Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Анатолий Колкочев  
#1 Оставлено : 17 августа 2021 г. 17:55:17(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Попытался импортировать файл .pfx через инструменты КриптоПро: Сервис -> Установить личный сертификат.
При попытке импорта pfx возникает ошибка "0x80090005 плохие данные".

Сам pfx во вложении: temp.zip (2kb) загружен 2 раз(а).

Пароль: 111

Подскажите, пожалуйста, в чем проблема?
Импорт через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно

Отредактировано пользователем 17 августа 2021 г. 18:23:18(UTC)  | Причина: Не указана

Offline Андрей *  
#2 Оставлено : 17 августа 2021 г. 18:33:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Здравствуйте.

В каком CSP\ПО создавали такой ... pfx?

Для примера (слева нормальный PFX, справа вложенный на форуме)
Snimok ehkrana ot 2021-08-17 19-32-45.png (76kb) загружен 13 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#3 Оставлено : 17 августа 2021 г. 18:35:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: Анатолий Колкочев Перейти к цитате


Сам pfx во вложении: temp.zip (2kb) загружен 2 раз(а).

Пароль: 111



Не принимает 111:
Snimok ehkrana ot 2021-08-17 19-34-23.png (22kb) загружен 6 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#4 Оставлено : 17 августа 2021 г. 18:39:51(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Автор: Андрей * Перейти к цитате
Здравствуйте.

В каком CSP\ПО создавали такой ... pfx?

Для примера (слева нормальный PFX, справа вложенный на форуме)
Snimok ehkrana ot 2021-08-17 19-32-45.png (76kb) загружен 13 раз(а).


Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается)

Автор: Андрей * Перейти к цитате

Не принимает 111:
Snimok ehkrana ot 2021-08-17 19-34-23.png (22kb) загружен 6 раз(а).


У меня принимает пароль 111 ...
Сейчас изменю пароль и новый залью

UPD: новый pfx temp.zip (2kb) загружен 1 раз(а).
Пароль: 1234

Отредактировано пользователем 17 августа 2021 г. 18:43:00(UTC)  | Причина: Не указана

Offline Андрей *  
#5 Оставлено : 17 августа 2021 г. 18:43:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: Анатолий Колкочев Перейти к цитате

Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается)



Конечная цель какая?

Почему не используется генерация ключа в КриптоПРО CSP?
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#6 Оставлено : 17 августа 2021 г. 18:52:20(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате

Создавал в BouncyCastle... Удивился сам сейчас содержимому (и тому, что мастер импорта сертификатов не ругается)



Конечная цель какая?

Почему не используется генерация ключа в КриптоПРО CSP?


Если честно, цель - исключительно научный интерес) Хотел сгенерировать ключи в BouncyCastle и попробовать скормить это КриптоПро через pfx. Поэтому ключи генерировались не КриптоПро
Offline Анатолий Колкочев  
#7 Оставлено : 18 августа 2021 г. 11:23:08(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Разобрался в проблеме формирования pfx. Была путаница между PEM и DER. Пришлось еще немного в исходниках BC поковыряться. Еще обнаружил следующее: если BouncyCastle передать пароль для pfx при его создании, то BouncyCastle автоматом шифрует и certBag. На время вырезал это. Поэтому так странно, на первый взгляд, изначально выглядело.

Вот новый pfx: temp.zip (3kb) загружен 3 раз(а).. Пароль: 1234

Но проблема, к сожалению, осталась. Импорт через КриптоПро не проходит. Ошибка та же: "0x80090005 плохие данные"

Отредактировано пользователем 18 августа 2021 г. 12:18:49(UTC)  | Причина: Не указана

Offline two_oceans  
#8 Оставлено : 19 августа 2021 г. 1:27:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Подозреваю, что при экспорте и импорте применены разные алгоритмы. К слову, импортировать можно по-разному: 1) через certmgr (или двойным щелчком или из контекстного меню или командной строкой); 2) через p12util. При этом у них разные требования к алгоритмам p12/pfx: 1) смешанно гост и не гост; 2) только гост.

Еще вариант - если BC, допустим, работает с сертификатом гост, связанным с контейнером криптопро csp (и неявно обращается к криптопро csp), то стоит помнить, что криптопро csp вместо реального закрытого ключа возвращает всем внешним приложениям дескриптор, связанный с закрытым ключом, который сохранять или экспортировать смысла не имеет. Однако если этот дескриптор пока еще связан с ключом, то при передаче обратно в криптопро csp он будет работать как будто передан реальный ключ. При перезапуске криптопровайдера дескриптор закрывается (читай отвязывается от ключа) и сохраненный дескриптор "превращается в тыкву".
Offline Анатолий Колкочев  
#9 Оставлено : 19 августа 2021 г. 8:50:28(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Автор: two_oceans Перейти к цитате
Подозреваю, что при экспорте и импорте применены разные алгоритмы. К слову, импортировать можно по-разному: 1) через certmgr (или двойным щелчком или из контекстного меню или командной строкой); 2) через p12util. При этом у них разные требования к алгоритмам p12/pfx: 1) смешанно гост и не гост; 2) только гост.

Еще вариант - если BC, допустим, работает с сертификатом гост, связанным с контейнером криптопро csp (и неявно обращается к криптопро csp), то стоит помнить, что криптопро csp вместо реального закрытого ключа возвращает всем внешним приложениям дескриптор, связанный с закрытым ключом, который сохранять или экспортировать смысла не имеет. Однако если этот дескриптор пока еще связан с ключом, то при передаче обратно в криптопро csp он будет работать как будто передан реальный ключ. При перезапуске криптопровайдера дескриптор закрывается (читай отвязывается от ключа) и сохраненный дескриптор "превращается в тыкву".


Сравнил OID-ы алгоритмов - действительно разные (слева - pfx BouncyCastle, справа - pfx КриптоПро):
BC vs CP.gif (50kb) загружен 4 раз(а).

При попытке импорта через утилиту certmgr возникает "ошибка при шифровании или расшифровывании. [Error code: 0x80092002]". Я так и не понял, что за OID алгоритма шифрования в pfx, полученном при экспорте ключей с использованием КриптоПро: 1.2.840.113549.1.12.1.80. Вроде как ветка 1.2.840 к США относится, но в инете так и не нашел информации об этом OID:
OIDs.jpg (248kb) загружен 4 раз(а)..

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.

Отредактировано пользователем 19 августа 2021 г. 9:11:13(UTC)  | Причина: Не указана

Offline Андрей *  
#10 Оставлено : 19 августа 2021 г. 9:48:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: Анатолий Колкочев Перейти к цитате

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.


Тот, что выкладывали с 1234 - не проходит импорт.
Пробуйте сами на другой ОС (чистой, только с КриптоПРО CSP)
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#11 Оставлено : 19 августа 2021 г. 9:53:44(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.


Тот, что выкладывали с 1234 - не проходит импорт.
Пробуйте сами на другой ОС (чистой, только с КриптоПРО CSP)


Я даже пробовал импортировать на ОС без КриптоПро. Там импорт проходит.
На моей машине только КриптоПро CSP. Других установленных криптопровайдеров нет.

Отредактировано пользователем 19 августа 2021 г. 9:56:29(UTC)  | Причина: Не указана

Offline Андрей *  
#12 Оставлено : 19 августа 2021 г. 10:01:11(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: Анатолий Колкочев Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.


Тот, что выкладывали с 1234 - не проходит импорт.
Пробуйте сами на другой ОС (чистой, только с КриптоПРО CSP)


Я даже пробовал импортировать на ОС без КриптоПро. Там импорт проходит.
На моей машине только КриптоПро CSP. Других установленных криптопровайдеров нет.


и кто же тогда принял на себя ключ с ГОСТ-алгоритмом? MS CSP RSA? d'oh!
Техническую поддержку оказываем тут
Наша база знаний
Offline TolikTipaTut1  
#13 Оставлено : 19 августа 2021 г. 10:13:30(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате

Через p12util пока не пробовал импортировать, но импорт через через встроенный инструмент Windows (мастер импорта сертификатов) проходит успешно.


Тот, что выкладывали с 1234 - не проходит импорт.
Пробуйте сами на другой ОС (чистой, только с КриптоПРО CSP)


Я даже пробовал импортировать на ОС без КриптоПро. Там импорт проходит.
На моей машине только КриптоПро CSP. Других установленных криптопровайдеров нет.


и кто же тогда принял на себя ключ с ГОСТ-алгоритмом? MS CSP RSA? d'oh!


BouncyCastle устанавливается и еще криптопровайдером является?
Кроме криптопро ничего у меня не стоит, уверяю вас)
Кто принял - хороший вопрос. У меня импортируется pfx даже без установленного криптопро (почему-то):
11.png (66kb) загружен 3 раз(а). 12.png (113kb) загружен 4 раз(а).

Отредактировано пользователем 19 августа 2021 г. 10:17:39(UTC)  | Причина: Не указана

Offline Андрей *  
#14 Оставлено : 19 августа 2021 г. 10:22:57(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
так что импортируется то? просто сертификат в хранилище? что мы тут обсуждаем?

Что в контексте прописано, тип\наименование\контейнер, у сертификата. Ничего.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
TolikTipaTut1 оставлено 19.08.2021(UTC)
Offline TolikTipaTut1  
#15 Оставлено : 19 августа 2021 г. 10:29:30(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
Автор: Андрей * Перейти к цитате
так что импортируется то? просто сертификат в хранилище? что мы тут обсуждаем?

Что в контексте прописано, тип\наименование\контейнер, у сертификата. Ничего.


Согласен.

КриптоПро же не принимает pfx из-за алгоритма, верно?
Offline Андрей *  
#16 Оставлено : 19 августа 2021 г. 10:29:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: Анатолий Колкочев Перейти к цитате

BouncyCastle устанавливается и еще криптопровайдером является?


у меня ссылка в профиле, на утилиту (есть и zip вариант, чтобы не ставить),
там есть в сервисах информация по криптопровайдерам + по сертификатам можно увидеть, с какими csp связаны.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#17 Оставлено : 19 августа 2021 г. 12:05:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Автор: Анатолий Колкочев Перейти к цитате
1.2.840.113549.1.12.1.80
Вы наивно ищете отечественные оиды по стандартам. Ну... дерево оидов в российском ПО весьма странное))
Так, Инфотекс (оператор российского дерева оидов) до сих пор не вносит в дерево оиды просто определенные с потолка в нормативных актах. На попытки запроса, что за оиды (для инн, огрн и т.д.) просто отвечают "определены таким-то приказом". Да, так отвечает сам оператор российского дерева оидов. Рукалицо. В данном случае "1.2.840.113549.1.12.1.80" похоже также с потолка взят в КриптоПро. Возможно были какие-то черновики RFC с этим оидом, но в общем никаких нормативных оснований включать его в американское дерево нет. Легко понять почему не находится.

Простая замена оида не поможет конечно. Тем не менее, алгоритм можно собрать (разобрать) "по частям" из открытых источников. Правда надо иметь стальные нервы.
Насчет p12util замечу, что там можно некоторые проверки pfx пропустить.

Отредактировано пользователем 19 августа 2021 г. 12:30:31(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
TolikTipaTut1 оставлено 19.08.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.