Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Как проверить подпись выписки из гос. рееста в консоли - Не понимаю как средствами КриптоПРО проверить подпись выписки из реестра налоговой в консоли
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline ipba  
#1 Оставлено : 25 сентября 2016 г. 17:28:25(UTC)
ipba

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 9
Мужчина
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Здравствуйте.

(deb 8.6 x64, cryptopro 4.0.9797)

Скачал с сайта налоговой выписку из гос. реестра. Файл pdf с подписью. Решил проверить этот файл.
Цепочка сертификатов там такая: "Головной удостоверяющий центр" -> "УЦ 1 ИС ГУЦ" -> "FNS Russia" -> "МИ ФНС России по ЦОД"
Добыл из непосредственных источников сертификаты и добавил их
Код:

$ certmgr -list -store uRoot
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : OGRN=1047707030513, INN=007707329152, STREET=ул. Неглинная д. 23, S=г. Москва, E=mns12705@nalog.ru, C=RU, L=Moscow, O=Federal Tax Service, CN=FNS Russia
Subject             : OGRN=1047797083861, INN=007733535730, E=mi51@m9965.nalog.ru, C=RU, S=Москва, L=Москва, O=МИ ФНС России по ЦОД, CN=МИ ФНС России по ЦОД, STREET=Походный проезд домовладение 3
Serial              : 0x7343263400030001CA06
SHA1 Hash           : 0x0c1c8aba056c81a5bd71aa344eb542b760041d47
SubjKeyID           : eeccbffef0e226bdff374ef603b9e426a22d6f6d
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 06/04/2016  10:54:00 UTC
Not valid after     : 06/04/2017  11:03:00 UTC
PrivateKey Link     : No                  
OCSP URL            : http://c0000-app005/ocsp/ocsp.srf
CA cert URL         : http://c0000-app005/crt/ca_fns_russia_2015.crt
CA cert URL         : http://uc.nalog.ru/crt/ca_fns_russia_2015.crt
Extended Key Usage  : 1.3.6.1.5.5.7.3.4
                      1.2.643.2.2.34.6
                      1.3.6.1.5.5.7.3.2
2-------
Issuer              : OGRN=1047707030513, INN=007707329152, STREET=ул. Неглинная д. 23, S=г. Москва, E=mns12705@nalog.ru, C=RU, L=Moscow, O=Federal Tax Service, CN=FNS Russia
Subject             : OGRN=1047707030513, INN=007707329152, STREET=ул. Неглинная д. 23, S=г. Москва, E=mns12705@nalog.ru, C=RU, L=Moscow, O=Federal Tax Service, CN=FNS Russia
Serial              : 0x13BE4D093E728B8940FBCE5933E77A01
SHA1 Hash           : 0xe91b64677769dbd9a851515d1d67c366825e6a90
SubjKeyID           : 0da4be6542fec3fa3988caabbab7b38ce19cf0b0
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 29/09/2015  11:26:31 UTC
Not valid after     : 03/10/2042  10:21:21 UTC
PrivateKey Link     : No                  
3-------
Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject             : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Serial              : 0x1C18CEC800000000003D
SHA1 Hash           : 0x9d05a704c8c1e565acde5878fe0bb96ec53c2a40
SubjKeyID           : cc8258239db5ccee6959a80776f012da0c49431f
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 22/04/2015  11:15:40 UTC
Not valid after     : 21/04/2019  11:15:40 UTC
PrivateKey Link     : No                  
4-------
Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject             : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Serial              : 0x34681E40CB41EF33A9A0B7C876929A29
SHA1 Hash           : 0x8cae88bbfd404a7a53630864f9033606e1dc45e2
SubjKeyID           : 8b983b891851e8ef9c0278b8eac8d420b255c95d
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 20/07/2012  12:31:14 UTC
Not valid after     : 17/07/2027  12:31:14 UTC
PrivateKey Link     : No                  
5-------
Issuer              : OGRN=1026605606620, INN=006663003127, STREET=Проспект Космонавтов д. 56, E=ca@skbkontur.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, O="ЗАО ""ПФ ""СКБ Контур""", OU=Удостоверяющий центр, CN=SKB Kontur production CA 1
Subject             : OGRN=1026605606620, INN=006663003127, STREET=Проспект Космонавтов д. 56, E=ca@skbkontur.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, O="ЗАО ""ПФ ""СКБ Контур""", OU=Удостоверяющий центр, CN=SKB Kontur production CA 1
Serial              : 0x324CC827319E20964F99521FEEC48CE0
SHA1 Hash           : 0x028bca5ad4ee945042ba8510c9a95b9ff8f1b8bf
SubjKeyID           : 8f03315a6c8d6e7af4e3f87537e220c42c2c9d83
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 20/12/2015  18:45:20 UTC
Not valid after     : 20/12/2030  18:55:20 UTC
PrivateKey Link     : No                  
=============================================================================

[ErrorCode: 0x00000000]


"Контур" в списке - это удостоверяющий, который выдал сертификат мне.

Я же как думаю. Вот у меня есть сертификаты всех организаций, которые в той или иной мере участвовали в организации электронной подписи в полученном мною документе - выписке из реестра налоговой. Эти сертификаты я получил непосредственно у тех организаций, которые участвовали в процессе. Теперь мне надо проверить: действительно ли полученный документ имеет электронную подпись "МИ ФНС России по ЦОД" (не знаю как расшифровывается, но звучит потрясающе).

Но я не знаю как проверить подпись в документе, если не я подписывал этот документ. cryptcp хорошо проверяет подписанные мною документы, а подписанный "МИ ФНС России по ЦОД" не хочет. куда бы я этот сертификат от "МИ ФНС России по ЦОД" не добавил. В uMy я тоже этот "МИ ФНС России по ЦОД" добавлял. Результат одинаков:

Код:

$ cryptcp -verify ./001.pdf
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

Certificates found: 2
Certificate chains are checked.
Folder './':
./001.pdf... Signature verifying...     
Error: Invalid cryptographic message type.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:1495: 0x80091004
[ErrorCode: 0x80091004]


Как это "Error: Invalid cryptographic message type." победить? Чтобы можно было в терминале проверить подпись в выписке из гос.реестра налоговой?

Отредактировано пользователем 25 сентября 2016 г. 17:42:35(UTC)  | Причина: Не указана
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline basid  
#2 Оставлено : 26 сентября 2016 г. 9:53:46(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,045

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 141 раз в 127 постах
cryptcp даже в теории не умеет проверять электронную подпись в PDF.
Готовое решение "под винду" - Крипто-ПРО CSP + Acrobat Reader + Крипто-ПРО PDF.
Готового решения "под линукс" лично я не знаю.
Вверх
Offline ipba  
#3 Оставлено : 26 сентября 2016 г. 13:23:34(UTC)
ipba

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 9
Мужчина
Российская Федерация

Поблагодарили: 1 раз в 1 постах
В теории как раз всё в порядке:
- на этой странице пишут
Цитата:

Реализуемые алгоритмы

Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".

- а на этой странице есть таблицы, говорящие о том, что на Debian 8 всё должно быть хорошо.

Вероятно, я где-то в документации не увидел, что подпись в выписке из гос. реестра от налоговой никак нельзя проверить на Debian 8. Наверняка, такое извещение в документации есть, но я проглядел.
Не мог бы кто-нибудь пояснить: что именно я пропустил, читая документацию по КриптоПРО?

Пытаясь понять способ решения этой задачки (проверки подписи в выписке из налоговой), я пошёл на страницу КриптоАРМ. Там, как мне показалось, есть решение для Linux. Предварительно, разумеется, я поспрашивал:
Вопрос N раз
и повторно:
для уточнения
И хотя на странице КриптоАРМ мне порекомендовали обратиться в тех. поддержку, но мне оттуда никто не отвечает. Что вполне согласуется с регламентом поддержки.
Я сначала должен купить, а потом спрашивать. Наверное, так получается.
Но я просто скачал и установил. Пусть триал, мне лишь попробовать: решает проблему или не решает.
Не решает. Устанавливается, даже gui есть. GUI красивый. Но при попытке добавить хоть какой-нибудь сертификат из цепочки подписи выписки из налоговой категорически их игнорирует:
Код:

/usr/share/cryptoarm/lib/cryptoarm_linux
Gtk-Message: Failed to load module "canberra-gtk-module"

/tmp/.io.nwjs.wB8NVV/node_modules/trusted-crypto/buildjs/pkistore/pkistore.js:265
        return this.handle.addCert(provider, category, cert.handle, flags);
                           ^
Error: addPkiObject Error add certificate to store
../src/wrapper/store/pkistore.cpp:392
addPkiObject Modulus=unavailable
../src/wrapper/store/pkistore.cpp:350

139952989292992:error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm:../../third_party/node/deps/openssl/openssl/crypto/evp/p_lib.c:231:
139952989292992:error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm:../../third_party/node/deps/openssl/openssl/crypto/asn1/x_pubkey.c:148:

    at Error (native)
    at PkiStore.addCert (/tmp/.io.nwjs.wB8NVV/node_modules/trusted-crypto/buildjs/pkistore/pkistore.js:265:28)

В чём шутка юмора я не знаю. Вообще-то все эти сертификаты удачно добавляются и есть в КриптоПРО на этой же машине. Но КриптоАРМ ни добавить их не может, ни учесть имеющиеся - никак. Спросить у тех. поддержек не могу, их регламент не позволяет. Купить - опасаюсь. А зачем покупать то, что даже в триале не работает или я понятия не имею что... Может, и в самом деле надо в убунту эту КриптоАРМ? Но убунту мне точно ни к чему.

По поводу "готового решения под виндовс". Проверил "Крипто-ПРО CSP + Acrobat Reader + Крипто-ПРО PDF". Подписи удачно проверяются в GUI, но ни в какую не проверяются в консоли. Я вручную добавил сертификат УЦ Крипто ПРО, чтоб на мануалах видно было, что подпись есть. И на выписке из налоговой в GUI Acrobat - проверяется. В консоли не проверяется. Приложил скриншоты:
РазДва
Почему - не знаю.

Как же проверить подпись из выписки гос. реестра, выдаваемой налоговой в консоли?

Отредактировано пользователем 26 сентября 2016 г. 15:11:06(UTC)  | Причина: Не указана
Вверх
Offline basid  
#4 Оставлено : 27 сентября 2016 г. 4:47:26(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,045

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 141 раз в 127 постах
Автор: ipba Перейти к цитате
В теории как раз всё в порядке
Кроме теории есть ещё и реализация. В частности - форматы данных.
Присоединённая подпись это контейнер внутри которого находится подписанный файл. Отсоединённая - отдельный файл. Грубо говоря - только обёртка контейнера. И в том и в другом случае, насколько я понимаю, используется C(ryptographic)M(essage)S(yntax).
В случае PDF ЭП встроена. Если там и есть CMS, то снаружи этого не видно.
Вверх
Offline basid  
#5 Оставлено : 27 сентября 2016 г. 5:15:00(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,045

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 141 раз в 127 постах
cppdfutil -?
Цитата:
Exception: Для использования утилиты командной строки для работы с электронной подписью требуется установить программу Adobe Acrobat Standard или Adobe Acrobat Pro.

Первый стОит что-то около 24т.р. Плюс - лицензия на сам Крипто-ПРО PDF.

P.S. Технически, можно прикрутить iText (двойная лицензия - AGPL/коммерческая), но это всё равно не "готовое решение".
Вверх
Offline TatyanaMal  
#6 Оставлено : 28 сентября 2016 г. 13:26:05(UTC)
TatyanaMal

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 08.11.2013(UTC)
Сообщений: 56
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 7 раз в 6 постах
Добрый день!

Цитата:
По поводу "готового решения под виндовс". Проверил "Крипто-ПРО CSP + Acrobat Reader + Крипто-ПРО PDF". Подписи удачно проверяются в GUI, но ни в какую не проверяются в консоли. Я вручную добавил сертификат УЦ Крипто ПРО, чтоб на мануалах видно было, что подпись есть. И на выписке из налоговой в GUI Acrobat - проверяется. В консоли не проверяется. Приложил скриншоты:
РазДва
Почему - не знаю.


Для проверки подписи с cppdfutil должен быть установлен Acrobat Standard или Adobe Acrobat Pro. Acrobat Reader не подходит.

Цитата:
Первый стОит что-то около 24т.р. Плюс - лицензия на сам Крипто-ПРО PDF.

Для проверки подписи лицензия на КриптоПро PDF не требуется.
Также Acrobat Standard/Pro версий XI и ниже раньше не требовали лицензию при работе через консоль.
Вверх
Offline ipba  
#7 Оставлено : 28 сентября 2016 г. 15:02:28(UTC)
ipba

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2016(UTC)
Сообщений: 9
Мужчина
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Спасибо всем участникам обсуждения. Я понял, что в виндовсе хоть что-то можно сделать. Я проверил и подтверждаю, что при замене Acrobat Reader-а консольная утилита cppdfutil сообщает обобщённый результат
Вот
Удовлетворяет ли пользователей виндовсов только такое сообщение: "Подпись с заданными параметрами существует и верна", - это вопрос для дискуссии, которая меня абсолютно не интересует. Пользователям виндовс, как привыкшим к GUI, после такой "проверки" подписи всё равно придётся смотреть чья же подпись в документе, которая с "заданными параметрами верна". Ну, да и Бог бы с ними.

Но, если вас не затруднит, неплохо бы было вернуться к исходному вопросу.

Есть Debian или операционные системы а-ля Red Hat (тот же CentOS или Fedora, или сам RHEL). КриптоПРО работает, проверять подписи, согласно сведениям из документации, должна. По крайней мере, я не нашёл известия о том, что проверка подписи налоговой не может быть проверена в этих операционных системах.

Каким образом в этих ОС-ях проверить подпись налоговой инспекции или органа, учреждения, организации, подразделения, именуемого в настоящее время "МИ ФНС России по ЦОД" в выписке из гос. реестра?

Отредактировано пользователем 28 сентября 2016 г. 15:03:51(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET