Добрый день.
Судя по сроку 11-12 лет возможна проблема с алгоритмом ключа. Какой алгоритм ключа в данном сертификате?

Если вдруг имеется в виду сертификат с ключом гост-94, то алгоритм давненько не поддерживается (поддерживался во времена первых релизов КриптоПро 3.6, в последних релизах 3.6 его поддержки уже нет; в 4.0 и 5.0 насколько помню не было уже изначально). При неподдерживаемом алгоритме Вам не удастся совместить открытый ключ в сертификате с закрытым ключом в контейнере. Поэтому для расшифровки именно гост-94 потребуется один из первых релизов 3.6 или более старой версии.

Если же ключ гост-2001, то все должно все еще поддерживаться на текущих версиях. Если сертификат "точно точно" соответствует контейнеру, то ошибка может аукнуться серьезными проблемами в работе криптопровайдера и это хороший повод обратиться на портал техподдержки.

Как перепроверить от того ли контейнера сертификат "на коленке" (без обращения к криптопровайдеру): в папке контейнера найти файл header.key, загрузить его в ASN.1 просмотрщик, найти там элементы с длиной 8, один из них должен быть первыми байтами открытого ключа. В сертификате найти открытый ключ, пропустив первые 0440 дальше должны быть те самые 8 байтов.
pubkey_compare.png (69kb) загружен 7 раз(а).

Если же надо более точно, то потребуется экспорт открытого ключа из контейнера программно штатными интерфейсами криптопровайдера.

Отредактировано пользователем 16 июня 2022 г. 7:32:36(UTC)  | Причина: Не указана

Ваш сертификат наверняка не от этого закрытого ключа. Дальше варианта два:

Адресатом был тот закрытый ключ, которой у вас есть, тогда расшифровать вы сможете. Для расшифрования не требуется иметь сертификат в контейнере. С математической точки зрения и сертификат не нужен, но API устроен так, что он будет требоваться. Можно будет попытаться это требование обмануть.

Адресатом быт тот сертификат, который у вас есть, но от которого у вас нет закрытого ключа. Тогда расшифровать вы не сможете.

Для начала сделайте дамп зашифрованного сообщения

Код:

certutil -dump зашифрованный_файл

В нём вы найдёте информацию о сертификатах адресатов в таком духе

Код:

Recipient Info[0]:
CMSG_KEY_TRANS_RECIPIENT(1)
CERT_ID_ISSUER_SERIAL_NUMBER(1)
    Serial Number: 43bdb9aa00000044b353
    Issuer: CN=test-ca, DC=cp, DC=ru
Key Encryption Algorithm:
    Algorithm ObjectId: 1.2.643.7.1.1.1.1 GOST R 34.10-2012 256 bit
    Algorithm Parameters:
    0000  30 13 06 07 2a 85 03 02  02 24 00 06 08 2a 85 03
    0010  07 01 01 02 02
        1.2.643.2.2.36.0 GOST R 34.10 256 bit, default exchange parameters
        1.2.643.7.1.1.2.2 GOST R 34.11-2012 256 bit

Если Serial Number и Issuer вашего сертификата совпадают, то шансов на расшифрование почти нет.

Отредактировано пользователем 9 июня 2022 г. 10:14:43(UTC)  | Причина: Не указана

А пришлите (можно в личку) выдачу этой команды, файл с открытым ключом, который она создаст, и сертификат:

Если можете прислать в личку сертификат + контейнер, то разобраться будет легче.

Это был контейнер версии 1. Проблема решилась конвертацией в контейнер версии 2. К счастью, ключ был экспортируемый, поэтому для конвертации достаточно было в КриптоПро CSP 4.0 скопировать контейнер.