Алгоритм хеширования cms не поддерживается
Обновления, обеспечивающие поддержку SHA-256 для корректной работы Dr.Web на устаревших версиях Windows
Какие версии Windows считаются устаревшими и требуют установки указанных обновлений?
Речь идет об ОС Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2.
Почему обновления системы безопасности Microsoft необходимы для корректной работы обновлений ПО Dr.Web?
Необходимость обновления связана с политикой компании Microsoft, которая более не позволяет сторонним центрам сертификации (DigiCert, COMODO и др.) выпускать сертификаты, которыми можно подписывать модули для работы в ядре ОС Windows. Только Microsoft может подписывать модули для ядра своим WHQL-сертификатом, который существует только в виде версии SHA256. Более подробная информация приведена в документации Microsoft.
Dr.Web продолжает планомерно поддерживать устаревшие версии Windows.
Какие конкретно обновления требуются для моей ОС?
- Для Windows Vista установите последовательно пакеты обновлений SP1 и SP2, затем установите обновление KB4090450.*
- Для Windows 7 установите пакет обновлений SP1, затем - KB3033929 или KB4474419 или KB4054518.
- Для Windows Server 2008 установите пакет обновлений SP2, затем обновление KB4474419 или KB4039648 или KB3033929.
- Для Windows Server 2008 R2 установите пакет обновлений SP1, затем - KB4474419.
Обновления для работы с SHA-256 могут также содержаться в других обновлениях Windows.
Я не буду устанавливать обновления для своей ОС и согласен получать только обновления вирусных баз Dr.Web. Как мне отключить уведомление?
Для отключения уведомления:
- Откройте меню Dr.Web и выберите пункт Центр безопасности.
- Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
- В верхней части окна программы нажмите .
- Откроется окно с основными настройками программы. В левой части окна выберите пункт Обновление.
- Для перехода к дополнительным настройкам в окне Обновление (см. рисунок Настройки обновления) нажмите ссылку Дополнительные настройки.
- В разделе Обновляемые компоненты выберите «Только вирусные базы».
со стороны ЦБ поступали письма о том что ". завершается разработка системы криптографической авторизации электронных документов (далее - СКАД) «Сигнатура» версия 6"
Немного непонятна фраза
"Помимо функциональных возможностей, реализованных в СКЗИ версии 5, СКЗИ версии 6 содержат новый функционал, в том числе в них реализовано шифрование по ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015. "
Изменится ли API? Или в этом плане все останется как было?
2 Ответ от ant 2019-12-30 15:45:30
Добрый день,
В СКАД «Сигнатура» версия 6 для поддержки новых алгоритмов шифрования (ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015) добавлены новые функции. Если ничего не менять, то шифрование будет осуществляться по старому алгоритму ГОСТ 28147-89. Для перехода на новые алгоритмы нужно вызывать новые функции СКАД «Сигнатура» версия 6.
3 Ответ от КрасКрипт 2020-01-13 14:12:35
Не подскажете, инструментарий разработчика в ЦБ уже передавался, или пока только непосредственно СКАД для проведения тестирования?
(интересуюсь с целью понять когда можно будет обращаться по этому вопросу в ЦБ)
4 Ответ от ant 2020-01-13 19:20:03
В ЦБ все есть, но СКАД «Сигнатура» версия 6 сейчас на этапе сертификационных исследований.
Обратиться можно, но что ответят, не знаю.
5 Ответ от Setevoy 2020-02-17 16:16:51
А есть где-нибудь информация по системным требованиям Сигнатуры?
Хотя-бы перечень поддерживаемых ОС?
6 Ответ от ant 2020-02-17 19:24:44
Перечень содержится в документации (Формуляр ВАМБ.00107-06 30 01)
7 Ответ от Setevoy 2020-02-18 08:50:28
Это именно по Сигнатуре 6?
8 Ответ от ant 2020-02-18 15:41:52
Да, это из формуляра на Сигнатуру 6
9 Ответ от igoro 2020-10-02 15:30:09 (2020-10-02 15:36:49 отредактировано igoro)
Скажите, пожалуйста, а шестая версия для линукса существует ли? Мы сейчас пользуем Сигнатура-L 5, предоставленную центробанком. Они собираются переходить на шестую сигнатуру в обозримом будущем, но ничего не смогли ответить по поводу Сигнатура-L -- типа нет информации о новой версии, только про Windows версию знают
10 Ответ от ant 2020-10-02 16:49:27
По вопросам выхода Сигнатура-L 6 необходимо обращаться в Банк России.
11 Ответ от Saches 2021-03-23 17:55:36
Инициализация датчика случайных чисел.
Ошибка 0xE0BE001F.
Ошибка открытия драйвера VDCryDrv.
Обновление проводилось на Windows 10
12 Ответ от ant 2021-03-24 11:31:10
wmic OS >OS.txt
wmic QFE list >QFE.txt
wmic product list >Product.txt
13 Ответ от Saches 2021-03-25 13:20:50 (2021-03-25 13:24:50 отредактировано Saches)
После перезагрузки, уже с работающим Касперским, всё ок.
14 Ответ от ant 2021-03-25 13:40:33
Добрый день.
Для Windows 7 и Windows 2008 R2, довольно часто не установлено обновление KB3033929 (Поддержка подписи кода SHA-2).
Если запустить программу конфигурации СКЗИ и попробовать инициализировать ДСЧ, и получить ошибку:
Инициализация датчика случайных чисел. Ошибка 0xE0BE001F. Ошибка открытия драйвера VdCryDrv
Реверс малвари
Исследователи из греческого Университета Пирея изучили рынок популярных CMS, рассмотрев 49 часто используемых CMS и 47 популярных фреймворков, и пришли к печальному выводу: системы управления контентом по сей день используют по умолчанию алгоритм MD5 для хеширования и хранения паролей.
Среди таких «нарушителей» исследователи называют WordPress, osCommerce, SuiteCRM, Simple Machines, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms и Composr. Фактически использование MD5 по умолчанию означает, что если владельцы таких сайтов не изменили настройки по умолчанию, то пароли пользователей будут подвергаться риску, например, если потенциальный злоумышленник похитит БД сайта.
В настоящее время слабыми и устаревшими считаются те хеш-функции, которые ранее уже были взломаны, и их небезопасность была доказана (например, MD5 и SHA1). Более устойчивыми считаются сложные и более новые решения, такие как BCRYPT, SCRYPT и Argon2.
Увы, почти 60% протестированных аналитиками CMS используют устаревшие алгоритмы (например, MD5 или SHA1) или же прибегают к таким решениями, как SHA256, SHA512, PBKDF2, атаки на которые можно значительно облегчить, используя мощности GPU.
Также выяснилось, что все CMS с включенным MHF (memory hard function) используют BCRYPT. Таковых насчитывается 40,82%, включая Joomla, phpBB, Vanilla Forums, vBulletin и SilverStripe.
Исследователям не удалось обнаружить ни одной CMS, использующей SCRYPT или Argon2. Специалисты объясняют, что причина такой непопулярности SCRYPT кроется в отсутствии доступной нативной библиотеки PHP, из-за чего большинство CMS попросту не могут ее поддержать. В свою очередь, Argon2 был добавлен в PHP 7.2, что произошло недавно, и может пройти некоторое время, прежде чем он получит широкое распространение.
Интересно и то, что использование соли оказалось распространено не так широко, как можно было бы ожидать. По данным исследователей, 14,29% протестированных CMS не солят своих хеши, оставляя пользователей уязвимыми для атак с использованием радужных таблиц.
Однако, как уже было сказано выше, эксперты проверяли не только CMS, но и популярные фреймворки. Увы, в данной области ситуация оказалась немногим лучше. 23,40% фреймворков выбирают слабые (распараллеливаемые) хеш-функции, тогда как 12,77% из них не используют итерации.
При этом лишь 27,66% фреймворков по умолчанию используют хеш-функцию BCRYPT, а SCRYPT и Argon2 тоже отсутствуют в настройках по умолчанию.
Хуже того, в отличие от CMS, многие фреймворки вообще не предлагают схему хеширования по умолчанию, оставляя это на откуп разработчикам. Таковых насчитывается 48,94%, что тоже может привести к выбору слабой схемы хеширования и подвергнуть пользователей угрозе.
Открыть карточку настроек электронной подписи можно из правого меню → Настройки → Настройки электронной подписи.
Карточка содержит в себе следующие настройки:
Вид подписи – выбирается вид подписи, поддерживается только CAdES (CMS Advanced Electronic Signatures).
Профиль подписи – используемый профиль подписи:
BES – подписывается дата подписи, хеш данных, идентификатор сертификата, тип данных;
T – это BES плюс метка времени по хешу от BES;
C – это T плюс ссылки на сертификаты, и ссылки на ocsp-ответы или ссылки на crl;
XL – это C плюс данные сертификатов и данные ocsp или crl;
X-Type1 – это C плюс метка времени на всю C;
X-Type2 – это C плюс метка времени только на ссылки;
XL-Type1 – это XL плюс метка времени на всю XL;
XL-Type2 – это XL плюс метка времени только на ссылки.
Упаковка подписи – поддерживается только отсоединённая.
Логин TSP-сервиса – логин для подключения к сервису.
Пароль для TSP-сервиса – пароль для подключения к сервису.
Алгоритм хеширования TSP - выбор алгоритма хеширования для сервиса меток времени. По умолчанию - SHA256 .
Фильтры сертификатов – набор правил фильтрации сертификатов; из сертификатов, прошедших проверку, пользователь может выбрать сертификат для подписи.
Дата начала - дата начала действия сертификатов;
Дата окончания – дата окончания действия сертификатов;
Не показывать просроченные – показывать только активные на текущий момент сертификаты;
Компания – регулярное выражение, проверяется поле Company;
Субъект – регулярное выражение, проверяется поле Subject;
Издатель – регулярное выражение, проверяется поле Issuer.
Все параметры одного фильтра объединены по логическому И (т.е. для отображения сертификата необходимо, чтобы сертификат удовлетворял всем указанным параметрам), все фильтры (строки таблицы) между собой объединены по логическому ИЛИ (т.е. для отображения сертификата необходимо, чтобы параметры сертификата удовлетворяли хотя бы одному фильтру).
Настройка алгоритмов подписи и хеширования – набор пар алгоритмов подписи и хеширования. По умолчанию в таблицу уже занесены некоторые алгоритмы.
Алгоритм подписи - при добавлении новой строки необходимо указывать алгоритм Другие , т.к. все типовые алгоритмы уже добавлены в таблицу. Алгоритм Другие - это все алгоритмы, которых явно в списке нет.
Алгоритмы хеширования - агоритмы SHA256 , SHA384 , SHA512 следует использовать только для решений, где не используется работа с подписями в web-клиенте. Для web-клиента используйте алгоритм SHA1 .
В рамках проекта могут быть разработаны собственные реализации алгоритмов, которые регистрируются по именам, их можно ввести вручную, или в desktop-клиенте доступен выпадающий список с перечислением всех именованных регистраций.
CryptoProEDSManager - использует COM-объект КриптоПро, который устанавливается вместе с расширением КриптоПро для браузера, но доступен не только из браузера, но и из desktop-клиента.
Список файлов с доверенными сертификатами – приложенные к карточке сертификаты считаются доверенными: в процессе проверки, если файл/сертификат/метка времени/ocsp-ответ/crl-список будет подписан таким сертификатом, то этот ресурс считается достоверным. Приложить можно файлы формата .cer , .p7b .
Стандартный механизм подписи можно заменить своим расширением для поддержки подписи/проверки определенным методом, например, для работы с токенами. В расширении надо создать класс-наследник от абстрактного класса CAdESManager и переопределить два метода для подписи и проверки. В регистраторе используйте свойство order со значением больше 1 для переопределения стандартной реализации.
Ниже представлена таблица поддерживаемых хеш-алгоритмов, выбранных в настройках электронной подписи:
Проверка подписей¶
В каротчках документов в результате проверки подписи на файле, возможные следующие цветовые обозначения:
Зеленый – целостность подписи верна, сертификат проверен и подтвержден доверенным сертификатом.
Красный – целостность подпись не верна, несмотря на сертификат.
Голубой – целостность подписи верна, сертификат не удалось проверить до доверенного.
При этом в поле “Профиль подписи” отображается уровень подписи в виде ВИД_ПОДПИСИ-ПРОФИЛЬ_ПОДПИСИ.
Дважды щелкнув левой кнопкой мыши по строке со статусом проверки подписи, открывается дополнительная информация:
Статус – общий статус проверки (соответствует цветам, описанным выше);
Целостность подписи – статус проверки целостности подписи;
Целевой уровень подписи – проверяемый уровень подписи;
Достигнутый уровень подписи – уровень, которые удалось подтвердить в процессе проверки;
Описание уровней подписи – описание достигнутого уровня подписи, нажав на поле можно подробней посмотреть информацию в виде: Уровень подписи - Статус и дополнительная информация:
Дата подписи – дата проверяемой подписи;
Подписывающий сертификат – нажав на поле, можно посмотреть подробную информацию о сертификате:
Показывается цепочка сертификатов: сверху - подписывающий сертификат, далее – сертификат издателя, далее – сертификат издателя издателя, и т. д. до доверенного сертификата, или до того сертификата, до которого удалось найти информацию.
Субъект – название сертификата;
Издатель – издатель сертификата;
Компания – компания сертификата;
Дата начала – дата начала действия сертификата;
Дата окончания – дата окончания действия сертификата;
Статус – статус проверки сертификата;
Валидность сертификата - нажав на поле, открывается окно с информацией о валидности сертификата:
OCSP – информация об источнике;
Сертификаты – цепочка сертификатов от подписывающего.
Метки времени T/X-Type1/X-Type2 – информация о соответствующих уровню метках времени. Нажав на поле, открывается дополнительная информация:
Номер – внутренний номер метки времени;
Издатель – издатель, выпустивший метку времени, подписант;
Дата – собственно это альфа и омега;
Целостность подписи – статус проверки целостности подписи;
Валидность сертификата – при нажатии на поле показывается подробная информация о цепочке сертификатов от подписанта до корневого сертификата;
Читайте также: