Отправляем в ЦентроБанк большой (>10МБ) zip-файл с шифрованием на ключ ЦБ.

Если шифрование производится под Windows (cadesplugin, cryptcp, КриптоАРМ) - проблем нет, ЦБ файл принимает.

Если шифрование производится в АльтЛинукс 10.1 (gui самого КриптоПро 5.0, cadesplugin, cryptcp) - ЦБ файл не принимает, сообщает о такой ошибке:

"Ошибка при расшифровании файла: Некорректный формат данных. Ошибка расшифрования. Блок шифрованных данных в файле 'Приложение.zip.enc' содержит 17869020 шифрованных данных, при максимальном размере одиночного шифрованного блока в 262144 байт.. Ошибка VALIDATA_2953838594 (Зашифрованный файл имеет некорректную структуру. Не удалось получить информацию о блоках шифрования.)",

или о такой:

"Ошибка при расшифровании файла: [ncacn_ip_tcp: Не удалось получить информацию о зашифрованном сообщении в файле 'Приложение.zip.enc'. e0700016: Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал. Ошибка VALIDATA_3765436438 (Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал)".

Предполагаю исходя из текста ошибок, что формат итогового файла под Линуксом говорит об использовании блочного, а не поточного шифра, но блок состоит из всего файла, что превышает допустимый размер блока у криптопровайдера (возможно и не КриптоПро) на стороне ЦБ. Это некорректно - либо нужно в формате файла указать на поточное шифрование, либо размер блока должен быть адекватным - не более 262144 байт, как хочет криптопровайдер ЦБ.

Не очень хочется погружаться в функционал CryptoAPI. Есть ли возможность получить для Линукса "КриптоПро ЭЦП Browser plug-in" или cryptcp или gui самого КриптоПро, которые позволят отправлять файлы в ЦБ так, чтобы их там принимали?

Очевидно, что предлагать мне что-то исправить внутри ЦБ (использовать другой криптопровайдер при расшифровке, например) или работать и далее вражеским Windows в устаревшей версии без техподдержки производителя - не стоит - как первое, так и второе не в моей власти.

"Для обхода нужно загружать файл ещё раз" - нет, проблема не в этом. С Линукса пытались раз 5 отправить, причем с вечера одного дня до утра другого - безуспешно. Если бы сайт ЦБ столько не работал... В общем, это невозможно.

"а cryptcp не должны возникать ошибки про размеры блоков: здесь он 64 КБ. Диагностика точно от зашифрованных им файлов?" - уточнил у сотрудников - нет, я ошибся. Файлы шифровались криптоплагином и gui-приложением самого КриптоПро 5.0 - с помощью cryptcp не пробовали. Т.е. это бы помогло? Ну хоть какой-то вариант. Но вариант так себе - рядовым сотрудникам шифрование через командную строку не поручишь, только самому делать. А не удастся исправить и криптоплагин с gui ?

Кроме того, из ЦБ техподдержка ответила, что нужно использовать потоковое шифрование, не блочное - хоть это и противоречит тексту ошибки их криптопровайдера, где говорится, что блок размером до 262144 байта допустим. Т.е. нет уверенности, что файл после шифрования в cryptcp будет принят, но проверим. А нельзя в cryptcp каким-либо параметром указать способ шифрования - блочное или потоковое ?

Убедились - с cryptcp работает.
Шифровал просто без выбора алгоритмов: cryptcp -encr -der -thumbprint blablabla Приложение.zip Приложение.zip.enc
ЦБ после cryptcp принял файл без вопросов, хотя ранее этот же файл, шифрованный криптоплагином браузера, отвергал дважды с ошибкой: "Ошибка при расшифровании файла: [ncacn_ip_tcp: Не удалось получить информацию о зашифрованном сообщении в файле 'Приложение.zip.enc'. e0700016: Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал. Ошибка VALIDATA_3765436438 (Ошибка переполнения - либо данные слишком велики, либо буфер слишком мал)".

Готов учиться как правильно шифровать в cptools. Помогите, пожалуйста, партнерам поправить криптоплагин - шифрование вне сайта я не смогу нагрузить на сотрудников, придется самому делать.

Команда исполнилась, ничего не сказала в ответ. В следующий раз попробую через cptools. Спасибо.

Шифруем через браузерный плагин, разумеется, на сайте ЦБ - https://portal5.cbr.ru, но туда, что логично, не всех пускают. Есть у них тестовый сайт - https://portal5test.cbr.ru. Там можно самозарегистрироваться, по-моему, любому, только сослаться на любой существующий банк надо (хоть на Сбер). Но на тестовом сайте используется иная криптография - она принимает тот же самый файл шифрованный тем же самым криптоплагином браузера без проблем несмотря на то, что промышленный сайт его не принял. А может на тестовом вообще криптографии нет - ставит положительный статус сообщению, не расшифровывая вложения.

Предположительно сайт ЦБ неверно использует плагин, поэтому получает ошибку: вместо нескольких операций зашифрования с подходящим их серверу размером чанка выполняется одна операция по принципу "я проверил - на винде всё работает". Между тем успех на винде обусловлен уже её собственным багом, из-за которого там шифрование идёт только мелкими блоками независимо от размера переданного чанка, то есть медленно. Так что быстрое в техническом смысле решение (подправить javascript) может сделать ЦБ, к ним лучше и обращаться. Мы попробуем закостылить эту проблему в самом плагине.