Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline VictorFrom  
#1 Оставлено : 25 сентября 2018 г. 16:14:35(UTC)
VictorFrom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2018(UTC)
Сообщений: 36
Российская Федерация

Сказал(а) «Спасибо»: 9 раз
Добрый день.

Подскажите, пожалуйста ответы на несколько вопросов:

Я делаю подписанное сообщение из командной строки:

/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -der /tmp/file.name /tmp/file.name.sign

1. Как узнать, какие параметры будут использованы по умолчанию при создании подписи с помощью cryptcp (например параметр -hashAlg)?
2. Как влючить время создания подписи в сообщение (если ключик -ss, то какой адрес сервера времени использовать )?
3. В КриптоАРМ в настройках профиля есть Сертификаты получателей по умолчанию - я не понимаю, они как-нибудь влияют на получаемое сообщение при подписывании или нет.Если да, то как их добавить в cryptcp?
Offline Александр Лавник  
#2 Оставлено : 25 сентября 2018 г. 16:27:59(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: VictorFrom Перейти к цитате
Добрый день.

Подскажите, пожалуйста ответы на несколько вопросов:

Я делаю подписанное сообщение из командной строки:

/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -der /tmp/file.name /tmp/file.name.sign

1. Как узнать, какие параметры будут использованы по умолчанию при создании подписи с помощью cryptcp (например параметр -hashAlg)?
2. Как влючить время создания подписи в сообщение (если ключик -ss, то какой адрес сервера времени использовать )?
3. В КриптоАРМ в настройках профиля есть Сертификаты получателей по умолчанию - я не понимаю, они как-нибудь влияют на получаемое сообщение при подписывании или нет.Если да, то как их добавить в cryptcp?

Добрый день.

1) Используются параметры, соответствующие алгоритму используемого сертификата (cryptcp -sign -help показывает их OID'ы).

2) Для тестовых целей Вы можете использовать адрес тестового TSP сервера, например этого.

В общем случае Вам надо использовать адрес того TSP сервера, который предоставляет удостоверяющий центр, выпустивший Ваш сертификат.

3) Сертификаты получателей в КриптоАРМ нужны, когда Вы зашифровываете файл.

При этом при зашифровании файла можно добавить нескольких получателей, которые смогут расшифровать полученный файл.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
VictorFrom оставлено 25.09.2018(UTC)
Offline VictorFrom  
#3 Оставлено : 25 сентября 2018 г. 17:10:18(UTC)
VictorFrom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2018(UTC)
Сообщений: 36
Российская Федерация

Сказал(а) «Спасибо»: 9 раз
Автор: Александр Лавник Перейти к цитате

3) Сертификаты получателей в КриптоАРМ нужны, когда Вы зашифровываете файл.

При этом при зашифровании файла можно добавить нескольких получателей, которые смогут расшифровать полученный файл.


Спасибо.

Да, посмотрел в документации на cryptcp (как-то не обратил на это внимание) - там при операции -encr может быть много сертификатов (можно несколько раз указать параметр -thumbprint ?)
А в -sign - только один.

Если использовать операцию -sign, то влияет ли наличие корневых сертификатов на получаемое сообщение с подписью?

Если другая сторона говорит, что она не в состоянии проверить подпись, достаточно ли того, что при данном формировании подписи (как я понимаю), в нее будет включен только мой сертификат?

Или в сообщение с подписью как-то можно добавить еще что-то, что поможет проверить подпись?

Offline Александр Лавник  
#4 Оставлено : 25 сентября 2018 г. 17:22:56(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: VictorFrom Перейти к цитате

Да, посмотрел в документации на cryptcp (как-то не обратил на это внимание) - там при операции -encr может быть много сертификатов (можно несколько раз указать параметр -thumbprint ?)
А в -sign - только один.

Согласно cryptcp -encr -help чтобы зашифровать файл для нескольких получателей необходимо использовать опцию -f путь_к_файлу_сертификата необходимое количество раз.

Автор: VictorFrom Перейти к цитате

Если использовать операцию -sign, то влияет ли наличие корневых сертификатов на получаемое сообщение с подписью?

Нет. Цепочка сертификатов не включается в подпись.

Автор: VictorFrom Перейти к цитате

Если другая сторона говорит, что она не в состоянии проверить подпись, достаточно ли того, что при данном формировании подписи (как я понимаю), в нее будет включен только мой сертификат?

Или в сообщение с подписью как-то можно добавить еще что-то, что поможет проверить подпись?


Нет. В подпись больше ничего не включается.

У проверяющей стороны должна строится цепочка сертификатов до корневого для сертификата подписавшего для проверки подписи.
Техническую поддержку оказываем тут
Наша база знаний
Offline VictorFrom  
#5 Оставлено : 25 сентября 2018 г. 17:56:44(UTC)
VictorFrom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2018(UTC)
Сообщений: 36
Российская Федерация

Сказал(а) «Спасибо»: 9 раз
Если другая сторона прислала мне сертификат, которым нужно подписать файл, я его пытаюсь подписать так:

Цитата:

/opt/cprocsp/bin/amd64/cryptcp -sign -f /PATH_TO_CERT.cer -hashAlg 1.2.643.7.1.1.2.2 -der /input_file.xml /output_file
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN: Москва, Москва, RU
Valid from 08.02.2018 07:25:06 to 08.02.2019 07:25:06

Certificate chains are checked.
Folder '/tmp/':
/tmp/input_file... Error: Can not get certificate private key.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:438: 0x20000136
[ErrorCode: 0x20000136]



Как это сделать без ошибок?
Offline Александр Лавник  
#6 Оставлено : 25 сентября 2018 г. 18:06:29(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: VictorFrom Перейти к цитате
Если другая сторона прислала мне сертификат, которым нужно подписать файл, я его пытаюсь подписать так:

Цитата:

/opt/cprocsp/bin/amd64/cryptcp -sign -f /PATH_TO_CERT.cer -hashAlg 1.2.643.7.1.1.2.2 -der /input_file.xml /output_file
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN: Москва, Москва, RU
Valid from 08.02.2018 07:25:06 to 08.02.2019 07:25:06

Certificate chains are checked.
Folder '/tmp/':
/tmp/input_file... Error: Can not get certificate private key.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:438: 0x20000136
[ErrorCode: 0x20000136]



Как это сделать без ошибок?

Вы не сможете подписать файл чужим сертификатом - у Вас нет соответствующего закрытого ключа.

Вы можете только зашифровать файл, используя присланный сертификат.

Тогда расшифровать этот файл сможет только владелец сертификата (у которого есть закрытый ключ для этого сертификата).
Техническую поддержку оказываем тут
Наша база знаний
Offline VictorFrom  
#7 Оставлено : 26 сентября 2018 г. 11:19:43(UTC)
VictorFrom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2018(UTC)
Сообщений: 36
Российская Федерация

Сказал(а) «Спасибо»: 9 раз
Автор: Александр Лавник Перейти к цитате

Вы не сможете подписать файл чужим сертификатом - у Вас нет соответствующего закрытого ключа.


Вот такой команды достаточно для того, чтобы в подписи появились все необходимые данные для проверки этой подписи?


Цитата:

/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -hashAlg 1.2.643.7.1.1.2.2 -der sorce_file_path dest_file_path


Тут в -thumbprint стоит хэш моего сертификата.
Offline Александр Лавник  
#8 Оставлено : 26 сентября 2018 г. 11:36:34(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: VictorFrom Перейти к цитате
Автор: Александр Лавник Перейти к цитате

Вы не сможете подписать файл чужим сертификатом - у Вас нет соответствующего закрытого ключа.


Вот такой команды достаточно для того, чтобы в подписи появились все необходимые данные для проверки этой подписи?


Цитата:

/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint 0b...1a -hashAlg 1.2.643.7.1.1.2.2 -der sorce_file_path dest_file_path


Тут в -thumbprint стоит хэш моего сертификата.


Добрый день.

Этой командой Вы добавите свой сертификат к подписи (это максимум, что можно добавить в подпись в данном случае).

Но, как я писал ранее, у проверяющей стороны должна строится цепочка до корневого сертификата для Вашего сертификата.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
VictorFrom оставлено 26.09.2018(UTC)
Offline VictorFrom  
#9 Оставлено : 26 сентября 2018 г. 11:47:22(UTC)
VictorFrom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2018(UTC)
Сообщений: 36
Российская Федерация

Сказал(а) «Спасибо»: 9 раз
Спасибо.

Автор: Александр Лавник Перейти к цитате

Этой командой Вы добавите свой сертификат к подписи (это максимум, что можно добавить в подпись в данном случае).

Но, как я писал ранее, у проверяющей стороны должна строится цепочка до корневого сертификата для Вашего сертификата.


Мне было нужно удостовериться, что я все, что мог со своей стороны сделал.

Теперь проблему нужно искать на другой стороне.

Еще раз спасибо.
Offline dorogo  
#10 Оставлено : 27 декабря 2018 г. 12:32:57(UTC)
dorogo

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2018(UTC)
Сообщений: 29

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте,

у меня тоже появился вопрос по утилите cryptcp на Linux.

необходимо с помощью утилиты cryptcp сформировать усовершенствованную отсоединенную подпись.
для этого выполняю команду
Код:
/opt/cprocsp/bin/amd64/cryptcp -sign '/home/user1/sav/t.pdf' '/home/user1/sav/t.pdf.sig' -thumbprint 'f8a529f7679e997b3c5804712879f37a12ea14c7' -xlongtype1 -cadesTSA '/*tsp server*/' -nochain -detached -der


на что получаю ошибку
Код:
Error: Can't open file 'cades library'.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:216: 0x20000065
[ErrorCode: 0x20000065]


Если не путаю, на Windows подобная ошибка лечилась установкой Криптопро ЭЦП Runtime.
Для Linux такого не нашел.
Возможно все необходимое, в том числе и cades library, должно было установиться при установке самого Криптопро CSP, и я накосячил с установкой?


обычная подпись (без аргумента "-xlongtype1") формируется без ошибок.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.