Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Константин kndnt.st.h  
#1 Оставлено : 26 декабря 2023 г. 1:01:55(UTC)
Константин kndnt.st.h

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2023(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
У меня есть набор файлов и отсоединённых подписей к ним и мне нужно сделать их проверку. Есть тестовый сервер где всё это должно работать Debian 11 с установленным Криптопро (CryptCP 4.0, 2002-2018). Все необходимые сертификаты установлены в нужные хранилища. Проверяю всё это с помощью утилиты в командной строке /opt/cprocsp/bin/amd64/cryptcp. Все файлы проходят проверку подписи кроме одного. При исполнении команды проверки

signed-file.pdf (185kb) загружен 2 раз(а).
signed-file.pdf.sig (260kb) загружен 2 раз(а).

Цитата:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached signed-file.pdf signed-file.pdf.sig


выдаётся следующий результат

Цитата:
(
[0] => CryptCP 4.0 (c) "Crypto-Pro", 2002-2018.
[1] => Command prompt Utility for file signature and encryption.
[2] => Folder './':
[3] => Unknown error.
[4] => /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Files.cpp:248: 0x20000070
[5] => [ErrorCode: 0x20000070]
)


Несмотря на это эта подпись успешно проверяется на сервисах проверки подписей вроде https://www.gosuslugi.ru/eds, https://dss.cryptopro.ru/verify/#/signature. Так же я установил на свой домашний компьютер Ubuntu 22.04 криптопро (но уже 5 версию) дабы проверить эту подпись и она также прошла проверку.

Получается этот файл с подписью проходит проверку везде кроме тестового сервера. Но мне нужно заставить работать проверку на своём тестовом сервере. Быть может это из-за устаревшей версии КриптоПро? Если кто-то сталкивался с подобным поделитесь решением этой проблемы.

P.S: способ проверки нашёл здесь https://wiki.astralinux....clid=lnyjdq0brk386901147

Отредактировано пользователем 26 декабря 2023 г. 1:56:38(UTC)  | Причина: Не указана

Offline Андрей *  
#2 Оставлено : 26 декабря 2023 г. 1:16:11(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Здравствуйте.

Как вариант - прислать для анализа в ЛС.

Либо проанализировать asn.1 и разницу между успешно проверяемым и этим файлом с ЭП.
Техническую поддержку оказываем тут
Наша база знаний
Offline Константин kndnt.st.h  
#3 Оставлено : 26 декабря 2023 г. 1:45:41(UTC)
Константин kndnt.st.h

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2023(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Цитата:
прислать для анализа в ЛС

Что такое ЛС?

Всё, увидел кнопку "ЛС". Прикрепил файлы к вопросу.

Отредактировано пользователем 26 декабря 2023 г. 1:53:35(UTC)  | Причина: Не указана

Offline Андрей *  
#4 Оставлено : 26 декабря 2023 г. 2:36:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Вы проверяете отсоединенную ЭП:
Цитата:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached signed-file.pdf signed-file.pdf.sig


Приложенный файл содержит исходный pdf файл внутри, уберите: -detached

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Константин kndnt.st.h оставлено 26.12.2023(UTC)
Offline Константин kndnt.st.h  
#5 Оставлено : 26 декабря 2023 г. 9:52:06(UTC)
Константин kndnt.st.h

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2023(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Спасибо. Действительно это файл с присоединённой подписью, я даже не посмотрел на размер файла. Сейчас попросил человека пересоздать файлы/подписи, но уже в отсоединённом виде и всё заработало.

Теперь у меня остался только один вопрос. Я тестирую файл который был подписан действующим сертификатом (на момент подписания), но к текущему моменту этот сертификат истёк и cryptcp спрашивает следующее: Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?. И не получив ответа выбирается вариант [C].

Цитата:
Array
(
[0] => CryptCP 4.0 (c) "Crypto-Pro", 2002-2018.
[1] => Command prompt Utility for file signature and encryption.
[2] => Folder './':
[3] => questionnaire.pdf... Signature verifying...  0%
[4] =>  0% 30% 60% 90%
[5] => Signer: 1130280073857, 01988509702, "#120A30323734313832383033", 027411824930, dautov.s@openregion.info, "ООО ""ЦИТ ОТКРЫТЫЙ РЕГИОН""", Заместитель директора, "ООО ""ЦИТ ОТКРЫТЫЙ РЕГИОН""", Даутов, Шамиль Талгатович, RU, Г. УФА, Республика Башкортостан, "ПЕР. ЛУГОВОЙ, Д. 23"
[6] => This certificate or one of the certificates in the certificate chain is not time valid.
[7] => Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?
[8] => Error in scanf: -1
[9] =>
[10] => Error: Canceled by user.
[11] => /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:415: 0x20000066
[12] => [ErrorCode: 0x20000066]
)


Из-за того что сертификат истёк процедура возвращает ошибку. Я запускаю всё это из php через функцию exec(). Есть ли способ при возникновении такого сообщения сразу прописать Y? Чтобы результат проверки был положительным и для истёкших сертификатов?

Отредактировано пользователем 26 декабря 2023 г. 10:01:27(UTC)  | Причина: Не указана

Offline Русев Андрей  
#6 Оставлено : 26 декабря 2023 г. 11:33:31(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,431

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 574 раз в 400 постах
Автор: Константин kndnt.st.h Перейти к цитате
Из-за того что сертификат истёк процедура возвращает ошибку. Я запускаю всё это из php через функцию exec(). Есть ли способ при возникновении такого сообщения сразу прописать Y? Чтобы результат проверки был положительным и для истёкших сертификатов?
При автоматизации проверки правильно использовать ключ -errchain, который сразу будет возвращать ОШИБКУ. Если вам нужно проверять подписи, сертификаты в которых уже истекли, то надо использовать соответствующий задаче формат подписи - CAdES-X Long Type 1. cryptcp такой тоже поддерживает (необходимо установить пакет cprocsp-pki-cades). Также можно полностью отключить проверку цепочки сертификатов с помощью ключа -nochain (НЕ ДЕЛАТЬ ТАК), но это превращает проверку подписи в фарс, так как нарушается основопологающий принцип построения доверия в PKI - через удостоверяющие центры.

Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Константин kndnt.st.h оставлено 26.12.2023(UTC)
Offline Константин kndnt.st.h  
#7 Оставлено : 26 декабря 2023 г. 12:43:24(UTC)
Константин kndnt.st.h

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2023(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Спасибо за ответы я разобрался.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.