Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline reqwy  
#1 Оставлено : 22 ноября 2017 г. 11:37:28(UTC)
reqwy

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2017(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте. На данный момент не совсем понимаю, какой сертификат используется для подписи, если таких сертификатов в контейнере несколько?

certmgr показывает следующие сертификаты:
Код:
=============================================================================
1-------
Issuer            : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject           : INN=007814508921, E=user@site.ru, C=RU, CN=Мванов Мван Мванович, SN=Р
Serial            : 0x120022E6C02256E6E59569DBEA00000022E6C0
SHA1 Hash         : 0xfab042db7b3743f99add3e3c73d871aea87f11a6
SubjKeyID         : b3aa260dbb1245cfb7b351a3151ad4f046180621
Not valid before  : 22/11/2017  07:25:20 UTC
Not valid after   : 22/02/2018  07:35:20 UTC
PrivateKey Link   : Yes. Container  : HDIMAGE\\cont.000\3FB3
2-------
Issuer            : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject           : INN=007814508921, E=user@site.ru, C=RU, CN=Р
Serial            : 0x120022E6C8F2147D65A114860C00000022E6C8
SHA1 Hash         : 0x45792a378b1c62db18ec9d2aae983f61e3177744
SubjKeyID         : b3aa260dbb1245cfb7b351a3151ad4f046180621
Not valid before  : 22/11/2017  07:30:53 UTC
Not valid after   : 22/02/2018  07:40:53 UTC
PrivateKey Link   : Yes. Container  : HDIMAGE\\cont.000\3FB3
3-------
Issuer            : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject           : INN=007814508921, E=apanin@moysklad.ru, C=RU, CN=Панин Артём Андреевич, SN=Панин
Serial            : 0x12002265B9FD3D266ED68EA39A0000002265B9
SHA1 Hash         : 0xe43be5f077cc12ac7e69c433e340e98ece18101f
SubjKeyID         : 89facc1b3c66ef32f6a348d6954b1d27c1a7ca1e
Not valid before  : 08/11/2017  09:27:13 UTC
Not valid after   : 08/02/2018  09:37:13 UTC
PrivateKey Link   : Yes. Container  : HDIMAGE\\cert3.000\1DCA
=============================================================================

в контейнере cont - 2 сертификата.
подписываю командой:
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -sign GOST -silent -cont '\\.\HDIMAGE\cont' -keytype exchange -in certnew1.cer -out sign  -provtype 75


При вызове команды не спрашивается каким из сертификатов нужно подписать входные данные. Из-за этого неясно какой сертификат используется.

Offline Андрей Емельянов  
#2 Оставлено : 22 ноября 2017 г. 18:39:59(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Добрый день.
Уточните версию CSP:
Код:
./csptest -oid -general


Судя по всему, у Вас в контейнере 2 ключевые пары: подписи и обмена (signature и exchange). В описанной команде Вы флагом "-keytype exchange" явно указываете из какой ключевой пары использовать сертификат.

Если есть сертификаты в контейнере, можно просмотреть:
Какой сертификат для ключа обмена:
Код:
./certmgr -list -cont '\\.\HDIMAGE\cont'


Какой сертификат для ключа подписи
Код:
./certmgr -list -cont '\\.\HDIMAGE\cont' -at_sig 

Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
thanks 1 пользователь поблагодарил Андрей Емельянов за этот пост.
reqwy оставлено 23.11.2017(UTC)
Offline reqwy  
#3 Оставлено : 23 ноября 2017 г. 13:29:32(UTC)
reqwy

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2017(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 1 раз в 1 постах
Цитата:
Уточните версию CSP:


Код:
CSP (Type:75) v3.9.8011 KC1 Release Ver:3.9.8505 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 26200627
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,010 sec
[ErrorCode: 0x00000000]


Цитата:
Какой сертификат для ключа обмена:
Какой сертификат для ключа подписи


Странно, но эти запросы отдают следующую ошибку:

Код:
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

GetKeyParam error

The requested certificate does not exist.
[ErrorCode: 0x8010002c]


хотя /opt/cprocsp/bin/amd64/certmgr -list отдаёт полный список сертификатов
Offline Андрей Емельянов  
#4 Оставлено : 23 ноября 2017 г. 17:02:57(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Приложите результат тестирования Вашего контейнера
Код:
./csptest -keys -check -info -cont ...
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
thanks 1 пользователь поблагодарил Андрей Емельянов за этот пост.
reqwy оставлено 23.11.2017(UTC)
Offline reqwy  
#5 Оставлено : 23 ноября 2017 г. 17:12:10(UTC)
reqwy

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2017(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 1 раз в 1 постах
Код:
/opt/cprocsp/bin/amd64/csptest -keys -check -info -cont 'cont'CSP (Type:75) v3.9.8011 KC1 Release Ver:3.9.8505 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 7432755
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 KC1 CSP
Container name: "cont"
Check header passed.
Signature key is available. HCRYPTKEY: 0x7378f3
Exchange key is available. HCRYPTKEY: 0x740733
uec key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

  Type:Hash       Name:'GOST R 34.11-94'(16) Long:'GOST R 34.11-94'(16)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032798

  Type:Signature  Name:'GOST R 34.10-2001'(18) Long:'GOST R 34.10-2001'(18)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011811

  Type:Exchange   Name:'Diffie-Hellman EL'(18) Long:'Diffie-Hellman EL'(18)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043556

  Type:Exchange   Name:'Diffie-Hellman EL'(18) Long:'Diffie-Hellman EL'(18)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043557

  Type:Hash       Name:'HMAC GOST 28147-89'(19) Long:'HMAC GOST 28147-89'(19)
  DefaultLen:32   MinLen:32   MaxLen:32    Prot:0   Algid:00032799

Provider handles: 5 (Max: 1048576)

Key pair info:
  HCRYPTKEY:  0x7378f3
  AlgID:      CALG_GR3410EL = 0x00002e23 (00011811):
    AlgClass: ALG_CLASS_SIGNATURE
    AlgType:  ALG_TYPE_GR3410
    AlgSID:   35
  KP_HASHOID:
    1.2.643.2.2.30.1
  KP_DHOID:
    1.2.643.2.2.35.1
  KP_SIGNATUREOID:
    1.2.643.2.2.35.1
  Permissions:
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    CRYPT_ARCHIVE
    0x800
    0x2000
KP_CERTIFICATE:
  Not set.

Key pair info:
  HCRYPTKEY:  0x740733
  AlgID:      CALG_DH_EL_SF = 0x0000aa24 (00043556):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_DH
    AlgSID:   36
  KP_HASHOID:
    1.2.643.2.2.30.1
  KP_DHOID:
    1.2.643.2.2.36.0
  KP_SIGNATUREOID:
    1.2.643.2.2.36.0
  Permissions:
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_IMPORT_KEY
    CRYPT_ARCHIVE
    0x800
KP_CERTIFICATE:
  Not set.

Container version: 2
Check container passed.
Check sign passed.
Check import passed.
Check sign passed.
Check import passed.
Keys in container:
  signature key
  exchange key
Extensions (maxLength: 1):
  none
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,010 sec
[ErrorCode: 0x00000000]
Offline Андрей Емельянов  
#6 Оставлено : 23 ноября 2017 г. 18:50:27(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Судя по выводу - сертификаты в контейнер не записаны, поэтому вышеописанным способом не просмотрите сертификат в контейнере.
Уточните, для каких целей подписываете командой:
Код:
./csptest -keys -sign GOST


Данная команда в принципе не подразумевает наличие сертификата, т.к. для подписи явно указываете закрытый ключ.
Возможно, Вам стоит рассмотреть другие варианты:
Код:
./csptestf -sfsign -help

или использовать специальную утилиту для этих целей, которая входит в состав CSP
Код:
./cryptcp -sign -help


Справка cryptcp:
https://www.cryptopro.ru...ryptcp/cryptcp_5.0.x.pdf

Отредактировано пользователем 23 ноября 2017 г. 18:51:27(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
thanks 1 пользователь поблагодарил Андрей Емельянов за этот пост.
reqwy оставлено 24.11.2017(UTC)
Offline reqwy  
#7 Оставлено : 23 ноября 2017 г. 19:04:09(UTC)
reqwy

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2017(UTC)
Сообщений: 32

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 1 раз в 1 постах
Цитата:
Уточните, для каких целей подписываете командой: ./csptest -keys -sign GOST

Подписываем так, т.к. в топике https://www.cryptopro.ru...ts&m=85441#post85441 нам сказали, что чтобы получить подпись в 64 байта, нужно использовать эту команду.

Цитата:
Судя по выводу - сертификаты в контейнер не записаны, поэтому вышеописанным способом не просмотрите сертификат в контейнере.

Не могли бы разъяснить, что значит "сертификаты в контейнер не записаны"? Ведь при вызове
Код:
/opt/cprocsp/bin/amd64/certmgr -list

У сертификатов явно указывается контейнер, в котором они установлены.
Код:
PrivateKey Link   : Yes. Container  : HDIMAGE\\cont.000\3FB3


Цитата:
Возможно, Вам стоит рассмотреть другие варианты или использовать специальную утилиту для этих целей, которая входит в состав CSP


Не могли бы вы подсказать, можно ли с помощью утилиты cryptcp получить подпись длинной 64 байта? Пока, с её помощью удавалось получать только здоровенные 2КБ-ные подписи.

Отредактировано пользователем 24 ноября 2017 г. 11:53:23(UTC)  | Причина: Не указана

Offline Андрей Емельянов  
#8 Оставлено : 24 ноября 2017 г. 16:22:40(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Для чего Вам такая низкоуровневая подпись? Ни одна из известных систем не работает с такой подписью, смысл задачи не ясен.
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.