Статус: Новичок
Группы: Участники
Зарегистрирован: 06.06.2019(UTC) Сообщений: 8 Откуда: Барнаул
|
Отправляем в ЦентроБанк большой (>10МБ) zip-файл с шифрованием на ключ ЦБ.
Если шифрование производится под Windows (cadesplugin, cryptcp, КриптоАРМ) - проблем нет, ЦБ файл принимает.
Если шифрование производится в АльтЛинукс 10.1 (gui самого КриптоПро 5.0, cadesplugin, cryptcp) - ЦБ файл не принимает, сообщает о такой ошибке:
"Ошибка при расшифровании файла: Некорректный формат данных. Ошибка расшифрования. Блок шифрованных данных в файле 'Приложение.zip.enc' содержит 17869020 шифрованных данных, при максимальном размере одиночного шифрованного блока в 262144 байт.. Ошибка VALIDATA_2953838594 (Зашифрованный файл имеет некорректную структуру. Не удалось получить информацию о блоках шифрования.)",
или о такой:
"Ошибка при расшифровании файла: [ncacn_ip_tcp: Не удалось получить информацию о зашифрованном сообщении в файле 'Приложение.zip.enc'. e0700016: Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал. Ошибка VALIDATA_3765436438 (Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал)".
Предполагаю исходя из текста ошибок, что формат итогового файла под Линуксом говорит об использовании блочного, а не поточного шифра, но блок состоит из всего файла, что превышает допустимый размер блока у криптопровайдера (возможно и не КриптоПро) на стороне ЦБ. Это некорректно - либо нужно в формате файла указать на поточное шифрование, либо размер блока должен быть адекватным - не более 262144 байт, как хочет криптопровайдер ЦБ.
Не очень хочется погружаться в функционал CryptoAPI. Есть ли возможность получить для Линукса "КриптоПро ЭЦП Browser plug-in" или cryptcp или gui самого КриптоПро, которые позволят отправлять файлы в ЦБ так, чтобы их там принимали?
Очевидно, что предлагать мне что-то исправить внутри ЦБ (использовать другой криптопровайдер при расшифровке, например) или работать и далее вражеским Windows в устаревшей версии без техподдержки производителя - не стоит - как первое, так и второе не в моей власти.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411
Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах
|
VALIDATA_2953838594 в прошлые разы была ошибкой портала ЦБ: он просто портил файлы при загрузке. Для обхода нужно загружать файл ещё раз.
На cryptcp не должны возникать ошибки про размеры блоков: здесь он 64 КБ. Диагностика точно от зашифрованных им файлов? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.06.2019(UTC) Сообщений: 8 Откуда: Барнаул
|
"Для обхода нужно загружать файл ещё раз" - нет, проблема не в этом. С Линукса пытались раз 5 отправить, причем с вечера одного дня до утра другого - безуспешно. Если бы сайт ЦБ столько не работал... В общем, это невозможно.
"а cryptcp не должны возникать ошибки про размеры блоков: здесь он 64 КБ. Диагностика точно от зашифрованных им файлов?" - уточнил у сотрудников - нет, я ошибся. Файлы шифровались криптоплагином и gui-приложением самого КриптоПро 5.0 - с помощью cryptcp не пробовали. Т.е. это бы помогло? Ну хоть какой-то вариант. Но вариант так себе - рядовым сотрудникам шифрование через командную строку не поручишь, только самому делать. А не удастся исправить и криптоплагин с gui ?
Кроме того, из ЦБ техподдержка ответила, что нужно использовать потоковое шифрование, не блочное - хоть это и противоречит тексту ошибки их криптопровайдера, где говорится, что блок размером до 262144 байта допустим. Т.е. нет уверенности, что файл после шифрования в cryptcp будет принят, но проверим. А нельзя в cryptcp каким-либо параметром указать способ шифрования - блочное или потоковое ?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411
Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах
|
Раз это был не cryptcp, давайте убедимся, что с ним всё работает. А когда заработает, я научу, как сделать то же самое с помощью cptools, и КриптоАРМ ГОСТ помогу партнёрам поправить при необходимости. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.06.2019(UTC) Сообщений: 8 Откуда: Барнаул
|
Убедились - с cryptcp работает. Шифровал просто без выбора алгоритмов: cryptcp -encr -der -thumbprint blablabla Приложение.zip Приложение.zip.enc ЦБ после cryptcp принял файл без вопросов, хотя ранее этот же файл, шифрованный криптоплагином браузера, отвергал дважды с ошибкой: "Ошибка при расшифровании файла: [ncacn_ip_tcp: Не удалось получить информацию о зашифрованном сообщении в файле 'Приложение.zip.enc'. e0700016: Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал. Ошибка VALIDATA_3765436438 (Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал)".
Готов учиться как правильно шифровать в cptools. Помогите, пожалуйста, партнерам поправить криптоплагин - шифрование вне сайта я не смогу нагрузить на сотрудников, придется самому делать.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411
Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах
|
Отлично! Для cptools можно задать размер чанка, которыми будет нарезано сообщение: Код:/opt/cprocsp/sbin/*/cpconfig -ini '\local\cptools\encrypt_file' -add long encrypt_chunk_size 65536
Для браузерного плагина попробуем что-нибудь придумать. А вы шифруете в браузере на своём портале или на портале ЦБ? Отредактировано пользователем 17 января 2024 г. 10:04:57(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.06.2019(UTC) Сообщений: 8 Откуда: Барнаул
|
Команда исполнилась, ничего не сказала в ответ. В следующий раз попробую через cptools. Спасибо. Шифруем через браузерный плагин, разумеется, на сайте ЦБ - https://portal5.cbr.ru, но туда, что логично, не всех пускают. Есть у них тестовый сайт - https://portal5test.cbr.ru. Там можно самозарегистрироваться, по-моему, любому, только сослаться на любой существующий банк надо (хоть на Сбер). Но на тестовом сайте используется иная криптография - она принимает тот же самый файл шифрованный тем же самым криптоплагином браузера без проблем несмотря на то, что промышленный сайт его не принял. А может на тестовом вообще криптографии нет - ставит положительный статус сообщению, не расшифровывая вложения.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.06.2019(UTC) Сообщений: 8 Откуда: Барнаул
|
Может я невнятно пояснил, но я до сих пор жду решения вопроса с криптоплагином браузера - он шифрует так, что ЦБ расшифровать не может. Можно это решить - в общероссийском порядке, путем выпуска его новой версии, или в индивидуальном, путем вложения исправленной версии сюда ?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,411
Сказал(а) «Спасибо»: 34 раз Поблагодарили: 561 раз в 390 постах
|
Предположительно сайт ЦБ неверно использует плагин, поэтому получает ошибку: вместо нескольких операций зашифрования с подходящим их серверу размером чанка выполняется одна операция по принципу "я проверил - на винде всё работает". Между тем успех на винде обусловлен уже её собственным багом, из-за которого там шифрование идёт только мелкими блоками независимо от размера переданного чанка, то есть медленно. Так что быстрое в техническом смысле решение (подправить javascript) может сделать ЦБ, к ним лучше и обращаться. Мы попробуем закостылить эту проблему в самом плагине. |
|
2 пользователей поблагодарили Русев Андрей за этот пост.
|
Андрей * оставлено 30.01.2024(UTC), nickm оставлено 30.01.2024(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.07.2024(UTC) Сообщений: 2
|
ЦБ на эту тему говорит, у вас плагин некорректно работает, переставляйте, меняйте браузер и т.д... Тоже столкнулся с этой проблемой на ред ос 7.3.4 с ЯБ 23.11.1.789 и крипто про 5.
В итоге какое-то решение есть? Хоть костыльное..
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close