Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Coriolis  Если коллегам из КриптоПРО интересно, могу предоставить (в закрытом порядке) ключи с целью тестирования и выявления причины провала с поиском ключа по отпечатку, либо удалёнку на машину где сейчас повторяется проблема. Спасибо, сертификат действительно не находится gostengy. На самом деле находится, но в постобработке была ошибка, слишком объёмный набор EKU, который возвращается из CertGetEnhancedKeyUsage(), не помещался в буфер, исправлено, завтра выложим обновлённую версию. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 14   Откуда: Москва Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
|
Цитата:Да, проверил если выполнить chcp 1251 потом certmgr.exe -list > d:\list.txt то кодировка в файле меняется. Спасибо, попробую! Заморочку с кодировкой буду решать по другому, я запускаю через CreateProcess, поэтому контроля не имею. Просто проверю какая текущая GetConsoleOutputCP, ну и при необходимости произведу конвертацию. Цитата:Спасибо, сертификат действительно не находится gostengy.
На самом деле находится, но в постобработке была ошибка, слишком объёмный набор EKU, который возвращается из CertGetEnhancedKeyUsage(), не помещался в буфер, исправлено, завтра выложим обновлённую версию. Супер! Тогда остаюсь на работу через отпечаток! Всем еще раз спасибо!
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва
Сказал(а) «Спасибо»: 3 раз
|
Добрый день! Не мог не заметить вышла версия 204818. А что поменялось, стоит ли обновляться?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.02.2020(UTC)
Сообщений: 3
|
Добрый день! Не получается увидеть gost.dll
Собрал на Centos 7 OpenSSL 1.1.0k 28 May 2019
В файле openssl.cnf добавил
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gost
dynamic_path = /opt/ssl/gost.dll
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
Команда ./openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
Что делаю не так?
Библиотек брал из OpenSSL-Win32
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Diman55 Добрый день! Не получается увидеть gost.dll
Собрал на Centos 7 OpenSSL 1.1.0k 28 May 2019
В файле openssl.cnf добавил
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gost
dynamic_path = /opt/ssl/gost.dll
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
Команда ./openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
Что делаю не так?
Библиотек брал из OpenSSL-Win32 Всё не так. Вам сюда: https://www.cryptopro.ru...aspx?g=posts&t=12505 |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.02.2020(UTC)
Сообщений: 3
|
Автор: Дмитрий Пичулин Автор: Diman55 Добрый день! Не получается увидеть gost.dll
Собрал на Centos 7 OpenSSL 1.1.0k 28 May 2019
В файле openssl.cnf добавил
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost = gost_section
[gost_section]
engine_id = gost
dynamic_path = /opt/ssl/gost.dll
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
Команда ./openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
Что делаю не так?
Библиотек брал из OpenSSL-Win32 Всё не так. Вам сюда: https://www.cryptopro.ru...aspx?g=posts&t=12505 Не понимаю причем здесь nginx и крипто-про. Суть в том что есть приложение которое которое использует openssl c алгоритмом ГОСТ 28147-89 за счет библиотеки gost.dll. Это приложение шифрует файлы, сейчас все работает на Win c OpenSSL-Win32 1.1.0k. Но есть необходимость заставить работать это linux. Сейчас уже получаю такой ответ. ./openssl engine (rdrand) Intel RDRAND engine (dynamic) Dynamic engine loading support 140082928236352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(./gost.dll): ./gost.dll: invalid ELF header 140082928236352:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:161: 140082928236352:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414: 140082928236352:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=./gost.dll 140082928236352:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1 Отредактировано пользователем 5 февраля 2020 г. 17:02:12(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Diman55 Не понимаю причем здесь nginx и крипто-про.
Суть в том что есть приложение которое которое использует openssl c алгоритмом ГОСТ 28147-89 за счет библиотеки gost.dll.
Это приложение шифрует файлы, сейчас все работает на Win c OpenSSL-Win32 1.1.0k. Но есть необходимость заставить работать это linux. Тогда вы обратились не по адресу. |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,005 Откуда: Иркутская область Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 228 раз в 214 постах
|
Автор: Diman55 Это приложение шифрует файлы, сейчас все работает на Win c OpenSSL-Win32 1.1.0k. Но есть необходимость заставить работать это linux.
Сейчас уже получаю такой ответ.
./openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
140082928236352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(./gost.dll): ./gost.dll: invalid ELF header Вам нужно немного поучить матчасть. Под виндоуз формат исполняемых файлов называется PE (c дальнейшими приписками вроде COFF ) под linux формат исполняемых файлов называется ELF. Между собой они не совместимы без эмулятора. Сообщение говорит о том, что Вы притащили исполнемый файл библиотеки с виндоуз на linux без эмулятора и linux не знает что с файлом делать. Так делать нельзя. Цитата:Библиотек брал из OpenSSL-Win32 Приписка Win32 должна навести на мысль что это только для 32-разрядных windows (да, современные версии linux еще и 64-разрядные плюс бывают под разные архитектуры процессоров). Нужно или скачать библиотеку собранную под linux (как есть собранные версии для gostengy и gost_capi) обычно с расширением .so либо самостоятельно найти исходники библиотеки и собрать библиотеку. Отредактировано пользователем 6 февраля 2020 г. 10:51:03(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
pd оставлено 07.02.2020(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.02.2020(UTC)
Сообщений: 3
|
Автор: two_oceans Автор: Diman55 Это приложение шифрует файлы, сейчас все работает на Win c OpenSSL-Win32 1.1.0k. Но есть необходимость заставить работать это linux.
Сейчас уже получаю такой ответ.
./openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
140082928236352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(./gost.dll): ./gost.dll: invalid ELF header Вам нужно немного поучить матчасть. Под виндоуз формат исполняемых файлов называется PE (c дальнейшими приписками вроде COFF ) под linux формат исполняемых файлов называется ELF. Между собой они не совместимы без эмулятора. Сообщение говорит о том, что Вы притащили исполнемый файл библиотеки с виндоуз на linux без эмулятора и linux не знает что с файлом делать. Так делать нельзя. Цитата:Библиотек брал из OpenSSL-Win32 Приписка Win32 должна навести на мысль что это только для 32-разрядных windows (да, современные версии linux еще и 64-разрядные плюс бывают под разные архитектуры процессоров). Нужно или скачать библиотеку собранную под linux (как есть собранные версии для gostengy и gost_capi) обычно с расширением .so либо самостоятельно найти исходники библиотеки и собрать библиотеку. Вопрос закрыт! Почитал, разобрался, собрал под linux отсюда https://github.com/gost-engine/engine
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 14 Откуда: Москва Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
|
 test.zip (1,582kb) загружен 1 раз(а).Коллеги, доброго времени суток! В версии OpenSSL 1.1.1g (версия файлов 1.1.1.7) наблюдается неприятный баг: при выходе из openssl.exe (командой exit) приложение сваливается по не пойманному AV. Версия gostengy 4.0.536.0 Проверил ProcessHacker'ом что загружены именно эти библиотеки. Собрал тестовый пример, добавлю во вложение. Это openssl.cfg: Код:openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gostengy = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = gostengy
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
Это openssl.cfg Это ossl.cmd: Код:set OPENSSL_CONF=.\openssl.cfg
openssl.exe
Выглядит так: Код:c:\MSM\x\exe\111>set OPENSSL_CONF=.\openssl.cfg
c:\MSM\x\exe\111>openssl.exe
OpenSSL> version
OpenSSL 1.1.1g 21 Apr 2020
OpenSSL> engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 203422 $)
OpenSSL> ciphers
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:RSA-PSK-AES256-GCM-SHA384:DHE-PSK-AES256-GCM-SHA384:RSA-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:ECDHE-PSK-CHACHA20-POLY1305:AES256-GCM-SHA384:PSK-AES256-GCM-SHA384:PSK-CHACHA20-POLY1305:RSA-PSK-AES128-GCM-SHA256:DHE-PSK-AES128-GCM-SHA256:AES128-GCM-SHA256:PSK-AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:ECDHE-PSK-AES256-CBC-SHA384:ECDHE-PSK-AES256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:RSA-PSK-AES256-CBC-SHA384:DHE-PSK-AES256-CBC-SHA384:RSA-PSK-AES256-CBC-SHA:DHE-PSK-AES256-CBC-SHA:GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:AES256-SHA:PSK-AES256-CBC-SHA384:PSK-AES256-CBC-SHA:ECDHE-PSK-AES128-CBC-SHA256:ECDHE-PSK-AES128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:RSA-PSK-AES128-CBC-SHA256:DHE-PSK-AES128-CBC-SHA256:RSA-PSK-AES128-CBC-SHA:DHE-PSK-AES128-CBC-SHA:AES128-SHA:PSK-AES128-CBC-SHA256:PSK-AES128-CBC-SHA
OpenSSL>exit
Даже если прсото запустить ossl.cmd и сразу там exit то вылетает. Если просто openssl.exe то всё норм. Т.е. я делаю вывод что с gostengy что-то. Вот сборка (openssl собирал не сам, взял с сайта где люди специально собирают) test.zip (1,582kb) загружен 1 раз(а).
|
2 пользователей поблагодарили Coriolis за этот пост.
|
pd оставлено 23.04.2020(UTC), vasyast оставлено 07.05.2020(UTC)
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Coriolis test.zip (1,582kb) загружен 1 раз(а).Коллеги, доброго времени суток! В версии OpenSSL 1.1.1g (версия файлов 1.1.1.7) наблюдается неприятный баг: при выходе из openssl.exe (командой exit) приложение сваливается по не пойманному AV. Спасибо, да, видимо изменился порядок вызовы деструкторов, не были к такому готовы, сборка с исправлением будет в ближайшее время. |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Дмитрий Пичулин Автор: Coriolis Коллеги, доброго времени суток!
В версии OpenSSL 1.1.1g (версия файлов 1.1.1.7) наблюдается неприятный баг: при выходе из openssl.exe (командой exit) приложение сваливается по не пойманному AV. Спасибо, да, видимо изменился порядок вызовы деструкторов, не были к такому готовы, сборка с исправлением будет в ближайшее время. Исправлено: https://update.cryptopro...t/nginx-gost/bin/210517/ |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 14 Откуда: Москва Сказал «Спасибо»: 3 раз
Поблагодарили: 3 раз в 2 постах
|
Супер, сегодня протестируем уже, спасибо! UPD: Коллеги, всё работает, спасибо большое! Отредактировано пользователем 28 апреля 2020 г. 11:20:06(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.05.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте! Скажите пожалуйста, возможно ли создание откреплённой подписи xml файла с помощью openssl+gost engine, используя алгоритм gost12_256 так, чтобы можно было успешно провести верификацию способом, как в стандартоном примере - Simple\xml\vb\Verify.vb для CryptoPro.Net, с небольшими изменениями: Код:
Public Shared Sub Main(ByVal args As String())
' Разбираем аргументы
If args.Length < 2 Then
Console.WriteLine("Xml.Verify <document> ...")
Return
End If
' Создаем новый XML документ в памяти.
Dim xmlDocument As XmlDocument = New XmlDocument()
Dim xmlSgn As XmlDocument = New XmlDocument()
' Сохраняем все пробельные символы, они важны при проверке
' подписи.
xmlDocument.PreserveWhitespace = True
xmlSgn.PreserveWhitespace = True
' Загружаем подписанный документ из файла.
xmlDocument.Load(args(0))
xmlSgn.Load(args(1))
' Ищем все node "Signature" и сохраняем их в объекте XmlNodeList
Dim nodeList As XmlNodeList = xmlSgn.GetElementsByTagName(
"Signature", SignedXml.XmlDsigNamespaceUrl)
Console.WriteLine("Найдено:{0} подпис(ей).", nodeList.Count)
' Проверяем все подписи.
For curSignature As Integer = 0 To nodeList.Count - 1
' Создаем объект SignedXml для проверки подписи документа.
Dim signedXml As SignedXml = New SignedXml(xmlDocument)
' Загружаем узел с подписью.
signedXml.LoadXml(nodeList(curSignature))
' Проверяем подпись и выводим результат.
Dim result As Boolean = signedXml.CheckSignature()
' Выводим результат проверки подписи в консоль.
If result Then
Console.WriteLine("XML подпись[{0}] верна.", curSignature + 1)
Else
Console.WriteLine("XML подпись[{0}] не верна.", curSignature + 1)
End If
Next
End Sub
Архив с исходным xml файлом, файлом с откреплённой подписью и сертификатом: example.zip (2kb) загружен 4 раз(а). example.zip (2kb) загружен 4 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Dmitrii F Здравствуйте!
Скажите пожалуйста, возможно ли
создание откреплённой подписи xml файла с помощью
openssl+gost engine, используя алгоритм gost12_256
так, чтобы можно было успешно провести верификацию способом, как
в стандартоном примере - Simple\xml\vb\Verify.vb для CryptoPro.Net,
Подпись через библиотеку openssl + gostengy в принципе сделать возможно на любые данные. Можно ли сделать то, что вам необходимо, через утилиту командной строки openssl мы не знаем. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.05.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 1 раз
|
Спасибо большое, что ответили.
Вероятно, что я не совсем правильно сформулировал вопрос.
Создание откреплённой подписи указанным алгоритмом производится успешно.
А вот поверить, как в примере VB выше успешно не получается.
Возможна ли в принципе такая (как в примере) проверка откреплённой подписи?
Или нужно использовать другую технологию проверки?
Просто, если возможно, то мне будет проще понять, что я действительно что-то
не так делаю при проверке - может канонизация xml, которая производится перед созданием
откреплённой подписи (Python:lxml.etree) не совсем совпадает с канонизацией, которая производится в .Net
(XmlDsigExcC14NTransform) или SignatureMethod Algorithm и DigestMethod Algorithm надо как-то по-другому
указывать.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 982
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 157 раз в 135 постах
|
Автор: Dmitrii F Спасибо большое, что ответили.
Вероятно, что я не совсем правильно сформулировал вопрос.
Создание откреплённой подписи указанным алгоритмом производится успешно.
А вот поверить, как в примере VB выше успешно не получается.
Возможна ли в принципе такая (как в примере) проверка откреплённой подписи?
Или нужно использовать другую технологию проверки?
Просто, если возможно, то мне будет проще понять, что я действительно что-то
не так делаю при проверке - может канонизация xml, которая производится перед созданием
откреплённой подписи (Python:lxml.etree) не совсем совпадает с канонизацией, которая производится в .Net
(XmlDsigExcC14NTransform) или SignatureMethod Algorithm и DigestMethod Algorithm надо как-то по-другому
указывать.
Создайте по этому вопросу отдельную тему и сформулируйте вопрос более чётко. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.05.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.05.2020(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
