В системе (Linux CentOS) установлено два сертификата электронной подписи (старый №2 от Контур (скоро заканчивается) и новый №1 от налоговой).
Данные ключей (без перс. данных поля Subject) см. ниже

Далее в системе выполняется простейшая команда подписи одного и того же файла соответственно с сертификатом 1 и 2:
Используется CryptCP 5.0 (c) "Crypto-Pro", 2002-2020.

1) /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint bc52c0f7675f4921cbc0da4400c9e804e6d50bad file1 file2 <- старый сертификат (ниже под номером 2)
2) /opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint d25a664aa7d027a7dd508c3c07cb985de3dc1874 file1 file2 <- используется новый сертификат (ниже под номером 1)

Разница в результатах состоит в том что команда 2) всегда (независимо от содержимого файла) исполняется примерно в 1.5-2 раза медленнее чем 1)

Например:
Время выполнения 1) 0.81872510910034 секунд
Время выполнения 2) 1.4821908473969 секунд

Не могу понять в чем дело. Сертификаты вроде одинаковые с точки зрения алгоритмов и битности.
Но в итоге эти тормоза помноженные на количество операций (в процедурах обращения софта к Честному Знаку) приводят к 10-20 секундным задержкам при выполнении проверок, вместо 1-4 сек.

Никто не подскажет в чем вообще дело и как ускорить работу (хотя бы до той скорости, что была со старым сертификатом от Контура) ?



1-------
Issuer : 1.2.643.100.4="#120A37373037333239313532", E=uc@tax.gov.ru, OGRN=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба
Subject : OGRNIP=, SNILS=, INN=, C=RU, CN=, G=, SN=
Serial : 0x015F10940097AF41824AF5D01C21438604
SHA1 Hash : d25a664aa7d027a7dd508c3c07cb985de3dc1874
SubjKeyID : 6b7ede63504dd6d9b672481a56c6ad5cbd1bac5a
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 27/01/2023 08:49:05 UTC
Not valid after : 27/04/2024 08:59:05 UTC
Embedded License : CryptoPro CSP
PrivateKey Link : Yes
Container : HDIMAGE\\2560\F769
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
OCSP URL : http://pki.tax.gov.ru/ocsp01/ocsp.srf
CA cert URL : http://pki.tax.gov.ru/cr...a_fns_russia_2022_01.crt
CA cert URL : http://c0000-app005/crt/ca_fns_russia_2022_01.crt
CA cert URL : http://uc.nalog.ru/crt/ca_fns_russia_2022_01.crt
CDP : http://pki.tax.gov.ru/cd...b03cee94381d4f975cd5.crl
CDP : http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl
CDP : http://uc.nalog.ru/cdp/f...b03cee94381d4f975cd5.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
1.2.643.2.2.34.34.1.50.7746

2-------
Issuer : E=ca@skbkontur.ru, OGRN=1026605606620, INN=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Народной воли, строение 19А", OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ КОНТУР""", CN="АО ""ПФ ""СКБ КОНТУР"""
Subject : UnstructuredName=, OGRNIP=, E=, INN=, SNILS=, G=, SN=, CN=
Serial : 0x03EA293A01D9ADE6BF4917845AB48E0124
SHA1 Hash : bc52c0f7675f4921cbc0da4400c9e804e6d50bad
SubjKeyID : 35020cc1c2e75e4b0799a46b6642f51444e9bba0
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 07/11/2021 18:58:50 UTC
Not valid after : 07/02/2023 18:58:50 UTC
Embedded License : CryptoPro CSP
PrivateKey Link : Yes
Container : HDIMAGE\\57308789.000\1287
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL : http://cdp.skbkontur.ru/...es/skbkontur-q1-2021.crt
CA cert URL : http://cdp2.skbkontur.ru...es/skbkontur-q1-2021.crt
CDP : http://cdp.skbkontur.ru/cdp/skbkontur-q1-2021.crl
CDP : http://cdp2.skbkontur.ru/cdp/skbkontur-q1-2021.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
1.2.643.3.7.8.1 Квалифицированный сертификат
1.2.643.3.7.1.1.1
1.2.643.3.7.1

Отредактировано пользователем 29 января 2023 г. 13:18:54(UTC)  | Причина: Не указана

Похоже все дело в поле OCSP URL : http://pki.tax.gov.ru/ocsp01/ocsp.srf в новом сертификате от налоговой.

И к сожалению -nochain и -norev не помогают, точнее с ними у меня со старым сертификатом общее время исполнение скрипта сократилось до 1 сек, а с новым все равно 5 сек.
Видимо на проверку OCSP эти ключи не влияют.

Никто не знает как ее отключить ? Или ускорить проверку, я так понимаю ускорить работу http://pki.tax.gov.ru/ocsp01/ocsp.srf нереально, но может можно у себя на сервере как то "обмануть" cryptcp, чтобы она не ходила далеко, а проверяла локально (типа в DNS прописать на себя pki.tax.gov.ru и отвечать как то) ?

Отредактировано пользователем 29 января 2023 г. 14:00:15(UTC)  | Причина: Не указана

Я так понимаю надо выполнить csptestf -enum -info
Выдало:
CSP (Type:80) v5.0.10006 KC1 Release Ver:5.0.11823

Вот это не понял. Если -nochain стоит, то CRL я так понимаю вообще не смотрятся.
И второй момент если я их скачаю, то как указать cryptcp смотреть их локально ?

Но проблема видимо с OCSP, и насколько я понимаю, как работает этот протокол, там нечего выкачивать, клиент спрашивает каждый раз сервер не был ли отозван такой то сертификат и сервер отвечает.
И похоже это длится в данном случае пару-тройку секунд.

А в сертификате старом от Контура просто не было ссылки на OCSP и соотвественно ничего и не проверялось по нему.

Скачал, обновил... теперь требует лицензию.
Старая cryptcsp не требовала, подписывала файлы без лицензии. Что то изменилось ?
И вопрос: на linux сервер (centos) обычная лицензия на КриптоПро CSP для одного рабочего места подойдет или нет ?
Там просто сноска какая то есть про то что **Лицензия на рабочее место не позволит использовать КриптоПро CSP в среде серверных операционных систем
И ниже лицензия для TLS сервера с безумным ценником 100 тыс. р.
Но мне сервер то не нужен, у меня на Linux по сути то клиентское ПО.

Откатил на старую версию - подписание файлов прекрасно работает с просроченной лицензией. Это что фича такая у старых версий только была ?

Отредактировано пользователем 29 января 2023 г. 15:48:31(UTC)  | Причина: Не указана