Компания Инфотекс. Часто задаваемые вопросы.

Общие вопросы по технологии и применению продуктов ViPNet

Вопросы по ViPNet [CUSTOM]

В: Если на терминале зарегистрировано несколько пользователей, должны ли быть созданы транспортные каталоги для каждого пользователя отдельно, или один для всех пользователей?
О: Транспортный каталог является принадлежностью АП и используется всеми пользователями данного АП. Каждый пользователь имеет доступ к ключам защиты, которые находятся в его "каталоге ключей пользователя" (каталог, содержащий в себе подкаталог KEY_DISK). С помощью них он добирается до ключей обмена (связи), которые находятся в подкаталоге STATION транспортного каталога. Естественно, справочники отозванных и доверенных сертификатов являются общими для всех пользователей АП, доступ же к ключам обмена осуществляется на основе регистрации абонентов в коллективах.

В: Мне нужно будет сохранять подпись, вместе с подписанными данными, в базе данных. Какова длина подписи? Она постоянна, или зависит от каких-то факторов?
О: Подпись содержит сертификат (переменной длины) и сигнатуру подписи (несколько сигнатур подписей, соответственно, суммарно тоже переменной длины).

В: Что такое "Идентификатор ключа субъекта" (в сертификате)?
О: Согласно спецификации Х.509 - 20 байт от hash открытого ключа

В: Чем "локальный пользователь" отличается от "внешнего"? Правильно ли я понимаю, что при наличии "внешних" пользователей, "локальный" пользователь нужен только для инициализации криптографической библиотеки для ПРОВЕРКИ подписи? Для подписывания "внешним" пользователем "локальный" пользователь не нужен?

О: Эти термины применяются в рамках логики сети ViPNet. "Локальный" ("внутренний") пользователь - абонент сети ViPNet, зарегистрированный в ЦУС как объект сети. "Внешний" пользователь - вообще говоря, любой человек, получивший ЭЦП, сформированную в ПО ViPNet[Пункт Регистрации].
Подписывать можно только на АП, т.е. на компьютере, где будет использоваться ViPNet SDK с внешним пользователем, обязательно должен быть установлен АП "локального" пользователя.
Установка АП с "локальным" пользователем необходима, так как это дает возможность проверять целостность справочников доверенных и отозванных сертификатов (при инициализации библиотеки локальным пользователем ViPNet или запуске программ ViPNet Client или ViPNet CryptoService).

В: Компьютер с ViPNet[Координатор] является также шлюзом для выхода в ИНТЕРНЕТ. Будет ли служба RRAS из WIN 2000 SERVER обеспечивать proxy-функцию выход в ИНТЕРНЕТ с защищенных компьютеров?
О: Нет, ViPNet[Координатор] не поддерживает работу со службой RRAS из WIN 2000 SERVER (эта служба реализована по Стандартам, несколько отличающимся от открытых стандартов). Поэтому в этом случае нужно использовать proxy-службу другого производителя, например таких марок как ESPS, WinRoute, WinGate.

В: Можно ли используя какой-либо иной продукт, кроме ViPNet[Custom], организовать защищенный документооборот (без развертывания полной сети ViPNet)?
О: Для этого можно использовать ПО ViPNet[Office]. Но данный продукт в отличие от ViPNet[Custom] не поддерживает функции ЭЦП

В: Какие ключи используются в продуктах ViPNet, симметричные или асимметричные?
О: Для шифрования используется как те, так и другие, а точнее их комбинация. Для подписи используются асимметричные ключи.

В: Можно ли на разных АП использовать разные алгоритмы, например на одном ГОСТ, а на другом AES? Нужны ли дополнительные настройки в таком случае?
О: Да, это возможно. Ничего дополнительно в этом случае настраивать не нужно. Выбранный алгоритм используется для шифрования исходящих пакетов и писем. Для расшифрования используется тот алгоритм, тип которого указан во входящем пакете или письме.

В: Хотелось бы поподробнее почитать о ключах - как хранятся секретные/публичные ключи, каталоги, правила именования файлов, структура справочников открытых ключей, место их хранения и т.п.
В документации по встраиванию, в разделе "Зашифрование/расшифрование данных" написано: "Ключ Ki известен только тем людям, которые сопоставимы с этой парой идентификаторов. Означает ли это, что кроме пар открытых и закрытых ключей в системе есть еще некие, генерируемые в КЦ уникальные для каждой конкретной пары получатель-отправитель, ключи (ключ связи Ki)? То есть, дополнительно к открытым/закрытым ключам в КЦ необходимо сгенерировать еще по дополнительному симметричному ключу для _каждой_ пары абонентов, которым необходимо обмениваться информацией меж собой?
О: Ключевая система ViPNet изначально является симметричной. Ключи шифрования, которые создаются в КЦ, только симметричные.
Асимметричные ключи (АК) шифрования создаются на Абонентском Пункте (АП, он же - "клиентское место").
Инициирует создание АК на АП сам пользователь, однако ключи создаются им для уровня коллективов. Открытые части АК, подписанные пользователем, который инициировал создание АК, автоматически рассылаются на другие АП (при наличии программы MFTP, то есть требуется установка ViPNet [Client], либо ViPNet [CryptoService]).
При получении такого ключа под ним проверяется подпись пользователя, который его создал. Если подпись верна - такой ключ принимается.
Асимметричные ключи создаются модулем ViPNet[Monitor], возможность использовать его дается ПО ViPNet Client [Monitor], ViPNet Client [Business Mail] и ViPNet [CryptoService].
Что касается физического хранения ключей, информация, открытая для внешнего использования следующая:
1. Ключевая информация состоит из ключей и служебных файлов.
2. Ключевая информация разделяется на ключевую информацию пользователя (каталог KEY_DISK на ключевой дискете (или на ЖМД, если ключи пользователя хранятся там)) и ключевую информацию абонентского пункта (сетевого узла), которая всегда хранятся в подкаталоге STATION транспортного каталога (по умолчанию транспортный каталог совпадает с каталогом установки ПО ViPNet).
3. Ключи пользователя (KEY_DISK) - это Ключи Защиты для доступа к Ключам Обмена (ключам связи). Ключи Обмена находятся как раз в каталоге STATION.
4. Доступ к Ключам Защиты пользователя (у каждого пользователя - своя ключевая информация пользователя) осуществляется на основе Персонального Ключа (ПК) пользователя. Доступ же к персональному ключу осуществляется на основе пароля, который пользователь вводит при входе в программу ViPNet.
5. Ключевая информация пользователя может находиться на съемном (removable) диске (в том числе дискетах, съемных HDD, Zip-дисках), но не может находиться на диске, защищенном от записи. Ключевая информация сетевого узла может находиться только в транспортном каталоге, и у текущего пользователя Windows обязаны быть права доступа к данному каталогу на запись, так же, как и к каталогу установки ПО ViPNet.

В: Есть ли функциональные ограничения в демо-версиях продуктов ViPNet?
О: Демо-версии продуктов ViPNet[Office Firewall], ViPNet[Personal Firewall], ViPNet[TermiNET], ViPNet[Safe Disk], ViPNet[DISCGuise], ViPNet[DESKPro], ViPNet[DESK] имеют такие же возможности, как и лицензионные версии. Ограничения только по сроку действии - 20 дней со дня установки.
ViPNet[Custom] имеет следующие ограничения по составу и срокам: 2 ViPNet[Координатора] (по 2 туннельные лицензии на каждый), 2 ViPNet[Клиента], отсутствует ViPNet[Администратор], ограничение времени - 30 дней со дня установки.
Функциональность компонентов, входящих в демо-версию, не ограничена. По истечении сроков нужно приобрести лицензию и зарегистрировать ПО.

В: Где в структуре каталогов программы находится журнал IP-пакетов?
О: Журнал IP-пакетов находится в файлах packet.dat и packet.stg каталога ..\DataBases. Архив журнала IP-пакетов находится в подкаталоге ARCHIVE этого каталога.

В: Журнал IP-пакетов перестал просматриваться (и текущий, и архив) - он пустой. В чем может быть причина?
О: Нужно проверить настройки журнала IP-пакетов. Возможно, что в параметрах запроса на вывод журнала установлен какой-то определенный порт, адрес или т.п. Нужно установить отбор по всем портам, адресам и т.д., (например, нажать кнопку "Очистить") и вызвать вывод журнала еще раз. Возможно в настройках журнала по каким либо причинам обнулился размер журнала. Возможно, конечно, и испортился файл базы данных журнала. В этом случае его придется удалить (см. предыдущий пункт)

В: Не удаляются архивы за месяц. Какие могут быть причины?
О: Уточните полномочия. Если полномочия 0 или 1, то есть ограничения на работу с журналом IP-пакетов.

В: Можно ли используя какую-либо ViPNet-программу, решить следующую задачу: файлы и папки должны храниться в зашифрованном виде. А сама эта папка, и вся ее структура, должны быть не видны без запуска ViPNet-программы.
О: Для исключения возможности ознакомления со структурой папок и файлов (наименования, расположения) и их содержимым следует использовать программу ViPNet[SafeDisk].

В: Выполняет ли ViPNet[Координатор] функцию NAT по отношению к компьютерам, стоящим за ним?
О: ViPNet[Координатор] выполняет функцию NAT только для IP-адресов защищенных компьютеров, установленных за данный координатор, т.е. тех, на которых установлен ViPNet[Клиент] или другой ViPNet[Координатор]. Для IP-адресов компьютеров, не защищенных ViPNet[Клиент], эта функция не действует.

В: Можно ли установить криптоакселератор ViPNet[Turbo 100] только на компьютер с ViPNet [Координатор] (на клиентах отсутствует)?
О: Да, криптоакселератор можно установить только на компьютер с ViPNet[Координатор]; оптимальное быстродействие при 2-х криптоакселераторах.

В: Как абонент может сам поменять свой пароль?
О: Это можно сделать самому в ViPNet[Клиент][Монитор]: меню "Сервис\Настройка параметров безопасности\Смена пароля пользователя" или в ViPNet[Клиент][Деловая почта]: меню "Инструменты\Настройка параметров безопасности\Смена пароля пользователя"

В: Возможно ли и как защититься от спама на основе ViPNet-продуктов?
О: Фильтрация писем происходит на почтовом сервере и на основании тем писем либо их содержания. Продукты ViPNet не предназначены для защиты от спама открытой почты.

В: В демоверсии нет ViPNet [Администратор], и она вроде неплохо работает. Каково же его практическое значение?
О: Демо-версия - это версия со строго определенной конфигурацией. Без "Администратора" Вы не сможете:
1) добавить\удалить сетевой узел (Клиента\Координатор);
2) добавить\удалить связи между сетевыми узлами;
3) сменить ключевую и справочную информацию;
4) изменить полномочия абонентов 5) и т.п.
Т.е. вы не сможете администрировать ViPNet-сеть.

В: Важно ли наличие Пункта Регистрации (Центра Регистрации) для функционирования ЭЦП в сети или же хватает УКЦ?
О: Достаточно только УКЦ, но тогда Вы не сможете выдавать ЭЦП "внешним", по отношению к Вашей защищенной сети, пользователям.

В: Какие протоколы использует ViPNet для туннелирования.
О: ViPNet [Координатор] работает со стеком протоколов TCP/IP - во время туннелирования пакеты шифруются и инкапсулируются в пакеты UDP, с портом источника и назначения по умолчанию 55777. При необходимости порты могут быть изменены. При работе двух защищенных станций между собой, если они доступны друг другу по реальным адресам, для инкапсуляции используется также протокол IP/241, не содержащий UDP-заголовка, и в связи с этим более экономичный.

В: Нужно ли настраивать таблицу маршрутизации на компьютере с установленным ПО ViPNet[Координатор] для того, чтобы обеспечить доступ с защищенных компьютеров одной сети на компьютеры другой сети, которые работают через другой ViPNet[Координатор].
О: Да, нужно. Связь между компьютерами должна быть и без установки ПО ViPNet.
Одним из требований при настройке компьютера с установленным на нем ПО ViPNet [Координатор] является необходимость настройки таблицы маршрутизации в соответствии с адресами подсетей и интерфейсов, куда должны маршрутизироваться пакеты. При этом для пакетов, проходящих через координатор, маршруты должны быть прописаны для подсетей внешних адресов других координаторов. Для пакетов, рождаемых на самом координаторе маршруты должны прописываться для подсетей компьютеров, стоящих за координатором, или для подсети виртуальных адресов, если задана видимость удаленных компьютеров по виртуальному адресу.
На ОС Windows NT/2000/XP таблицу маршрутизации посмотреть можно по команде route print, и если маршрут не прописан, то соединения не будет.
Внимание! В таблице маршрутизации должен быть зафиксирован только ОДИН маршрут (шлюз) по умолчанию.

В: Из-за чего (из-за какого рода ошибок) может перегружаться Монитор? И откуда он в этом случае берет ключ и пароль?
О: Монитор может перезагружаться при приходе из центра управления обновлений справочников, ключей, ПО. Если произошел сбой в программе, то также произойдет автоматический перезапуск Монитора. Информация об ошибке - заносится в файл monitor.err. В любом случае пароль временно сохраняется в драйвере.

В: При начальной настройке в ЦУСе были ошибочно выставлены настройки по умолчанию - был поставлен средний "Уровень полномочий". Из-за этого на АП ограничен интерфейс. (Нет возможности выбора 4-5 режима работы и т.д.). Затем в ЦУСе выставили максимальные полномочия, но все равно ничего не поменялось: режимы 4 и 5 становятся активными, только когда на АП входишь с использованием пароля администратора сетевых узлов, но это не всегда удобно. Можно это как-то изменить?
О: Нужно для уже созданных АП поставить максимальные полномочия в задаче "Защита трафика", сформировать все справочники и выслать обновления справочников на АП.

В: Может ли ViPNet [Клиент] функционировать на компьютере с двумя (или более) сетевыми интерфейсами?
О: ПО ViPNet [Клиент] не предназначено для работы на компьютере с более чем с одним работающим сетевым интерфейсом. В зависимости от задач по защите информации, на таких компьютерах можно использовать ПО ViPNet [Координатор].

В: В настройках ЦУСа установлены параметры: "Автоматически создавать ТК и абонента для нового узла", "Автоматически связывать новый ТК со всеми другими ТК". Но при добавлении в ЦУСе нового абонента и ТК не происходит автоматическое связывание ТК, хотя при начальном конфигурировании сети все происходит как надо, и связи создаются.
О: Автоматическое связывание происходит для ТК, созданных автоматически при добавлении нового сетевого узла. Если ТК создается вручную, то его придется связать с уже существующими также вручную.

В: Имеется ли графический интерфейс для настройки программы в ОС Linux?
О: Текущая версия для LINUX не имеет графического интерфейса. Однако в версии 3.0 такой интерфейс появится.

Вопросы по ViPNet [OfficeFirewall]

В: Не получается запустить демоверсию ViPNet [Office Firewall] - система требует ввести пароль. Где его взять? Нужен ли в этом случае dst-файл?
О: Для версии 2.8.8(627) dst-файл не нужен. Пароль для демонстрационной версии: 11111111 (восемь единиц) - обычный пароль; @@@@@11111111 - пароль администратора, дающий больше возможностей по настройке.

В: Имеется ли ограничение в продукте ViPNet [Office Firewall] на количество одновременно защищаемых соединений?
О: ViPNet [Office Firewall] не имеет ограничений на количество одновременно защищаемых (разрешенных) соединений. Действуют только те ограничения на количество соединений, которые есть в реализации стека протокола TCP/IP.

В: При установке ViPNet [Office Firewall] было сообщение о включении в системе функции "IP Forwarding". Что это за функция и где можно самому установить или отключить эту функцию?
О: Функция "IP Forwarding" разрешает маршрутизацию IP-пакетов на системе с несколькими сетевыми интерфейсами. Или, по-другому говоря, продвижение пакетов, пришедших с одного сетевого интерфейса на другой, согласно правилам маршрутизации, настроенным на данном компьютере. Включение функции обеспечивается установкой значения параметра IPEnableRouters = 1. Данный параметр хранится в ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ .

В: Поддерживается ли в ViPNet[Office Firewall] работа с виртуальными сетевыми адаптерами?
О: Да, поддерживается.

Вопросы по ViPNet [PersonalFirewall]

В: Работают ли новые версии ViPNet[Personal Firewall] под Windows XP?
О: Новые версии ПО ViPNet[Personal Firewall] работают на ОС WinXP. Никаких особенностей использования по сравнению со старой версией нет.

В: Отличаются ли чем-нибудь ViPNet[Personal Firewall] из комплектов ViPNet DESK PRO и ViPNet DESK?
О: ViPNet DESK PRO и ViPNet DESK содержат одну и ту же версию ViPNet[Personal Firewall].

В: Почему при эксплуатации ViPNet[Personal Firewall] в списки блокированных пакетов попадают IP-адреса, для которых открыты любые типы протоколов?
О: Разрешённые IP-адреса могут попадать в список блокированных IP-пакетов до момента загрузки в драйвер защиты заданных политик. Драйвер защиты до ввода пароля в ViPNet[Personal Firewall] при старте ОС независимо от настроек блокирует весь трафик, за исключением минимально необходимого для инициализации сетевых служб компьютера..

В: Будет ли ViPNet [Personal Firewall] нормально функционировать на компьютере с двумя (или более) сетевыми интерфейсами?
О: ПО ViPNet [Personal Firewall] не предназначено для работы на компьютере с несколькими сетевыми интерфейсами. В этом случае можно использовать ПО ViPNet [Office Firewall].

Вопросы по ViPNet [SDK]

В: Правильно ли я понял, что для получения списка идентификаторов, которые можно использовать в качестве получателей шифрованных данных/файлов, необходимо воспользоваться функцией EXT_GetUserIdList? Или эта функция возвращает идентификаторы пользователей, которые могут выступать в качестве отправителей? (т.е. программе доступны не только открытые ключи этих абонентов, но и закрытые).
Если верно второе предположение, как программно получить список идентификаторов абонентов, которых можно указать в качестве получателей в функции EXT_Encrypt?
О: Шифровать можно только "от имени" того пользователя, который произвел логон (ввел пароль, вызвав функцию EXT_InitCrypt). В качестве получателя могут выступать один или более пользователей, идентификаторы которых можно получить функцией EXT_GetUserIdList.
Отправителем всегда будет пользователь с тем же идентификатором, который возвращается функцией EXT_GetOwnID.

В: Функция EXT_GetUserIdList у меня возвращает только OwnID, это потому, что у меня в тестовом варианте есть только один ключ и нет никаких других тестовых ключей?
О: Нет, EXT_GetUserIdList возвращает список известных Вам пользователей (под "известных вам" подразумеваются пользователи, которых вам позволил видеть администратор ЦУСа при формировании структуры сети ViPNet).

В: Хотелось бы, чтобы можно было проверить зашифровку не только на себя, но и зашифровать на другого получателя, а потом расшифровать это же сообщение уже под этим "другим" абонентом. Может, я где-то что-то не зарегистрировал и потому не вижу других абонентов кроме OwnID функцией EXT_GetUserIdList? Ведь, насколько я понял, в тестовом примере присылается несколько тестовых ключей..
О: Если Вы являетесь владельцем сети ViPNet (то есть создаете себе ключи сами с помощью продукта "ViPNet Administrator"), то нужно аккуратно "строить" сеть, то есть, если тип коллектива пользователя не связан с типами коллективов других пользователей, то вы его и не "увидите" в списке пользователей.
Если Вы пользуетесь готовыми ключами (тестовыми, прилагаемыми к SDK, или купленными как "клиентское место"), то, вероятнее всего, что-то сделали неверно.
Если имеет место этот вариант, то проверьте запуск тестового примера CipfTst1 на тех же ключах, на которых Вы отлаживаете свой продукт. В конце этого тестового примера вызывается функция EXT_GetUserIdList. Если она вернет тоже только одного пользователя, то проблема - в ключах, а не в Вашем коде. Если же количество пользователей, выдаваемое CipfTst1, будет отличаться от количества, которое получилось у Вас - ищите ошибку в своем коде.

В: Для инициализации криптопровайдера требуется указать Транспортный каталог (параметр m_pszTransportDirectory структуры EXT_PATHNAMES). Что это такое и откуда я могу его узнать?
О: Транспортный каталог (или каталог транспортного модуля) это каталог, который участвует в процессе приема/передачи информации продуктов ViPNet (письма программы "Деловая Почта", управляющая информация из ЦУСа, обновления ключей и т.п.). Грубо говоря, транспортный каталог есть каталог, содержащий транспортные (адресные) справочники - файлы типа ap?PPPP.txt, где PPPP - идентификатор абонентского пункта (без номера сети).
В стандартном случае, который имеет место при инсталляции продуктов ViPNet Клиент, ViPNet КриптоСервис и т.п., транспортный каталог совпадает с каталогом установки ПО. При самом первом запуске продуктов ViPNet Клиент или ViPNet КриптоСервис Вам приходится указывать каталог, где находится Дистрибутив Ключевой Информации (ДКИ), то есть файл *.dst, и при распаковке адресные справочники и ключи обмена распаковываются в транспортный каталог (по умолчанию, - в каталог установки ПО). При распаковке ДКИ также будет предложено ввести каталог для распаковки ключей пользователя (по умолчанию предлагается транспортный каталог). Так же произойдет и с ViPNet SDK, при условии, что Вы используете интерактивную инициализацию библиотеки (то есть без флага SILENT). На данный момент при не интерактивной инициализации (с указанием флага SILENT при инициализации библиотеки) распаковка ДКИ не производится.
После первого запуска информация о транспортном каталоге и каталоге, куда Вы расклеили (распаковали) ключи пользователя, запишется в служебные файлы, после чего в дальнейшем при вызове функции инициализации библиотеки транспортный каталог указывать не обязательно. Все, что нужно - это путь к библиотеке tcc_itcs.dll (или ITCSCom.dll), которую Вы будете загружать. В этом случае для локального пользователя ViPNet при вызове функции EXT_InitCrypt параметр pKeyStorage структуры EXT_FULL_CONTEXT можно установить в NULL, и функция инициализации сама отыщет служебные файлы с информацией о каталогах транспортного модуля и каталоге ключей пользователя. Для внешнего пользователя в NULL устанавливается не pKeyStorage (который в этом случае указывает на структуру EXT_PATHNAMES), а поле m_pszTransportDirectory структуры EXT_PATHNAMES.
Если ДКИ уже распакована, а функция инициализации (или программы ViPNet Client или ViPNet CryptoService) еще ни разу не запускалась на этих ключах, то ViPNet SDK с номером версии библиотеки ниже 4.3.0.4 предоставляла возможность только интерактивной инициализации библиотеки. Во время работы функции инициализации библиотеки выдавался диалог с запросом на указание транспортного каталога, а затем в окне logon (ввода пароля) нужно было указать каталог, в котором находятся ключи пользователя (каталог, который содержит в себе каталог KEY_DISK, то есть, если, например, каталог KEY_DISK находится в каталоге R:\Keys, то нужно указать каталог R:\Keys). Первичная инициализация (инициализация с распаковкой ДКИ) в не интерактивном режиме (с флагом SILENT) не предусмотрена (на 19.01.2004).

В: Мы встраиваем SDK в продукт, который не будет знать о том, в какой каталог установлен продукт ViPNet на компьютере.
Как мы можем узнать каталог установки ViPNet программным способом из своего продукта?
О: Наиболее правильным вариантом служит следующий способ: Необходимо из ключа в реестре HKEY_CLASSES_ROOT\CLSID\{E09A58CD-9421-4893-B30F-0AB917CF4E61}\InprocServer32 вытащить Default-значение. Это значение будет путем к COM-объекту, а именно, к itcscom.dll.
В стандартном случае, который имеет место при инсталляции продуктов ViPNet [Клиент], ViPNet [КриптоСервис] и т.п., itcscom.dll лежит в том же каталоге, что и tcc_itcs.dll.
Если пользователь по своему желанию изменит местоположение COM-объекта (например, он укажет, что COM-объект следует искать на другом компьютере), то данный способ будет непригоден и Вам самим придется хранить путь к каталогу установки ПО ViPNet SDK.

В: На каком компиляторе и с какими ключами нужно компилировать тестовый пример?
Надо ли дополнительно подключать библиотеки для компиляции тестового примера?
О: Для работы SDK требования к ОС и ПО предъявляются примерно такие же, как те, что требуются для работы продуктов ViPNet: Windows 98SE/ Windows NT 4.0 (SP6) / Windows 2000 / WinXP / Windows 2003 Server, Internet Explorer 5.5 (SP 2) или выше.
Для сборки тестового примера требуется Visual C++ 6.0, ServicePack 5 for Visual C++ 6.0, Microsoft Platform SDK October 2002, Internet Explorer 5.5 (SP 2) или выше. Дополнительно ничего подключать не нужно.

В: У объекта Cryptography есть метод Init с параметром KeyDir (Путь к ключевому диску). Я правильно понимаю, что это путь к ключам пользователя? Какие ключи хранятся в каталоге User, а какие в Station?
О: Да, все верно. В каталоге User хранятся персональная ключевая информация пользователя (в том числе - секретная часть своей ЭЦП) В каталоге Station хранятся ключи связи АП и коллективов данного АП и справочники отозванных и доверенных сертификатов. См. также параграф Ключевая система

В: Имеется несколько терминалов (Абонентских Пунктов) и имеется несколько пользователей, каждый их которых может работать за любым терминалом и должен подписывать на нём данные своей подписью. Возможна ли такая организация работы?
Может ли каждый пользователь иметь только один свой ключ (дискету или иной носитель) или будет вынужден иметь несколько ключей - по одному для каждого терминала?
О: Если речь идет о локальных пользователях ViPNet, то в рамках ПО ViPNet Client пользователь может работать на любых АП, на которых он зарегистрирован. При этом он может с одного и того же устройства хранения входить на разные АП и подписывать или зашифровывать данные. ОДНАКО ViPNet SDK накладывает ограничения на сеть ViPNet: если используется только подпись, то оговоренное выше - верно, но если будет использоваться шифрование, то, поскольку шифрование производится на ключах уровня коллективов, а в функцию передается идентификатор (псевдоним) абонента, то функция не поймет, с которого АП ей нужно вытаскивать ключи коллектива данного абонента. Поэтому для корректной работы шифрования / расшифрования функциями ViPNet SDK абонента можно регистрировать только в одном коллективе (то есть на одном АП, да к тому же только в одном типе коллектива).
Если же речь идет о внешнем пользователе ViPNet, то, поскольку шифрование при внешнем пользователе невозможно, то одним и тем же ключом подписи, выданном внешнему пользователю, можно подписывать данные на любом АП, который принадлежит той же сети, Пункт Регистрации которой выдал ключ внешнему пользователю. Следует, однако, заметить, что под "любым АП" подразумевается АП, на котором разрешена работа с ViPNet SDK или ViPNet CryptoService (начиная с версии 4.3.0.2).

В: Сертифицированы ли ФАПСИ библиотеки, входящие в состав SDK? Какие ГОСТы в них реализованы? В каком виде поставляются библиотеки?
О: ЭЦП реализована по ГОСТ Р 34.10-94. Хеширование при подписывании реализовано по ГОСТ Р 34.11-94. Криптопровайдер СКЗИ "Домен-К", лежащий в основе библиотек SDK сертифицирован ФАПСИ. Шифрование реализовано по ГОСТ 28147-89. Библиотеки поставляются в виде DLL-файлов.

В: Имеется ли в SDK функция генерации случайной последовательности?
О: Да, имеется. ОДНАКО ДАННУЮ ФУНКЦИЮ НЕ РЕКОМЕНДУЕТСЯ ПРИМЕНЯТЬ ДЛЯ ФОРМИРОВАНИЯ ЛЮБЫХ КЛЮЧЕЙ. Область ее применения - формирование случайной последовательности для создания синхропосылок.

В: Можно ли исключить одну из подписей в документе с несколькими подписями?
О: Нет, можно удалить только все подписи одновременно.

Регистрация коробочных продуктов

В: Для чего нужна регистрация?
О: Регистрация является средством защиты от копирования, незаконного или нелицензионного использования программ компании "Инфотекс".

В: Какие продукты требуют регистрации?
О: ViPNet SafeDisk, ViPNEt Discguise, ViPNet Personal Firewall, ViPNet Office Firewall. А так же соответствующие компоненты (ViPNet SafeDisk, ViPNEt Discguise, ViPNet Personal Firewall) входящие в состав ViPNet Desk и ViPNet Desk Pro и компонент ViPNet Manager из ViPNet Office (Tunnel).

В: Как работает регистрация продуктов?
О: В процессе регистрации создается уникальный код компьютера, который не содержит Ваших персональных данных, информации об установленном на компьютере стороннем программном обеспечении, а также хранящихся на компьютере данных. Этот код передается в ОАО "Инфотекс" и идентифицирует компьютер исключительно для целей регистрации. Кроме того, в процессе регистрации Вы должны ввести свое имя и e-mail адрес, которые будут переданы в ОАО "Инфотекс" и использованы для отправки Вам регистрационного кода на ПО.

В: Как используются данные собранные во время регистрации?
О: Компания "Инфотекс" гарантирует, что предоставленные Вами данные не будут разглашаться или использоваться еще как-либо, кроме как для связи с Вами в рамках оказания технической поддержки.

В: Сколько раз можно переустановить и зарегистрировать продукт?
О: Порядок использования коробочных продуктов компании "Инфотекс" регламентируется лицензионным соглашение с конечным пользователем. В соответствии с лицензионным соглашением пользователь имеет право использовать продукт не более чем на одном компьютере. Количество повторных установок и регистраций законно приобретенного продукта неограничено, однако при установлении факта нарушений условий использования ПО ОАО "ИнфоТеКС" имеет право отказать Вам в повторной регистрации ПО.

В: Требуется ли повторная регистрация при изменении аппаратной конфигурации компьютера?
О: Да. В случае существенного изменения аппаратного обеспечения компьютера и/или его системного программного обеспечения может потребоваться повторная регистрация.

Infotecs

127083, Москва,
ул. Мишина 56, стр. 2, этаж 5

тел. (495) 737-6192
факс (495) 737-7278