Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Ошибка 2148204814 (800B010E) при улучшении Cades Bes подписи.
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Alagert  
#1 Оставлено : 9 апреля 2012 г. 21:54:54(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11
Добрый день.
Это пост по мотивам http://www.cryptopro.ru/....aspx?g=posts&t=4015 и http://www.cryptopro.ru/....aspx?g=posts&t=4125

С тех пор изменилась алгоритм подписи на ГОСТ3411 и опять столкнулись с ошибкой 2148204814.

http://www.cryptopro.ru/.../cades/requirements.html изучил внимательно список требований, все выполняется. Куда дальше можно копать?
Заранее спасибо.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Новожилова Елена  
#2 Оставлено : 9 апреля 2012 г. 22:20:20(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
ГОСТ Р 34.11-94 - это алгоритм хэширования, а не подписи.

В какой момент проявляется ошибка, при создании подписи? усовершенствовании? Какой продукт используете? А то "пост по мотивам" - довольно расплывчатое описание.

Для более полной информации об ошибке лучше выложить или прислать лог.
Лог можно получить при помощи программы dbgView, предварительно добавив в реестр следующие значения:

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\Tracing]
"Enabled"=dword:00000001
"LogFilePrefix"=""
"ToFileOrDebugger"=dword:00000001
"ShowBytes"=dword:00000001
"ShowApiTrace"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Trace] "cades.dll"=""
"ProcessFlags"=dword:00000002
"reprov.dll"=""
"reprovb.dll"=""
"ocspcli.dll"=""
"tspcli.dll"=""
"pkivalidator.dll"=""

На платформе x64 эти значения нужно добавлять в обе (32-битную и 64-битную) ветки реестра.
Вверх
Offline Alagert  
#3 Оставлено : 10 апреля 2012 г. 17:04:32(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11
Елена, спасибо большое за отклик.
вот кусок лога:
Код:

00000716	22.13770485	[2208] cades.dll: {7072} /COcspCheck::checkRevocation/ RevocationCheck.h(371) : #failure# HRESULT: (0x800b010e)	
00000717	22.13773537	[2208] cades.dll: {7072} /COcspCheck::checkRevocation/ RevocationCheck.h(371) : Cannot find OCSP response for certificate.	
00000718	22.13778305	[2208] cades.dll: {7072} /CadesMsgEnhanceSignatureImpl/ cades.cpp(1130) : Exception thrown: _hr	
00000719	22.13794899	[2208] cades.dll: {7072} /CadesMsgEnhanceSignature/ cades.cpp(1165) : COleException, m_sc=0x800b010e	
00000720	22.13798714	[2208] cades.dll: {7072} /CadesMsgEnhanceSignature/ cades.cpp(1177) : (res=0, GetLastError=0x800b010e	
00000721	22.13801956	[2208] cades.dll: {7072} /CadesEnhanceMessageNamespace::Enhance/ CadesEnhanceMessage.cpp(48) : Expression FAILED: ::CadesMsgEnhanceSignature( msg.GetHandle(), dwSignerIndex, pEnhancePara->pCadesSignPara)	
00000722	22.13805199	[2208] cades.dll: {7072} /CadesEnhanceMessageNamespace::Enhance/ CadesEnhanceMessage.cpp(48) : Last win32 error thrown as exception	
00000723	22.13809967	[2208] cades.dll: {7072} /CadesEnhanceMessage/ CadesEnhanceMessage.cpp(107) : COleException, m_sc=0x800b010e	
00000724	22.13814354	[2208] cades.dll: {7072} /CadesEnhanceMessage/ CadesEnhanceMessage.cpp(116) : (res=0, GetLastError=0x800b010e

Как я понимаю, проблема в том что не получается ответ от OCSP сервера. Но служба запущена, лицензии куплены как на CryptoPro CSP, так и на TSP & OCSP clients.

Алгоритм подписи ГОСТ Р 34.11/34.10-2001
Алгоритм хеширования ГОСТ Р 34.11-94
Открытый ключ ГОСТ Р 34.11/34.10-2001
К сожалению, сам сертификат выложить не могу.
Вложение(я):
csp_log_fail.LOG (90kb) загружен 8 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Вверх
Offline Новожилова Елена  
#4 Оставлено : 10 апреля 2012 г. 17:31:07(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Код:
/COcspCheck::checkRevocation/ RevocationCheck.h(371) : #failure# HRESULT: (0xc2110121)


0xC2110121 - Не задан адрес службы OCSP.

Это требование выполняется?

Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию.
Вверх
Offline Alagert  
#5 Оставлено : 10 апреля 2012 г. 17:38:47(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11
Вот кусок из дампа сертификата
Код:

Certificate Extensions: 4
    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        8d cb 88 33 6a af 70 44 40 6d d0 47 78 55 c3 1d 1f 35 3d 8e

    2.5.29.35: Flags = 0, Length = 18
    Authority Key Identifier
        KeyID=3f 21 a8 1c 18 7a 3d 85 2c 56 8d 01 a6 a1 83 c4 29 32 9a 45

    2.5.29.31: Flags = 0, Length = 2b
    CRL Distribution Points
        [1]CRL Distribution Point
             Distribution Point Name:
                  Full Name:
                       URL=http://www.server.ru/id/ltecsca.crl

    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 5b
    Authority Information Access
        [1]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=http://server.ru/id/ltecsca.crt
        [2]Authority Info Access
             Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1)
             Alternative Name:
                  URL=http://www.server.ru/ocsp/ocsp.srf


Полностью дамп в атаче.
в
Код:
http://www.server.ru/ocsp/ocsp.srf
server.ru - это алиас на наш тестовый сервер где установлены OCSP и TSP службы

Отредактировано пользователем 10 апреля 2012 г. 17:40:18(UTC)  | Причина: Не указана

Вложение(я):
cert_dump.txt (3kb) загружен 7 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Вверх
Offline Новожилова Елена  
#6 Оставлено : 10 апреля 2012 г. 19:25:42(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Посмотрите пожалуйста, не присутствует ли в сертификате службы OCSP поле "Период использования закрытого ключа"?

Если отправить запрос о статусе сертификата пользователя (при помощи ocsputil) что будет в ответе?
Вверх
Offline Alagert  
#7 Оставлено : 10 апреля 2012 г. 19:46:08(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11
Новожилова Елена написал:
Посмотрите пожалуйста, не присутствует ли в сертификате службы OCSP поле "Период использования закрытого ключа"?

Нет, такого поля нет.
Новожилова Елена написал:

Если отправить запрос о статусе сертификата пользователя (при помощи ocsputil) что будет в ответе?


Сделал следующее:
Код:
>ocsputil.exe mr -o request c:\ca\last_cert.cer

>ocsputil.exe sr -u http://www.server.ru/ocsp/ocsp.srf request response.txt

>ocsputil.exe pi response.txt > log.txt


Получил:
Код:

Status: 0successful
Signature algorithm: 1.2.643.2.2.3, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 000000000023F6F8
Extensions: none
Certificate of signer of OCSP response: E=ca@centre-id.ru, CN=OCSP Server,
Verification of certificate of signer of OCSP response: succeed.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.3.14.3.2.26
Serial number: 1411 9BA9 0000 0000 007B
Issuer key hash: 3F21 A81C 187A 3D85 2C56 8D01 A6A1 83C4 2932 9A45
Issuer name hash: D395 C347 B2AE 542A 17B6 DD26 1A0F 9920 F169 79AE
Certificate status: Unknown
RevTime: none
RevReason: none
ThisUpdate: 00000000002C0788
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
E=ca@centre-id.ru, CN=OCSP Server,


Удивился алгоритму хеш функции. В этом проблемы?
Вверх
Offline Новожилова Елена  
#8 Оставлено : 10 апреля 2012 г. 20:13:21(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Сертификат службы OCSP и сертификат клиента выпущены одним и тем же УЦ?

Цитата:
Удивился алгоритму хеш функции. В этом проблемы?


Нет, это алгоритм хэширования имени и ключа издателя.
Вверх
Offline Alagert  
#9 Оставлено : 10 апреля 2012 г. 20:21:49(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11
Новожилова Елена написал:
Сертификат службы OCSP и сертификат клиента выпущены одним и тем же УЦ?

да, все выпущено одним и тем же УЦ. Почему url OCSP сервера в сертификате может игнорироваться? Может быть в этом причины?
Вверх
Offline Новожилова Елена  
#10 Оставлено : 10 апреля 2012 г. 21:53:14(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Внимательно посмотрела лог - URL в сертификате не игнорируется, в логе видно, что ошибка происходит при проверке полученного ответа.

В цепочках сертификатов конечного пользователя или службы OCSP присутствуют промежуточные центры?
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET