Подпись файла ложная (искажены данные)

Форум » АРМ "Клиент" АС Клиент-Сбербанк » Подпись файла ложная (искажены данные) » Ответить

Подпись файла ложная (искажены данные)

romlog: Подскажите на что может ругаться обновленная до 019 версия АРМ? На компе вроде бы снес все программы по удаленному администрированию, почистил все подозрительные процессы, антивирус нод32 стоит сканирование сделано, но ошибка как выскакивала так и выскакивает. Техподдержка говорит напишите заявление на отключение защиты встроенной в новую версию, но это же чушь, какие могут быть гарантии что после такого заявления деньги не улетучатся со счетов а потом нам скажут сами виноваты...

Ответов - 56, стр: 1 2 3 All

smon: Старый зелёный амикон ключик вроде как задышал на ладан и начал подключаться через раз (по крайней мере c USB-IP сервера), а через раз пишет, что ключ дохлый (при этом выглядит как невнятный VPN-KEY c драйвером что-то вроде Shipka). Можыд и софтовое это, но... Спросил девушек из дистанционного обслуживания свежей инсталляции о возможности использовать их новый серебристый ключ ещё и для старого туннеля (к старому отделению, взамен сдохшего зелёного). Они уверенно ответили положительно и обещали свою помощь, если поддержка не поможет. (Поскольку телефоны поддержки у разных отделений разные, предчувствую, что предложение мною будет принято ) В общем, я решил разлучить АРМ(ы?)) и VPN роутер, примерно так: http://sergey-s-betke.blogs.novgaro.ru/networking/vpn/fpsu-ip/fpsu-router Ключи или буду цеплять к виртуалке скриптом и подставлять нужные директории через subst, или запихну в контейнер примерно вот так: http://klientsb.forum24.ru/?1-9-0-00000015-000-0-0-1310238752 (виртуалки под АРМ будут выделенными, без этих ваших онтернетов) Прокомментируйте, пожалуйста. И ещё вопрос: есть ли шанс в обоих АРМ-ах использовать единственную пару ключей директора и главбуха? А может, и мастер-ключ объединить? :spy: Если такое реально, это составит для меня доп. мотивацию оба АРМ-а засадить в одну виртуальную клетку.

smon: Еще вопрос: как обновить до свежей версии сбойнувшее после 18-го обновления из-за "удалённого доступа" старое ARM (в C:\SBRF) в старой виртуалке, в которой я давеча уже провёл свежую установку C:\SBRF_VTOROE Обновление с офсайта хочет накатываться строго на второе, а первого не чует.

smon: Ну и чисто из любопытства... Теоретиццкий такой интерес: нахера козе боян? В АРМ и так используется крипто, надо полагать серьёзное. Что помешало на нём же и IPSec замутить (при необходимости усилив его аппаратными токенами при _единственной_ проге, пощадив психику бухов и сисадминов)? Необходимость откатить и занести КОМУ НАДО? (деньги клиентов со всей страны) Стремление размазать отстатки отвественности банка перед клиентами? Или настоятельное побуждение известных органов ничуть себя не утруждая и не беспокоя Грефа заиметь бэкдор в каждую контору? :spy:

smon: Ога... додумались. Бизнес-онлайн с TLS-ключом. А толстый клиент у него действительно будет? Полноценный офлайновый кэш чтобы...

smon: Скажите, а вот 2 метра флеша на серебристом амиконе - его можно как-то использовать в наших мирных целях? Или это ресурс, зарезервированный разработчиками для своих нужд?

4141KuznetsovAV: Можно на этих 2-х метрах поселить главный ключ с подселением к нему ЭЦП

smon: Пока что мне удалось сделать в третьей виртуалке амикон-роутер на серебристом ключе, который работает как для нового, так и для старого АРМ от другого отделения (зелёный ключ отправляется на пенсию). В планах - после достижения стабильной работы обоих АРМ каждого в выделенной виртуалке - потестить удалённый доступ к этим виртуалкам. Вооружившись результатом этого предприятия (успешным или не очень), потом уже буду думать, как сократить количество виртуалок. Попутно кажется научился чистить базу от т. н. "привязок", по крайней мере старое АРМ заработало на переименованной виртуальной системе без хождения ногами в отделение. Если перепривязыватель не врал, АРМ от того компа уже дважды было перепривязано куда-то ещё...

smon: --4141KuznetsovAV-- есть ли шанс в обоих АРМ-ах использовать единственную пару ключей директора и главбуха? А может, и мастер-ключ объединить? :spy: Если такое реально, это составит для меня доп. мотивацию оба АРМ-а засадить в одну виртуальную клетку. ...А физической секурности кллючей уделить дополнительное внимание, невозможное в условиях, когда ключи плодятся подобно кроликам

smon: Пока что мне удалось сделать в третьей виртуалке амикон-роутер на серебристом ключе, который работает как для нового, так и для старого АРМ от другого отделения (зелёный ключ отправляется на пенсию). Иногда теперь не даёт подписать платёжку ЭЦПодписью: пишет "указанное действие недоступно при активном сеансе связи". Как вариант, я придумал уже перезапустить АРМ и (не запуская сеанс связи) подписать всё что надо, а потом отправить следующим рейсом. Посоветуйте более экономный вариант закрыть сеанс связи, не вылезая из виртуалки и не перезапуская АРМ. А также какой-нибудь визуальный индикатор "активности сеанса связи". Куда смотреть? Если вдруг смотреть некуда - то как организовать такой индикатор? (например, по ярлыку запуская скрипт)

smon: smon пишет: есть ли шанс в обоих АРМ-ах использовать единственную пару ключей директора и главбуха? А может, и мастер-ключ объединить? :spy: Получил официальный ответ от поддержки на свой вопрос о возможности объединить между двумя АРМ максимум криптографической информации (ключи и подписи директора-главбуха). Ответ таков: это возможно только в том случае, если оба счёта открыты в одном отделении. (( По-прежнему актуален вопрос о состоянии "активности сеанса связи". Каким образом оператор АРМ может узнать о том, что АРМ находится в этом состоянии, до того, как полезет подписывать платёжку и получит облом?

smon: Частичная победа! Старый слетевший в сентябре АРМ (от старого отделения), обновлённый мною до версии 19.01 - сейчас у меня нормально работает при подключении к виртуалке через RDP (это та же самая старая виртуалка, на которой он работал до слёта - потому новых хождений ногами в отделение не занадобилось). Амикон (единственный, от нового отделения) при этом стоит на отдельном роутере. Если существует секретное знание о возможности обобществить криптоключи для разных московских отделений, мне хотелось бы к нему приобщиться - чтобы объединить разные АРМ в одной виртуалке, упростив себе и бухам жонглирование ключами и подписями.

smon: А то как-то по смыслу бредово выходит: ключ организации и ЭЦП ответственных лиц ВНЕЗАПНО не удостоверяют самих этих лиц и организацию, а только в качестве клиентов конкретного отделения. "Раздвоение личности" и дальнейшее её тиражирование... Ради поддержания милого сберу внутреннего бардака. -- Или я не понимаю чего-то? :spy: Нет, то простое соображение, что "не надо класть все деньги в одну корзину", мне доступно. Так можно было бы продолжать торговать яйцами, обходясь без высоких информационных технологий. А с ними хочется уже чего-то более толкового.

smon: smon пишет: сейчас у меня нормально работает при подключении к виртуалке через RDP Увы, рано обрадовался. Работает через RDP на раз или два, а на второй-третий раз выдаёт то же самое: "электронная подпись ложная!" Зато от вмваре клиента вроде бы не слетает, так что начерно годится. Но надо будет это дальше ковырять...

smon: На сегодня мною было сделано и работает: отдельный амикон-роутер (внешний интерфейс смотрит в маскарядящий фаервол, с внутр. интерфейса убирана привязка амикон) Соседние виртуализованные АРМ, которые "осушествл. обмен с банком", смотрят по дефолту в этот роутер и лишены интернета; все они сделаны по одному образцу, на каждом подключены два вирт. removable диска, соотв. инициалам директора и главбуха; никакого лишнего софта на них нет, в т.ч на них нет ЗЛА(антивирей) С удовольствием бы оставил одну такую АРМ (объединив транспортную роль для всех отделений) - но не смог устранить путаницу из-за различия ЭЦП, связанных с разными отделениями. Вот здесь http://klientsb.forum24.ru/?1-2-0-00000189-000-20-0 в сообщениях автора pashtet78 изложены дальнейшие пути улучшения конструкции Собираюсь сделать (покритикуйте плиз следующую схему): На том амикон-роутере расшариваем папки базы каждого отделения (на внутреннем интерфейся отставляем нетбиос)... можно вместо этого создать лишний файловый сервер, но в моём интересе обойтись без лишних сущностей Делаем столько, сколько нужно, ARM только для набивания платёжек/обмена данными и просмотра базы. Ограничения на "удалённый доступ" на них не распространяются(??). Следовательно они могут быть и на физ. компах бухов вместе с прочим их г..софтом, требующим удалённой поддержки. Все АРМ настраиваем на расшаренные папки роутера. PROFIT!! (для админа и конторы; а банк нехай подавится своей костью: АРМ с транспортной ролью всё-таки не работают через "удалённый доступ") НО.... Стоит ли мне всё-таки позаботиться при этом об интересе сбербанка - не давая буховским г..компам постоянного доступа в его 10-ю сетку? Эта цель запросто может быть достигнута лишними интерфейсами и сетками/виланами c ACL в виртуальной среде. Или им там похрен?

WatsonRus: Gavdis пишет: Решил ситуацию так: В папке BASE неведомым образом исчез файл сетевого ключа KL******.KEY. Далее под Администратором Сервис -> Настройки программы -> Защита информации -> Установить ключ и указал на файл KL******.NKL, а сам сетевой ключ KL******.KEY заново скопировал в папку BASE. Перезапустил, заработало. Сегодня имел "счастье" столкнуться с подобной ситуацией с 18-й версией. :( Только у нас причина была несколько в другом - винт похоже начал сыпаться, и файл KL******.NKL видимо был запорчен, хотя еще на прошлой неделе все было Ок. Придется переносить всю инфу, включая систему, на другой винт. А это целый гемор с привязкой/отвязкой КБ. :( sb77 пишет: Сетевым ключом шифрования является файл KL******.NKL и вы правильно сделали, установив его средствами системы. Файл KL******.KEY является технологической транспортной компонентой и не используется при работе программы. Можете смело удалить его из каталога - ничего не сломается. Он, кстати, при переустановке сетевого ключа никуда и не копируется.

Mike666: smon пишет: Эта цель запросто может быть достигнута лишними интерфейсами и сетками/виланами c ACL в виртуальной среде. Вы молодец! Редко кто, на моей памяти, двигался не прямо, а "чуть вниз, влево, напрямо, ну и чуть вправо". Стало редкостью видеть увлечённого человека. WatsonRus пишет: Он, кстати, при переустановке сетевого ключа никуда и не копируется. Верно, дописывается в файл контроля.

полная версия страницы