| ||||
| ||||
| Если пользователь использует неГОСТовый сертификат (RSA) и пытается отправить зашифрованное сообщение при помощи Outlook пользователю с ГОСТовым сертификатом, выдается ошибка "Ошибка на нижнем уровне безопасности". | ||||
| Ответы: | ||||
| ||||
| У меня есть вопрос, связанный с этим: Я попробовал зашифровать письмо двумя ключами (на получателя - ключ ГОСТ, КриптоПро CSP, на отправителя - не ГОСТ, CSP от Microsoft). Попытка оказалась неудачной, мой почтовый клиент сообщил о каких-то плохих данных и отказался зашифровать письмо. Это проблема моего клиента (The Bat! 3.0) или CSP от КриптоПро? Или есть какая-то другая причина? | ||||
| ||||
| У меня проблема возникла с Outlook, бат в этом случае шифрует нормально (может только у меня?) | ||||
| ||||
| Относительно: "Если пользователь использует неГОСТовый сертификат (RSA) и пытается отправить зашифрованное сообщение при помощи Outlook пользователю с ГОСТовым сертификатом, выдается ошибка "Ошибка на нижнем уровне безопасности". Для шифрования необходим только сертификат получателя. Отправитель вообще не обязан быть владельцем какого-либо сертификата. Если сертификат получателя ГОСТовый (КриптоПро CSP), то у отправителя должен быть установлен КриптоПро CSP. Убедитесь, что контакт получателя действительно содержит сертификат и при отпраке шифрованного сообщения в его адрес используется нужный контакт (например локальный контакт, а не контакт из глобальной адресной книги) Относительно: "Я попробовал зашифровать письмо двумя ключами (на получателя - ключ ГОСТ, КриптоПро CSP, на отправителя - не ГОСТ, CSP от Microsoft). Попытка оказалась неудачной, мой почтовый клиент сообщил о каких-то плохих данных и отказался зашифровать письмо. Это проблема моего клиента (The Bat! 3.0) или CSP от КриптоПро? Или есть какая-то другая причина?" Шифрование должно осуществляться в адрес получателей (шифрование на себя -вы тоже получатель) с использованием одинаковых алгоритмов | ||||
| ||||
| Ну конечно я понимаю что для шифрования нужен только сертификат получателя, и контакт содержит сертификат, но только в случае если отправитель использует RSA, а получатель ГОСТ, то зашифровать письмо не получается... | ||||
| ||||
| Да, и конечно у отправителя установлен CryptoPro CSP. | ||||
| ||||
| Look at PKCS7 | ||||
| ||||
| >mAxDM maxdm@cryptopro.ru >21.01.2005 2:10:25 >Look at PKCS7 А можно подробнее? | ||||
| ||||
| Прошу прощенья за ОФФТОПИК. КАВ из АНК, до вас проблемно (ни от меня не из Демоса) дописаться, как говорят наши админы у вас неверно настроен почтовый сервер в части работы с TLS. И второе, какие характеристики TLS для работы с закрытой частью вашего форума? С уважением. | ||||
| ||||
| Еще раз прощу прощенья за ОФФТОПИК:-) Кирилл: Предпосылки: smtp-сервер отказывается устанавливать tls-сессию Методы диагностики: > telnet ank-pki.ru 25 220 ank-pki.ru ESMTP > ehlo 250-ank-pki.ru 250-AUTH LOGIN CRAM-MD5 PLAIN 250-AUTH=LOGIN CRAM-MD5 PLAIN 250-STARTTLS 250-PIPELINING 250 8BITMIME > starttls 454 TLS not available: missing RSA private key (#4.3.0) Возможные причины: На smtp-сервере разрешен TLS, но необходимый для установления tls-сессии закрытый ключ не найден | ||||
| ||||
| >подробнее 1. Собщение может быть зашифровано только ОДНИМ алгоритмом. (Вы НЕ можете зашифровать на себя [RSA] и на получателя [ГОСТ]) 2. В аутлуке при выборе сертификата Вы выбрали алгоритм шифрования (и он я явно не ГОСТ, если сертификат не гостовый) - соответственно, нельзя зашифровать сообщение для гостового адресата. 3. Такова реализация MS и стандарт RSA Security. 4. Если интероперабельность требуется - пишете в службу поддержки - подумаем.. (но все равно мы должны оставаться в рамках стандарта) | ||||
| ||||
| >1. Собщение может быть зашифровано >только ОДНИМ алгоритмом. (Вы НЕ можете >зашифровать на себя [RSA] и на >получателя [ГОСТ]) Когда я отправляю шифрованное сообщение, я его шифрую открытым ключом получателя, так? >2. В аутлуке при выборе сертификата Вы >выбрали алгоритм шифрования (и он я >явно не ГОСТ, если сертификат не >гостовый) - соответственно, нельзя >зашифровать сообщение для гостового >адресата. А если воспроизвести такую ситуацию для RSA и DSA, врядли будет такая же ошибка. 3. Такова реализация MS и стандарт RSA Security. 4. Если интероперабельность требуется - пишете в службу поддержки - подумаем.. (но все равно мы должны оставаться в рамках стандарта) Ну конечно она требуется, по-моему проблема просто суперактуальна. А на счет стандарта, это какой стандарт запрещает использовать различные алгоритмы шифрования? | ||||
| ||||
| Хотел бы я посмотреть на шифрование DSA. :) Если Вы знаете как передать в CryptEncryptMessage (аутглук работает через этот api) разные алгоримы шифрования, то можно было бы попробовать добиться совместимости. | ||||
| ||||
| >Когда я отправляю шифрованное сообщение, я его шифрую открытым ключом получателя, так? Совсем не так. И как вы себе представляете сообщение, зашифрованное на разныч алгоримах - хотелось бы взглянуть на asn1? | ||||
| ||||
| to mAxDM maxdm@cryptopro.ru На счет DSA действительно ошибся... Да мне не нужно сообщение зашифрованное на разных алгоритмах, вопрос заключается в том , что если у отправителя нет сертификата то шифрование происходит нормально, а если есть и алгоритм отличент ои алгоритма получателя, то нет. | ||||
Кирилл