Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ololo123  
#1 Оставлено : 31 октября 2024 г. 21:49:59(UTC)
ololo123

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.07.2019(UTC)
Сообщений: 5
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 1 раз
Добрый день, в Инструментах КриптоПро шифрую файл сертификатом ключа, созданного на рутокене 3.0 с помощью механизмов pkcs11. При расшифровке с помощью Инструментов КриптоПро ошибка 0x80090010, тестирование контейнера:

Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
Имя 0fa3d1d0035049bca3bd313f065ace26:public key
Проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена Ошибка 0x80090010: Отказано в доступе.
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу

поставщик ОГРН=1234567890123, ИНН=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
действителен с 25 октября 2024 г. 12:01:10
действителен по 25 декабря 2024 г. 12:11:10
серийный номер 7C00 171F 76D4 1B2E 9A1E A8DE 0400 0A00 171F 76
сертификат в хранилище My

cсылка на закрытый ключ 0fa3d1d0035049bca3bd313f065ace26:public key; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей успешно
Версия контейнера 4
Значение ControlKeyTimeValidity 1
Режим работы CSP библиотека

Это значит, что нельзя использовать криптопро для расшифровки таких файлов?

Усиленный контроль в настройка безопасности отключен.

Отредактировано пользователем 31 октября 2024 г. 21:53:12(UTC)  | Причина: Не указана

Offline ololo123  
#2 Оставлено : 2 ноября 2024 г. 11:09:50(UTC)
ololo123

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.07.2019(UTC)
Сообщений: 5
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 1 раз
[img=http://ibb.co/G3zyGqz]Картинка[/img]

Подскажите, что настроить, чтобы работала расшифровка с ключом на рутокене. Все библиотеки новые.

Отредактировано пользователем 2 ноября 2024 г. 11:12:03(UTC)  | Причина: Не указана

Online Русев Андрей  
#3 Оставлено : 5 ноября 2024 г. 8:41:52(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,422

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 567 раз в 395 постах
Здравствуйте. Судя по диагностике у вас старая версия КриптоПро CSP. Рутокен ЭЦП 3.0 поддерживается начиная с КриптоПро CSP 5.0 R3. Проверьте на сертифицированной 2024-04-02 КриптоПро CSP 5.0.13000 Titan или актуальной 2024-09-22 КриптоПро CSP 5.0.13300 Uroboros.
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
nickm оставлено 05.11.2024(UTC)
Offline ololo123  
#4 Оставлено : 5 ноября 2024 г. 10:25:51(UTC)
ololo123

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.07.2019(UTC)
Сообщений: 5
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 1 раз
Автор: Русев Андрей Перейти к цитате
Здравствуйте. Судя по диагностике у вас старая версия КриптоПро CSP. Рутокен ЭЦП 3.0 поддерживается начиная с КриптоПро CSP 5.0 R3. Проверьте на сертифицированной 2024-04-02 КриптоПро CSP 5.0.13000 Titan или актуальной 2024-09-22 КриптоПро CSP 5.0.13300 Uroboros.


Проверял и на 13000 и на 13300, просто попробуйте сами воспроизвести. Из-за этого возникает ошибка в 1С при работе с приложением КриптоПРО с сертификатом ключа, созданного для ЕГАИС.
Диагностика выполнена в 13300:

Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
Имя 0fa3d1d0035049bca3bd313f065ace26:public key
Уникальное имя SCARD\pkcs11_rutoken_ecp_*\0fa3d1d0035049bca3bd313f065ace26:public key
FQCN \\.\Aktiv Rutoken ECP 0\0fa3d1d0035049bca3bd313f065ace26:public key
Проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена Ошибка 0x80090010: Отказано в доступе.
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
имя сертификата
субъект
поставщик ОГРН=1234567890123, ИНН=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
действителен с 25 октября 2024 г. 12:01:10
действителен по 25 декабря 2024 г. 12:11:10
серийный номер 7C00 171F 76D4 1B2E 9A1E A8DE 0400 0A00 171F 76
сертификат в хранилище My
субъект
cсылка на закрытый ключ 0fa3d1d0035049bca3bd313f065ace26:public key; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей успешно
Версия контейнера 4
Значение ControlKeyTimeValidity 1
Режим работы CSP библиотека

Отредактировано пользователем 5 ноября 2024 г. 10:39:19(UTC)  | Причина: Не указана

Offline N.Fomichev  
#5 Оставлено : 5 ноября 2024 г. 11:44:50(UTC)
N.Fomichev

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.05.2024(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Поблагодарили: 4 раз в 3 постах
Создание ключа обмена может завершаться ошибкой отказа в доступе, если объект закрытого ключа был создан без атрибута CKA_DERIVE. Проверить можно утилитой pkcs11-tool, перечислив все объекты токена и их атрибуты, например:
Цитата:
pkcs11-tool.exe --module "C:\Windows\System32\rtpkcs11ecp.dll" -O --pin 12345678

Объект закрытого ключа должен выглядеть так:
Цитата:
Private Key Object; GOSTR3410-2012-256
PARAMS OID: 06072a850302022400
label: container_name
ID: 7031315f323032343131303500
Usage: sign, derive
Access: sensitive, always sensitive, never extractable, local
thanks 2 пользователей поблагодарили N.Fomichev за этот пост.
nickm оставлено 05.11.2024(UTC), Андрей * оставлено 05.11.2024(UTC)
Offline ololo123  
#6 Оставлено : 5 ноября 2024 г. 15:59:04(UTC)
ololo123

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.07.2019(UTC)
Сообщений: 5
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 1 раз
Автор: N.Fomichev Перейти к цитате
Создание ключа обмена может завершаться ошибкой отказа в доступе, если объект закрытого ключа был создан без атрибута CKA_DERIVE.


Спасибо! Действительно нет этого атрибута. А на что он влияет, для ЕГАИС его отсутствие не является требованием?

Offline N.Fomichev  
#7 Оставлено : 5 ноября 2024 г. 19:29:08(UTC)
N.Fomichev

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.05.2024(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Поблагодарили: 4 раз в 3 постах
Автор: ololo123 Перейти к цитате
А на что он влияет, для ЕГАИС его отсутствие не является требованием?


В данном случае шифрование файлов основывается на применении алгоритма согласования ключей. Если у закрытого ключа в контейнере нет атрибута CKA_DERIVE, следовательно, нет возможности на нем вычислить ключ согласования, следовательно, нет возможности использовать ключ согласования для операции расшифрования. В результате контейнер на заданном носителе нельзя использовать для расшифрования файлов.
Про ЕГАИС не скажу, не обладаю информацией.
thanks 1 пользователь поблагодарил N.Fomichev за этот пост.
nickm оставлено 05.11.2024(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.