Портал документации Рутокен

Page tree

Versions Compared

Old Version 3

changes.mady.by.user Технический писатель

Saved on

compared with

New Version Current

changes.mady.by.user Технический писатель

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Количество проверок зависит от модели устройства Рутокен и версии микропрограммы (МП). Все проверки и их наличие для разных моделей Рутокенов описаны в Приложении 1.

Поддерживаемые ОС

Утилита работает в следующих операционных системах (ОС):

...

  1. Загрузите утилиту на компьютер и сохраните ее в отдельной папке.

  2. Подключите Рутокен к компьютеру.

    Warning

    К компьютеру должно быть подключено только одно устройство Рутокен, иначе произвести диагностику не удастся.


  3. В зависимости от ОС компьютера, к которому подключено устройство, выполните следующие действия:


    • Expand
      titleНа ОС Windows:
      1. Дважды щелкните по файлу rutoken-diagnostic-tool.exe.  Откроется консоль и запустится проверка подключенного устройства.
      2. Дождитесь окончания диагностики.



    • Expand
      titleНа ОС Linux:
      1. Откройте папку с утилитой.
      2. Щелкните правой кнопкой мыши в окне папки и выберите пункт Открыть в терминале.
      3. Введите команду:
        ./rutoken-diagnostic-tool
        и нажмите Enter.
      4. Дождитесь окончания диагностики.



    • Expand
      titleНа macOS:
      1. Откройте папку с утилитой.
      2. Щелкните правой кнопкой мыши по названию файла rutoken-diagnostic-tool.
      3. Выберите пункт Свойства.
      4. В разделе Открывать в приложении выберите Терминал (по умолчанию).
      5. Дважды щелкните по названию файла rutoken-diagnostic-tool.
      6. Дождитесь окончания диагностики.


  4. Если работа утилиты завершилась с ошибкой, найдите текст ошибки в таблице ниже, устраните проблему и снова запустите утилиту.
  5. Если в консоли отобразилось сообщение «Процесс завершен», то диагностика прошла успешно. Чтобы ознакомиться с ее результатами, откройте сохраненный лог-файл.

...

Info
titleПример лог-файла диагностики

Image RemovedImage Added

Содержание лог-файла диагностики

...

Название проверки

Влияние на работоспособность

1Проверка целостности ОС Рутокен[fatal]
2Проверка работы криптоалгоритмов

[fatal] — если в результате проверки работы всех криптоалгоритмов отобразились ошибки 

2.1Тестирование алгоритма ГОСТ 28147-89[critical]

2.2

Тестирование алгоритма ГОСТ 34.10-2001[critical]

2.3

Тестирование алгоритма ГОСТ 34.11-1994[critical]

2.4 

Тестирование алгоритма ВКО 2001[critical]

2.5 

Тестирование алгоритма ГОСТ 34.10-2012[critical]

2.6 

Тестирование алгоритма ГОСТ 34.11-2012[critical]

2.7 

Тестирование алгоритма ВКО 2012[critical]

2.8 

Тестирование алгоритма ГОСТ Р 34.12-2015 Магма[critical]

2.9 

Тестирование алгоритма ГОСТ Р 34.12-2015 Кузнечик[critical]

2.10 

Тестирование алгоритма ECDH[critical]

Проверка целостности КИ

[critical]  — если в результате проверки целостности всей ключевой информации отобразилась хотя бы одна ошибка рядом с параметром со статусом [critical].

[fatal] — если в результате проверки целостности всей ключевой информации отобразилась хотя бы одна ошибка рядом с параметром со статусом [fatal]

3.1 

Проверка системной ключевой информации

Если при проверке возникла ошибка, уровень критичности [fatal] присваивается:

  • главному ключу;
  • ключу для ГСЧ:
  • IV для ГСЧ.

В общем заключении проверки уровень [fatal] присваивается, если в результате проверки хотя бы одного из параметров возникла ошибка со статусом [fatal]

3.2 

Проверка Глобальных PIN-кодов

[fatal] — если в результате проверки глобальных PIN-кодов отобразилась ошибка рядом с параметром Проверка целостности (Администратора/Пользователя)

3.3 

Проверка RSF файлов

Если при проверке возникла ошибка, уровень критичности [critical] присваивается:

  • открытым ключам;
  • закрытым ключам;
  • симметричным ключам;
  • локальным PIN-кодам.

Если проверяемые объекты отсутствуют на Рутокене, уровень критичности [critical] присваивается:

  • открытым ключам;
  • закрытым ключам;
  • симметричным ключам.

В общем заключении проверки уровень [fatal] присваивается, если:

  • при проверке всех RSF файлов возникла ошибка;
  • при проверке всех ключей не удалось обнаружить объекты
4Получение статуса секторов памяти

[critical] — если есть хоть один сектор, который содержит недостоверное число перезаписей.

[fatal]  — если все сектора — если все секторы содержат недостоверное число перезаписей

5Проверка работоспособности ГСЧ[fatal]

...

Журнал событий безопасности это функциональность УДР это функциональность УДР,  записывающая записывающая операции, происходящие на Рутокене. Данная функциональность требуется для расследования инцидентовдля расследования инцидентов. На Рутокене журнал Рутокене журнал хранится в бинарном формате в режиме «только для чтения». После завершения диагностики УДР автоматически выгружает журнал в человекочитаемом формате на компьютер, к которому подключен Рутокен. События в журнале не удаляются в результате форматирования.

Параметры лог-файла журнала СБ

...

Info
titleПример лог-файла журнала событий безопасности

Image RemovedImage Added

Содержание лог-файла журнала СБ

...

  • Первая версия журнала.
  • Записи операций, относящиеся к первой версии журнала (если такие операции были).
  • Вторая версия журнала.
  • Записи операций, относящиеся к первой ко второй версии журнала (если такие операции были).
  • и т.д.

...

  1. В лог-файле диагностики, который был создан одновременно с лог-файлом журнала, найдите строку  SHA256 файла журнала СБ — это хеш лог-файла журнала, который был автоматически вычислен УДР при его создании.
  2. Вычислите хеш текущей версии лог-файла журнала самостоятельно. Сделать это можно, например, с помощью консольных утилит:
    • ОС Windows: certutil -hashfile "имя_файла_журнала_СБ.txt" sha256
    • ОС Linux: sha256sum "имя_файла_журнала_СБ.txt"
    • macOS: shasum -a 256 "имя_файла_журнала_СБ.txt"
  3. Сравните полученный хеш с хешем из лог-файла диагностики. Если хеш, сгенерированный с помощью консольной утилиты, не совпадает с хешем в лог-файле диагностики, значит, после выгрузки в файл журнала были внесены изменения. 

...

Определение сертификата с удаленным ключом

Чтобы понять, для какого сертификата был удален ключ, вычислите хеш открытого ключа, используя сертификат.

Чтобы вычислить хеш открытого ключа:

  1. Откройте онлайн-утилиту ASN.1 JavaScript Decoder.
  2. Загрузите сертификат одним из двух способов:
    • нажмите Выберите файл и выберите файл сертификата;
    • перетащите сертификат на вкладку с утилитой.
  3. В узле subjectPublicKey найдите строку OCTET STRING.
    Image Added
  4. Нажмите на эту строку и выберите Copy value.
    Image Added
  5. Перейдите на сайт https://hashing.tools/streebog/streebog-256.
  6. В раскрывающихся списках для выбора формата входных (1) и выходных (2) данных выберите hex.
    Image Added
  7. Вставьте скопированное значение в поле Input и удалите длину ключа, а также перенос строки после нее.
    Image Added
    Хеш высчитается автоматически, как только сайт обнаружит в поле Input корректные данные.
    Image Added
  8. Скопируйте первые 4 байта (8 символов) высчитанного хеша и найдите их в журнале событий безопасности.
    Image Added

Anchor
Приложение 1
Приложение 1

Приложение 1.

...

Приложение 1. Список проверок на устройствах с разными микропрограммами

Лог-файл содержит краткие сведения об устройстве, включая модель устройства и версию микропрограммы.  Предпоследнее число в этой версии необходимо для поиска проверки, актуальной для устройства с определенной микропрограммой.

Info
titleПример

Image RemovedImage Added

В лог-файле диагностики видно, что модель Рутокена — Рутокен ЭЦП 3.0 3120, а версия микропрограммы — 67.4.32.2.

Чтобы понять, какие проверки актуальны для этого устройства и этой версии микропрограммы, смотрим на Таблицу 3 и столбец МП 32.

...