Импорт ключа из ASN. Ошибка

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Импорт ключа из ASN. Ошибка - плохие данные.

Опции

Предыдущая тема Следующая тема

arte-tkolomiets		#1 Оставлено : 3 июля 2018 г. 19:05:55(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 27.09.2016(UTC) Сообщений: 16 Откуда: Краснодар Поблагодарили: 4 раз в 1 постах		Коллеги, прошу прощения, по недосмотру, тему сначала поместил в ветку 3.6. Поскольку версия КриптоПро 3.9, пишу здесь. Получена ASN-структура следующего вида Далее пробую импортировать сессионный ключ следующим образом: Код: Win32Check(CryptAcquireContext(@hProv, 'KeyContainer', '', 75, CRYPT_SILENT)); Win32Check(CryptGetUserKey(hProv, AT_KEYEXCHANGE, @FPrivateKey)); // сборка PublicKey BLOB из статической части и открытого ключа abPublicKeyBlob := [ $06, // bType = PUBLICKEYBLOB $20, // bVersion = 0x20 $00, $00, $23, $2E, $00, $00, // KeyAlg = ALG_SID_GR3410EL $4D, $41, $47, $31, //Magic = GR3410_1_MAGIC $00, $02, $00, $00, // BitLen = 512 // bASN1GostR3410_94_PublicKeyParameters $30, $12, $06, $07 , $2A, $85, $03, $02, $02, $24, $00, $06, $07, $2A, $85, $03, $02, $02, $1E, $01, // APublicKey; $13, $1D, $94, $D3, $35, $01, $D3, $15, $18, $10, $63, $7F, $D1, $CD, $AE, $8E, $91, $A6, $DF, $60, $29, $64, $27, $9B, $A1, $2E, $8D, $33, $61, $DF, $68, $AE, $32, $B6, $87, $64, $2C, $8C, $97, $34, $85, $94, $15, $5F, $7C, $D2, $3A, $84, $21, $D4, $04, $3C, $99, $7A, $CF, $1A, $99, $3A, $64, $21, $31, $7E, $F9, $77 ]; // получение ключа согласования импортом открытого ключа отправителя // на закрытом ключе Win32Check(CryptImportKey(hProv, @abPublicKeyBlob[0], Length(abPublicKeyBlob), FPrivateKey, 0, @FAgreeKey)); // установление PRO_EXPORT алгоритма ключа согласования algProExport := CALG_PRO_EXPORT; Win32Check(CryptSetKeyParam(FAgreeKey, KP_ALGID, @algProExport, 0)); // сборка SessionKey BLOB из статической части и параметров сессионного ключа abSessionKeyBlob := [ $01, // bType = SIMPLEBLOB $20, // bVersion = 0x20 $00,$00 , $1E,$66 ,$00 ,$00, // KeyAlg = CALG_G28147 $FD,$51 ,$4A ,$37, // Magic = G28147_MAGIC $1E,$66 ,$00 ,$00, // EncryptKeyAlgId = CALG_G28147 //ASessionSV $CE, $F5, $56, $67, $BF, $BB, $15, $D2, //ASessionKey , $31, $FD, $E9, $C5, $D3, $9A, $27, $46, $FF, $EB, $87, $9C, $B4, $7D, $68, $D4, $14, $77, $E6, $78, $DE, $D6, $E5, $FD, $FF, $08, $9A, $86, $82, $72, $E7, $2D, //ASessionMAC , $9A, $5B, $67, $B7, // ASN.1 Sequence + OID Header $30 ,$09 ,$06 ,$07, // OID_GOST_R28147_89_CryptoPro_A_ParamSet 1.2.643.2.2.31.1 $2A ,$85 ,$03 ,$02 ,$02 ,$1F ,$01 ]; // получение сессионного ключа импортом зашифрованного сессионного ключа // на ключе согласования Win32Check(CryptImportKey(hProv, @abSessionKeyBlob[0], Length(FSessionKeyBlob), FAgreeKey, CRYPT_EXPORTABLE, @FSessionKey)); На последнем вызове возникает ошибка "Плохие данные". В чем может быть проблема?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

arte-tkolomiets		#2 Оставлено : 4 июля 2018 г. 19:28:32(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 27.09.2016(UTC) Сообщений: 16 Откуда: Краснодар Поблагодарили: 4 раз в 1 постах		Не победил тему, выкладываю код плюс последовательность действий 1. Инициализируем крипто-провайдер Код: `Win32Check(CryptAcquireContext(@hProv, 'MyContainer', '', PROV_GOST_2001_DH, 0));` 2. Шифруем данные и ключ Код: begin memStream := TMemoryStream.Create; memStream.LoadFromFile('d:\fss.cer'); // получение сертификата FCertContext := CertCreateCertificateContext(X509_ASN_ENCODING or PKCS_7_ASN_ENCODING, memStream.Memory, memStream.Size); // импорт информации по открытому ключу Win32Check(CryptImportPublicKeyInfoEx( hProv, X509_ASN_ENCODING or PKCS_7_ASN_ENCODING, @FCertContext.pCertInfo.SubjectPublicKeyInfo, CALG_GR3410EL, 0, nil, @FPublicKey)); // экспорт открытого ключа получателя в BLOB // экспорт открытого ключа получателя в BLOB Win32Check(CryptExportKey(FPublicKey, 0, PUBLICKEYBLOB, 0, nil, @FKeyLenNeed)); SetLength(FRecipientPublicKeyBlob, FKeyLenNeed); Win32Check(CryptExportKey(FPublicKey, 0, PUBLICKEYBLOB, 0, @FRecipientPublicKeyBlob[0], @FKeyLenNeed)); Win32Check(CryptGetUserKey(hProv, AT_KEYEXCHANGE, @FPrivateKey)); Win32Check(CryptExportKey(FPrivateKey, 0, PUBLICKEYBLOB, 0, nil, @FKeyLenNeed)); SetLength(FSenderPublicKeyBlob, FKeyLenNeed); Win32Check(CryptExportKey(FPrivateKey, 0, PUBLICKEYBLOB, 0, @FSenderPublicKeyBlob[0], @FKeyLenNeed)); // получаем значение открытого ключа отправителя из PUBLICKEYBLOB publicKey := Copy(FSenderPublicKeyBlob, Length(FSenderPublicKeyBlob) - 64, 64); // получение ключа согласования импортом открытого ключа получателя // на эфемерном ключе Win32Check(CryptImportKey(hProv, @FRecipientPublicKeyBlob[0], Length(FRecipientPublicKeyBlob), FPrivateKey, 0, @FAgreeKey)); // установление PRO_EXPORT алгоритма ключа согласования algProExport := CALG_PRO_EXPORT; Win32Check(CryptSetKeyParam(FAgreeKey, KP_ALGID, @algProExport, 0)); // создание случайного сессионного ключа Win32Check(CryptGenKey(hProv, CALG_G28147, CRYPT_EXPORTABLE, @FSessionKey)); // экспорт сессионного ключа в BLOB Win32Check(CryptExportKey(FSessionKey, FAgreeKey, SIMPLEBLOB, 0, nil, @FKeyLenNeed)); SetLength(FSessionKeyBlob, FKeyLenNeed); Win32Check(CryptExportKey(FSessionKey, FAgreeKey, SIMPLEBLOB, 0, @FSessionKeyBlob[0], @FKeyLenNeed)); sessionSV := Copy(FSessionKeyBlob, 16, 8); sessionKey := Copy(FSessionKeyBlob, 24, 32); sessionMAC := Copy(FSessionKeyBlob, 56, 4); transport := [ $30, $81, $A4, $30, $28, $04, $20, $5E, $70, $73, $5F, $36, $98, $B4, $35, $5B, $45, $03, $7F, $A7, $CE, $00, $97, // шифрованный (7,32 $11, $5E, $45, $C6, $58, $59, $94, $72, $66, $42, $06, $3F, $72, $3A, $B4, $9E, // ключ $04, $04, $8C, $86, $08, $84, // MAC (41,4) $A0, $78, $06, $07, $2A, $85, $03, $02, $02, $1F, $01, $A0, $63, $30, $1C, $06, $06, $2A, $85, $03, $02, $02, $13, $30, $12, $06, $07, $2A, $85, $03, $02, $02, $24, $00, $06, $07, $2A, $85, $03, $02, $02, $1E, $01, $03, $43, $00, $04, $40, $2D, $C3, $FD, $F6, $9C, $91, $3D, $CC, $B6, $53, $26, $8E, $51, $2F, $5E, $DD, // (93, 64) публичный ключ $E4, $1A, $5D, $B3, $58, $3C, $DF, $60, $68, $F2, $48, $A2, $B0, $B8, $DE, $7B, $C9, $AA, $20, $E3, $CF, $63, $DF, $5F, $39, $55, $21, $E0, $A0, $DD, $85, $3E, $0A, $AF, $44, $FA, $49, $3C, $D5, $4C, $A8, $04, $8D, $1D, $9C, $41, $85, $FB, $04, $08, $76, $EE, $B4, $6B, $1B, $10, $36, $EB // UKM (159,8) ]; for i := 0 to 31 do transport[i + 7] := Byte(sessionKey[i]); for i := 0 to 3 do transport[i + 41] := Byte(sessionMAC[i]); for i := 0 to 63 do transport[i + 93] := Byte(publicKey[i]); for i := 0 to 7 do transport[i + 159] := Byte(sessionSV[i]); // получение вектора инициализации Win32Check(CryptGetKeyParam(FSessionKey, KP_IV, nil, @FKeyLenNeed, 0)); SetLength(initVector, FKeyLenNeed); Win32Check(CryptGetKeyParam(FSessionKey, KP_IV, @initVector[0], @FKeyLenNeed, 0)); keyMode := CRYPT_MODE_CBC; Win32Check(CryptSetKeyParam(FSessionKey, KP_MODE, @keyMode, 0)); encryptData := TEncoding.Default.GetBytes(ASourceData); FSourceDataLen := Length(encryptData); FEncryptDataLen := FSourceDataLen; CryptEncrypt(FSessionKey, 0, true, 0, nil, @FEncryptDataLen, 0); SetLength(encryptData, FEncryptDataLen); CryptEncrypt(FSessionKey, 0, true, 0, @encryptData[0], @FSourceDataLen, FEncryptDataLen); AEncryptData := TEncoding.Utf8.GetString(TNetEncoding.Base64.Encode(initVector + encryptData)); <-- Зашифрованные данные AEncryptKey := TEncoding.Utf8.GetString(TNetEncoding.Base64.Encode(transport)); <-- Зашифрованный ключ end; 2. Готовим запрос xml-envelope, отсылаем его в ФСС, получаем ответ шифрованный 3 Из ответа ФСС берем ASN и вырезаем из него: APublicKey, ASessionSV, ASessionKey, ASessionMAC 4 Полученные APublicKey, ASessionSV, ASessionKey, ASessionMAC передаем в код дешифровки Код: Win32Check(CryptGetUserKey(hProv, AT_KEYEXCHANGE, @FPrivateKey)); // сборка PublicKey BLOB из статической части и открытого ключа abPublicKeyBlob := [ $06, // bType = PUBLICKEYBLOB $20, // bVersion = 0x20 $00, $00, $23, $2E, $00, $00, // KeyAlg = ALG_SID_GR3410EL $4D, $41, $47, $31, //Magic = GR3410_1_MAGIC $00, $02, $00, $00, // BitLen = 512 // bASN1GostR3410_94_PublicKeyParameters $30, $12, $06, $07 , $2A, $85, $03, $02, $02, $24, $00, $06, $07, $2A, $85, $03, $02, $02, $1E, $01 ] + APublicKey; // получение ключа согласования импортом открытого ключа отправителя // на закрытом ключе Win32Check(CryptImportKey(hProv, @abPublicKeyBlob[0], Length(abPublicKeyBlob), FPrivateKey, 0, @FAgreeKey)); // установление PRO_EXPORT алгоритма ключа согласования algProExport := CALG_PRO_EXPORT; Win32Check(CryptSetKeyParam(FAgreeKey, KP_ALGID, @algProExport, 0)); // сборка SessionKey BLOB из статической части и параметров сессионного ключа abSessionKeyBlob := [ $01, // bType = SIMPLEBLOB $20, // bVersion = 0x20 $00,$00 , $1E,$66 ,$00 ,$00, // KeyAlg = CALG_G28147 $FD,$51 ,$4A ,$37, // Magic = G28147_MAGIC $1E,$66 ,$00 ,$00] // EncryptKeyAlgId = CALG_G28147 + ASessionSV + ASessionKey + ASessionMAC + [// ASN.1 Sequence + OID Header $30 ,$09 ,$06 ,$07, // OID_GOST_R28147_89_CryptoPro_A_ParamSet 1.2.643.2.2.31.1 $2A ,$85 ,$03 ,$02 ,$02 ,$1F ,$01 ]; // получение сессионного ключа импортом зашифрованного сессионного ключа // на ключе согласования Win32Check(CryptImportKey(hProv, @abSessionKeyBlob[0], Length(abSessionKeyBlob), FAgreeKey, 0, @FSessionKey)); <-- ПЛОХИЕ ДАННЫЕ!!!!!!! С ошибкой на последнем вызове - ПЛОХИЕ ДАННЫЕ - ничего не могу пока сделать. Где может быть собака зарыта? То ли вручную неверно собираю, то ли что-то недоустанавливаю из параметров, то ли из ответа достаю неверные APublicKey, ASessionSV, ASessionKey, ASessionMAC.. Для начала просто правильность кода проверьте, пожалуйста. Отредактировано пользователем 4 июля 2018 г. 19:32:24(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#3 Оставлено : 4 июля 2018 г. 20:27:26(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Паскаль уже давольно давно не читал, но с виду нормально. Рекомендую написать сначала код на С, выполняющий эту работу, а потом портировать. Лучше вместе с экспортом сессионного ключа, поскольку я не уверен, что не перепутаны сертификаты и ключи отправителя\получателя.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

arte-tkolomiets		#4 Оставлено : 5 июля 2018 г. 9:53:52(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 27.09.2016(UTC) Сообщений: 16 Откуда: Краснодар Поблагодарили: 4 раз в 1 постах		А можно пока что проверить последовательностб действий концептуально. Цепочка: отправитель - Мы, получатель - ФСС, получатель ответа ФСС - МЫ 1. Получаем свой закрытый ключ + открытый ФСС из сертификата ФСС. 2. Для своего закрытого ключа так же получаем свой открытый ключ (для GostR3410-KeyTransport) 3. Формируем на паре (п.1) ключ согласования (CALG_PRO_EXPORT) 4. Генерируем сессионный CALG_G28147 и на ключе согласования (п.3) экспортируем его в BLOB сессионного ключа. 5. Из своего публичного ключа (п.2) и сессионного ключа, UKM, MAC, полученных из BLOB сессионного ключа (п.4). формируем GostR3410-KeyTransport ключа шифрования. 6. Упаковываем GostR3410-KeyTransport (п.5) в base64-envelope и отправляем ФСС. 7. Из base64-envelope ответа ФСС берем GostR3410-KeyTransport. 8. Из GostR3410-KeyTransport ФСС (п.7) берем публичный ключ, сессионный ключ, UKM, MAC. 9. Собираем BLOB из публичного ключа ФСС (п.8) и импортируем его на своем закрытом ключе, получая новый ключ согласования (CALG_PRO_EXPORT). 10. Собираем сессионный BLOB из сессионный ключ, UKM, MAC ФСС (п.8) и импортируем его на новом ключе согласования (п.9) получая сессионный ключ. Принципиально - это все? Никаких установок KP_IV для ключей согласования или еще чего-то? Я сымитировал запрос - импорт - дшифровка по данной схеме просто для двух локальных контейнеров, все прошло нормально. Это был аналог - моего запроса и дешифровки его на стороне ФСС. Сейчас еще сымитирую запрос - ответ. Может какие-то нюансы будут.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#5 Оставлено : 5 июля 2018 г. 10:14:10(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Похоже не правду. Не думаю, что для ключа согласования используется личный закрытый ключ, скорее всего эфемерный, но принципально схема не меняется.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

arte-tkolomiets		#6 Оставлено : 5 июля 2018 г. 10:23:07(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 27.09.2016(UTC) Сообщений: 16 Откуда: Краснодар Поблагодарили: 4 раз в 1 постах		Автор: Максим Коллегин Похоже не правду. Не думаю, что для ключа согласования используется личный закрытый ключ, скорее всего эфемерный, но принципально схема не меняется. я пробовал и на закрытых и на эфемерных, результат пока не дало буду пробовать :)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Fanbir		#7 Оставлено : 9 июля 2018 г. 15:36:16(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 09.07.2018(UTC) Сообщений: 7 Откуда: Минск		Доброго времени суток! Подскажите, пожалуйста, варианты решения вопроса. Имеется уставновленный .cer на продукт и имеется на локальной машине файлик .pfx Как можно средствами ЯП(Java, C#) установить файлик .pfx ? Существует ли такой алгоритм ? Отредактировано пользователем 9 июля 2018 г. 15:39:00(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

arte-tkolomiets		#8 Оставлено : 17 июля 2018 г. 10:38:13(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 27.09.2016(UTC) Сообщений: 16 Откуда: Краснодар Поблагодарили: 4 раз в 1 постах		Кому интересно, выкладываю архив проекта Delphi с вызовом шифрованного сервиса ФСС. Crypto.zip (984kb) загружен 180 раз(а).

4 пользователей поблагодарили arte-tkolomiets за этот пост.		LosPolos оставлено 03.12.2018(UTC), AlexAU оставлено 17.12.2018(UTC), Shuraken оставлено 22.12.2018(UTC), Alexcrool оставлено 25.01.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Shuraken		#9 Оставлено : 13 августа 2018 г. 13:55:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 30.05.2018(UTC) Сообщений: 38 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 2 раз в 2 постах		Господа, такой вопрос по обозначению алгоритмов. Если я формирую ЭЦП с использованием сертификата Криптопровайдер: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider Алгоритм ключа: ГОСТ Р 34.10-2001 то в блоке SignedInfo будут следующие строчки <SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102001-gostr3411"/> ... <DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr3411"/> Если же используется сертификат Криптопровайдер: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Алгоритм ключа: ГОСТ Р 34.10-2012 256 бит то в блоке SignedInfo появляются уже такие строчки <SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-256"/> ... <DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34112012-256"/> Вопрос такой: как программно определить, что подставить в SignatureMethod Algorithm и DigestMethod Algorithm, в зависимости от алгоритмов, указанных в сертификате? С уважением, Александр.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#10 Оставлено : 13 августа 2018 г. 15:22:40(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,316 Сказал «Спасибо»: 549 раз Поблагодарили: 2206 раз в 1721 постах		Здравствуйте. Цитата: Если же используется сертификат Криптопровайдер: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Алгоритм ключа: ГОСТ Р 34.10-2012 256 бит то в блоке SignedInfo появляются уже такие строчки <SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-256"/> ... <DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34112012-256"/> Вот эти слова - перевести в код. По алгоритму подписи - в сертификате\по контексту сертификата - узнать тип\имя провайдера и т.п.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close