Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Писарев  
#21 Оставлено : 18 января 2020 г. 1:55:24(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,652
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
код выполняется на клиенте, ОС Linux, так?
Техническую поддержку оказываем тут
Наша база знаний
Offline Денис U  
#22 Оставлено : 18 января 2020 г. 1:58:51(UTC)
Денис U

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2020(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
"A signature may be (non-exclusively) described asdetached, enveloping, or enveloped". Ага, т.е. бывает открепленная XMLDsig - видимо отдельный xml-файл.
phpcades - да, интересно, запишу в книжечку, как вариант )
Спасибо!
Offline Денис U  
#23 Оставлено : 18 января 2020 г. 2:01:01(UTC)
Денис U

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2020(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей Писарев Перейти к цитате
код выполняется на клиенте, ОС Linux, так?

Код выполняется на сервере 1С, в 64-bit операционной системе CentOS

Offline cherevat  
#24 Оставлено : 21 января 2020 г. 12:13:36(UTC)
cherevat

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2020(UTC)
Сообщений: 2
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 1 раз
Всем доброго времени суток!
Пытаемся сделать запрос на сертификат КВ2 в соответствии с инструкцией https://support.cryptopr...ejjnerom-v-kriptopro-hsm с использованием утилиты cryptcp.x64.exe. Все делаем из операционной системы W10 сборка 18363.592, версия КриптоПРО 4.0.9944. Генерация проходит успешно, созжается пара кключей и запрос на сертификат, но в этом запросе присутствуют лишние атрибуты
1.3.6.1.4.1.311.21.20 "сведения о клиенте"
1.3.6.1.4.1.311.13.2.2 "CSP подачи заявок"
что не устраивает сертификационный центр и он их просит убрать.
Пытался убрать автоматическое добавление атрибутов путем установка ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\AddEsAttribute в 0, но этом не помогает.
Запросы на сертификат по прежднему формируются с атрибутами:
Атрибут[0]: 1.3.6.1.4.1.311.13.2.3 (Версия ОС)
Значение [0][0], длина: c
6.2.9200.2
Атрибут[1]: 1.3.6.1.4.1.311.21.20 (Сведения о клиенте)
Значение [1][0], длина: 4b
Код клиента: = 5
ClientIdDefaultRequest -- 5
Пользователь: <имя пользователя>
Компьютер: <имя компьютера>
Процесс: cryptcp.x64.exe

Атрибут[2]: 1.3.6.1.4.1.311.13.2.2 (CSP подачи заявок)
...
Перезагрузка компьютера результатов не дает.
Можете подсказать, как можно сделать запрос без этих атрибутов?
Полагаю, что это особенности работы версии под Windows, в Linux, для которой была написана инструкцию по генерации запроса все должно работать без проблем, но очень не хотелось бы дополнительно настраивать подключение к HSM для новой машины.
Online Александр Лавник  
#25 Оставлено : 21 января 2020 г. 12:38:26(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,671
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: cherevat Перейти к цитате
Всем доброго времени суток!
Пытаемся сделать запрос на сертификат КВ2 в соответствии с инструкцией https://support.cryptopr...ejjnerom-v-kriptopro-hsm с использованием утилиты cryptcp.x64.exe. Все делаем из операционной системы W10 сборка 18363.592, версия КриптоПРО 4.0.9944. Генерация проходит успешно, созжается пара кключей и запрос на сертификат, но в этом запросе присутствуют лишние атрибуты
1.3.6.1.4.1.311.21.20 "сведения о клиенте"
1.3.6.1.4.1.311.13.2.2 "CSP подачи заявок"
что не устраивает сертификационный центр и он их просит убрать.
Пытался убрать автоматическое добавление атрибутов путем установка ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\AddEsAttribute в 0, но этом не помогает.
Запросы на сертификат по прежднему формируются с атрибутами:
Атрибут[0]: 1.3.6.1.4.1.311.13.2.3 (Версия ОС)
Значение [0][0], длина: c
6.2.9200.2
Атрибут[1]: 1.3.6.1.4.1.311.21.20 (Сведения о клиенте)
Значение [1][0], длина: 4b
Код клиента: = 5
ClientIdDefaultRequest -- 5
Пользователь: <имя пользователя>
Компьютер: <имя компьютера>
Процесс: cryptcp.x64.exe

Атрибут[2]: 1.3.6.1.4.1.311.13.2.2 (CSP подачи заявок)
...
Перезагрузка компьютера результатов не дает.
Можете подсказать, как можно сделать запрос без этих атрибутов?
Полагаю, что это особенности работы версии под Windows, в Linux, для которой была написана инструкцию по генерации запроса все должно работать без проблем, но очень не хотелось бы дополнительно настраивать подключение к HSM для новой машины.

Здравствуйте.

Эти атрибуты добавляются только при создании запроса на Windows.

Технически можно создать запрос без этих атрибутов на Windows с КриптоПро CSP новее 4.0.9907.

Для этого необходимо добавить в реестр Windows параметр:

ветка:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters

имя параметра:
CPEnroll_ClientID

тип:
DWORD

значение:
0
Техническую поддержку оказываем тут
Наша база знаний
thanks 2 пользователей поблагодарили Александр Лавник за этот пост.
cherevat оставлено 21.01.2020(UTC), Андрей * оставлено 21.01.2020(UTC)
Offline Андрей Писарев  
#26 Оставлено : 21 января 2020 г. 12:40:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,652
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: cherevat Перейти к цитате
Всем доброго времени суток!
Пытаемся сделать запрос на сертификат КВ2 в соответствии с инструкцией https://support.cryptopr...ejjnerom-v-kriptopro-hsm с использованием утилиты cryptcp.x64.exe. Все делаем из операционной системы W10 сборка 18363.592, версия КриптоПРО 4.0.9944. Генерация проходит успешно, созжается пара кключей и запрос на сертификат, но в этом запросе присутствуют лишние атрибуты
1.3.6.1.4.1.311.21.20 "сведения о клиенте"
1.3.6.1.4.1.311.13.2.2 "CSP подачи заявок"
что не устраивает сертификационный центр и он их просит убрать.
Пытался убрать автоматическое добавление атрибутов путем установка ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\AddEsAttribute в 0, но этом не помогает.
Запросы на сертификат по прежднему формируются с атрибутами:
Атрибут[0]: 1.3.6.1.4.1.311.13.2.3 (Версия ОС)
Значение [0][0], длина: c
6.2.9200.2
Атрибут[1]: 1.3.6.1.4.1.311.21.20 (Сведения о клиенте)
Значение [1][0], длина: 4b
Код клиента: = 5
ClientIdDefaultRequest -- 5
Пользователь: <имя пользователя>
Компьютер: <имя компьютера>
Процесс: cryptcp.x64.exe

Атрибут[2]: 1.3.6.1.4.1.311.13.2.2 (CSP подачи заявок)
...
Перезагрузка компьютера результатов не дает.
Можете подсказать, как можно сделать запрос без этих атрибутов?
Полагаю, что это особенности работы версии под Windows, в Linux, для которой была написана инструкцию по генерации запроса все должно работать без проблем, но очень не хотелось бы дополнительно настраивать подключение к HSM для новой машины.


Отдельную нужно тему было создать.
Написал в ЛС, проверьте
Техническую поддержку оказываем тут
Наша база знаний
Offline cherevat  
#27 Оставлено : 21 января 2020 г. 12:56:59(UTC)
cherevat

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2020(UTC)
Сообщений: 2
Российская Федерация
Откуда: Челябинск

Сказал(а) «Спасибо»: 1 раз
Спасибо! Проблема решена!
Offline two_oceans  
#28 Оставлено : 22 января 2020 г. 15:47:53(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Автор: Денис U Перейти к цитате
"A signature may be (non-exclusively) described asdetached, enveloping, or enveloped". Ага, т.е. бывает открепленная XMLDsig - видимо отдельный xml-файл.
Не совсем так. XMLDsig позволяет подписать только часть документа XML, поэтому detached, enveloping, or enveloped описывает взаимное положение двух фрагментов документа (файла) - подписываемого фрагмента и самой подписи, а не файлов.

enveloped - подпись внутри подписываемого фрагмента и это требует особой обработки - при проверке фрагмента подпись из него исключается. enveloping - наоборот, подписываемый фрагмент внутри специального контейнера в подписи (как обычно в cades при подписи целого файла - тут нужно "извлечь" подписанный фрагмент из подписи - "снять подпись"). Любое другое положение подписи относительно подписанного фрагмента будет detached, то есть фрагмент подписи не является предком или потомком по отношению к подписываемому фрагменту (но при этом может быть в одном документе).

При detached должен быть общий предок не относящийся ни к подписи, ни к подписываемому фрагменту (если в одном документе) либо действительно могут находиться в разных документах (в этом случае Reference URI в подписи содержит адрес документа с подписываемым фрагментом). Если подписывается весь документ (общий предок становится невозможен, а с ним и вариант detached) и подпись находится в том же файле - подпись обязана быть или enveloped или enveloping. Как правило, enveloped.

Отредактировано пользователем 22 января 2020 г. 16:07:36(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Санчир Момолдаев оставлено 23.01.2020(UTC)
Offline Руст2007  
#29 Оставлено : 17 мая 2021 г. 23:45:27(UTC)
Руст2007

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 4 раз
Коллеги, доброго времени суток.
Ситуация следующая. Имеем установленный рабочий Крипто про CSP 4.0 под linux. Исgользуется для подписи файлов в формате CMS приложением cryptcp. Дополнительно появилась необходимость формировать подпись enveloped по формату XMLDSig. Язык программирования golang.
Какие есть варианты решения задачи? Направьте пожалуйста.
Offline Руст2007  
#30 Оставлено : 18 мая 2021 г. 13:22:37(UTC)
Руст2007

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 4 раз
Автор: Руст2007 Перейти к цитате
Коллеги, доброго времени суток.
Ситуация следующая. Имеем установленный рабочий Крипто про CSP 4.0 под linux. Исgользуется для подписи файлов в формате CMS приложением cryptcp. Дополнительно появилась необходимость формировать подпись enveloped по формату XMLDSig. Язык программирования golang.
Какие есть варианты решения задачи? Направьте пожалуйста.


Коллеги, это возможно?
Online Александр Лавник  
#31 Оставлено : 18 мая 2021 г. 13:50:40(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,671
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: Руст2007 Перейти к цитате
Автор: Руст2007 Перейти к цитате
Коллеги, доброго времени суток.
Ситуация следующая. Имеем установленный рабочий Крипто про CSP 4.0 под linux. Исgользуется для подписи файлов в формате CMS приложением cryptcp. Дополнительно появилась необходимость формировать подпись enveloped по формату XMLDSig. Язык программирования golang.
Какие есть варианты решения задачи? Направьте пожалуйста.


Коллеги, это возможно?
Здравствуйте.

Утилита cryptcp не умеет создавать подпись XMLDSig.

На Linux такую подпись можно создать с помощью следующих наших продуктов (на программном уровне):

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Руст2007 оставлено 20.05.2021(UTC)
Offline Руст2007  
#32 Оставлено : 18 мая 2021 г. 15:00:11(UTC)
Руст2007

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 4 раз
Автор: Александр Лавник Перейти к цитате
Автор: Руст2007 Перейти к цитате
Автор: Руст2007 Перейти к цитате
Коллеги, доброго времени суток.
Ситуация следующая. Имеем установленный рабочий Крипто про CSP 4.0 под linux. Исgользуется для подписи файлов в формате CMS приложением cryptcp. Дополнительно появилась необходимость формировать подпись enveloped по формату XMLDSig. Язык программирования golang.
Какие есть варианты решения задачи? Направьте пожалуйста.


Коллеги, это возможно?
Здравствуйте.

Утилита cryptcp не умеет создавать подпись XMLDSig.

На Linux такую подпись можно создать с помощью следующих наших продуктов (на программном уровне):



Правильно ли я понял, что не получится создать даже саму подпись, которая находится в теге <SignatureValue>?
Online Александр Лавник  
#33 Оставлено : 18 мая 2021 г. 15:53:12(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,671
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: Руст2007 Перейти к цитате
Автор: Александр Лавник Перейти к цитате
Автор: Руст2007 Перейти к цитате
Автор: Руст2007 Перейти к цитате
Коллеги, доброго времени суток.
Ситуация следующая. Имеем установленный рабочий Крипто про CSP 4.0 под linux. Исgользуется для подписи файлов в формате CMS приложением cryptcp. Дополнительно появилась необходимость формировать подпись enveloped по формату XMLDSig. Язык программирования golang.
Какие есть варианты решения задачи? Направьте пожалуйста.


Коллеги, это возможно?
Здравствуйте.

Утилита cryptcp не умеет создавать подпись XMLDSig.

На Linux такую подпись можно создать с помощью следующих наших продуктов (на программном уровне):



Правильно ли я понял, что не получится создать даже саму подпись, которая находится в теге <SignatureValue>?
Создать raw (сырую) подпись (насколько я понимаю, именно она требуется) файла можно с использованием утилиты csptest с помощью команды вида:

Код:
/opt/cprocsp/bin/amd64/csptest -keyset -sign ...

Примеры Вы можете самостоятельно найти на форуме.

Отредактировано пользователем 18 мая 2021 г. 15:55:31(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Руст2007 оставлено 20.05.2021(UTC)
Offline two_oceans  
#34 Оставлено : 19 мая 2021 г. 6:56:58(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Добрый день.
RAW подпись и хэш конечно легко можно создать утилитами, но при этом надо иметь в виду:
1) требуется переворот порядка байтов значения подписи;
2) намучаетесь с приведением к каноническому виду;
3) составление XMLDSig из частей также может считаться требующим сертификации процессом (из одного вида подписи делаете другой). Следовательно, такая "собранная на коленке" подпись XMLDSig формально не является созданной сертифицированным СКЗИ. Внутри своей организации может сойти и без сертификации, но если нужно обеспечить юридическую значимость или продать программу другой организации - лучше сертифицировать.

С другой стороны, если запускаете внешнюю утилиту cryptcp или csptest, то нет особой проблемы запустить php-cgi интерпретатор для php странички или скрипт на питоне (джаву не упоминаю, так как надоедает обновлениями). Это избавит от мучений с ручным составлением XMLDSig. Примеры наверно есть в справке, да и на этом форуме, их несложно подправить под себя. Самое сложное в таком решении - собрать расширение под нужную версию php, но полагаю с этим справитесь.

Отредактировано пользователем 19 мая 2021 г. 6:59:47(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Руст2007 оставлено 20.05.2021(UTC)
Offline Руст2007  
#35 Оставлено : 20 мая 2021 г. 15:02:47(UTC)
Руст2007

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 4 раз
Автор: two_oceans Перейти к цитате
Добрый день.
RAW подпись и хэш конечно легко можно...


Спасио
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.