Не понятная ошибка при подписи документов

КриптоПро 4.0.9944, 4.0.9963
KES 11
Контейнер на обычной флешке.
Ошибка на всех компах, на которых работают в ЭБ. Началось всё с 1.10.2020 с выходом человека с отпуска, она не смогла подписать, после я попробовал на своем компе, тоже не смог, далее оказалось что на всех не работает, а до этого всё работало нормально. Мной в этот период ни чего не устанавливалось и не настраивалось, но возможно со стороны УФК что-то делалось, я Админом домена не являюсь. В программах и компонентах из последнего устанавливался УФК Р7-Офис - 24.09.2020.

А переустанавливать пока не буду, на своём компе пробовал Jinn-Client и XC переустановить с удалением - не помогло. Да и в других ИС-ах (АСФК, СУФД, Ландокс, ВРС) ЭЦП работает. Пользователей ЭБ перевел на Chromium GOST и работаем через https. Может потом выясню в чем дело.

shaburoff пишет: KES 11

Какая полная версия Касперского KES 11.4.0.233 ?
Если отключить антивирус или вообще удалить, ошибка появляется?

SecretNet установлен на ПК ?

Я так понял у вас в ОФК в сети ЗКВС происходит ошибка с дублированием КЗК.
У вас все ПК входят в домен fsfk или есть ПК находящиеся в рабочей группе,
а в DNS прописаны DNS-сервера УФК ?

На ПК подключенным, на прямую к сети интернет эта ошибка появляется?

FarWinter пишет: Какая полная версия Касперского - KES 11.4.0.233 ?
Если отключить антивирус или вообще удалить, ошибка появляется?
SecretNet установлен на ПК ?
Я так понял у вас в ОФК в сети ЗКВС происходит ошибка с дублированием КЗК.
У вас все ПК входят в домен fsfk или есть ПК находящиеся в рабочей группе,
а в DNS прописаны DNS-сервера УФК ?

Отвечу за "shaburoff" (коллеги из разных ТО одного УФК).
Ошибка в ЗКВС УФК, все ПК в домене fsfk, рабочих групп нет, KES-11.1.1.126, отключить может только админ УФК (удалить никто не даст), SecretNet нэт.

На ПК подключенным, на прямую к сети интернет эта ошибка появляется?

На это только сам коллега ответить может.

Главное в другом: при одинаковости всего у всех в пределах одного УФК такая бяка тока у одного ТО -- ПОЧЕМУ?

Alex_04 пишет: при одинаковости всего у всех в пределах одного УФК такая бяка тока у одного ТО -- ПОЧЕМУ?

Чего то я сомневаюсь в одинаковости всего у всех в пределах даже одного ТО

FarWinter пишет:

Alex_04 пишет: при одинаковости всего у всех в пределах одного УФК такая бяка тока у одного ТО -- ПОЧЕМУ?

Чего то я сомневаюсь в одинаковости всего у всех в пределах даже одного ТО

Уточню пожалуй: одинаковости централизованного ПО, перечисленного ранее, и политик домена. В этом сомневаться пожалуй не приходится.

FarWinter пишет:
На ПК подключенным, на прямую к сети интернет эта ошибка появляется?

Проверил на тестовой странице подписал раз 10, ошибки пока нет.

Я бы ещё проверил на ПК в сети ЗКВС находящийся в рабочей группе, а в DNS прописаны DNS-сервера УФК,
чтобы исключить влияние доменных политик.

А так, можно сверить ПО установленное на ПК в ЗКВС с ПК в сети Интернет.

FarWinter пишет: Я бы ещё проверил на ПК в сети ЗКВС находящийся в рабочей группе, а в DNS прописаны DNS-сервера УФК, чтобы исключить влияние доменных политик.

Не совсем понятно, ибо определенные DNS (адресация в них на сервера УФК) прописаны на каждом АРМе, хоть они и не в группах, групповые доменные политики тем не менее отрабатываются на всех АРМах без исключения.

Кажется нашел причину, отключил KES и ошибки нет. Отключал через службы.

upd: про криптопровайдеры забыл ответить, у меня стоит один от криптпро.

Alex_04 пишет: групповые доменные политики тем не менее отрабатываются на всех АРМах без исключения.

Сомневаюсь, что если ПК выгнать из домена, дать ему вручную IP-адрес после континента, что на него будут распространяться доменные политики.

shaburoff пишет: Кажется нашел причину, отключил KES и ошибки нет.

Про антивириус, я вам писал раннее.

FarWinter пишет: Какая полная версия Касперского KES 11.4.0.233 ?
Если отключить антивирус или вообще удалить, ошибка появляется?

Дело может быть не только в версии Касперского, но и во включенных службах и настройках,
нужно по ним пошарится, поэтапно отключать и проверять.

FarWinter пишет: Про антивириус, я вам писал раннее.

Я тоже сразу думал на антивирус или доменные политики, что не зависит от меня, т.к. я в это время ни каких изменений не вносил на компах, а у других пользователей прав нет. Отключить или удалить антивирус не так просто, прав то нет. И опять же доменные политики и политики антивируса одни для всех ТоФК нашей области.

FarWinter пишет:

Alex_04 пишет: групповые доменные политики тем не менее отрабатываются на всех АРМах без исключения.

Сомневаюсь, что если ПК выгнать из домена, что на него будут распространяться доменные политики.

Так это если НЕ в домене - сомнений и быть не может.
Я то Вас понял, что имели в виду ввод АРМы в рабочие группы ВНУТРИ домена. (Хотя тут же вопрос возник - зачем?) Вобщем недопонял видимо я Вас...

shaburoff пишет: Отключить или удалить антивирус не так просто, прав то нет. И опять же доменные политики и политики антивируса одни для всех ТоФК нашей области.

Заведите обращение в СУЭ ФК(ПУПЭ) пусть ОИС или ОРСиБИ немного поработают (не знаю кто из них в вашем УФК отвечает за настройки в Касперском), кто из них какую галку не там поставил, пусть включают настройки, отключают касперского, ставят другую версию.

Они могут просто включить возможность вам самим порулить настройками KES 11 на ваших ПК

Немного проясняется ситуация с Jinn-Client. Начал сравнивать файлы (хеш-суммы) JinnClient.exe на Интернет станции с рабочим компом и они оказались разные, смотрю у них размер даже разный, хотя версия файла одна - 1.0.3050.0. Открыл вкладку цифровые подписи (см на скрине) вот тут стало доходить почему Касперский блокировал

Слева на скрине это версия Jinn-Client установленная с дистрибутива для "Соболя", она и стояла у нас на всех рабочих компах, т.к. у нас стоят Соболя, а справа на интернет станции, установлен версия без Соболя. Видимо поэтому ограничивает Касперский, т.к. не действительная цифровая подпись у исполняемого файла. В настройках Касперского посмотреть не могу, т.к. нет прав. Наверное ограничивать касперский стал с 1.10.2020 года или настройки изменились у касперского или исполняемый файл JinnClient.exe был с корректной цифровой подписью до 01.10.2020, попробовать дату изменить и проверить будет работать или нет, но это уже завтра.