20.01.2005 15:11:03Взаимодействие ГОСТ - неГОСТ Ответов: 14
Кирилл
Если пользователь использует неГОСТовый сертификат (RSA) и пытается отправить зашифрованное сообщение при помощи Outlook пользователю с ГОСТовым сертификатом, выдается ошибка "Ошибка на нижнем уровне безопасности".
 
Ответы:
20.01.2005 17:48:05Анатолий
У меня есть вопрос, связанный с этим:

Я попробовал зашифровать письмо двумя ключами (на получателя - ключ ГОСТ, КриптоПро CSP, на отправителя - не ГОСТ, CSP от Microsoft). Попытка оказалась неудачной, мой почтовый клиент сообщил о каких-то плохих данных и отказался зашифровать письмо. Это проблема моего клиента (The Bat! 3.0) или CSP от КриптоПро? Или есть какая-то другая причина?
20.01.2005 17:51:52Кирилл
У меня проблема возникла с Outlook, бат в этом случае шифрует нормально (может только у меня?)
20.01.2005 18:50:43fav
Относительно: "Если пользователь использует неГОСТовый сертификат (RSA) и пытается отправить зашифрованное сообщение при помощи Outlook пользователю с ГОСТовым сертификатом, выдается ошибка "Ошибка на нижнем уровне безопасности".
Для шифрования необходим только сертификат получателя. Отправитель вообще не обязан быть владельцем какого-либо сертификата. Если сертификат получателя ГОСТовый (КриптоПро CSP), то у отправителя должен быть установлен КриптоПро CSP. Убедитесь, что контакт получателя действительно содержит сертификат и при отпраке шифрованного сообщения в его адрес используется нужный контакт (например локальный контакт, а не контакт из глобальной адресной книги)
Относительно: "Я попробовал зашифровать письмо двумя ключами (на получателя - ключ ГОСТ, КриптоПро CSP, на отправителя - не ГОСТ, CSP от Microsoft). Попытка оказалась неудачной, мой почтовый клиент сообщил о каких-то плохих данных и отказался зашифровать письмо. Это проблема моего клиента (The Bat! 3.0) или CSP от КриптоПро? Или есть какая-то другая причина?"
Шифрование должно осуществляться в адрес получателей (шифрование на себя -вы тоже получатель) с использованием одинаковых алгоритмов
20.01.2005 22:45:22Кирилл
Ну конечно я понимаю что для шифрования нужен только сертификат получателя, и контакт содержит сертификат, но только в случае если отправитель использует RSA, а получатель ГОСТ, то зашифровать письмо не получается...
20.01.2005 22:47:10Кирилл
Да, и конечно у отправителя установлен CryptoPro CSP.
21.01.2005 2:10:25mAxDM
Look at PKCS7
21.01.2005 11:29:53Кирилл
>mAxDM maxdm@cryptopro.ru
>21.01.2005 2:10:25
>Look at PKCS7

А можно подробнее?
21.01.2005 15:56:20Муругов Сергей Михайлович
Прошу прощенья за ОФФТОПИК. КАВ из АНК, до вас проблемно (ни от меня не из Демоса) дописаться, как говорят наши админы у вас неверно настроен почтовый сервер в части работы с TLS.
И второе, какие характеристики TLS для работы с закрытой частью вашего форума?
С уважением.
21.01.2005 16:56:54Муругов Сергей Михайлович
Еще раз прощу прощенья за ОФФТОПИК:-)
Кирилл:
Предпосылки:
smtp-сервер отказывается устанавливать tls-сессию

Методы диагностики:
> telnet ank-pki.ru 25
220 ank-pki.ru ESMTP
> ehlo
250-ank-pki.ru
250-AUTH LOGIN CRAM-MD5 PLAIN
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-STARTTLS
250-PIPELINING
250 8BITMIME
> starttls
454 TLS not available: missing RSA private key (#4.3.0)

Возможные причины:
На smtp-сервере разрешен TLS, но необходимый для установления tls-сессии закрытый ключ не найден
22.01.2005 3:18:18mAxDM
>подробнее
1. Собщение может быть зашифровано только ОДНИМ алгоритмом. (Вы НЕ можете зашифровать на себя [RSA] и на получателя [ГОСТ])
2. В аутлуке при выборе сертификата Вы выбрали алгоритм шифрования (и он я явно не ГОСТ, если сертификат не гостовый) - соответственно, нельзя зашифровать сообщение для гостового адресата.
3. Такова реализация MS и стандарт RSA Security.
4. Если интероперабельность требуется - пишете в службу поддержки - подумаем.. (но все равно мы должны оставаться в рамках стандарта)
23.01.2005 0:47:03Кирилл
>1. Собщение может быть зашифровано >только ОДНИМ алгоритмом. (Вы НЕ можете >зашифровать на себя [RSA] и на >получателя [ГОСТ])
Когда я отправляю шифрованное сообщение, я его шифрую открытым ключом получателя, так?
>2. В аутлуке при выборе сертификата Вы >выбрали алгоритм шифрования (и он я >явно не ГОСТ, если сертификат не >гостовый) - соответственно, нельзя >зашифровать сообщение для гостового >адресата.
А если воспроизвести такую ситуацию для RSA и DSA, врядли будет такая же ошибка.
3. Такова реализация MS и стандарт RSA Security.
4. Если интероперабельность требуется - пишете в службу поддержки - подумаем.. (но все равно мы должны оставаться в рамках стандарта)
Ну конечно она требуется, по-моему проблема просто суперактуальна.
А на счет стандарта, это какой стандарт запрещает использовать различные алгоритмы шифрования?
23.01.2005 3:23:04mAxDM
Хотел бы я посмотреть на шифрование DSA. :)
Если Вы знаете как передать в CryptEncryptMessage (аутглук работает через этот api) разные алгоримы шифрования, то можно было бы попробовать добиться совместимости.
23.01.2005 3:28:31mAxDM
>Когда я отправляю шифрованное сообщение, я его шифрую открытым ключом получателя, так?
Совсем не так.
И как вы себе представляете сообщение, зашифрованное на разныч алгоримах - хотелось бы взглянуть на asn1?
24.01.2005 17:19:35Кирилл
to mAxDM maxdm@cryptopro.ru
На счет DSA действительно ошибся...
Да мне не нужно сообщение зашифрованное на разных алгоритмах, вопрос заключается в том , что если у отправителя нет сертификата то шифрование происходит нормально, а если есть и алгоритм отличент ои алгоритма получателя, то нет.