Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline sandrey74  
#1 Оставлено : 10 января 2024 г. 7:25:42(UTC)
sandrey74

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Барнаул

Отправляем в ЦентроБанк большой (>10МБ) zip-файл с шифрованием на ключ ЦБ.

Если шифрование производится под Windows (cadesplugin, cryptcp, КриптоАРМ) - проблем нет, ЦБ файл принимает.

Если шифрование производится в АльтЛинукс 10.1 (gui самого КриптоПро 5.0, cadesplugin, cryptcp) - ЦБ файл не принимает, сообщает о такой ошибке:

"Ошибка при расшифровании файла: Некорректный формат данных. Ошибка расшифрования. Блок шифрованных данных в файле 'Приложение.zip.enc' содержит 17869020 шифрованных данных, при максимальном размере одиночного шифрованного блока в 262144 байт.. Ошибка VALIDATA_2953838594 (Зашифрованный файл имеет некорректную структуру. Не удалось получить информацию о блоках шифрования.)",

или о такой:

"Ошибка при расшифровании файла: [ncacn_ip_tcp: Не удалось получить информацию о зашифрованном сообщении в файле 'Приложение.zip.enc'. e0700016: Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал. Ошибка VALIDATA_3765436438 (Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал)".

Предполагаю исходя из текста ошибок, что формат итогового файла под Линуксом говорит об использовании блочного, а не поточного шифра, но блок состоит из всего файла, что превышает допустимый размер блока у криптопровайдера (возможно и не КриптоПро) на стороне ЦБ. Это некорректно - либо нужно в формате файла указать на поточное шифрование, либо размер блока должен быть адекватным - не более 262144 байт, как хочет криптопровайдер ЦБ.

Не очень хочется погружаться в функционал CryptoAPI. Есть ли возможность получить для Линукса "КриптоПро ЭЦП Browser plug-in" или cryptcp или gui самого КриптоПро, которые позволят отправлять файлы в ЦБ так, чтобы их там принимали?

Очевидно, что предлагать мне что-то исправить внутри ЦБ (использовать другой криптопровайдер при расшифровке, например) или работать и далее вражеским Windows в устаревшей версии без техподдержки производителя - не стоит - как первое, так и второе не в моей власти.
Online Русев Андрей  
#2 Оставлено : 10 января 2024 г. 10:09:20(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,422

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
VALIDATA_2953838594 в прошлые разы была ошибкой портала ЦБ: он просто портил файлы при загрузке. Для обхода нужно загружать файл ещё раз.

На cryptcp не должны возникать ошибки про размеры блоков: здесь он 64 КБ. Диагностика точно от зашифрованных им файлов?
Официальная техподдержка. Официальная база знаний.
Offline sandrey74  
#3 Оставлено : 11 января 2024 г. 6:11:13(UTC)
sandrey74

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Барнаул

"Для обхода нужно загружать файл ещё раз" - нет, проблема не в этом. С Линукса пытались раз 5 отправить, причем с вечера одного дня до утра другого - безуспешно. Если бы сайт ЦБ столько не работал... В общем, это невозможно.

"а cryptcp не должны возникать ошибки про размеры блоков: здесь он 64 КБ. Диагностика точно от зашифрованных им файлов?" - уточнил у сотрудников - нет, я ошибся. Файлы шифровались криптоплагином и gui-приложением самого КриптоПро 5.0 - с помощью cryptcp не пробовали. Т.е. это бы помогло? Ну хоть какой-то вариант. Но вариант так себе - рядовым сотрудникам шифрование через командную строку не поручишь, только самому делать. А не удастся исправить и криптоплагин с gui ?

Кроме того, из ЦБ техподдержка ответила, что нужно использовать потоковое шифрование, не блочное - хоть это и противоречит тексту ошибки их криптопровайдера, где говорится, что блок размером до 262144 байта допустим. Т.е. нет уверенности, что файл после шифрования в cryptcp будет принят, но проверим. А нельзя в cryptcp каким-либо параметром указать способ шифрования - блочное или потоковое ?
Online Русев Андрей  
#4 Оставлено : 11 января 2024 г. 9:06:13(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,422

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
Раз это был не cryptcp, давайте убедимся, что с ним всё работает. А когда заработает, я научу, как сделать то же самое с помощью cptools, и КриптоАРМ ГОСТ помогу партнёрам поправить при необходимости.
Официальная техподдержка. Официальная база знаний.
Offline sandrey74  
#5 Оставлено : 17 января 2024 г. 7:34:34(UTC)
sandrey74

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Барнаул

Убедились - с cryptcp работает.
Шифровал просто без выбора алгоритмов: cryptcp -encr -der -thumbprint blablabla Приложение.zip Приложение.zip.enc
ЦБ после cryptcp принял файл без вопросов, хотя ранее этот же файл, шифрованный криптоплагином браузера, отвергал дважды с ошибкой: "Ошибка при расшифровании файла: [ncacn_ip_tcp: Не удалось получить информацию о зашифрованном сообщении в файле 'Приложение.zip.enc'. e0700016: Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал. Ошибка VALIDATA_3765436438 (Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал)".

Готов учиться как правильно шифровать в cptools. Помогите, пожалуйста, партнерам поправить криптоплагин - шифрование вне сайта я не смогу нагрузить на сотрудников, придется самому делать.
Online Русев Андрей  
#6 Оставлено : 17 января 2024 г. 10:04:26(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,422

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
Отлично! Для cptools можно задать размер чанка, которыми будет нарезано сообщение:
Код:
/opt/cprocsp/sbin/*/cpconfig -ini '\local\cptools\encrypt_file' -add long encrypt_chunk_size 65536

Для браузерного плагина попробуем что-нибудь придумать. А вы шифруете в браузере на своём портале или на портале ЦБ?

Отредактировано пользователем 17 января 2024 г. 10:04:57(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Offline sandrey74  
#7 Оставлено : 18 января 2024 г. 5:11:26(UTC)
sandrey74

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Барнаул

Команда исполнилась, ничего не сказала в ответ. В следующий раз попробую через cptools. Спасибо.

Шифруем через браузерный плагин, разумеется, на сайте ЦБ - https://portal5.cbr.ru, но туда, что логично, не всех пускают. Есть у них тестовый сайт - https://portal5test.cbr.ru. Там можно самозарегистрироваться, по-моему, любому, только сослаться на любой существующий банк надо (хоть на Сбер). Но на тестовом сайте используется иная криптография - она принимает тот же самый файл шифрованный тем же самым криптоплагином браузера без проблем несмотря на то, что промышленный сайт его не принял. А может на тестовом вообще криптографии нет - ставит положительный статус сообщению, не расшифровывая вложения.
Offline sandrey74  
#8 Оставлено : 30 января 2024 г. 4:51:18(UTC)
sandrey74

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.06.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Барнаул

Может я невнятно пояснил, но я до сих пор жду решения вопроса с криптоплагином браузера - он шифрует так, что ЦБ расшифровать не может. Можно это решить - в общероссийском порядке, путем выпуска его новой версии, или в индивидуальном, путем вложения исправленной версии сюда ?
Online Русев Андрей  
#9 Оставлено : 30 января 2024 г. 16:01:19(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,422

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
Предположительно сайт ЦБ неверно использует плагин, поэтому получает ошибку: вместо нескольких операций зашифрования с подходящим их серверу размером чанка выполняется одна операция по принципу "я проверил - на винде всё работает". Между тем успех на винде обусловлен уже её собственным багом, из-за которого там шифрование идёт только мелкими блоками независимо от размера переданного чанка, то есть медленно. Так что быстрое в техническом смысле решение (подправить javascript) может сделать ЦБ, к ним лучше и обращаться. Мы попробуем закостылить эту проблему в самом плагине.
Официальная техподдержка. Официальная база знаний.
thanks 2 пользователей поблагодарили Русев Андрей за этот пост.
Андрей * оставлено 30.01.2024(UTC), nickm оставлено 30.01.2024(UTC)
Offline Maltiz  
#10 Оставлено : 26 июля 2024 г. 16:46:17(UTC)
Maltiz

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.07.2024(UTC)
Сообщений: 2

ЦБ на эту тему говорит, у вас плагин некорректно работает, переставляйте, меняйте браузер и т.д...
Тоже столкнулся с этой проблемой на ред ос 7.3.4 с ЯБ 23.11.1.789 и крипто про 5.

В итоге какое-то решение есть? Хоть костыльное..
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.