0

Failover Cluster Generic Script Resource Failed 0×80070009


Witajcie,

Dzisiaj chciałbym się podzielić spostrzeżeniem mocno nieintuicyjnego zachowania funkcjonalności Failover Clustering w Windows 2012 R2.
Mianowicie, może się zdarzyć, że po przygotowaniu skryptu kontrolującego zachowanie aplikacji (Generic Script), której chcemy zapewnić wysoką dostępność i po konfiguracji zgodnie z tym blogiem Zespołu produktowego Microsoft zasób klastra nie zostanie uruchomiony, a status zasobu będzie zawierał informację

1
The storage control block is invalid.

Przedstawia to poniższy zrzut ekranowy:
Status zasobu klastrowego
Kiedy zgodnie z sugestią z komunikatu o błędzie wyświetlimy rozszerzoną informację o błędzie uzyskamy informację o kodzie błędu

1
0x80070009

Rozszerzona informacja o błędzie
Podobny wpis zostanie odłożony w logu systemowym klastra:
Log systemowy klastra

W takiej sytuacji należy przede wszystkim się upewnić, że przygotowany przez nas skrypt nie zwraca z żadnego wywołania API wartości 0×9.
Gdy posiadamy taką pewność, to błąd ten oznacza, że skrypt Visual Basic ma niepoprawną składnię i menedżer zasobów klastra nie był w stanie prawidłowo go skompilować.
Dlatego dobrą praktyką jest przed utworzeniem zasobu klastrowego weryfikacja poprawności kompilacji skryptu. W tym celu należy wydać polecenie z linii poleceń:

1
cscript.exe C:\pełna\ścieżka\do\pliku.vbs

Ponieważ skrypt zawierać powinien same definicje funkcji, a nie ma żadnych ich wywołań (cecha charakterystyczna wywołań zwrotnych – „CallBack”), to prawidłowo napisany skrypt nie powinien nic wykonać ani wyświetlić.
W przypadku nieprawidłowej walidacji wynik będzie podobny do poniższego zrzutu ekranu:
Błąd walidacji skryptu

Pozdrawiam serdecznie i życzę samych poprawnych skryptów!

Continue...
0

Migracja zasobów między subskrypcjami w MS Azure


W chmurze Microsoft Azure użytkownik może posiadać dowolną liczbę subskrypcji. Subskrypcja jest najmniejszą jednostką konfigurującą sposób płatności i zakres własności zasobów.
Każda subskrypcja generuje swój osobny Billing. Nie ma żadnego znaczenia w tym przypadku fakt, że jeden użytkownik, czy organizacja jest właścicielem subskrypcji. Jedna subskrypcja, jeden rachunek. Istnieje wyjątek w postaci umów typu Enterprise, gdzie ten model jest bardziej skomplikowany, ale ten temat zostawiamy na boku.
Istotne jest to, że będąc indywidualnym właścicielem kilku subskrypcji, można dostać na przykład 3 rachunki opiewające na 2 euro. To potrafi być irytujące.
Dlatego zaistniała potrzeba połączenia subskrypcji ze sobą.
Jedną metodą, jaka jest dostępna w Azure, na wykonanie takiej akcji jest migracja zasobów do jednej z subskrypcji i odwołanie pozostałych. W sieci można znaleźć dużo pytań na ten temat, jednak mało która odpowiedź jest konkretna. Okazuje się jednak, że rozwiązanie jest bardzo proste i wspierane. Opisane dokładnie w szczegółach jest w tym artykule.
Tutaj tylko przytoczę informację o tym, że możliwość migracji jest uzależniona od konkretnego typu zasobu i niektóre zasoby posiadają pewne ograniczenia w przenoszeniu.
Pełna lista zasobów wspierających przenoszenie dostępna jest tutaj.

Continue...
0

Optymalizacja kosztów utrzymania Azure WebApps – prezentacja


W dniu 23. czerwca 2016 miało miejsce drugie spotkanie krakowskiej grupy Azure Users Group Poland.
W ramach tego wydarzenia przedstawiłem prezentację dotyczącą różnych sposobów optymalizacji kosztów utrzymania Azure WebApps.
Prezentację z tego wystąpienia można znaleźć tutaj
Stanisław Wawszczak przedstawia prezentację

Continue...
0

Generowanie Żądania certyfikatu z openssl dla Microsoft Enterprise CA


Dawno temu pisałem o tym, jak wygenerować żądanie certyfikatu dla systemów nie będących Windowsami tak, aby dało się certyfikat wystawić na Microsoft Enterprise CA. Jako przykład podałem generowanie certyfikatów serwera vCenter
Niedawno temat powrócił, ale w nowej odsłonie, gdyż serwer vSphere wymaga zdefiniowania w certyfikacie odpowiednich Nazw Alternatywnych. Powstało pytanie, jak pogodzić te dwie funkcjonalności.
Okazuje się to być całkiem proste, trzeba tylko pamiętać, że choć plik konfiguracji openssl pozwala na wiele sekcji opisujących rozszerzenia żądania certyfikatu, to tylko jedna z nich może być wykorzystywana w trakcie generowania certyfikatu. Dlatego przygotowując plik konfiguracyjny dla określonego serwera warto uporządkować jego strukturę, względem propozycji przedstawionej w poprzednim wpisie.
Przykładowy plik konfiguracyjny może wyglądać następująco:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
openssl_conf = openssl_init

[ openssl_init ]
oid_section = new_oids

[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ new_oids ]
MsCaCertificateTemplate = 1.3.6.1.4.1.311.20.2

[ v3_req ]
basicContraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:server01, DNS:server01.domena.test
MsCaCertificateTemplate = ASN1:PRINTABLESTRING:VMwareCertificate

[ req_distinguished_name ]
countrName = PL
stateOrProvinceName = Malopolskie
localityName = Krakow
0.organizationName = Firma
organizationalUnitName = Oddzial
commonName = server01.domena.test

Analizując najważniejsze części:

  • Linia 1. Wskazuje na sekcję będącą konfiguracją globalną.
  • Linia 4. Wskazuje na sekcję defniującą OIDy. Linia ta jest jedyną w sekcji konfiguracji globalnej
  • Linia 13. Wskazuje na sekcję definiującą rozszerzenia, które zostaną dodane do żądania certyfikatu
  • Linia 15. Definiuje sekcję z OIDami.
  • Linia 16. Definiuje OID zarejestrowany i użytkowany przez Microsoft do oznaczania rozszerzenia definiującego szablon certyfikatu
  • Linia 22. Definiuje alternatywne nazwy serwera. Należy zwrócić uwagę na fakt, że w przykładzie używany jest prefiks DNS: Możliwe są także inne prefiksy.
  • Linia 23. Definiuje nazwę używanego szablonu certyfikatów. Należy zwrócić uwagę, że wykorzystywany jest wariant nazwy bez żadnych spacji. Nazywa się on „Certificate Template Name”, w przeciwieństwie do nazwy przyjaznej, nazywającej się „Certificate Template Display Name”

Pozostała cześć jest standardowa dla każdego żądania obsługiwanego przez openssl.

Continue...
1

Błąd Orchestrator 2012 R2 REST OIP: HTTP Version should be either 1.0 or 1.1


Dzisiaj szybka diagnostyka problemu przedstawionego w tytule postu.
Rozważamy następujący scenariusz:

  1. Orchestrator 2012 R2 zainstalowany na serwerze Windows 2012 R2
  2. Zaimportowany Integration Pack dla REST
  3. Skonfigurowane ustawienia regionalne które zakładają separator dziesiętny inny niż kropka (‘.’)
  4. W parametrach akcji „Invoke Rest Service” jest wprowadzona zgodna z dokumentacją wartość ciągu „1.0″ lub „1.1″

W Polsce, mamy Z scenariuszem takim mamy do czynienia zazwyczaj , gdzie zwyczajowym separatorem dziesiętnym jest przecinek.
I to właśnie on jest powodem powstania problemu, w przypadku gdy jesteśmy pewni że ostatni punkt scenariusza został zrealizowany prawidłowo.
Wewnątrz implementacji tej akcji znajduje się odpowiednik następującego kodu (tutaj przytaczam powershell, aby łatwo było potwierdzić diagnozę):

1
2
3
4
5
6
7
$result = 0;
$HTTPVersion = "1.1"
$status = [float]::TryDecode($HTTPVersion, [ref]$result);
if(($status -ne $true) -or ($HTTPVersion -ne "1.0") -or ($HTTPVersion -ne "1.1"))
{
"Return Error: HTTP Version should be either 1.0 or 1.1";
}

W sytuacji, gdy w ustawieniach regionalnych separator dziesiętny nie jest ustawiony na znak '.' to w linii numer 3 zostanie ustawione $status == $false.

Rozwiązaniem jest ustawić klucz rejestru HKU\SID\Control Panel\International\sDecimal
oraz HKU\SID\Control Panel\International\sMonDecimalSep dla użytkownika o wartości SID na znak '.'
Na koniec należy zrestartować usługę orchestratora, a problem zostanie rozwiązany.

Po raz pierwszy opisałem temat odpowiadając na pytanie rosyjskojęzycznej osoby z technet’u.

Continue...
1

Eksport/Import szablonów certyfikatów z AD w Windows 2012


Dzisiaj będzie parę słów o imporcie i eksporcie szablonów certyfikatów w Microsoft Active Directory.
Te dane są zapisane w partycji konfiguracji AD i przez to są współdzielone przez wszystkie domeny w obrębie lasu AD.
Czasem jednak zdarzają się sytuacje, kiedy zachodzi potrzeba przeniesienia tych danych między lasami, na przykład przy wdrażaniu testowanego uwcześnie rozwiązania w środowisku przed produkcyjnym do produkcyjnej domeny.
Zadanie takie może być wykonane na dwa różne sposoby. Pierwszy jest oczywisty dla tych, którzy mają z systemem windows duże doświadczenie, ale sposób ten jest brzydki i może powodować duże komplikacje w dzisiejszych systemach. Dlatego omówię go później.
Wraz z nadejściem systemu Windows 2008 R2 została wprowadzona nowa rola AD CS, która nazywa się AD CS Web Enrollment Service.
Służyć ona ma publikacji oraz użytkowaniu CA pomiędzy lasami AD, przy założeniu istnienia jedynie Zewnętrznej relacji zaufania pomiędzy tymi lasami. Więcej na ten temat można znaleźć tutaj.
Na tej samej stronie zostały też zamieszczone dwa świetne skrypty napisane w powershellu, które stanowią istotę dzisiejszego wpisu. Dzięki nim można wyeksportować oraz zaimportować szablony do oraz z plików XML w formacie MS-XCEP.
Niestety, te skrypty posiadają dwa błędy, które ujawniają się w trakcie pracy z systemem Windows 2012:

  1. skrypty zostały napisane jako zwykłe CMD-Let’y, które niestety nie są ładowane w W2k12. Szybkim obejściem tego problemu jest zakomentowanie deklaracji funkcji wraz z zamykającym nawiasem klamrowym na początku i końcu skryptu. Ponadto należy zakomentować deklarację parametrów jako cmd-let binding. Po tych zmianach skrypty uruchamiać się będą w normalny sposób z możliwością podania odpowiednich danych wejściowych, jak jest to wymagane.
  2. Funkcja eksportująca ma w niewłaściwy sposób zrealizowaną obsługę weryfikacji istnienia jednego z tablicowych atrybutów szablonu. Linię:
    1
    $superseded = if ($temp.Settings.SupersededTemplates -eq 0) {

    Należy zastąpić następującą:

    1
    $superseded = if ($temp.Settings.SupersededTemplates.Length -eq 0) {

    Dzięki temu zabiegowi zarówno eksport jak i import przebiegną pomyślnie..

  3. Ostatnią niedogodnością tych skryptów jest zależność od zewnętrznego modułu Power Shell. Ponieważ moduł jest napisany w .NET, na pewno istnieje możliwość wyeliminowania tej zależności, jednak ten temat będzie przedmiotem innego posta.

Wspominana wcześniej „brzydka metoda” to jest stara komenda ldifde wraz z wymaganymi flagami służącymi do eksportu:

1
ldifde -m -v -d cn=%Template1%,%LDAP% -f %Template1%.ldf

Najważniejszą częścią tej komendy jest przełącznik -m, który skutkuje wynikowym plikiem ldf pozbawionym odwołań do obiektów AD Forest.
Żeby zaimportować wygenerowany plik należy użyć bardzo podobnej komendy.:

1
 ldifde -i -k -f %Template1%.ldf

Metoda ta powinna działać dla wszystkich systemów, począwszy od Windows 2000.

Continue...
2

Pobieranie obiektów WMI osadzonych wewnątrz innych jako zmienne klas (C#)


Witajcie,

Dzisiaj szybkie spostrzenie dotyczące właściwości pobierania obiektów WMI będących zawartych wewnątrz obiektów zadanej klasy.
Gdy w podstawowej formie pobieramy kolekcję obiektów WMI spełniających zadane warunki, dostajemy w wyniku obiekt klasy System.Management.ManagementObjectCollection. Każdy z System.Management.ManagementObject posiada wypełnione jedynie podstawowe pola, będące zdefiniowane jako typy proste (int, string, bool). Jednak gdy chcemy odnieść się do pola, które jest typu innej klasy WMI, to dostajemy w rezultacie wartość NULL.
Aby wypełnić takie pole(a) należy wywołać na potrzebnym nam obiekcie metodę Get()
Metoda ta w dokumentacji przedstawiona jest jako popinająca reprezentację .NET klasy System.Management.ManagementBaseObject do rzeczywistej instancji WMI. Może być użyta jako skrótowa forma odwołania się do obiektu klasy poprzez wypełnienie atrybutu Path obiektu po czym wywołanie funkcji Get(). Jednak w naszym przypadku chodzi o ponowne podłączenie, które jako efekt uboczny (skutek wcześniejszej optymalizacji) daje pełną reprezetancję klasy wraz z osadzonymi wewnątrz obiektami (albo tablicami!).
Prezentuje to poniższy przykład:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
// for kerberos constrained delegation
ConnectionOptions wmiOptions = new ConnectionOptions();
wmiOptions.Authentication = AuthenticationLevel.PacketPrivacy;
wmiOptions.Impersonation = ImpersonationLevel.Impersonate;
// for connection to remote host
ManagementScope scope = new ManagementScope("\\\\" + serverName + "\\root\\SMS\\Site_" + siteCode, wmiOptions);
// for performing query to wmi
WqlObjectQuery wmiQuery = new WqlObjectQuery(query);
ManagementObjectSearcher searcher = new ManagementObjectSearcher(scope, wmiQuery);
// performing search itself
ManagementObjectCollection Colls = searcher.Get();
ManagementBaseObject[] rules = null;
ManagementObject coll = null;
//retrieving objects from collection, in this example we assume only one result
foreach (ManagementObject o in Colls)
{
      coll = o;
      // coll["CollectionRules"] == null
      coll.Get();
      // after previous call it is filled in
      rules = (ManagementBaseObject[])o["CollectionRules"];
}
Continue...
1

Jak zdalnie wywołać opublikowane zadanie na kliencie SCCM 2012


Witajcie,

W sieci można znaleźć wiele pytań o zdalne wywoływanie akcji klienta SCCM poprzez skrypty.
W oficjalnym SDK do SCCM 2012 nie ma absolutnie nic na temat takiej możliwości. W wersji do SCCM 2007 jest przykład skryptu wykonywanego lokalnie, wywołującego obiekty klas COM CPAppletMgr oraz UIResourceMgr. Niestety, konfiguracja DCOM, która umożliwiałaby zdalne użycie tych obiektów jest conajmniej uciążliwa, a przy okazji bezużyteczna na dłuższą metę, gdyż niedorzecznym była by wiara, że klasy te (a w szczególności GUID’y) nie zmienią się w przyszłości.
Bardziej naturalną formą integracji z SCCM’em jest wykonywanie wywołań WMI.
I tutaj znowu Microsoft podłożył wszystkim autorom skryptów kukułcze jajo – w SDK do wersji 2012 jest jedynie suchy opis klas WMI dostępnych w kliencie i serwerze, jednakże brakuje jakichkolwiek wskazówek dotyczących ich używania.
Po dłuższych poszukiwaniach odnalazłem fantastyczne narzędzie: SMSCLICTR, które zbiera wszystkie możliwe ustawienia i wywołania w proste do użycia biblioteki .NET. Mogą być one wykorzystane także w powershell’u, jednakże często użycie zewnętrznych typów danych w PS jest zabronione przez polityki bezpieczeństwa systemu.
Ostatecznie nie pozostało nic innego, jak utworzenie własnego kawałka kodu, który będzie wykonywał wymagane akcje.

  1. Po pierwsze, konieczne jest wywołanie odświeżenia polityk klienta SCCM. Może to zostać wykonane przez poniższą funkcję:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    function ForceMachinePolicyRefresh
    {
    param($clientname, $username, $userpass, $PolicyID)
    $ms = new-object system.management.managementscope
    $ms.Path = "\\$clientname\root\CCM"
    $ms.options.username = $username
    $ms.options.password = $userpass
    $mc = new-object system.management.managementclass($ms, 'SMS_Client', $null)
    $mc.invokeMethod("TriggerSchedule", $PolicyID)
    return $mc
    }

    Parę uwag do powyższego kodu:

    • Połączenie do przestrzeni nazw WMI następuje w formie bezpośredniej, bez użycia rzutowania, dostępnego w powershell na klasę [wmi], z powodu konieczności przekazania poświadczeń. Kod ten może wywoływać WMI zdalnie, dzięki zastosowaniu $ms.options.username które wspierane jest tylko w przypadku zdalnych połączeń.
    • Jest to ogólna funkcja umożliwiająca wymuszenie wywołania dowolnej harmonogramowej akcji. Tak więc może zostać użyta nie tylko do odświeżania polityki komputera, ale także do zastosowania ustawień konfiguracji lokalnej, co zostanie pokazane za moment.
    • Ostatnią rzeczą, dotyczącą tego małego kawałka kodu jest fakt, iż może zostać użyty jako szablon do manipulacji dowolnymi właściwościami i metodami opublikowanymi przez klasę WMI SMS_Client. Dopiero teraz SDK może się okazać pomocne.
  2. Tak więc mając zdefiniowaną tę procedurę pomocniczą możemy przejść do sedna sprawy. Poniższa funkcja służy do uruchomienia wymuszonej publikacji podanego w argumencie pakietu lub aplikacji. Funkcja pobiera wszystkie wymagane argumenty, tak że jest zupełnie niezależna od kontekstu, w którym jest wykonywana:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    function InvokeOptionalAdvertisement
    {
    Param($clientname, $username, $userpass, $advertID, $packID)
    $mc = ForceMachinePolicyRefresh -clientname $clientname -username $username -userpass $userpass -PolicyID "{00000000-0000-0000-0000-000000000021}"
    $ms = new-object system.management.managementscope
    $ms.path = "\\$clientname\root\ccm\policy\Machine\ActualConfig"
    $ms.options.username = $username
    $ms.options.userpass = $userpass
    $query =new-object System.Management.ObjectQuery
    $query.QueryString = "Select * From CCM_SoftwareDistribution where ADV_AdvertisementID = '$advertID' and PKG_PackageID = '$packID'"
    $searcher = new-object system.management.managementobjectsearcher($query)
    $searcher.Scope = $ms
    $advs = $searcher.Get
    $enum = $advs.GetEnumerator()
    $enum.MoveNext()
    $adv = $enum.Current
    $adv.SetPropertyValue("ADV_RepeatRunBehavior", "RerunAlways")
    $adv.SetPropertyValue("ADV_MandatoryAssignments", "True")
    $adv.Put()
    $query1 = new-object System.Management.ObjectQuery
    $query1.QueryString = "Select ScheduledMessageID FROM CCM_Scheduler_ScheduledMessageID like '" + $adv.ADV_AdvertisementID + "-" + $adv.PKG_PackageID + "%'"
    $searcher1 = new-object System.management.managementobjectsearcher($query1)
    $searcher1.scope = $ms
    $scheds = $searcher1.Get()
    $scheds | Foreach-Object { $mc[1].invokeMethod("TriggerSchedule", $_.ScheduledMessageID) }
    return $adv
    }

    No i oczywiście słowo komentarza do powyższego kodu:

    • Na początku wywołujemy odświeżenie polityki komputera, aby mieć pewność, że pracujemy na aktualnych danych publikacji pobranych z SCCMa. Tę akcję wykonujemy przy użyciu naszej pomocniczej procedury.
    • Następnie definiujemy nowy kontekst zarządzania WMI obejmujący aktualnie załadowaną konfigurację klienta SCCM.
    • Kolejno, tworzymy instację klasy ObjectQuery, która reprezentować będzie zapytanie WMI. To zapytanie pobiera z przestrzeni wszystkie obiekty klasy CCM_SoftwareDistributionktóre pasują do przekazanych wymagań.
    • Poprzez wywołanie metody $searcher.Get umieszczamy w zmiennej $advs wszystkie obiekty będące wynikiem zapytania.
    • Dzięki użyciu sztuczki z pobraniem enumeratora i jego właściwości $enum.Current otrzymujemy tylko pojedynczy obiekt, zamiast kolekcji zawierającej ten obiekt.
    • Teraz pora na wykonanie głównego zadania. Modyfikowane są dwie właściwości obranego obiektu, co powoduje, że zamiast opcjonalnej publikacji, na tym konkretnym kliencie staje się ona obowiązkowa i zostanie wykonana przy następnym wywołaniu harmonogramu tej publikacji.
    • Ostatnia część skryptu listuje wszystkie zarejestrowane w systemie obiekty harmonogramu i wymusza ich uruchomienie. To powoduje także wywołanie akcji harmonogramu dla naszej publikacji, którą chcemy wymusić.
Continue...
6

Eagle2KiCad Library Converter Script Update


Dzisiaj napotkałem na problem, który często się pojawia w trakcie używania otwartego oprogramowania. Potrzebowałem użyć symboli elementów elektronicznych dostarczanych przez firmę Farnell (Element14) w formacie dla Eagle’a w KiCad’ie.
Konwersja jest teoretycznie możliwa, dostępnych jest kilka wersji skryptów do tworzenia plików bibliotek KiCad’a na podstawie istniejących modułów Eagle’a. Udało mi się znaleźć najnowszy (wg słów autora i symbolu wersji) na stronie http://www.modulbot.com/download.html.
Próba użycia go zakończyła się niepowodzeniem, gdyż biblioteka powstała w wyniku konwersji miała elementy w rozmiarze 32 razy większym, niż oczekiwane.
Przyczyną tego stanu rzeczy są wersje obu programów. Po dokonaniu koniecznej poprawki udało mi się prawidłowo przekonwertować potrzebne mi biblioteki we właściwej skali.
Ponieważ nie znalazłem wersji oznaczonej literą ‘e’, z takim suffixem publikuję swój skrypt. Dostępny jest tutaj:eagle-lbr2kicad-0.9e.ulp

Continue...
0

Klonowanie tokena RSA? Nawet nie blisko…


Przedwczoraj, na znanym blogu niebezpiecznik.pl został zamieszczony wpis z niepokojącą informacją

„Grupa kilku naukowców właśnie zademonstrowała sposób na `sklonowanie` tokena… „

Jako, że jednym z głównych moich zainteresowań jest kryptografia, z przyjemnością przeczytałem dokument przygotowany przez zespół w składzie Bardou, Focardi, Kawamoto, Simionato, Steel i Tsay.
Dokument ten przedstawia kilka usprawnień do znanego już od dawna (1998) ataku dokonanego przez D. Bleichenbacher’a pozwalającego uzyskać materiał wrażliwy poprzez serię wywołań standardowej funkcji API PKCS#11 C_UnwrapKey.
Pierwszą rzeczą, którą należy tutaj wyjaśnić, jest pojęcie Materiał Wrażliwy. Jest to informacja przenoszona poza tokenem w formie zaszyfrowanej. Najczęściej są to symetryczne klucze kryptograficzne (jak na przykład AES) służące do szybkiego szyfrowania dużych ilości danych (szyfrowanie symetryczne jest dużo szybsze od niesymetrycznego), ale także inne zaszyfrowane porcje danych.
Ponieważ dokument opisuje atak wykorzystujący wywołanie API mające w zamierzeniu zarządzać kluczami, często określenie Klucz jest używane jako Materiał Wrażliwy
Oryginalna metoda była na tyle wolna, że została nazwana „atakiem miliona pytań”, a sam atak został trochę zapomniany. Przytoczony na początku dokument spowodował burzę ze względu na zmniejszenie w bardzo pomysłowy sposób ilości wymaganych operacji na tokenie do wartości umożliwiających przeprowadzenie całego ataku w przeciągu godzin, czy nawet minut.
Jednak należy przypomnieć iż rozważana metoda ataku umożliwia na uzyskanie w formie jawnej jedynie danych podlegających szyfrowaniu kluczami RSA, nie zaś samych Kluczy RSA. Dlatego nie może być mowy o sklonowaniu tokena RSA!
Po tym zasadniczym wyjaśnieniu można przystąpić do analizy, jakie znaczenie praktyczne ma wynaleziona, nowa metoda.
Oceńmy fakty:

  1. Dostęp do funkcji C_UwrapKey możliwy jest tylko po otworzeniu sesji do tokena, czyli po podaniu hasła. Metoda ta korzysta z obiektu klucza prywatnego RSA i nie ma możliwości wywołania jej z kontekstu publicznego, a co za tym idzie bez wiedzy i zgody właściciela tokena.
  2. dane, które mogą wyciec muszą być wcześniej dostępne dla atakującego w formie zaszyfrowanej, co w praktyce jest trudne do realizacji.
  3. typowe zastosowania w biznesie tokenów RSA obejmują przede wszystkim autoryzację i podpis, tokeny wykorzystywane do szyfrowania jak i klucze przeznaczone do tego celu mają podwyższony poziom bezpieczeństwa (służą do tego odpowiednie atrybuty kluczy, stanowiące swoiste plany zastosowania, np. tylko do wymiany kluczy, czy tylko do szyfrowania danych użytkownika)
  4. Pomyślne przeprowadzenie ataku faktycznie umożliwia Wyprowadzenie poza system źródłowy kontroli nad danymi zaszyfrowanymi zaatakowanym kluczem symetrycznym.

Na podstawie powyższego można stwierdzić, że jeśli atak dojdzie do skutku, to tylko za autoryzacją użytkownika i tylko na danych, które są mało istotne z punktu widzenia bezpieczeństwa danych przechowywanych, gdyż Materiał Wrażliwy stanowiący Klucze Kryptografii symetrycznej jest zazwyczaj trudno dostępny nawet w formie zaszyfrowanej. Jako przykład weźmy system szyfrowania plików EFS, wykorzystywany w popularnym systemie plików NTFS, stworzonym przez Microsoft. Dostęp do zaszyfrowanych kluczy AES jest mocno ograniczony ze względu na dodatkowe zabezpieczenia tego systemu.

Continue...