Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline YuriyI  
#1 Оставлено : 8 мая 2018 г. 11:42:13(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Добрый день.
Пытаюсь использовать утилиту cryptcp для подписи файла.
Команда cryptcp -sign -dn Alias -nocert -der ./test.txt ./test.sig выдает ошибку:

CryptCP 3.41 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Error: No certificate found.
/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:312: 0x2000012D

Команда csptest -keyset -enum_cont -fqcn -verifyc показывает, что контейнер есть и виден:
CSP (Type:75) v3.9.8010 KC1 Release Ver:3.9.8495 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 12602099
\\.\HDIMAGE\test-container
OK.
Total: SYS: 0,010 sec USR: 0,020 sec UTC: 0,110 sec
[ErrorCode: 0x00000000]
Ключевая пара генерилась из контрольной панели JCP с именем субъекта сертификата CN=Alias,O=CryptoPro,C=RU.


Вопросы:
1. Почему не находится сертификат ?
2. Почему ищется сертификат, а не приватный ключ?
3. Что нужно сделать, чтобы утилиты командной строки заработали ?
Offline Андрей Писарев  
#2 Оставлено : 8 мая 2018 г. 11:56:34(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,603
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1600 раз в 1231 постах
Здравствуйте.

Обычно приложения работают с сертификатами.
Сертификаты обычно устанавливают в Личное хранилище.

Вопрос:
устанавливали полученный сертификат?
Техническую поддержку оказываем тут
Наша база знаний
Offline YuriyI  
#3 Оставлено : 8 мая 2018 г. 12:00:35(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Возможно несоответствие терминологии.
Ключавая пара - содержит приватный ключ и сертификат, который в свою очередь содержит публичный ключ.
Для чего мне устанавливать сертификат, если я сгенерил себе ключевую пару и пытаюсь подписать приватным ключем некие данные ?
От кого я должен получить сертификат в моем случае и что он из себя представляет?
Offline Андрей Писарев  
#4 Оставлено : 8 мая 2018 г. 12:01:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,603
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1600 раз в 1231 постах
-dn Alias - поиск сертификата в хранилище.
-keyset -enum_cont - перечисление контейнеров.


Варианты:
а) есть только контейнер => нужно получить сертификат и связать его с контейнером
б) есть только сертификат => просто взяли и установили какой-то сертификат, не имея контейнера с закрытым ключом
в) есть контейнер и сертификат, без связи с контейнером => переустановить сертификат с привязкой к контейнеру
г) есть сертификат с ссылкой на контейнер, но контейнера нет (удалили или на съмном носителе)
д) ...
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#5 Оставлено : 8 мая 2018 г. 12:04:15(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,603
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1600 раз в 1231 постах
Автор: YuriyI Перейти к цитате
Возможно несоответствие терминологии.
Ключавая пара - содержит приватный ключ и сертификат, который в свою очередь содержит публичный ключ.
Для чего мне устанавливать сертификат, если я сгенерил себе ключевую пару и пытаюсь подписать приватным ключем некие данные ?
От кого я должен получить сертификат в моем случае и что он из себя представляет?


Ключевая пара: это открытый и закрытый ключ.
Сертификат - содержит открытый ключ, информацию о владельце\издателе\расширениях\подпись издателя

Прикладное ПО использует сертификат для поиска закрытого ключа (контейнера) + добавляет его в файл с подписью,
чтобы на проверяющей стороне проверить открытым ключом из сертификата + знать кто подписывал (сущность сертификата) и кто выдал сертификат.
Техническую поддержку оказываем тут
Наша база знаний
Offline YuriyI  
#6 Оставлено : 8 мая 2018 г. 12:04:57(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Цитата:
есть только контейнер => нужно получить сертификат и связать его с контейнером - наиболее вероятный вариант.

Как это проверить ?
Offline Андрей Писарев  
#7 Оставлено : 8 мая 2018 г. 12:06:13(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,603
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1600 раз в 1231 постах
Тестовый сертификат можно получить через IE в тестовом УЦ, например,
https://www.cryptopro.ru/certsrv/

варианты:
а) полностью сформировать запрос в браузере, получить и установить сертификат
б) сформировать запрос в утилите, а через браузер отправить запрос и получить сертификат, далее его установить с привязкой к контейнеру
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#8 Оставлено : 8 мая 2018 г. 12:09:04(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,603
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1600 раз в 1231 постах
Автор: YuriyI Перейти к цитате
Цитата:
есть только контейнер => нужно получить сертификат и связать его с контейнером - наиболее вероятный вариант.

Как это проверить ?


Не нужно изменять мой текст.
Вы сформировали только ключи.
Формирование запроса на сертификат - есть в руководстве к утилите, раздел 2.7.
Техническую поддержку оказываем тут
Наша база знаний
Offline YuriyI  
#9 Оставлено : 8 мая 2018 г. 12:11:44(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Цитата:
Не нужно изменять мой текст.

Просто личшнего "заквотил".

Можно как то работать с сертификатами не из под рута ?

Отредактировано пользователем 8 мая 2018 г. 12:31:49(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#10 Оставлено : 8 мая 2018 г. 12:36:41(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,603
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1600 раз в 1231 постах
Автор: YuriyI Перейти к цитате
Цитата:
Не нужно изменять мой текст.

Просто личшнего "заквотил".

Можно как то работать с сертификатами не из под рута ?


Конечно.
Техническую поддержку оказываем тут
Наша база знаний
Offline YuriyI  
#11 Оставлено : 8 мая 2018 г. 12:42:26(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Подскажите, пожалуйста, что я делаю не так?
При попытке добавить сертификат из под обычного пользователя:
/opt/cprocsp/bin/amd64/certmgr -inst -cont '\\.\HDIMAGE\test-container' -file ~/test-container.crt
получаю сообщение:
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores

Install:
=============================================================================
1-------
Issuer : C=RU, O=CryptoPro, CN=Alias
Subject : C=RU, O=CryptoPro, CN=Alias
Serial : 0x553E3D6A
SHA1 Hash : 0x28d533f0b63d549e87b227f0b1f1819d572981ce
SubjKeyID : d90dc9ba17141bc6defd0b5c5e0c17e40e66709a
Not valid before : 25/04/2018 11:29:24 UTC
Not valid after : 25/04/2019 11:29:24 UTC
PrivateKey Link : No
=============================================================================
Specify -pin option if container have pin
Can not export public key info from container

The system cannot find the file specified.
[ErrorCode: 0x00000002]

Так же при попытке проверить состояние контейнера из под обычного пользователя получаю:
csptest -keyset -check -cont '\\.\HDIMAGE\test-container'
CSP (Type:75) v3.9.8010 KC1 Release Ver:3.9.8495 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 24460019
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "test-container"
Container corrupted:
header corrupted
An error occurred in running the program.
/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/csptest/ctkey.c:2079:Container corrupted.
Error number 0x0 (0).
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec
[ErrorCode: 0x20777777]


Из под рута же все ок.

Отредактировано пользователем 8 мая 2018 г. 12:48:14(UTC)  | Причина: Не указана

Offline YuriyI  
#12 Оставлено : 17 мая 2018 г. 15:39:26(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Как показали тесты, проблемы возникают только когда используются ключ длиной 256 или 512 байт.
Это ограничение тестовой версии, в дефолтных значениях или флагов каких то не хватает ?
Offline Александр Лавник  
#13 Оставлено : 17 мая 2018 г. 15:56:25(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,599
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 590 раз в 557 постах
Автор: YuriyI Перейти к цитате
Как показали тесты, проблемы возникают только когда используются ключ длиной 256 или 512 байт.
Это ограничение тестовой версии, в дефолтных значениях или флагов каких то не хватает ?


Добрый день.

Что Вы имеете ввиду под длиной ключей?

По какому стандарту создана ключевая пара (ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012)?
Техническую поддержку оказываем тут
Наша база знаний
Offline YuriyI  
#14 Оставлено : 17 мая 2018 г. 16:22:52(UTC)
YuriyI

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.03.2018(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Цитата:
Что Вы имеете ввиду под длиной ключей?

Цифра, которая указывается в скобках в конце типа провайдера:
Тип провайдера:
R 34.10 - 2012(256) - 256
R 34.10 - 2012(512) - 512
Цитата:
По какому стандарту создана ключевая пара (ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012)?

R 34.10 - 2012
Offline Александр Лавник  
#15 Оставлено : 17 мая 2018 г. 16:26:58(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,599
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 590 раз в 557 постах
Автор: YuriyI Перейти к цитате
Цитата:
Что Вы имеете ввиду под длиной ключей?

Цифра, которая указывается в скобках в конце типа провайдера:
Тип провайдера:
R 34.10 - 2012(256) - 256
R 34.10 - 2012(512) - 512
Цитата:
По какому стандарту создана ключевая пара (ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012)?

R 34.10 - 2012


КриптоПро CSP 3.9 (судя по приложенному Вами выводу команд, у Вас на компьютере с Linux установлена версия КриптоПро CSP 3.9.8495 - она же КриптоПро CSP 3.9 R2) не поддерживает стандарт ГОСТ Р 34.10-2012 (см. таблицу Поддерживаемые алгоритмы).

Так же эта информация, естественно, есть и в документации на КриптоПро CSP 3.9.

Поддержка ГОСТ Р 34.10-2012 есть в КриптоПро CSP 4.0 и выше.

Отредактировано пользователем 17 мая 2018 г. 16:29:45(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
YuriyI оставлено 17.05.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.