Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Slavenin  
#1 Оставлено : 7 августа 2018 г. 11:10:26(UTC)
Slavenin

Статус: Участник

Группы: Участники
Зарегистрирован: 29.06.2018(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Здравствуйте!
Я поставил на сервер сертификаты всех активных уц (примерно 1к)
Далее пытаюсь проверить подпись отфильтровав нужные:
Код:

->| /opt/cprocsp/bin/amd64/cryptcp -vsignf -mroot -dn "Тестовый подчиненный УЦ ООО" ee358ab2d53410c6206274e23ff2b96b.pdf -f ee358ab2d53410c6206274e23ff2b96b.pdf.sgn 
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:"Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)", "ООО ""КРИПТО-ПРО""", ул. Сущёвский вал д. 18, Москва, 77 Москва, RU, 007717107991, 1037700085444, info@cryptopro.ru
Действителен с 01.11.2017 14:05:11 по 01.11.2027 14:15:11

Цепочки сертификатов проверены.
Папка './':
ee358ab2d53410c6206274e23ff2b96b.pdf... Проверка подписи...     
    
Автор подписи: RU, tests, etst, test, test, Максим, mb****n@***.com
Подпись не будет проверена, так как данный сертификат не удовлетворяет КПС.
Ошибка: Подпись не верна.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:862: 0x200001F9
[ErrorCode: 0x200001f9]



Сертификат нашёлся нужный. Если нет больше сертификатов на сервере, то проверка проходит без проблем. Если поставить ещё, то пишет такую ерунду как выше.
Я не понимаю чему не соответствует КПС если находится нужный сертификат? Чего не хватает то?

PS
а опция issuer вообще не работает, судя по всему:
Код:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -mroot -issuer "Тестовый подчиненный УЦ ООО" ee358ab2d53410c6206274e23ff2b96b.pdf -f ee358ab2d53410c6206274e23ff2b96b.pdf.sgn 
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.

Найдено сертификатов: 1160

так как ничего не отфильтровалось...

Отредактировано пользователем 7 августа 2018 г. 11:13:26(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#2 Оставлено : 7 августа 2018 г. 11:29:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.

А зачем использовать КПС, если есть -f ?
Техническую поддержку оказываем тут
Наша база знаний
Offline Slavenin  
#3 Оставлено : 7 августа 2018 г. 11:49:20(UTC)
Slavenin

Статус: Участник

Группы: Участники
Зарегистрирован: 29.06.2018(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей Писарев Перейти к цитате
Здравствуйте.

А зачем использовать КПС, если есть -f ?


не понял...
У меня на сервере больше 1к сертификатов, некоторые из них кривые (где-то цепочка не проверяется, где-то ошибку самого сертификата выдаёт), что бы исключить лишние сертификаты из проверки я задаю дн.

По моей логике: я задал дн, утилита нашла по нему сертификаты и с их помощью проверила подпись.
По факту какая-то странная ошибка, хотя сертификаты найдены
Offline Андрей Писарев  
#4 Оставлено : 7 августа 2018 г. 12:15:07(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Цитирую:
Цитата:

-f
в качестве хранилища используется сообщение или файл сертификата;



Цитата:

>что бы исключить лишние сертификаты из проверки я задаю дн.


Считается, что утилита сама не построит необходимый путь сертификации?
Техническую поддержку оказываем тут
Наша база знаний
Offline Slavenin  
#5 Оставлено : 7 августа 2018 г. 12:42:31(UTC)
Slavenin

Статус: Участник

Группы: Участники
Зарегистрирован: 29.06.2018(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей Писарев Перейти к цитате
Цитирую:
Цитата:

-f
в качестве хранилища используется сообщение или файл сертификата;



Цитата:

>что бы исключить лишние сертификаты из проверки я задаю дн.


Считается, что утилита сама не построит необходимый путь сертификации?


да не знаю, я как считается.
Мне надо проверить отделённую cades_bes подпись файла.
Если я запускаю утилиту без дн, то она задаёт мне тысячу вопросов о кривых сертификатах в хранилище. Я не знаю, как она там действует внутри. в итоге нифига не проверяется. Если я указываю конкретный дн, то ситуация как выше.
У меня стоит задача проверять подпись от любого уц. С сайта минсвязи я поставил все сертификаты активных уц. После этого нифига не проверяются подписи.
Код:
->| /opt/cprocsp/bin/amd64/cryptcp -vsignf -mroot ee358ab2d53410c6206274e23ff2b96b.pdf -f ee358ab2d53410c6206274e23ff2b96b.pdf.sgn 
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.

Найдено сертификатов: 1160
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:ОПФР по Волгоградской области, Отделение Пенсионного фонда РФ (ГУ)  по Волгоградской области, ул. Рабоче-Крестьянская 16, 34 Волгоградская область, Волгоград, RU, 0441803@044.pfr.ru, 003445926514, 1023403847235
Действителен с 31.12.2015 06:29:00 по 21.04.2019 11:15:00

Один из сертификатов в цепочке имеет неверную подпись.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?c

Ошибка: Операция отменена пользователем.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:415: 0x20000066
[ErrorCode: 0x20000066]

и вот так 100500 раз

Каким образом можно решать задачу проверки подписей любого уц? Возможно, надо использовать какие-то другие параметры или ещё какой-то способ есть?
Offline two_oceans  
#6 Оставлено : 7 августа 2018 г. 13:42:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Предположу, что надо решить проблему почему некоторые сертификаты АУЦ считаются "кривыми". У меня (под Windows правда) сертификат, указанный в цитате (ОПФР по Волгодрадской области, с 31.12.2015, серийный номер 41aff2240002000006aa, отпечаток abaeb92dac94ed595b42e58803d5ed62f3f274b9) проходит проверку. При этом установлены сертификат ГУЦ, сертификаты всех версий УЦ 1 ИС ГУЦ, УЦ 2 ИС ГУЦ, актуальные списки отзыва для действующих версий УЦ 1 ИС ГУЦ, УЦ 2 ИС ГУЦ. Для всей тысячи ставить списки отзыва немного напряжно, но хотя бы часто используемые желательно добавить.
А вот тестовый УЦ не является АУЦ и не принадлежит дереву ГУЦ, так что в продуктивном режиме проверка сертификата и должна завершаться ошибкой.
Кстати, все УЦ все равно не будут охвачены, так как многие из АУЦ до прошлого года имели корневые сертификаты наряду с кросс-сертификатами, выданными ГУЦ.

Отредактировано пользователем 7 августа 2018 г. 13:45:47(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#7 Оставлено : 7 августа 2018 г. 14:21:05(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: Slavenin Перейти к цитате

Каким образом можно решать задачу проверки подписей любого уц? Возможно, надо использовать какие-то другие параметры или ещё какой-то способ есть?


Отключить проверку сертификатов - не предлагать?
-nochain

Техническую поддержку оказываем тут
Наша база знаний
Offline Slavenin  
#8 Оставлено : 7 августа 2018 г. 15:45:13(UTC)
Slavenin

Статус: Участник

Группы: Участники
Зарегистрирован: 29.06.2018(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей Писарев Перейти к цитате
Автор: Slavenin Перейти к цитате

Каким образом можно решать задачу проверки подписей любого уц? Возможно, надо использовать какие-то другие параметры или ещё какой-то способ есть?


Отключить проверку сертификатов - не предлагать?
-nochain



не вариант, надо с проверкой цепочки.
Offline Slavenin  
#9 Оставлено : 10 августа 2018 г. 9:54:29(UTC)
Slavenin

Статус: Участник

Группы: Участники
Зарегистрирован: 29.06.2018(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Так для чего же всё-таки нужен этот самый дн?
Я так понимаю вариантов решения этой проблемы нет?
Offline Slavenin  
#10 Оставлено : 10 августа 2018 г. 12:01:22(UTC)
Slavenin

Статус: Участник

Группы: Участники
Зарегистрирован: 29.06.2018(UTC)
Сообщений: 27
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
и ещё очень не логичное поведение утилиты...
Код:
/opt/cprocsp/bin/amd64/cryptcp -nochain -vsignf -mroot /path/to/file/87caf2fe596456d6f5ad2e0b03fc72ae.pdf -f /path/to/file/87caf2fe596456d6f5ad2e0b03fc72ae.pdf.sgn

в ответ
Код:
Папка '/path/to/file/':
/path/to/file/87caf2fe596456d6f5ad2e0b03fc72ae.pdf... Проверка подписи...     Ошибка: Не удалось открыть файл './/87caf2fe596456d6f5ad2e0b03fc72ae.pdf.sgn'.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:1900: 0x20000065
[ErrorCode: 0x20000065]


wtf??? я указываю абсолютный путь. Куда он пропадает и почему ищется по относительному???
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.