Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline n.matveev_1  
#21 Оставлено : 29 октября 2019 г. 14:31:17(UTC)
n.matveev_1

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 10

root@srv-ids-01:/opt/cprocsp/bin/amd64# keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -certreq -alias serverEncryptKey2020 -providername JCSP -keypass ***** -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file 1.req
окт 29, 2019 5:24:53 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 5:24:54 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 5:25:00 PM ru.CryptoPro.JCSP.Starter check
INFO: Loading JCSP 5.0.40055
окт 29, 2019 5:25:00 PM ru.CryptoPro.JCSP.Starter check
INFO: JCSP loaded.
keytool error: java.lang.Exception: serverEncryptKey2020 has no public key (certificate)
Online Евгений Афанасьев  
#22 Оставлено : 29 октября 2019 г. 14:31:28(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: Малыгин Н. Перейти к цитате
Попробовали после переустановки КриптоПРО сгенерировать новые контейнеры командой:
keytool -J-Dkeytool.compat=true -genkey -alias serverSignKey2019 -keysize 512 -providername JCSP -storetype HSMDB -dname CN=serverSignKey2019,O=IDSystems,C=RU -keystore NONE -storepass 1 -keyalg GOST3410_2012_256 -sigalg GOST3411_2012_256withGOST3410_2012_256 -keypass ******

Теоретически, возможно, что проблема в невозможности использовать ДСЧ локального провайдера, т.к. в случае keytool контейнер сначала создается локально.

Online Евгений Афанасьев  
#23 Оставлено : 29 октября 2019 г. 14:41:00(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: n.matveev_1 Перейти к цитате
keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -certreq -alias serverEncryptKey2020 -providername JCSP -keypass ***** -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file 1.req

Создал контейнер так:
/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -provider 'Crypto-Pro GOST R 34.10-2012 HSM CSP' -provtype 80 -cont '\\.\HSMDB\serverEncryptKey2020' -password 12345678 -keytype exchange
А запрос:
/home/user/jdk1.8.0_211/jre/bin/keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -certreq -alias serverEncryptKey2020::::12345678 -providername JCSP -keypass 12345678 -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file /home/user/1.req

Offline n.matveev_1  
#24 Оставлено : 29 октября 2019 г. 16:43:17(UTC)
n.matveev_1

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 10

создал контейнер:

root@srv-ids-01:/opt/cprocsp/bin/amd64# ./csptest -keyset -newkeyset -provider 'Crypto-Pro GOST R 34.10-2012 HSM CSP' -provtype 80 -cont '\\.\HSMDB\serverEncryptKey2022' -password 123456 -keytype exchange
CSP (Type:80) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 41577619
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 HSM CSP
Container name: "serverEncryptKey2022"
Exchange key is not available.
Attempting to create an exchange key...
an exchange key created.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 29.10.2022 11:40:51 (UTC)
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,350 sec
[ErrorCode: 0x00000000]



По нему создал запрос на получение открытого ключа:

кт 29, 2019 7:17:58 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 7:17:59 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 7:18:04 PM ru.CryptoPro.JCSP.Starter check
INFO: Loading JCSP 5.0.40055
окт 29, 2019 7:18:04 PM ru.CryptoPro.JCSP.Starter check
INFO: JCSP loaded.


Получил открытый ключ, пытаюсь установить сертификата открытого ключа в контейнер ключевой пары:

oot@srv-ids-01:/opt/cprocsp/bin/amd64# keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true -import -alias serverEncryptKey2022::::123456 -providername JCSP -keypass 123456 -storetype HSMDB -keystore NONE -storepass 1 -file /home/iduser/certnew.p7b
окт 29, 2019 7:30:20 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 7:30:21 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 7:30:27 PM ru.CryptoPro.JCSP.Starter check
INFO: Loading JCSP 5.0.40055
окт 29, 2019 7:30:27 PM ru.CryptoPro.JCSP.Starter check
INFO: JCSP loaded.

Top-level certificate in reply:

Owner: CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru
Issuer: CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru
Serial number: 37418882f539a5924ad44e3de002ea3c
Valid from: Mon May 27 10:24:26 MSK 2019 until: Sun May 26 10:34:05 MSK 2024
Certificate fingerprints:
MD5: F5:2C:78:8B:6F:76:BB:83:4F:EA:A7:0F:36:FB:CE:71
SHA1: CD:32:1B:87:FD:AB:B5:03:82:9F:88:DB:68:D8:93:B5:9A:7C:5D:D3
SHA256: 82:32:83:BA:8C:EB:BE:4E:B8:63:AF:ED:34:0D:CE:19:F5:9F:50:C6:95:67:2A:44:D8:83:73:E7:28:B5:B4:0D
Signature algorithm name: 1.2.643.2.2.3
Subject Public Key Algorithm: -1-bit GOST3410EL key
Version: 3

Extensions:

#1: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false
0000: 02 03 01 00 01 .....


#2: ObjectId: 1.3.6.1.4.1.311.21.2 Criticality=false
0000: 04 14 04 62 55 29 0B 0E B1 CD D1 79 7D 9A B8 C8 ...bU).....y....
0010: 1F 69 9E 36 87 F3 .i.6..


#3: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]

#4: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]

#5: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 4E 83 3E 14 69 EF EC 5D 7A 95 2B 5F 11 FE 37 32 N.>.i..]z.+_..72
0010: 16 49 55 2B .IU+
]
]


... is not trusted. Install reply anyway? [no]: yes
keytool error: java.security.AccessControlException: ProvParam ERROR: 0x80090022


Online Евгений Афанасьев  
#25 Оставлено : 29 октября 2019 г. 17:12:51(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
0x80090022 - Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий".
CSP-провайдер не может вывести некое окно в данном режиме (этот режим - silent - используется по умолчанию).
Попробуйте сделать это другими средствами, например, в панели JCP (Управление ключами и сертификатами) или программно:
Код:

X509Certificate cert = CertificateFactory.getInstance("X.509").generateCertificate("/home/iduser/certnew.cer");
KeyStore keyStore = KeyStore.getInstance("HSMDB", "JCSP");
keyStore.load(null, null);
keyStore.setCertificateEntry("serverEncryptKey2022::::123456", cert);
Offline Малыгин Н.  
#26 Оставлено : 7 ноября 2019 г. 11:17:45(UTC)
Малыгин Н.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2018(UTC)
Сообщений: 32
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Автор: Евгений Афанасьев Перейти к цитате

Автор: Малыгин Н. Перейти к цитате

На второй машине, с которой производился обмен шифрованными данными, также стояла версия java csp 5.0.40424, но на ней не проходило шифрование на открытом ключе, сгенерированном на первой машине.

Нужно с этим разобраться. Какие были ошибки?


Ошибка была следующая:
Caused by: ru.CryptoPro.CAdES.exception.EnvelopedException: Wrong key usage
at ru.CryptoPro.CAdES.EnvelopedSignature.addKeyAgreeRecipient(Unknown Source)
at ru.id_sys.ds_server.crypto.CryptTools.crypt(CryptTools.java:72)
at ru.id_sys.prebiote.model.ClientData.getEncryptedData(ClientData.java:238)
... 53 more
Online Евгений Афанасьев  
#27 Оставлено : 7 ноября 2019 г. 12:29:11(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
В сертификате получателя отсутствовало "Шифрование ключей" в "Использовании ключа".
Offline Малыгин Н.  
#28 Оставлено : 8 ноября 2019 г. 14:56:51(UTC)
Малыгин Н.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2018(UTC)
Сообщений: 32
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Ключевую пару генерировали командой:
keytool -J-Dkeytool.compat=true -genkey -alias serverEncryptKey2019 -keysize 512 -providername JCSP -storetype HSMDB -dname CN=DSServerEncryptKey2019,O=IDSystems,C=RU -keystore NONE -storepass 1 -keyalg GOST3410DH_2012_256 -sigalg GOST3411_2012_256withGOST3410_2012_256 -keypass ******

Ранее генерировали точно таким же образом, и шифрование на сертификате открытого ключа проходило. Единственная разница была в версии Java CSP (и то в номере релиза).
Разве указание -keyalg GOST3410DH_2012_256 не подразумевает, что ключ предназначен для шифрования по алгоритму Диффи-Хеллмана?
Где можно посмотреть, подходит ли сертификат для шифрования?
Online Евгений Афанасьев  
#29 Оставлено : 8 ноября 2019 г. 14:58:00(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: Малыгин Н. Перейти к цитате
Где можно посмотреть, подходит ли сертификат для шифрования?

В использовании ключа (KeyUsage) в сертификате.
Offline Малыгин Н.  
#30 Оставлено : 8 ноября 2019 г. 15:07:47(UTC)
Малыгин Н.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2018(UTC)
Сообщений: 32
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Вот файл сертификата (он просрочен, знаю, но раньше использовался). Как определить, подходит ли он для шифрования?
clientEncryptKey.zip (1kb) загружен 4 раз(а).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.