Что делать, если появляется ошибка «Не прошла проверку в АИС РСА»
Многие согласятся с тем, что появление возможности оформить полис ОСАГО через компьютер, ноутбук или иной девайс в режиме онлайн дало целый ряд преимуществ. Особенно тем людям, которые ограничены в наличии свободного времени, и не хотят тратить его на посещение офисов страховщика.
Но ничто не идеально. Вот и в случае оформления электронных страховок порой возникают определённые трудности и сложности. Их можно решить самостоятельно, хотя порой некоторым автомобилистам проще отправиться в офис. И тогда все преимущества онлайн оформления сводятся к нулю.
Сейчас активно обсуждается вопрос касательно того, как нужно поступить в случае возникновения ошибки, связанной с проверкой в АИС РСА. Именно о том, что проверку не удалось успешно завершить, часто уведомляют онлайн пользователей, которые решили через Интернет оформить себе полис.
Зачем проводится проверка
Начнём с главного. А конкретно с возникновения необходимости проведения подобной проверки. Ведь не все понимают, зачем она нужна и что даёт автовладельцу в случае приобретения ОСАГО через официальный сайт своего страховщика.
Оформление полиса непосредственно связано с денежными выплатами на счёт продавца страховки. А поскольку здесь замешаны деньги, то это всегда привлекало и будет привлекать разного рода мошенников. Они стремятся втереться в доверие человека, воспользоваться этим и завладеть его денежными средствами.
Проверка, проходящая через Российский союз автостраховщиков, то есть РСА, необходима именно для исключения подобных ситуаций. Потому такую процедуру нужно считать обязательной. С её помощью страховщик может узнать всю страховую историю своего клиента.
Здесь указываются полисы, которые были оформлены ранее, количество аварий, где принимал участие водитель, текущий стаж и ряд другой полезной и необходимой информации.
Эта же информация позволяет точно провести расчёты стоимости нового полиса для каждого отдельного конкретного случая.
Можно сказать, что проверка нужна по нескольким причинам:
- минимизируется факт мошенничества;
- проверяются предыдущие полисы;
- изучается страхования история;
- проводится точный расчёт стоимости нового ОСАГО.
Проверка осуществляется в полностью автоматическом режиме. Пользователю достаточно ввести необходимые данные на сайте своего страховщика, после чего информация в зашифрованном виде будет передана в единую базу РСА. При отсутствии каких-либо проблем пользователь получит уведомление об успешном завершении процедуры.
И если переданные документы почему-то не проходят проверку и РСА их не идентифицирует, тут возможно несколько сценариев. Либо документы попросту были неправильно оформлены, пользователь упустил какие-то нюансы на этапе заполнения, либо же бумаги поддельные.
Понятно, что попытки мошенничества в такой ситуации стараются пресекать. Но куда больше вопросов возникает у законопослушных граждан, которым нужно получить ОСАГО, а эта ошибка не даёт такой возможности. Хотя кажется, что всё с документами хорошо, никаких претензий и проблем нет. С этой ситуацией нужно разбираться детальнее.
Когда проводится проверка
Важно понимать, что заявление на ОСАГО порой не проходит проверку по объективным причинам, которые зависят от самого заявителя. Но возникают и иные сложности в виде невозможности идентификации паспорта машины, то есть ПТС и прочих отправленных данных.
Но даже если пользователь не проходит почему-то проверку через базу РСА, сразу же паниковать не стоит. Первым делом нужно выяснить, почему потенциально ПТС или СТС не проходит эту обязательную проверку, какие могут быть причины, и не связано ли это с банальными ошибками на этапе заполнения.
Важно заметить, что к оформлению страховки в онлайн режиме требуется подходить максимально внимательно, точно вводить всю информацию из оригиналов своих документов. Малейшая ошибка приведёт к дальнейшим сложностям. Придётся всё переделывать, искать неточности и корректировать заявление.
Запомните, что проверка по базе РСА начинается в тот момент, когда вы закончили заполнять заявление на получение автостраховки. Эта процедура осуществляется через личный кабинет официального сайта той страховой компании, с которой вы работаете и где обслуживаетесь. Уже этот сайт отправляет информацию на ресурс РСА, где по общей базе данных сверяют информацию.
Заполнив заявление, пользователь нажимает кнопку проверки, предусмотренную на конкретном сайте. Хотя дизайн и оформление ресурса бывает разным, принцип прохождения процедуры по получению электронного ОСАГО у всех российских страховщиков одинаковый.
Запрос на проверку передаётся в РСА. Если всё хорошо, пользователь продолжает оформление и ему остаётся оплатить полис. Но когда есть определённые проблемы, на экране высвечивается сообщение об ошибке при прохождении проверки. Именно она и вызывает много вопросов у пользователей.
Почему появляется ошибка
Теперь нужно разобраться в том, почему заявления могут не проходить проверку в РСА. Причин бывает несколько, причём не все они связаны именно с ошибками, допущенными со стороны самого автомобилиста.
Рассмотрим несколько ситуаций, когда могут быть не получены подтверждения от централизированных систем РСА, и на экране возникают соответствующие ошибки.
- Некорректно введённая информация. Считается наиболее распространённой причиной. Пользователь действует невнимательно, путает раскладку на клавиатуре, записывает неправильные наименования документов, марки, модели автомобиля и прочей информации. Потому тут стоит внимательно проверить заявление ещё до отправки. Не исключено, что всплывут какие-то опечатки, пропущенные поля и прочие моменты. На некоторых сайтах предусмотрен специальный функционал, подсвечивающий или выделяющий поля, где были допущены определённые ошибки, или которые пользователь забыл заполнить.
- Отсутствие необходимых документов в заявлении. Для автомобилей предусмотрен определённый набор документов, которые водитель обязан подать на рассмотрение в страховую компанию и дальше пройти проверку через РСА. Если при прохождении возникла подобная неприятная ситуация, и заявление в РСА не проходит обязательную проверку, убедитесь, что были введены все требуемые данные. Сюда можно отнести результаты осмотра транспортного средства, СТС, ПТС, водительское удостоверение, диагностическая карта и пр.
- Расхождения в написании модели транспортного средства, адресов и прочих параметров в паспорте транспортного средства. Здесь рекомендуется сверить информацию из ПТС и СТС. Поскольку в режиме онлайн пока можно оформлять страховку только тем, у кого она была оформлена ранее, гораздо проще свериться с данными из старого полиса. Ведь именно эта информация в настоящий момент занесена в базу данных, и по ним осуществляется сверка.
- Ошибка со стороны страховой компании. Это уже проблемы страховщика, решать которую придётся с помощью техподдержки. Самостоятельно справиться уже не получится. Нужно связаться с официальными представителями, описать ситуацию и разобраться в проблеме.
- Преднамеренная блокировка результатов. Такое тоже случается, хоть и достаточно редко. Подобным могут заниматься только недобросовестные страховщики. Такими методами они стараются выборочно и для себя регулировать потоки клиентов, избавляться от наименее прибыльных и невыгодных. Но такие действия запрещены. При их применении страховая компания может столкнуться с крайне тяжёлыми последствиями в виде санкций со стороны союза страховщиков и Центрального банка. Вплоть до лишения компании лицензии.
- Технический сбой. Такое тоже случается, поскольку Интернет не всегда работает качественно, может отсутствовать связь с базой данных, происходят какие-то обновления и прочие моменты. Если заявитель со своей стороны всё сделал правильно, никаких ошибок не допускал, можно подождать и попробовать отправить запрос немного позже. Если это связано с техническими неполадками, после восстановления связи процедуру оформления полиса удастся успешно завершить. Не лишним будет уточнить по телефону у компании, действительно ли произошёл технический сбой и как много времени потребуется на его устранение.
Как вы можете наглядно видеть, причин появления ошибки на экране о том, что проверка не удалась, довольно много. Но основная масса связана именно с неправильным оформлением заявления в личном кабинете на официальном сайте вашей страховой компании.
Если же вы уверены, что введённая информация правильная, никаких претензий к документам быть не может, тогда придётся искать ответы среди остального списка потенциальных причин возникновения такой проблемы с ошибкой при проверке в РСА.
Как решить проблему
Закономерно автовладельцев интересует, что им делать, если не прошёл проверку в РСА и сайт выдал соответствующую ошибку.
Тут нужно действовать исходя из конкретной ситуации, поскольку введённые данные могут не проходить проверку РСА по разным причинам, что нам уже удалось выяснить.
Рассмотрим отдельно несколько наиболее вероятных сценариев, которые во многом позволят получить ответ на столь актуальный для множества автомобилистов вопрос.
Ошибки при заполнении формы
Самый распространённый сценарий, когда пользователь попросту некорректно вводит информацию в заполняемое онлайн заявление с целью получения полиса ОСАГО.
Если при посещении личного кабинета и после отправки запроса вы видите на экране предупреждение об ошибке, нужно выполнить следующие действия:
- Для начала внимательно изучите всю информацию, которую вы заполнили. Велика вероятность наличия ошибок, помарок, исправлений. Если неточности всё же будут обнаружены, исправьте их и повторно отправьте запрос на проверку;
- Со стороны страховой компании также исключать ошибки нельзя, поскольку там тоже работают люди. Когда в базе данных оказываются заведомо неправильные параметры, то при оформлении нового полиса они никак не смогут совпасть. Тут лучше обратиться в техническую поддержку, отыскать ошибку в базе данных и исправить её;
- В теории можно оставить всё без изменений, и заполнить полис с такими же ошибками, которые присутствуют в общей базе. Но это потенциальный риск, поскольку при проверке факт наличия неточности может всплыть, и полис признают недействительным. Такое возможно при разбирательствах после ДТП.
Если с заполнением формы никаких проблем обнаружено не было, можно переходить к следующим потенциальным причинам появления ошибки.
Некорректная информация о стаже
В полис обязательно вносится информация про водительский стаж. И неверное его указание довольно часто становится причиной возникновения ошибки в РСА.
Плюс в том, что такая помарка простая, и устранить её довольно просто. Вам потребуется учитывать следующие моменты:
- Попробуйте указать не реальный стаж нахождения за рулём, а дату выдачи вашего текущего водительского удостоверения. Часто подобная мера помогает решить проблему;
- Если предыдущий метод не дал результатов, действуйте методом подбора. То есть поочерёдно вводите разные года с момента получения водительского удостоверения. Роль играет только год. Месяц здесь не имеет особого значения.
Подобные действия обычно позволяют исправить ошибку и получить свой электронный полис.
Проблемы с регистрацией
Проверку через РСА также не удастся пройти, если не завершить правильно процедуру авторизации.
https://www.youtube.com/watch?v=rRdTW_mrvCY
На этот счёт водители и представители страховых компаний дают следующие рекомендации:
- тщательно сверьтесь с введёнными данными в виде логина и пароля;
- выполните повторный вход с главной страницы сайта;
- при необходимости используйте форму для восстановления пароли;
- если информация верная, вероятно вам закрыли доступ на сайт.
В последней ситуации выход только один. Нужно обращаться к представителям страховой компании, узнавать причины блокировки и искать способы решения проблемы совместно с сотрудниками организации.
Марка и модель не проходят проверку
Есть такая вероятность, что в общей базе данных нет информации о марке и модели автомобиля, который вам принадлежит. Здесь выполняются следующие процедуры:
- Возьмите полис за предыдущий год, сверьте информацию с текущими заполняемыми параметрами;
- Зачастую именно по полису, выданному ранее, удаётся правильно вписать название марки и модели транспортного средства;
- Загляните в ПТС и СТС. Тут не исключена ошибка в самом индексе модели авто.
Обычно ничего страшного и сложного. Просто неправильно введены буквы или символы, не соответствующие информации, которая присутствует в базе данных РСА.
Номера СТС и ПТС
Тут причина скорее в невнимательности пользователя, который заполняет форму через сайт. Проблема заключается в том, что поля для заполнения информации из ПТС и СТС находятся рядом. Сами названия созвучные и очень схожие. Потому человек банально на место ПТС вносит информацию из СТС, и наоборот.
Такая ошибка возникает неосознанно. Но её очень легко исправить. Просто поменяйте местами параметры, отправьте форму заново на проверку.
Ручная проверка
Когда автоматическая проверка заканчивается безуспешно, автовладелец не получает возможности перейти к следующему этапу оформления. А именно к оплате полиса. Без оплаты, как вы все понимаете, страховку получить не удастся.
Если в автоматическом режиме проверку пройти не удаётся, можно обратиться в страховую компанию или в техподдержку страховщика, где вас попросят отправить некоторые документы в электронном виде. Их требуется сфотографировать или отсканировать. Обычно набор бумаг состоит из:
Не бойтесь, подобная процедура совершенно безопасная. Нужно лишь удостовериться, что вы находитесь на официальном и защищённом сайте страховой компании, а не оказались на поддельном сайте, созданном мошенниками.
Все данные будут передаваться исключительно в страховую, которая не имеет никаких прав и оснований для передачи информации сторонним лицам. То есть опасаться, что информация и те же паспортные данные попадут в плохие руки, не стоит.
Далее уже вручную все параметры будут проверены и сверены. В большинстве случаев процедура занимает около 30-60 минут. Через указанное оператором время на электронную почту автовладельца приходит уведомление, где подробно расписаны все дальнейшие инструкции, которые необходимо выполнить для получения страховки.
Результатом проверки, осуществлённой ручным методом, становится электронное письмо. В зависимости от конкретной страховой компании, время его получения и содержание может несколько отличаться.
В письме уполномоченный представитель страховщика указывает, что документы успешно проверены, вся информация верна и никаких проблем нет. А потому с правильностью заполнения электронного полиса всё хорошо.
К письму также обязательно прилагается ссылка, пройдя по которой вы попадаете в свой личный кабинет, где сможете продолжить процедуру оформления полиса в электронном формате. Функционал сайтов разработан таким образом, чтобы вся информация, введённая в личном кабинете, сохранялась, и её не приходилось каждый раз вводить заново. Это относится также и к данным о страхователе, его транспортном средстве и водителях, вписанных в страховку и допущенных к управлению автомобилем.
Всё это позволит вам решить проблему с ошибкой, перейти к следующему этапу оформления, оплатить полис и в электронном виде получить наконец-то свой полис ОСАГО.
Следует понимать, что подобные ошибки являются скорее исключением, нежели правилом. Многим приходится сталкиваться с проблемой неправильного заполнения электронной формы, когда введённые данные не проходят проверку через РСА. Но практически 90% всех таких случаев непосредственно связаны с невнимательностью самого пользователя. Потому первым делом нужно искать неточности и помарки в заполненной форме, а уже потом обвинять страховщика в намеренных блокировках или сетовать на плохую работу Интернет-соединения.
Объективно возможность оформления ОСАГО в режиме онлайн даёт обширный перечень преимуществ. Но самым главным из них является экономия собственного времени на походах в офисы страховщика. Система пока далека от совершенства, и периодически определённые сложности всё равно возникают. Но большинство из них решается очень быстро и не требуется дополнительных затрат со стороны автомобилиста.
Не прошел проверку РСА. Что делать? » 711.ru
Зачем нужна проверка РСА
Проверка РСА в электронных полисах ОСАГО — обязательная процедура. Вы вводите информацию о своем автомобиле, себе (паспортные данные) и водителях, которые будут допущены к управлению. Страховая компания в зашифрованном виде отправляет эти сведения в базу данных РСА.
Проверка по базе РСА проходит в автоматическом режиме. Ее основная цель — проверить были ли у вас раньше полисы, какая по ним страховая история (количество аварий) и корректно рассчитать стоимость полиса.
Когда происходит проверка
Проверка по базе РСА запускается после того, как вы заполнили заявление на страхование для электронного полиса ОСАГО в личном кабинете на сайте страховой компании.
Без положительного прохождения проверки, вы не сможете перейти к оплате полиса.
Почему не проходит проверка РСА
Проверка не всегда проходит успешно. Нередко система страховщика не может выполнить ее.
Причины непрохождения бывают разные. Технический сбой, отсутствие в базе информации по вам и вашей машине — самые распространенные из них.
Иногда встречается намеренная блокировка результатов проверки. Недобросовестные компании таким образом пытаются регулировать поток клиентов и отсеивать невыгодных — из “токсичных” регионов и с убытками по прошлым годам. Подобные действия запрещены и могут привести к болезненным санкциям для страховщиков со стороны РСА и ЦБ РФ.
Что делать, если не прошла проверка РСА
При оформлении электронного полиса ОСАГО на сайте страховой компании вам могут сообщить, что автоматическая проверка РСА не прошла.
Например, в Росгосстрахе это выглядит так:
Чтобы исправить ситуацию, вам предложат загрузить на сайт электронные копии следующих документов:
- паспорт страхователя — основная страница и страница с пропиской;
- паспорт транспортного средства — обе стороны;
- диагностическая карта;
- водительское удостоверение — обе стороны.
Безопасно ли это? Вполне. Доступ в личный кабинет для оформления Е-ОСАГО происходит по защищенному протоколу https (на всякий случай проверьте это в адресной строке браузера). Информация по документам попадет только в страховую компанию, которая не имеет права передавать ее третьим лицам.
Специалисты страховщика вручную проверят в базе данных РСА ваши данные по документам. И в течение 30 минут минут пришлют на электронную почту дальнейшие инструкции. От компании к компании время варьируется, но в среднем ждать дольше получаса не придется.
Результат ручной проверки в компании
Результатом ручной проверки документов сотрудниками страховой компании станет письмо.
К примеру, от Росгосстраха, приходит письмо следующего содержания.
В письме вам сообщат, что по документам у вас все в порядке, и вы всё правильно заполнили в заявлении на Е-ОСАГО.
Здесь же будет ссылка для входа в личный кабинет и продолжения оформления электронного полиса.
Для удобства клиентов, все данные, введенные в личном кабинете, сохраняются. Включая информацию по страхователю, автомобилю и водителям.
Останется только перейти в раздел оплаты и оплатить полис банковской картой.
Евгений Попков / 711.ru
Поделиться статьей:
Пользователь не прошел проверку в рса ресо
Многие владельцы автомобилей предпочитают решать вопросы со страховкой через интернет, чтобы сэкономить время. Но иногда при заполнении данных на сайте они сталкиваются с оповещением, предупреждающим о том, что пользователь не прошёл проверку в «РЕСО-Гарантия». Решить проблему можно несколькими способами.
Что это значит
В разных страховых компаниях могут по-разному писать даже марки автомобилей, например, «Хюндай» и «Хендай»
Суть ошибки заключается в том, что пользователь не смог пройти проверку автоматизированной системы. Подобное уведомление означает, что введённые на сайте данные человека не соответствуют сведениям, которые фигурируют в базе союза автостраховщиков.
В настоящее время РСА работает над тем, чтобы упростить требования к проверке данных.
Причины
Проверка РСА в электронных полисах ОСАГО — обязательная процедура: нужно ввести информацию о своём автомобиле, себе (паспортные данные) и водителях, которые будут допущены к управлению
Существует три основных причины подобной проблемы:
- Введение неверных данных. Следует тщательно проверить все сведения, которые вносились в соответствующие поля. Возможно, где-то была допущена ошибка.
- Может быть расхождение между реальными данными и теми, которые указаны в ПТС. В таком случае лучше сверить данные с СОР (свидетельством о регистрации). Именно здесь содержится информация, которая закладывается в автоматизированную систему.
- Ошибочные сведения могли быть ранее внесены агентом страховой компании, оформляющей прошлый полис. В этом случае следует написать в техподдержку компании и дождаться ответа. Обычно это занимает не более 1–2 дней.
Как исправить
Без положительного прохождения проверки, вы не сможете перейти к оплате полиса
Если выявляется факт наличия ошибки в самой базе, то можно просто продублировать эту ошибку. То есть намеренно ввести данные с такой же опечаткой, которая было допущена первоначально. Но в будущем следует обратиться к страховщику с просьбой об актуализации информации. Это избавит от возможных сложностей при наступлении страхового случая.
Если текущий полис ещё действителен, то можно просто обратиться напрямую к страховщику и попросить изменить сведения на достоверные. Как правило, обновлённые данные появляются в системе уже через пару дней.
Таким образом, при появлении оповещения во время оформления полиса следует внимательно проверить все введённые данные. При необходимости следует обращаться к страховщику.
Оцените статью: Поделитесь с друзьями!Что делать, если нет данных в базе РСА либо указаны неправильные?
Содержание страницы
С 2013 года Союзом автостраховщиков РФ (РСА) введена в работу база данных, используемая при проверке коэффициента «бонус-малус» (КБМ). Указанный параметр в обязательном порядке должен использоваться страховыми компаниями при расчете тарифа по страхованию (ОСАГО).
Учитывая собственную страховую историю, водители могут рассчитывать на понижение тарифа за счет бонусов (5% за каждый год) за безаварийное вождение в предыдущий страхованию год. Если в ходе последних двух лет имело место ДТП по вине клиента, то размер тарифа увеличивается (малус).
В чем преимущества метода?
Для клиента выгода от единой базы данных состоит в том, что стоимость полиса должна ему объявляться сотрудником СК только после выполнения запроса в базу РСА и выявления права на получение скидки по стоимости. Ранее расчет часто производился по базовому тарифу без учета имеющегося бонуса.
Для страховой компании положительным моментом является возможность получения реальной картины по водительской истории клиента. Ранее водитель, узнав о повышении тарифа из-за ДТП, переходил на обслуживание в другую СК, которая была не в курсе о происшествии, и страховался по обычной стоимости. Теперь в любой организации будет видна его история, поэтому тариф будет везде одинаковый, то есть повышенный из-за нарушений ПДД и ДТП.
Почему нет сведений в базе?
Персональные данные в единой страховой базе могут отсутствовать по нескольким причинам:
- когда страховая компания по разным причинам не передала информацию об истории вождения клиента;
- когда переданы не правильные данные в РСА, а с ошибками, поэтому они не привязаны в базе к конкретному водителю;
- когда произошел технический сбой в работе программы и какие-то участки с данными оказались поврежденными;
- когда клиент произвел обмен водительского удостоверения, но информация в базе осталась привязанной к устаревшим данным;
- когда клиент только получил права и оформляет самый первый страховой договор.
Что делать при отсутствии информации в базе РСА?
Чтобы убедиться в том, что действительно нет данных в РСА о КБМ, следует направить письменный запрос в Союз автостраховщиков. Если не найдут подтверждения факты передачи сведений страховщиками за предыдущие периоды, водитель должен предпринять следующие действия:
- Подготовить старые страховые полисы ОСАГО. При их отсутствии обратиться в СК, где ранее оформлялись договора, и выяснить номера документов, период их действия и дату выдачи.
- По месту оформления предыдущего полиса получить справку для перехода в другую СК с указанием данных о страховом стаже клиента и страховых случаях (если таковые были).
- Полученную справку отнести в СК, где планируется оформление нового страхового соглашения.
Если договор уже оформлен, то на основании предоставленной справки стоимость полиса должна быть пересчитана, и возвращена часть оплаченной премии при наличии права на скидки (по КБМ).
При оформлении электронного ОСАГО не проходит проверку данные водителя,
Сергей, Сведения в базу должна вносить страховая компания, которая заключает договор страхования.
П.7 ст. 15. Федерального закона от 25.04.2002 №40-ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств»
При заключении договора обязательного страхования страховщик вручает страхователю страховой полис, являющийся документом, удостоверяющим осуществление обязательного страхования, а также вносит сведения, указанные в заявлении о заключении договора обязательного страхования и (или) представленные при заключении этого договора, в автоматизированную информационную «систему» обязательного страхования, созданную в соответствии со «статьей 30» настоящего Федерального закона. Бланк страхового полиса обязательного страхования является документом строгой отчетности.
Абз.5 п. 20. постановления Правительства РФ от 07.05.2003 №263 «Об утверждении правил обязательного страхования гражданской ответственности владельцев транспортных средств»
Страховщик вносит в автоматизированную систему страхования сведения, указанные в «заявлении» о заключении договора обязательного страхования и (или) представленные при заключении такого договора.
П. 20.1. постановления Правительства РФ от 07.05.2003 №263 «Об утверждении правил
обязательного страхования гражданской ответственности владельцев
транспортных средств»
Заключение договора обязательного страхования без внесения страховщиком сведений о страховании в автоматизированную систему страхования и проверки соответствия представленных страхователем сведений информации, содержащейся в этой системе и в единой автоматизированной информационной системе технического осмотра, не допускается.
В соответствии с Правилами страхования, страховая компания обязана предоставить сведения о страховании.
П.35. постановления Правительства РФ от 07.05.2003 №263 «Об утверждении правил
обязательного страхования гражданской ответственности владельцев
транспортных средств»
При досрочном прекращении или по окончании действия договора обязательного страхования страховщик предоставляет страхователю сведения о страховании по «форме», установленной в соответствии с законодательством Российской Федерации. Сведения о страховании предоставляются страховщиком бесплатно в письменной форме в 5-дневный срок с даты соответствующего обращения страхователя и вносятся в автоматизированную систему страхования.
Сведения о страховании предоставляются страхователем страховщику при осуществлении обязательного страхования в последующие периоды и учитываются страховщиком при расчете страховой премии по договору обязательного страхования.
| Обсуждения | |
| Самое новое | |
| Идет обсуждение | |
| Страховые новости | |
| Прямая речь | |
| Интервью | |
| Мнения | |
| В гостях у компании | |
| Анализ | |
| Прогноз | |
| Реплики | |
| Репортажи | |
ключей ssh - Как мне проверить / проверить / проверить / подтвердить мою парольную фразу SSH?
Переполнение стека- Около
- Продукты
- Для команд
- Переполнение стека Общественные вопросы и ответы
- Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
- Вакансии Программирование и связанные с ним технические возможности карьерного роста
- Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
- Реклама Обратитесь к разработчикам и технологам со всего мира
- О компании
Загрузка…
Программа проверки криптографических алгоритмов | CSRC
Программа проверки криптографических алгоритмов (CAVP) NIST обеспечивает проверочное тестирование утвержденных (т.е., одобренные FIPS и рекомендованные NIST) криптографические алгоритмы и их отдельные компоненты. Проверка криптографического алгоритма является предварительным условием проверки криптографического модуля.
могут использовать любую из аккредитованных NVLAP лабораторий криптографии и тестирования безопасности (CST) для тестирования реализаций алгоритмов.
Реализация алгоритма, успешно протестированная в лаборатории и подтвержденная NIST, добавляется в соответствующий список проверки, в котором указываются поставщик, реализация, операционная среда, дата проверки и детали алгоритма.
Тесты
В настоящее время CAVP тестирует следующие криптографические алгоритмы *. Перейдите по ссылкам на спецификации алгоритма , требования к валидационным испытаниям , списки валидации и векторы тестирования .
Блочные шифры | AES, Triple DES, Skipjack (только дешифрование) |
Режимы блочного шифрования | CCM, CMAC, GCM / GMAC / XPN, Key Wrap, XTS |
Цифровые подписи | FIPS 186-4: DSA, ECDSA, RSA |
Ключевые деривационные функции | КБКДФ |
Управление ключами | КАС |
Аутентификация сообщений | HMAC (FIPS 198-1) |
Генерация случайных чисел | DRBG |
Безопасное хеширование | SHA-2, SHA-1 |
Тестирование компонентов | ECC-CDH (SP 800-56A), |
Тестирование других алгоритмов прекращено: DES, MAC, Skipjack (только шифрование) и ANSI X9.17, RNG.
* Примечание: в этой таблице перечислены утвержденные алгоритмы, для которых доступны тесты как в CAVS, так и в ACVTS. Пожалуйста, обратитесь к странице перехода CST Lab для получения списка тестов, доступных в ACVTS, которые не входят в CAVS, а также других требований к тестированию в течение переходного периода.
Связь проверки алгоритма с проверкой модуля FIPS 140-2
Криптографический модуль, утвержденный в соответствии с FIPS 140-2, должен реализовывать по крайней мере одну утвержденную функцию безопасности, используемую в утвержденном режиме работы. Чтобы реализация алгоритма была указана в сертификате проверки криптографического модуля как утвержденная функция безопасности, реализация алгоритма должна соответствовать всем требованиям FIPS 140-2 и должна успешно завершить процесс проверки криптографического алгоритма.Однако продукт или реализация не удовлетворяют требованиям проверки модуля FIPS 140-2, просто реализуя функцию безопасности «Утверждено» и получая подтверждения для каждого из реализованных алгоритмов. Для получения дополнительной информации см. Программу проверки криптографических модулей.
Дополнительная информация
Руководство по управлению CAVP | Руководство по управлению CAVP представляет собой эффективное руководство для органов по валидации CAVP, лабораторий CST и поставщиков, участвующих в программе.Он описывает управленческую деятельность и конкретные обязанности различных участвующих групп; однако он не включает никаких криптографических стандартов. Руководство может также заинтересовать потребителей, которые приобретают проверенные криптографические модули и проверенные реализации криптографических алгоритмов. Последнее обновление: 24.06.2009 |
CAVP FAQ | FAQ CAVP отвечает на многие вопросы, поднятые испытательными лабораториями; он включает раздел общих вопросов и разделы для большинства протестированных алгоритмов.Адрес FAQ:
FAQ в первую очередь предназначен для использования в лабораториях тестирования. Поставщики также могут найти эту информацию полезной при отправке своих алгоритмов на тестирование. Последнее обновление: 01-01-2016 |
Как получить доступ к ACVTS | Как получить доступ к демонстрационной (Demo) и производственной (Prod) системе ACVTS. |
CST Lab Transition Страница | Информация, которая поможет лабораториям CST при переходе от тестирования CAVS к тестированию ACVP в 2020 финансовом году. |
CAVP была создана в июле 1995 года NIST и CCCS правительства Канады. Группа CSD по тестированию, проверке и измерению безопасности (STVMG) управляет проверочным тестированием криптографических модулей и лежащих в их основе криптографических алгоритмов через CAVP и CMVP.
Система безопасного контроля доступа(ACS 5.x и новее) Устранение неполадок
Этот документ предоставляет информацию о том, как устранить неполадки в системе контроля доступа Cisco Secure Access Control System (ACS) и как разрешить сообщения об ошибках.
Для получения информации о том, как устранить неполадки Cisco Secure ACS 3.x и 4.x, см. Устранение неполадок сервера безопасного контроля доступа (ACS 3.x и 4.x).
Требования
Для этого документа нет особых требований.
Используемые компоненты
Информация в этом документе основана на версии 5.x системы управления безопасным доступом Cisco и позже.
Информация в этом документе была создана на устройствах в специальной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Условные обозначения
См. Раздел Условные обозначения технических советов Cisco для получения дополнительной информации об условных обозначениях в документе.
Ошибка: сохранена текущая конфигурация для успешного запуска.% Manifest file not found in the bundle. Ошибка появляется при попытке обновить ACS Express с 5.0 до 5.0.1.
Решение
Выполните следующие действия, чтобы без проблем обновить устройство ACS:
Загрузите исправление 9 (5-0-0-21-9.tar.gpg) и ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg) с: Cisco.com> поддержка> загрузить программное обеспечение> Безопасность> Система контроля доступа Cisco Secure 5.0> Программное обеспечение системы безопасного контроля доступа> 5.0.0.21
После установки двух файлов установите обновление ACS 5.1 ACS_5.1.0.44.tar.gz. Это доступно по тому же пути, что и на предыдущем шаге.
Используйте эту команду для установки обновления:
обновление приложения
имя-удаленного-репозитория
На этом процедура обновления завершена.
См. Обновление сервера ACS с 5.0 до 5.1 для получения дополнительной информации о том, как обновить устройство ACS.
В этом разделе объясняется, почему нельзя перезапустить сервер ACS версии 5.x из графического интерфейса пользователя.
Решение
Нет возможности перезапустить сервер ACS 5.x из графического интерфейса пользователя. ACS можно перезапустить только из интерфейса командной строки.
При настройке аутентификации Active Directory (AD) для новой службы ACS 5.2 получено сообщение об ошибке:
Неожиданная ошибка RPC: доступ запрещен из-за непредвиденной конфигурации или сетевой ошибки.Пожалуйста, попробуйте опцию —verbose или запустите «adinfo —diag».
Решение
ACS необходимо записать разрешения для аутентификации с AD. Для решения этой проблемы предоставьте временные разрешения на запись учетной записи службы.
При попытке создания настраиваемого бухгалтерского отчета AAA с помощью ACS версии 5.1 вы не можете просмотреть более 100 страниц. Это не распространяется на несколько более старых отчетов. Как изменить этот параметр, чтобы увидеть все страницы?
Решение
Вы не можете изменить количество страниц в ACS, поскольку максимальное количество отображаемых страниц по умолчанию составляет всего 100.Чтобы преодолеть это ограничение и просмотреть старую статистику, вам необходимо изменить параметры фильтрации, чтобы можно было делать более конкретные совпадения. Например, если вы попытаетесь создать отчет за последние тридцать дней, он будет содержать большой объем, и последние 100 страниц могут отображать активность только за последний час. Здесь рекомендуется использовать параметры фильтрации. Использование опции фильтрации в качестве идентификатора пользователя и указание временного диапазона даст гораздо более старые отчеты.
Эта проблема возникает при попытке создать отчет об аутентификации только для группы из шести маршрутизаторов / коммутаторов, а не для всех устройств.Используется ACS версии 4.x.
Решение
Это невозможно с ACS 4.x. Вам необходимо перейти на ACS 5.x, потому что эта функция доступна в этой версии. Вы можете извлечь отчеты для определенной группы устройств, создав отчеты каталога.
Обратитесь к этому изображению для лучшего понимания:
Когда вы щелкаете по Launch Monitoring and Report Viewer из ACS 5.x, появляется следующее сообщение об ошибке: База данных мониторинга и отчетов в настоящее время недоступна.Попытка переподключиться через 5 секунд. Если проблема не исчезнет, обратитесь к администратору ACS.
Решение
Выполните один из следующих обходных путей для решения этой проблемы:
Перезапустите службы ACS из интерфейса командной строки, введя следующие команды:
приложение остановки ACS запуск приложения acs
Обновите до последнего доступного патча. См. «Применение обновлений» для получения дополнительной информации об этом.
AD не проходят аутентификацию в ACS версии 5.x и получают следующее сообщение об ошибке: 22056 Тема не найдена в соответствующих хранилищах удостоверений.
Решение
Это сообщение об ошибке возникает, когда ACS не удалось найти пользователя в первой указанной базе данных, которая настроена в последовательности хранилища удостоверений. Это информационное сообщение, не влияющее на работу ACS. Способ, которым ACS 5.x выполняет аутентификацию для внутренних или внешних пользователей, отличается от предыдущих 4.x версия. В версии 5.x есть опция под названием Identity Store Sequence для определения последовательности пользовательских баз данных для аутентификации. Для получения дополнительной информации см. Настройка последовательностей хранилища идентификационных данных.
Если вы получаете эту ошибку при использовании ACS для аутентификации запросов к дочернему домену, вам необходимо добавить суффикс UPN или префикс NETBIOS к имени пользователя. Дополнительные сведения см. В примечаниях в разделе Microsoft AD.
Пользователи не могут интегрировать ACS с Active Directory, и получено сообщение об ошибке состояния порта Samba.
Решение
Чтобы решить эту проблему, убедитесь, что эти порты открыты для поддержки функций Active Directory:
ACS должен достичь всех контроллеров домена в домене, чтобы интеграция ACS-AD была завершена. Даже если один из контроллеров домена недоступен из ACS, интеграции не происходит. См. Идентификатор ошибки Cisco CSCte92062 (только для зарегистрированных клиентов) для получения дополнительной информации.
В этом документе ACS 5.2 используется как сервер AAA RADIUS для 802.1X реализация. 802.1X можно успешно использовать с ACS с использованием внутреннего пользовательского хранилища, но при интеграции ACS и LDAP возникают проблемы. Отображается это сообщение об ошибке:
Ошибка аутентификации по радиусу для ПОЛЬЗОВАТЕЛЯ: пример MAC: UU-VV-WW-XX-YY-ZZ АВТОТИП: PEAP (EAP-MSCHAPv2) Истекло время ожидания сеанса EAP: 5411 Истекло время ожидания сеанса EAP
Решение
В этом случае LDAP используется с PEAP, а используемый метод внутренней аутентификации — eap-mschap v2.Это не удастся, потому что LDAP не поддерживается для PEAP (eap-mschap v2). Рекомендуется использовать eap-tls или AD.
Во время репликации ACS основной ACS не реплицируется должным образом и отображает следующее сообщение об ошибке:
csco acs_internal_operations_diagnostics ошибка: может не записывать в файл локального хранилища
Решение
Перезапустите службы ACS и убедитесь, что критическое ведение журнала отключено. Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCth66302 (только для зарегистрированных клиентов).Если это не помогает, обратитесь в службу технической поддержки Cisco TAC, чтобы получить последний патч ACS, подходящий для решения этой проблемы.
При попытке реализовать интеграцию AD получено сообщение об ошибке:
Ошибка при настройке Active Directory: использование с возможностью записи контроллер домена: test1.test.pvt ошибка аутентификации из-за неожиданной конфигурация или сетевая ошибка. Пожалуйста, попробуйте опцию --verbose или запустите adinfo -diag ', чтобы диагностировать проблему. Присоединяйтесь к тесту домена.pvt ', зона' null ' не удалось.
Решение
Выполните этот обходной путь, чтобы устранить эту проблему:
Удалите существующую учетную запись компьютера в AD.
Создайте новое подразделение.
Перейдите в Свойства подразделения и снимите флажок наследовать разрешения .
Создайте новую учетную запись компьютера для ACS в новом подразделении.
Разрешить репликацию AD.
Попробуйте присоединиться к AD из графического интерфейса ACS.
В некоторых случаях также полезно обратиться в Microsoft и применить Hot Fix.
Решение
Это невозможно, потому что это еще не поддерживается в ACS 5.x.
Когда сетевой ресурс находится на сервере CiscoWorks, планировщик резервного копирования отлично работает с другими клиентами SFTP, но не с ACS 5.2. В частности, при попытке подключиться к серверу SFTP из ACS получено сообщение об ошибке «Невозможно согласовать метод обмена ключами».
Решение
В этом случае сервер SFTP не является устройством, совместимым с FIPS, использующим группу DH 14. ACS поддерживает только серверы с поддержкой DH 14, так как он соответствует требованиям FIPS. Дополнительные сведения об этой проблеме см. В разделе «Известные ограничения в ACS 5.2».
Ошибка: сообщение об ошибке отброшено недопустимой полезной нагрузки EAP получено при аутентификации пользователей беспроводной сети с помощью исправления 7 ACS 5.0.
Решение
Это наблюдаемое поведение и рассматривается в идентификаторах ошибок Cisco CSCsz54975 (только зарегистрированные клиенты) и CSCsy46036 (только зарегистрированные клиенты).
Для решения этой проблемы обновите ACS 5.0 до патча 9, который требуется как часть обновления до 5.1 или 5.2. См. «Обновление базы данных» для получения полной информации. Сюда также входит информация о том, как обновиться до патча 9.
Пользователи не могут войти в графический интерфейс ACS, и получено следующее сообщение об ошибке:
«Процесс выполнения ACS в данный момент не запущен на этом экземпляре. В конфигурацию ACS можно внести изменения (они будут сохранены в базе данных), но изменения не вступят в силу, пока процесс выполнения не будет перезапущен.«
Решение
Ручной перезапуск процесса выполнения из интерфейса командной строки и перезагрузка устройства решает эту проблему. Это незначительная проблема, которая не создает проблем с производительностью ACS. Для наблюдения за этим поведением зарегистрированы две незначительные ошибки. Для получения дополнительной информации см. Идентификаторы ошибок Cisco CSCtb99448 (только зарегистрированные клиенты) и CSCtc75323 (только зарегистрированные клиенты).
Чтобы перезапустить процессы среды выполнения вручную, выполните следующие команды из интерфейса командной строки ACS:
ACS остановить время работы
ACS время запуска
Вы можете экспортировать и импортировать базу данных пользователей в другой ACS 5.x с файлом CSV, но он не включает поле пароля пользователя (отображается пустым). Как переместить хранилище удостоверений локального пользователя из одного ACS в другой, в котором содержится информация о пароле?
Решение
Это невозможно, так как это приведет к нарушению безопасности. В этом случае один способ обхода проблемы — выполнить процедуру резервного копирования и восстановления. Однако ограничение этого обходного пути состоит в том, что резервное копирование и восстановление работает только для другого ACS с аналогичной конфигурацией.
ПользователиACS периодически отключаются с сообщением об истечении срока действия пароля. Политика истечения срока действия пароля установлена на 60 дней, но эти пользователи должны быть включены вручную, чтобы они могли получить доступ.
Решение
Это поведение наблюдается и регистрируется в идентификаторе ошибки Cisco CSCtf06311 (только для зарегистрированных клиентов). Эту проблему можно решить, применив исправление 3 к ACS 5.1. Чтобы просмотреть все решенные проблемы в патче 3, обратитесь к Решенным проблемам в накопительном патче ACS 5.1.0.44.3. Для получения дополнительной информации о том, как обновить исправление, см. Применение исправлений обновления.
Отчет об аутентификации ACS показывает, что запрос аутентификации TACACS + завершился с сообщением об ошибке.
Решение
Это происходит, когда аутентификация TACACS имеет тип службы, установленный на PPP. См. Идентификатор ошибки Cisco CSCte16911 (только для зарегистрированных клиентов) для получения дополнительной информации.
Аутентификация Radius отклонена, а запрос аутентификации Radius отклонен из-за сообщения об ошибке критического журнала.
Решение
Эта ошибка подробно описана в идентификаторе ошибки Cisco CSCth66302 (только для зарегистрированных клиентов).
Интерфейс просмотра ACS показывает сбой обновления данных в верхней части страницы, когда ACS обновляется с 5.2 до 5.3.
Решение
Эта ошибка подробно описана в идентификаторе ошибки Cisco CSCtu15651 (только для зарегистрированных клиентов).
Решение
В ACS 5.0 функция истечения срока действия пароля (пользователь должен сменить пароль при следующем входе в систему) в локальном хранилище идентификаторов пользователей выбирается, но не работает.Запрос на расширение CSCtc31598 устраняет проблему в версии 5.1 ACS.
Ошибка обновления% приложения, ошибка -999. Пожалуйста, проверьте журналы ADE для получения подробной информации или перезапустите с — debug application install — enabled error появляется при попытке обновить ACS Express с 5.0 до 5.0.1.
Решение
Эта ошибка возникает, если используется репозиторий TFTP и размер файла превышает 32 МБ. ACS Express не может обрабатывать файлы размером более 32 МБ. Используйте FTP в качестве репозитория для решения этой проблемы, даже если размер файла превышает 32 МБ.
Ошибка аутентификации: 12308 Клиент отправил TLV результата, указывающий, что ошибка сбоя возникает в ACS, когда вы пытаетесь аутентифицироваться в первый раз. Второй раз аутентификация работает нормально.
Решение
Эту ошибку можно устранить, отключив Fast Reconnect . Обновление до , исправление 2 ACS версии 5.2 помогает решить проблему без отключения Fast Reconnect.
Эту ошибку также можно устранить, отключив Принудительное шифрование на соискателе.См. Идентификатор ошибки Cisco CSCtj31281 (только для зарегистрированных клиентов) для получения дополнительной информации.
Аутентификация начинается с ошибкой: серверы Active Directory 24495 недоступны. в логах ACS 5.3.
Решение
Проверьте файл ACSADAgent.log через интерфейс командной строки ACS 5.x на наличие таких сообщений, как: 11 марта 00:06:06 xlpacs01 adclient [30401]: INFO
5411 Сообщения об ошибках истечения времени ожидания сеанса EAP получены на ACS 5.x.
Решение
Таймауты сеанса EAP довольно распространены для PEAP, когда соискатель перезапускает аутентификацию после того, как начальный пакет отправляется на сервер RADIUS, и в большинстве случаев не указывает на проблему.
Обычно видный поток:
Претендент ------------- Аутентификатор -------------- ACS Подключить <------------------ Запрос на идентификацию -----------------------> Идентификатор ответа -------------> <-------------- Задача EAP <----------------- EAPOL-Старт -------------> нормальный поток, заканчивающийся успешной аутентификацией .......
В итоге аутентификация прошла успешно. Однако существует поток, оставшийся открытым в ACS из-за внезапного перезапуска сеанса EAP от соискателя, что вызывает успешную аутентификацию, за которой следует сообщение тайм-аута сеанса EAP.Во многих случаях это связано с уровнем водителя машины. Убедитесь, что на клиентском компьютере установлены последние версии драйверов сетевой карты / беспроводной сети. Вы можете захватывать на клиенте и фильтровать по EAP || EAPOL, чтобы видеть, что клиент получает или отправляет при подключении.
Аутентификация802.1x не работает, если для пользователей настроены ограничения входа в систему в Active Directory.
Решение
Если у вас есть ограничения входа в систему, установите Active Directory для одного компьютера и попробуйте выполнить 802.1x аутентификация. Аутентификация не выполняется, потому что с точки зрения Active Directory эта аутентификация исходит от ACS, а не от машины, для которой установлено ограничение входа в систему. Для успешной аутентификации можно установить ограничения входа в систему, включая учетные записи компьютеров ACS.
Пользователь с правами администратора графического интерфейса пользователяACS 5.x с ролью ChangeUserPassword не может изменить пароль пользователя AAA, хранящийся во внутренней базе данных. После изменения пароля пользователь получает всплывающее сообщение об ошибке: У вас нет прав для просмотра запрошенной страницы.
Решение
Это может произойти при миграции базы данных ACS 5.x из ACS 4.x. Используйте привилегию SuperAdmin для изменения пароля пользователя. См. Идентификатор ошибки Cisco CSCty
(только для зарегистрированных клиентов) для получения дополнительной информации.
Решение
Вам необходимо проверить интеграцию Active Directory с ACS 5.x. Если это распределенная установка, убедитесь, что и первичный, и вторичный ACS 5.x в установке правильно интегрированы с Active Directory.
Когда клиент BMC (инструмент аппаратного уровня) используется для доступа к серверам ACS 1121 IBM, наблюдается, что клиент BMC имеет два IP-адреса.
Решение
Это поведение было идентифицировано и зарегистрировано в идентификаторе ошибки Cisco CSCtj81255 (только зарегистрированные клиенты). Чтобы решить эту проблему, необходимо отключить клиент DHCP BMC на ACS 1121.
Существует ограничение на количество записей, которые может содержать каталог сеанса.Поскольку в настройках клиента много запросов на зондирование, предел достигается быстро. При достижении предела ACS-View по умолчанию удаляет определенное количество записей (например, 20k) из каталога сеанса и отправляет предупреждение. Вы можете увеличить этот предел, но это мало поможет, кроме продления предупреждения.
Решение
Чтобы решить эту проблему, выполните следующие действия:
Предлагается отключить ведение журнала для просмотра базы данных.
Перейдите к Cisco Secure ACS> Системное администрирование> Конфигурация> Конфигурация журнала> Категории ведения журнала> Глобальные> «Пройденные аутентификации»> Удаленная цель системного журнала и удалите LogCollector из выбранных целей.
Перейдите к Cisco Secure ACS> Системное администрирование> Конфигурация> Конфигурация журнала> Категории ведения журнала> Глобальные> «Неудачные попытки»> Удаленная цель системного журнала и удалите LogCollector из Выбранных целей.
Перейдите к Cisco Secure ACS> Системное администрирование> Конфигурация> Конфигурация журнала> Категории ведения журнала> Глобальный> Изменить: «Учет RADIUS»> Удаленный объект системного журнала и удалите LogCollector из Выбранных целей.
Вы можете игнорировать зондирующие запросы аутентификации, поскольку это не настоящие запросы аутентификации. Выполните следующее:
Перейдите к Cisco Secure ACS> Конфигурация мониторинга> Конфигурация системы> Добавить фильтр и создайте фильтр.Создание фильтра на основе имени пользователя более уместно, потому что запросы зондирования считаются отправленными с фиктивным именем пользователя. Если вы создаете отдельную политику доступа в ACS для обработки этих зондирующих запросов, тогда фильтры могут быть созданы также на основе Access Service .
В развертывании ACS 5.3 пользователи не проходят аутентификацию dot1x. Используемая база данных — это Active Directory. Код ошибки RADIUS показан здесь:
Запрос RADIUS отброшен: 11013 Пакет RADIUS уже в процессе
Решение
ACS проигнорировал этот запрос, поскольку он является копией другого пакета, который в настоящее время обрабатывается.Это может произойти по любой из следующих причин:
Среднее значение задержки запроса RADIUS близко или превышает время ожидания запроса RADIUS клиента.
Внешнее хранилище идентификаторов может работать очень медленно.
ACS перегружена.
Выполните следующие действия для устранения проблемы:
Увеличьте время ожидания запроса RADIUS клиента.
Используйте более быстрое или дополнительное внешнее хранилище удостоверений.
Следуйте инструкциям по снижению перегрузки на ACS.
Решение
Заголовок входящего пакета RADIUS неправильно проанализирован. Чтобы решить эту проблему, проверьте следующее:
Проверьте сетевое устройство или клиент AAA на наличие проблем с оборудованием.
Проверьте сеть, которая подключает устройство к ACS, на наличие проблем с оборудованием.
Проверьте, есть ли у сетевого устройства или клиента AAA какие-либо известные проблемы совместимости с RADIUS.
Это сообщение об ошибке получено на ACS, когда ASA отправляет сообщение запроса доступа к радиусу:
11007 Не удалось найти сетевое устройство или клиент AAA
Решение
Это происходит из-за несоответствия между IP-адресом клиента ACS и IP-адресом интерфейса, который фактически отправляет запрос. Иногда межсетевой экран выполняет преобразование адреса этому клиенту AAA. Убедитесь, что клиент AAA правильно настроен с правильным преобразованным IP-адресом по этому пути:
Сетевые ресурсы> Сетевые устройства и клиенты AAA
Пользователи не могут получить доступ к сети из-за ошибок аутентификации.Получено сообщение об ошибке от ACS:
11050 Запрос RADIUS отброшен из-за перегрузки системы
Решение
Cisco ACS отбрасывает эти запросы аутентификации из-за перегрузки. Это может быть вызвано репликацией множества параллельных запросов аутентификации. Чтобы этого избежать, выполните одно из следующих действий:
Измените настройки Network Device / AAA Client , чтобы он использовал опцию Legacy TACACS + Single Connection Support .При этом клиент будет повторно использовать один и тот же сеанс для всех запросов вместо создания множества сеансов.
Запретить пользователям инициировать новые запросы аутентификации в течение некоторого времени.
Перезапустите сервер ACS.
Решение
Эта ошибка возникает из-за недопустимой длины или неправильного значения одного из атрибутов MSCHAP v2 (MS-CHAP-Challenge, MS-CHAP-Response, MS-CHAP-CPW-2 или MS-CHAP-NT-Enc-PW ) в полученном пакете запроса доступа RADIUS.
ACS сообщает об использовании памяти более 90% .Тревога, такая как следующая: Cisco Secure ACS — Уровень уведомления о тревоге: Критическое имя тревоги ACS — Причина / триггер состояния системы, вызванная ACS — Пороговое значение работоспособности системы Информация о тревоге Экземпляр ACS Использование ЦП (%) Использование памяти ( %) Использование дискового ввода-вывода (%) Используемое дисковое пространство / opt (%) Используемое дисковое пространство / localdisk: (%) Используемое дисковое пространство / (%) KOM-AAA02 0,41 90,14 0,02 9,57 5,21 25,51
Решение
Эта проблема обычно наблюдается в ACS 5.2. Чтобы исправить эту проблему, перезагрузите ACS, чтобы освободить память, или обновите ACS 5.2 до исправления 7 или позже. См. Идентификатор ошибки Cisco CSCtk52607 (только для зарегистрированных клиентов) для получения дополнительной информации.
В распределенной настройке после задачи обслуживания (присоединение к основному, принудительная полная репликация, исправление) экземпляр ACS A сообщает об автономном экземпляре ACS B на экране распределенного развертывания, в то время как B действительно находится в оперативном режиме и сообщает об экземпляре A как о подключенном к сети. В журналах управления вы видите ошибку: com.cisco.nm.acs.mgmt.msgbus.FatalBusException: не удалось связать узлы.
Решение
Это может произойти, если предыдущий экземпляр службы управления репликацией все еще привязан к порту 2030, когда новый экземпляр подходит и пытается привязаться к этому порту. Из интерфейса командной строки экземпляра ACS B запустите: sho acs-logs file ACSManagement. журнал | i Служба репликации. Вы увидите такие сообщения, как «Ошибка службы репликации». Порт уже используется: 2030. В настоящее время обходной путь — перезапустить экземпляр B ACS (тот, который сообщает о другом как подключенном к сети).См. Идентификатор ошибки Cisco CSCtx56129 (только зарегистрированные клиенты) для получения дополнительной информации.
В распределенной настройке после задачи обслуживания (присоединение к основному, принудительная полная репликация, исправление) экземпляр ACS A сообщает об автономном экземпляре ACS B на экране распределенного развертывания, в то время как B действительно находится в оперативном режиме и сообщает об экземпляре A как о подключенном к сети. В журналах управления вы видите ошибку: com.cisco.nm.acs.mgmt.msgbus.FatalBusException: не удалось связать узлы.
Решение
Обновление до ACS 5.2, патч 6 или новее, чтобы исправить эту проблему. См. Идентификатор ошибки Cisco CSCto47203 (только для зарегистрированных клиентов) для получения дополнительной информации.
Примечание: Резервное копирование viewDB завершится ошибкой, если использование «» / opt «» превысит 30%. Требуется настроить постановку NFS для выполнения резервного копирования, когда использование «/ opt» »превышает 30%.
Аутентификация RADIUS завершается ошибкой с этим сообщением об ошибке: 11026 Запрошенный dACL не найден.
Решение
Запрос отклонен, поскольку версия загружаемого ACL, запрошенная в запросе доступа RADIUS, не найдена.Запрос на скачиваемый ACL произошел намного позже исходного Access-Request. Из-за этого версия загружаемого списка контроля доступа больше не была доступна. Найдите причину этой задержки в запросе загружаемого ACL от клиента RADIUS.
Аутентификация RADIUS завершается неудачно с этим сообщением об ошибке: 11025 В запросе доступа для запрошенного dACL отсутствует атрибут cisco-av-pair со значением aaa: event = acl-download. Запрос отклонен.
Решение
Каждый запрос доступа для загружаемого ACL должен иметь атрибут cisco-av-pair со значением aaa: event = acl-download.В этом случае этот атрибут отсутствует в запросе, и ACS не смог выполнить запрос. Проверьте, есть ли у сетевого устройства или клиента AAA какие-либо известные проблемы совместимости с RADIUS.
Аутентификация RADIUS завершается ошибкой с этим сообщением об ошибке: 11023 Запрошенный dACL не найден. Это неизвестное имя dACL.
Решение
Проверьте конфигурацию ACS, чтобы убедиться, что загружаемый ACL, указанный в профиле авторизации, существует в списке загружаемых ACL.Это неправильная конфигурация стороны ACS.
Аутентификация администратора завершается ошибкой: 10001 Внутренняя ошибка. Неверная версия конфигурации.
Решение
Эта ошибка может быть вызвана поврежденной базой данных ACS или проблемой в базовых данных конфигурации. Свяжитесь с Центром технической поддержки Cisco (только для зарегистрированных клиентов) для получения дополнительной информации.
Аутентификация администратора завершается ошибкой: 10002 Внутренняя ошибка: не удалось загрузить соответствующую службу.
Решение
ACS 5.x не может загрузить службу конфигурации AAC. Это может быть вызвано поврежденной базой данных ACS или проблемой в базовых данных конфигурации. Это также может произойти, когда системные ресурсы исчерпаны. Свяжитесь с Центром технической поддержки Cisco (только для зарегистрированных клиентов) для получения дополнительной информации.
Аутентификация администратора завершается ошибкой: 10003 Внутренняя ошибка: для аутентификации администратора получено пустое имя администратора.
Решение
При доступе к графическому интерфейсу ACS 5.x, ACS получает пустое имя пользователя. Проверить действительность имени пользователя, переданного в ACS. Если это действительно так, свяжитесь с Центром технической поддержки Cisco (только для зарегистрированных клиентов) для получения дополнительной информации.
Это сообщение об ошибке получено на ACS:
Причина сбоя: 24428 Ошибка, связанная с подключением, произошла в LRPC, LDAP или KERBEROS Эта проблема с подключением RPC может быть связана с тем, что заглушка получила неверные данные
Решение
Для решения этой проблемы обновите ACS до версии 5.2.
TACACS + Auth-Proxy аутентификация не работает на маршрутизаторе, который выполняет Cisco IOS Software Release 15.x с сервера ACS 5.x.
Решение
TACACS + Auth-Proxy поддерживается только после исправления 5 для ACS 5.3. Обновите ACS 5.x или используйте RADIUS для Auth-Proxy.
Решение
Отчет об учете ACS 5.1 TACACS пропускает несколько атрибутов, таких как имя пользователя, уровень привилегий и тип запроса, когда он получает от клиента искаженный пакет учета.В некоторых случаях это приводит к генерации аварийного сигнала «Ошибка сохранения (acs-xxx, TacacsAccounting)» в представлении. Чтобы решить эту проблему, проверьте следующее:
Учетный пакет, отправленный клиентом, имеет неверный аргумент TACACS (например, несоответствие длины и значения любого аргумента, отправленного клиентом AAA).
Убедитесь, что клиент отправляет действительный пакет учета с правильной длиной и значением для аргументов.
См. Идентификатор ошибки Cisco CSCte88357 (только для зарегистрированных клиентов) для получения дополнительной информации.
Решение
Проверьте следующее:
Проверьте, совпадают ли общие секреты на клиенте AAA и сервере ACS.
Убедитесь, что у клиента AAA и сетевого устройства нет аппаратных проблем или проблем с совместимостью RADIUS.
Убедитесь, что сеть, которая подключает устройство к ACS, не имеет проблем с оборудованием.
Решение
Запрос на учет был отброшен, так как он был получен через неподдерживаемый номер порта UDP.Проверьте следующее:
ACS не может проверить поле Authenticator в заголовке пакета RADIUS Accounting-Request. Поле Authenticator не следует путать с атрибутом Message-Authenticator RADIUS. Убедитесь, что общий секрет RADIUS, настроенный на клиенте AAA, совпадает с тем, который настроен для выбранного сетевого устройства на сервере ACS. Также убедитесь, что у клиента AAA нет аппаратных проблем или проблем с совместимостью RADIUS.
Решение
Проверьте ACS для подключения к AD и убедитесь, что учетная запись компьютера ACS все еще присутствует в AD.
Решение
Это поведение было идентифицировано и зарегистрировано в идентификаторе ошибки Cisco CSCts17763 (только зарегистрированные клиенты). Вам необходимо перейти на 5.3.40 патч 1 или 5.2.26 патч 7.
Решение
Убедитесь, что у сообщества SNMP, настроенного на ACS, есть допустимые символы. В названии сообщества можно использовать только буквенно-цифровые символы (только буквы и цифры).
Решение
СКУД 5.x не хватает места на диске из-за недостатка места в разделе / opt . Это происходит из-за большого количества данных журнала, переполненных представлением ACS. В качестве обходного пути вам необходимо часто заменять базу данных View. Поскольку ACS View не может обрабатывать гигабайты данных каждый день, вам необходимо организовать данные журналов. Когда вам нужны все журналы, используйте внешний сервер системного журнала вместо представления ACS. Если вам нужно использовать только часть данных журнала, используйте Системное администрирование> Конфигурация> Конфигурация журнала> Категории журналов> Глобальный , чтобы отправить только необходимые журналы в сборщик журналов ACS View.
Может ли ACS 5.x запрашивать желаемые контроллеры домена (DC) при присоединении к домену Active Directory?
Решение
Нет. В настоящее время ACS запрашивает DNS с доменом, чтобы получить список всех контроллеров домена в домене. Затем он пытается связаться со всеми из них. Если соединение хотя бы с одним контроллером домена не удается, то соединение ACS с доменом объявляется неудачным.
Можно ли настроить ACS 5.x одновременно в родительском и дочернем доменах?
Решение
№В настоящее время ACS 5.x может входить только в один домен. Однако ACS 5.x может аутентифицировать пользователей / машины из нескольких доверенных доменов.
Могу ли я регистрировать данные ACS 5.x View в удаленной базе данных?
Решение
Да, ACS 5.x позволяет регистрировать данные ACS View на серверах Microsoft SQL и Oracle SQL.
Решение
ACS 5.x можно установить на виртуальную машину. Последнюю версию ACS 5.3 можно установить на следующие версии VMWare:
VMWare ESX 3.5
VMWare ESX 4.0
VMWare ESX i4.1
VMWare ESX 5.0
Каковы требования к месту на диске для ознакомительной версии ACS 5.x?
Решение
Для ознакомительной версии требуется минимум 60 ГБ дискового пространства. Для производственной установки требуется 500 ГБ.
Решение
Чтобы устранить эту ошибку, проверьте следующее:
Проверьте, присоединен ли компьютер ACS к домену Active Directory.
Проверьте состояние подключения между машиной ACS и сервером Active Directory.
Проверьте, запущен ли агент ACS Active Directory.
См. Идентификатор ошибки Cisco CSCtx71254 (только для зарегистрированных клиентов) для получения дополнительной информации.
При обновлении Cisco ACS с помощью патча процесс выполнения застревает в состоянии «Ошибка выполнения», и это сообщение регистрируется:
«local0 err err 83 2012-06-12T12: 11: 08 + 0200 192.168.150.74 ACS ACS logforward ERROR: /opt/CSCOacs/runtime/bin/run-logforward.sh: строка 18: 7097 Ошибка сегментации (дамп ядра) ./$daemon -b -f $ logfile «
Решение
Это может быть проблема с патчем MD5 последнего патча. Проверьте контрольную сумму MD5 последнего исправления, примененного к Cisco ACS. Загрузите это снова, затем примените правильно.
Сервер UCS настроен для аутентификации Клиента Java от Cisco ACS. Процесс аутентификации включает использование сервера токенов RSA.Первая аутентификация проходит. Однако когда UCS обновляется и вынуждает клиента Java повторно пройти аутентификацию, он терпит неудачу, потому что RSA не позволяет повторно использовать какой-либо токен. Таким образом аутентификация не выполняется.
Решение
Это ограничение с точки зрения сервера UCS, но не со стороны Cisco ACS. Сервер UCS следует двухфакторной аутентификации, которая не поддерживается для Cisco ACS при использовании с токенами RSA. В настоящее время не поддерживается. В качестве обходного пути рекомендуется использовать любой сервер базы данных, например AD или LDAP, кроме сервера токенов RSA.
Решение
Произошла несопоставленная ошибка в операции, связанной с AD. См. Пример интеграции ACS 5.x с Microsoft AD и настройте интеграцию AD с ACS должным образом. Если все настроено правильно согласно документу, обратитесь в Центр технической поддержки Cisco для дальнейшего устранения неполадок.
Решение
Это происходит из-за проблем несовместимости. Интеграция с AD 2008 R2 поддерживается только в версии ACS 5.2.Обновите ACS до версии 5.2 или новее. См. Идентификатор ошибки Cisco CSCtg12399 (только для зарегистрированных клиентов) для получения дополнительной информации.
Когда пользователи SSL VPN пытаются пройти аутентификацию от устройства RSA, это сообщение об ошибке получено от сервера Cisco ACS:
Причина сбоя: 22056 Субъект не найден в соответствующем хранилище (ах) удостоверений.
Решение
Проверьте, присутствует ли пользователь в базе данных, где ACS указывает на поиск.В случае RSA и RADIUS Identity Store убедитесь, что опция Treat Reject выбрана, поскольку аутентификация не удалась . Это находится на вкладке «Дополнительно» в конфигурации хранилища идентификационных данных.
ipt_connlimit: К сожалению, недействительное состояние ct? сообщение об ошибке появляется на консоли, когда ACS 5.x работает на VMWare.
Решение
Это косметическое сообщение. См. Идентификатор ошибки Cisco CSCth35712 (только для зарегистрированных клиентов) для получения дополнительной информации.
AC5.x / ISE не видит атрибут радиуса идентификатора вызывающей станции в запросе RADIUS от NAS с программным обеспечением Cisco IOS версии 15.x.
Решение
Используйте атрибут radius-server 31, отправьте команду nas-port-detail в Cisco IOS Software Release 15.x, чтобы разрешить отправку атрибута.
Когда ACS 5.3 интегрирован с Active Directory на функциональном уровне Windows 2008 R2, учетные записи пользователей, для которых заданы параметры блокировки (3 неправильные попытки), блокируются преждевременно после того, как пользователь вводит неправильные учетные данные только один раз.
Решение
См. Идентификатор ошибки Cisco CSCtz03211 (только для зарегистрированных клиентов) для получения дополнительной информации.
Во время попытки сохранить резервную копию из ACS, Причина: Добавочное резервное копирование не настроено — Подробности: Добавочное резервное копирование не настроено. Настройка добавочного резервного копирования необходима для успешной очистки базы данных. Это поможет избежать проблем с дисковым пространством. Просмотр базы данных Размер составляет 0,08 ГБ, а размер, который она занимает на жестком диске, составляет 0,08 ГБ. Появляется предупреждение.
Решение
Нельзя одновременно запускать инкрементное резервное копирование, полное резервное копирование и очистку данных. Если какое-либо из этих заданий выполняется, вы должны подождать 90 минут, прежде чем сможете приступить к следующему заданию.
Online RSA Encryption, Decryption and Key Generator Tool
RSA (Ривест-Шамир-Адлеман) — это асимметричное шифрование метод, который использует два разных ключа как открытый и закрытый ключи для выполнения шифрование и дешифрование.С RSA вы можете зашифровать конфиденциальную информацию с помощью открытый ключ и соответствующий закрытый ключ используются для дешифрования зашифрованного сообщения. Асимметричное шифрование в основном используется, когда есть 2 разных конечных точки. задействованы такие как клиент и сервер VPN, SSH и т. д.
Ниже представлен онлайн-инструмент для выполнения шифрования и дешифрования RSA как RSA. калькулятор.
Для реализации RSA на Java вы можете следовать этому статья.
Во-первых, нам необходимы открытый и закрытый ключи для шифрования и дешифрования RSA. Следовательно, Ниже приведен инструмент для создания ключа RSA в режиме онлайн. Он генерирует открытый ключ RSA а также закрытый ключ размером 512 бит, 1024 бит, 2048 бит, 3072 бит и 4096 бит с Base64 закодировано.
По умолчанию закрытый ключ создается в формате PKCS # 8, а открытый ключ создается в формате X.509.
Шифрование и дешифрование RSA в Интернете
Ниже представлен инструмент для шифрования и дешифрования. Либо вы можете использовать общедоступный / частный ключи, созданные выше, или предоставить свои собственные открытые / закрытые ключи.
Любое значение частного или открытого ключа, которое вы вводите или которое мы генерируем, не сохраняется в этот сайт, этот инструмент предоставляется через URL-адрес HTTPS, чтобы гарантировать, что закрытые ключи не могут быть украли.
Этот инструмент обеспечивает гибкость для шифрования RSA как с открытым, так и с закрытым ключом. вместе с расшифровкой RSA с открытым или закрытым ключом.
Шифрование RSA
Введите обычный текст для шифрования
Введите публичный / частный ключ
Выбрать тип шифра RSARSA / ECB / PKCS1Padding RSA / ECB / OAEPWithSHA-1AndMGF1Padding
Зашифровать
зашифрованный вывод (Base64):
Руководство по использованию — шифрование и дешифрование RSA в Интернете
В первом разделе этого инструмента вы можете сгенерировать открытые или закрытые ключи.Для этого выберите размер ключа RSA из 515, 1024, 2048 и 4096 бит, нажмите кнопку. Это сгенерирует для вас ключи.
Для шифрования и дешифрования введите простой текст и укажите ключ. Как шифрование можно сделать с помощью обоих ключей, вам нужно сообщить инструменту о типе ключа, который вы поставили с помощью радиокнопки.По умолчанию выбран открытый ключ. Потом, вы можете использовать тип шифра, который будет использоваться для шифрования. Различные варианты шифратора находятся ЮАР, RSA / ECB / PKCS1Padding и RSA / ECB / OAEPWithSHA-1AndMGF1Padding. Теперь, как только вы нажмете зашифровать, зашифрованный результат будет показан в текстовом поле чуть ниже кнопка.
Помните, зашифрованный результат по умолчанию закодирован в формате base64.
Точно так же и для расшифровки. Здесь вам нужно ввести зашифрованный RSA текст, и результатом будет простой текст. У вас есть оба варианта расшифровать шифрование с открытые и закрытые ключи.
000014376 — Есть оборудование и программное обеспечение RSA SecurID…
1. Соответствуют ли токены SecurID требованиям FIPS 140-2?
FIPS 140-2 — это стандарт NIST, определяющий требования к криптографическим модулям.
Говоря о соответствии стандарту FIPS 140-2, важно различать процессор SecurID, присутствующий во всех аппаратных аутентификаторах RSA
, и интеллектуальный чип, используемый специально в SID800.
-
FIPS 140-2 для токенов RSA SecurID
В общем, FIPS 140-2 не применяется к аппаратным устройствам OTP, поскольку здесь не используется криптография в традиционном смысле.
Некоторые люди указали на требование FIPS 140-2 в отношении генерации случайных чисел (RNG), но SecurID не использует RNG таким образом (SecurID не может быть случайным числом, иначе токен и сервер не смогут получить то же значение).
Другие указали на требование FIPS для выполнения самотестирования при включении (POST). Однако, в отличие от токена на основе событий, который «включается» при каждом нажатии кнопки, токены SecurID, основанные на времени, всегда включены и поэтому не подпадают под это требование.
Стоит отметить, что RSA выполняет начальную процедуру POST при производстве, когда токен впервые включается и запрограммирован.
-
FIPS 140-2 для токена SID800
Хотя сам SID800 не сертифицирован FIPS, он предназначен для работы в режиме FIPS с использованием как интеллектуального чипа, так и операционной системы, которые работают независимо сертифицирован по стандарту FIPS 140-2 уровня 3.
Просмотрите сертификат проверки FIPS 140-2 для смарт-чипа и ОС, используемых в SID800.
2. Соответствуют ли токены SecurID требованиям FIPS 197?
Да, алгоритм соответствует требованиям FIPS. Стандарт FIPS 197 является синонимом алгоритма Advanced Encryption Standard (AES), который использует SecurID. Мы не отправляем наши токены на сертификацию FIPS, поэтому они не сертифицированы, но алгоритм пройдет проверку.
3. Соответствуют ли токены SecurID требованиям FIPS 201?
FIPS 201 — это стандарт NIST, определяющий как технические требования, так и передовые методы развертывания и использования смарт-карт.Первоначально предназначенный для программы HSPD-12 федерального правительства США, интерес к FIPS 201 возник как в США, так и за рубежом. Многие клиенты сначала
спрашивают о концепции FIPS 201 апплета Personal Identity Verification (PIV), который обещает кроссплатформенную стандартизацию смарт-карт и промежуточного программного обеспечения. Однако большинство клиентов не осознают, что спецификация апплета PIV была написана специально для нужд программы HSPD-12 и является слишком ограничительной для большинства корпоративных и коммерческих пользователей, поскольку запрещает любые виды самообслуживания конечных пользователей и предъявляет особые требования к использованию сертификатов и биометрических данных.На самом деле большинство клиентов хотят использовать политики и передовые методы FIPS 201, не ограничиваясь ограничениями апплета PIV. SID800 не поддерживает апплет PIV, но его можно развернуть и использовать в соответствии с требованиями FIPS 201.
4. Соответствуют ли аппаратные аутентификаторы RSA требованиям Common Criteria? Если да, то какой уровень гарантии оценки (EAL) был получен?
RSA в настоящее время не планирует подавать заявки на проверку общих критериев своих аппаратных токенов.
5. Соответствуют ли токены SecurID NIST 800-63? Какому уровню соответствия они соответствуют?
Описание различных уровней NIST:
- Уровень 1 не требует подтверждения личности и позволяет использовать любой тип токена, включая простой PIN-код. Не требуется особых усилий для защиты сеанса от офлайн-атак или перехватчиков.
- Уровень 2 требует подтверждения личности. Принимаются пароли, но не PIN-коды. Атаки и подслушивание предотвращаются с помощью криптографических методов, соответствующих требованиям Федерального стандарта обработки информации 140-2.
- Уровень 3 требует строгой проверки личности и многофакторной аутентификации, обычно пароль или биометрический фактор, используемый в сочетании с программным или аппаратным токеном, в дополнение к проверенной FIPS криптографии.
- Уровень 4 — это самый высокий уровень гарантии, требующий многофакторной аутентификации с использованием аппаратного токена. Криптография в аппаратном токене должна быть проверена на уровне 2 FIPS 140-2 в целом, с проверкой уровня 3 для физической безопасности.Передаваемые важные данные должны быть аутентифицированы с помощью ключа, сгенерированного в процессе аутентификации.
Дополнительные примечания и комментарии относительно программных токенов RSA SecurID и всех токенов в целом
Программные токены RSA SecurID и сервер Authentication Manager 8.4 соответствуют требованиям FIPS-140, так как они находятся в операционной системе и файловой системе устройства , и к ним можно получить доступ несколькими способами, поэтому для обеспечения полной безопасности требуется более тщательная проверка и, следовательно, они протестированы / сертифицированы FIPS-140.
То же самое и с областью хранения смарт-карты SID800, доступной через USB.
Микросхема с токен-кодом SID700 и SID800 заблокирована, залита эпоксидной смолой, защищена от несанкционированного доступа / несанкционированного доступа, и нет возможности получить доступ к микросхеме и будущим кодам, не разрушив ее. Из-за характера того, что делает аппаратный токен и как он работает, а также того факта, что он не является криптографическим модулем, он не требует сертификации FIPS-140.
FIPS 140-2 неприменим к кодам токенов SID700 и SID800, поскольку они не являются криптографическими модулями.
Вот конкретный язык непосредственно из спецификации FIPS 140-2:
Этот стандарт определяет требования безопасности, которым будет удовлетворять криптографический модуль , используемый в системе безопасности, защищающей конфиденциальную, но несекретную информацию (далее именуемую конфиденциальной Информация).
SID700 / 800 не хранит, не шифрует, не передает и не защищает какую-либо конфиденциальную или иную информацию. FIPS 140-2 применим к RSA Authentication Manager, поскольку он имеет базу данных, в которой хранятся зашифрованные данные клиентов.Это применимо к программным токенам, поскольку они получают зашифрованные данные от Authentication Manager и хранят зашифрованные записи токенов в ОС хоста. И это применимо к смарт-карте , части SID800, потому что она используется как для шифрования, так и для операций с цифровой подписью.
RSA (шаг за шагом) — CrypTool Portal
Этот модуль демонстрирует пошаговое шифрование и дешифрование с помощью метода RSA. Отправитель использует открытый ключ получателя для шифрования; получатель использует связанный с ним закрытый ключ для расшифровки.
Простые числа
Безопасность RSA основана на том факте, что легко вычислить произведение n двух больших простых чисел p и q . Однако очень трудно определить только из произведения n два простых числа, которые дают продукт. Это разложение также называется факторизацией n .
В качестве отправной точки для RSA выберите два простых числа p и q .
Чтобы алгоритм работал, два простых числа должны быть разными.
Открытый ключ
Произведение n также называется модулем в методе RSA.
n = p × q = (бит)
Для демонстрации мы начинаем с малых простых чисел. Чтобы усложнить факторизацию, простые числа должны быть намного больше. В настоящее время для безопасного обмена данными используются значения n с несколькими тысячами двоичных цифр.
Открытый ключ состоит из модуля n и экспоненты e .
Этот e может быть предварительно выбран и одинаков для всех участников.
Секретный ключ
RSA использует функцию Эйлера φ из n для вычисления секретного ключа. Это определяется как
φ ( n ) = ( p — 1) × ( q — 1) =
Предварительным условием здесь является то, что p и q разные. В противном случае функция φ рассчитывалась бы иначе.
Для RSA важно, чтобы значение функции φ было взаимно простым с e (наибольший общий делитель должен быть равен 1).
gcd ( e , φ ( n )) =
Чтобы определить значение φ ( n ), недостаточно знать n . Только зная p и q , мы можем эффективно определить φ ( n ).
Секретный ключ также состоит из d со свойством, что e × d — 1 является кратным φ ( n ).
Выраженное в формулах, должно применяться следующее:
e × d = 1 (mod φ ( n ))
В этом случае выражение mod означает равенство относительно остаточного класса.Это x = y (mod z ) тогда и только тогда, когда существует целое число a с x — y = z × a .
Для выбранных значений p , q и e , мы получаем d как:
d =
Это d всегда можно определить (если было выбрано e с ограничением, описанным выше) — например, с расширенным алгоритмом Евклида.
Шифрование и дешифрование
Внутренне этот метод работает только с числами (без текста), которые находятся в диапазоне от 0 до n — 1.
Сообщение m (число) зашифровано с помощью открытого ключа ( n , e ) путем вычисления:
m ‘: = m e (mod n )
Расшифровка закрытым ключом ( n , d ) выполняется аналогично с
м ‘: = ( м’ ) d (мод n ).
Это
м » = м e × d (мод. n ).
RSA использует свойство, которое
x a = x b (мод n )
if
a = b (n mod φ ( n ))
Поскольку e и d были выбраны соответствующим образом, это составляет
m » = m .
Порядок значения не имеет. Вы также можете сначала создать сообщение с помощью закрытого ключа, а затем усилить результат с помощью открытого ключа — это то, что вы используете с подписями RSA.
Сообщения
В следующих двух текстовых полях «Открытый текст» и «Шифрованный текст» вы можете увидеть, как работают шифрование и дешифрование для конкретных входных данных (чисел).
Используемая библиотека
Эта страница использует библиотеку BigInteger.js для работы с большими числами.
В результате вы можете вычислять произвольно большие числа в JavaScript, даже те, которые фактически используются в приложениях RSA.