путаю)


Вот это возможно, что обновления ОС не стоят и обновление сертификатов, буду выяснять дальше.

FarWinter пишет: Зачем вам сейчас Jinn-Client установленный с дистрибутива для "Соболя", если вы подписываете Контейнером закрытого ключа на флешке ?


Не знаю, так сразу установил с дистрибутива для ПАК "Соболя", т.к. Соболя у нас стоят, но подпись в Jinn-Client с Соболя так и не заработала. С флешки подписывали и сколько лет работало до какого-то времени.

Может у кого стоит Jinn-Client с с дистрибутива для ПАК "Соболя" и работает?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 окт 2020 18:06 - 08 окт 2020 18:11 #17124 от Wmffre

shaburoff пишет: Не знаю, так сразу установил с дистрибутива для ПАК "Соболя", т.к. Соболя у нас стоят, но подпись в Jinn-Client с Соболя так и не заработала.

ТМ-идентификаторы не указаны в документации к Jinn-client 1.0.3050.0 в качестве носителей для подписания, поэтому подписать с помощью них не получится.

shaburoff пишет: Может у кого стоит Jinn-Client с с дистрибутива для ПАК "Соболя" и работает?

В моём УФК в локальной сети казначейства используются компьютеры с ПАК "Соболь", в Электронном бюджете подписывают с помощью etoken pro (Java) через Jinn-client 1.0.3050.0(редакция для Соболя). У двоих сотрудников наблюдается "Произошла непредвиденная ошибка" в самом конце подписания с помощью Jinn-client в подсистеме, где добавляются права и регистрируются сертификаты пользователям для работы в СКИАО. У одного из них скопировал контейнер на флешку - точно такая же ситуация с дублированием контейнера при подписании.
Спасибо сказали: shaburoff

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 окт 2020 03:39 - 09 окт 2020 03:40 #17125 от Alex_04

Wmffre пишет:

FarWinter пишет: Зачем вам сейчас Jinn-Client установленный с дистрибутива для "Соболя", если вы подписываете Контейнером закрытого ключа на флешке ?

Это требование безопасников: локальная сеть казначейства требует установку криптографических программ не ниже KC2, KC1 уже нельзя. А для KC2 обязательно требуется установка платы ПАК "Соболь".

Установка СКЗИ не ниже класса КС-2 -- это одно, для ОрФК обязательно -- не обсуждается.
Но ПО Jinn -- НЕ СКЗИ в строгом понимании, а "Программа доверенной визуализации и подписи" как гласит его документация.
Поэтому, ИМХО, совсем не ж-б ставить её из дистра CD_Sable.

Wmffre пишет: У одного из них скопировал контейнер на флешку - точно такая же ситуация с дублированием контейнера при подписании.

Ну вот и подтверждение опытным путем -- СПАСИБО за информацию! Значит чего-то КБ перенамудрили в этой сборке -- вычеркнуть из памяти.


Деньги портят людей, но у нас народ хороший в основном.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 окт 2020 05:40 #17126 от shaburoff

Wmffre пишет: скопировал контейнер на флешку - точно такая же ситуация с дублированием контейнера при подписании.

Спасибо, а то я мучился с этой проблемой, думал у меня что-то не так, а оно видимо у всех. Странно, что ошибка не всплыла у других, все ставили дистрибутив без соболя?

Да и обновление корневых сертификатов не помогло. В посте sedkazna.ru/forum.html?view=topic&catid=9&id=1201#16309 скачать утилиту updroots.exe не получилось. Скачал отсюда support.kaspersky.ru/13727 но там тоже её нужно извлечь.

Установка KB4474419 тоже не помогла.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 окт 2020 13:19 - 09 окт 2020 13:19 #17134 от Alex_04

shaburoff пишет: Странно, что ошибка не всплыла у других, все ставили дистрибутив без соболя?

Думаю правильней назвать оную сборку дистра под Соболь.
К.г. "ты не поверишь", но на т.н. "официальном" CD из ОРСБИ УФК с дистром джина для тиражирования его себе и клиентам НЕТ CD_Sable. Возможно это не спроста...?

я мучился с этой проблемой ... не помогло ... тоже не помогла...

Ну раз корень проблемы выяснен, так забудь про эту сборку (выкинь её нафиг!) -- очередное недоразумение от "КБ". :(


Деньги портят людей, но у нас народ хороший в основном.
Спасибо сказали: shaburoff

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 окт 2020 20:41 - 09 окт 2020 21:05 #17136 от Wmffre

shaburoff пишет:

Wmffre пишет: скопировал контейнер на флешку - точно такая же ситуация с дублированием контейнера при подписании.

Спасибо, а то я мучился с этой проблемой, думал у меня что-то не так, а оно видимо у всех. Странно, что ошибка не всплыла у других, все ставили дистрибутив без соболя?

В том то и дело, что у сотрудников моего УФК почти у всех установлен Jinn-client 1.0.3050.0 из папки CD_Sable и с подписанием в Электронном бюджете с помощью eToken Pro (Java) у них нет никаких проблем. Только у двух сотрудников после каких-то обновлений СКИАО стала специфическая ошибка в специфической системе добавления прав и ролей для СКИАО с подписанием через Jinn-client - причем эта ошибка появляется, когда окно подписания Jinn-client уже закрылось и заявка на добавление прав/добавление сертификата уже выполнилась - права даются и появляется сообщение про непредвиденную ошибку. И только у одного из этих сотрудников я проверил подписание там же с флешкой - с подписанием через флешку там какая-то другая ошибка и дублируется контейнер. Это я всё к тому написал, что дублирование контейнера на флешке может быть не связано с их ошибкой, так как они подписывают с помощью etoken pro (java).

Alex_04 пишет:

Wmffre пишет: Это требование безопасников: локальная сеть казначейства требует установку криптографических программ не ниже KC2, KC1 уже нельзя. А для KC2 обязательно требуется установка платы ПАК "Соболь".

Установка СКЗИ не ниже класса КС-2 -- это одно, для ОрФК обязательно -- не обсуждается.
Но ПО Jinn -- НЕ СКЗИ в строгом понимании, а "Программа доверенной визуализации и подписи" как гласит его документация.
Поэтому, ИМХО, совсем не ж-б ставить её из дистра CD_Sable.

Если у Вас на компьютере не установлена плата ПАК "Соболь", то и Jinn-client, установленный из папки CD_Sable, использовать не сможете. ПАК "Соболь" в этом случае используется как генератор случайных чисел. Также при установке из папки CD_Sable не устанавливается криптопровайдер Кода Безопасности. Поэтому, если платы ПАК "Соболь" в сис.блоке нет, то какие бы требования для безопасности не выдвигались, использовать сможете только Jinn-client, установленный из папки CD.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

12 окт 2020 15:00 - 12 окт 2020 15:05 #17155 от Alex_04

Wmffre пишет:

Alex_04 пишет: ПО Jinn -- НЕ СКЗИ в строгом понимании...

Если у Вас на компьютере не установлена плата ПАК "Соболь", то и Jinn-client, установленный из папки CD_Sable, использовать не сможете.

И это само собой, разумеется.
Говоря:

совсем не ж-б ставить её из дистра CD_Sable

имел в виду прямо противоположное: "Соболь" ЕСТЬ, но Jinn ставили из папки CD -- полет нормальный (тьфу 3 раза!), не 1 уж год. :)


Деньги портят людей, но у нас народ хороший в основном.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.