Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Добрый день всем. Задача: создание и проверка подписей в разных CSP с ГОСТ-2012 Исходные данные: Создал два сертификата по ГОСТ-2012 (512 и 1024 бит) в ViPNet CSP 4.0.0.19743 (в Windows 2003R2) Создал две подписи с помощью этих сертификатов - успешно. Проверил две подписи с помощью этих сертификатов - успешно. Перенес файл и подписи на машину с КриптоПРО CSP 4.0.9007 Ни одна из подписей не прошла проверку: Цитата: Подпись не верна [2148086017] :либо внутренняя ошибка ASN1 либо ошибка дешифровки
Создал тестовый сертификат на машине с КриптоПРО CSP 4.0 Цитата: csptest -keyset -newkeyset -makecer -exportable -cont certificate_1024 -length 1024 -keytype exchange
Создал подпись, проверилась успешно (через CryptoAPI и через Capicom) Тестирование контейнера:
Проверка завершена успешно ошибок не обнаружено Контейнер закрытого ключа имя certificate_1024 уникальное имя certificate_1024 FQCN \\.\REGISTRY\certificate_1024 проверка целостности контейнера успешно Ключ обмена доступен длина ключа 1024 бит экспорт открытого ключа успешно импорт открытого ключа успешно подпись успешно проверка успешно создание ключа обмена успешно экспорт ключа разрешен алгоритм ГОСТ Р 34.10-2012 DH ГОСТ Р 34.10-2012 512 бит, параметры по умолчанию ГОСТ Р 34.11-2012 512 бит сертификат в контейнере соответствует закрытому ключу сертификат в хранилище My E=test@cryptopro.ru, CN=certificate_1024 certificate_1024; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider; 75 имя сертификата certificate_1024 субъект E=test@cryptopro.ru, CN=certificate_1024 поставщик E=test@cryptopro.ru, CN=certificate_1024 действителен с 9 ноября 2013 г. 23:03:39 действителен по 1 ноября 2030 г. 23:03:39 серийный номер 01 Ключ подписи отсутствует загрузка ключей успешно
Перенес файл и подпись на машину с ViPNet CSP 4 Проверил (через Capicom и CryptoAPI): Цитата:Подпись не верна [2148077575] :Неправильное значение хеша Проверил создание подписей и через Capicom: на той машине где создавал подписи: ОК на другой машине с другим CSP: Неправильное значение хеша При использовании ГОСТ-2001: все ОК. Вопрос: криптопровайдеры еще не совместимы или что-то я сделал не так?Прикладываю сертификаты, файлы и подписи к ним. Спасибо. Вложение(я): Тестирование.zip (12kb) загружен 10 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Аналогичное поведение и в КриптоПРО CSP 4.0.9071 + пришлось сгенерировать новые контейнеры и сертификаты (старые стали выдавать ошибку при обращении к ЗК: Цитата: Код [2148073499]: Тип поставщика не соответствует зарегистрированному значению
Создал для 80 и 81
csptest -keyset -newkeyset -makecer -exportable -cont c_512 -length 512 -keytype exchange -provtype 80 >damp80.log csptest -keyset -newkeyset -makecer -exportable -cont c_1024 -length 1024 -keytype exchange -provtype 81 >damp81.log
Подписи создаются и проверяются на этой же машине, но если перезапустить приложение и проверить подпись: выдается сбой:
--------------------------- При проверке ЭЦП произошла ошибка: Указан неправильный алгоритм ---------------------------
Что делать? Предыдущая сборка (4.0.9007) вела себя корректнее, приложение успешно проверяло созданные ранее подписи (после перезапуска) |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Решил проверить сертификаты, которые по ГОСТ-2001 на этой машине были. В КриптоПРО CSP 4.0.9071 подпись создается и тут же проверяется, но если перезапустить приложение и сделать только проверку - сбой: Указан неправильный алгоритм
Если (закрыть приложение\не закрывая) сделать новую подпись по ГОСТ-2001 (сохранить в другой файл) и следом проверить предыдущую подпись (которая давала сбой) - она успешно проверяется.
Перенес файл+подпись на машину с сертифицированный провайдером (ГОСТ-2001) - подпись успешно проверяется.
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
csptest.exe -sfsign -sign -my c_512 -in "c:\test.txt" -detached -out "c:\test.txt.sig" Цитата:#0: Subject: E=test@cryptopro.ru, CN=c_512 Valid : 10.11.2013 16:36:11 - 01.11.2030 16:36:11 (UTC) Issuer : E=test@cryptopro.ru, CN=c_512
A CSP has been acquired. Source message length: 2716 Calculated signature (or signed message) length: 476 An error occurred in running the program. signtsf.c:513:Signature creation error Error number 0x80090008 (2148073480). Указан неправильный алгоритм.
Total: SYS: 0,219 sec USR: 0,094 sec UTC: 2,031 sec [ErrorCode: 0x80090008]
Отредактировано пользователем 10 ноября 2013 г. 22:23:26(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Следующий опыт: КриптоПРО CSP 4.0.9071 (Windows XP sp3) Создаю в браузере запрос на сертификат к MS CA (Windows 2003R2, 32x, ViPNet CSP 4.0)
Выбираю из списка 80 тип криптопровайдера: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Генерируется контейнер, запрос...
Получаю в ответ от сервера: "Ошибка при обработке запроса Неправильная подпись. 0x80090006 (-2146893818)".
Выбираю из списка 81 тип криптопровайдера: Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider Размер ключа: 1024, хеш 512 (устанавливается по умолчанию)
Генерируется контейнер, запрос...
Получаю в ответ от сервера: "Ошибка при обработке запроса Неправильная подпись. 0x80090006 (-2146893818)". |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.11.2013(UTC) Сообщений: 2
Поблагодарили: 1 раз в 1 постах
|
Имеются две следующие причины подобных ошибок: 1)В ключевых блобах у этих двух провайдеров указаны разные алгиды подписи, для старого стандарта они были одинаковые (поэтому вылезает сообщение: Указан неправильный алгоритм ) 2)Значения новых хэшей в этих двух провайдерах зеркально отражены друг относительно друга (поэтому проверка подписи не проходит)
Данные проблемы в скором времени будут исправлены.
|
1 пользователь поблагодарил Ray за этот пост.
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Автор: Ray Имеются две следующие причины подобных ошибок: 1)В ключевых блобах у этих двух провайдеров указаны разные алгиды подписи, для старого стандарта они были одинаковые (поэтому вылезает сообщение: Указан неправильный алгоритм ) 2)Значения новых хэшей в этих двух провайдерах зеркально отражены друг относительно друга (поэтому проверка подписи не проходит)
Данные проблемы в скором времени будут исправлены. Спасибо. Буду ждать обновления.
Про зеркальные хеши заметил: ViPNet CSP Цитата: 0440 13 DC C37CD81001A4C18B19DB4D00F8D8662DE681F11A7D18B63AE83510E6FD24F397FE8E389CBBB3651D940C284E526F7D047083B68EB7EFF7281EEF0C14F421
КриптоПРО CSP: Цитата: 0440 21F4140CEF1E28F7EFB78EB68370047D6F524E280C941D65B3BB9C388EFE97F324FDE61035E83AB6187D1AF181E62D66D8F8004DDB198BC1A40110D87CC3 DC 13
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Автор: Ray Имеются две следующие причины подобных ошибок: 1)В ключевых блобах у этих двух провайдеров указаны разные алгиды подписи, для старого стандарта они были одинаковые (поэтому вылезает сообщение: Указан неправильный алгоритм ) Насчет сообщения про "неправильный алгоритм" - дело вовсе не в ключевых блобах и не в другом CSP. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,357 Сказал «Спасибо»: 550 раз Поблагодарили: 2217 раз в 1731 постах
|
Автор: Андрей * Автор: Ray Имеются две следующие причины подобных ошибок: 1)В ключевых блобах у этих двух провайдеров указаны разные алгиды подписи, для старого стандарта они были одинаковые (поэтому вылезает сообщение: Указан неправильный алгоритм ) Насчет сообщения про "неправильный алгоритм" - дело вовсе не в ключевых блобах и не в другом CSP. Ray, или я не так понял и сообщении имелись ввиду 80 и 81 типы криптопровайдеров КриптоПРО, а не ViPNet CSP (типы 77,78)? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.11.2013(UTC) Сообщений: 2
Поблагодарили: 1 раз в 1 постах
|
Нет, имелись ввиду не типы провайдеров, а id алгоритмов. Их можно перечислить для каждого типа провайдера следующим образом: Код: CryptGetProvParam(hCont, PP_ENUMALGS, (BYTE *)&speAlgInfo, &dwAlgInfoSize, CRYPT_FIRST);
while(GetLastError() != ERROR_NO_MORE_ITEMS)
{
printf("%x %s\n", speAlgInfo.aiAlgid, speAlgInfo.szName);
CryptGetProvParam(hCont, PP_ENUMALGS, (BYTE *)&speAlgInfo, &dwAlgInfoSize, CRYPT_NEXT);
}
Id алгоритмов подписи 2012 года (длинной и короткой) в этих двух провайдерах имеют разное значение. В связи с этим при импорте болоба с открытым ключом из провайдера крипто-про в провайдер випнет возникает ошибка проверки id алгоритмов (в обратную сторону тестирование не проводилось)
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close