logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Малыгин Н.  
#1 Оставлено : 25 октября 2019 г. 16:32:22(UTC)
Малыгин Н.

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2018(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
При вызове метода ru.CryptoPro.CAdES.EnvelopedSignature::decrypt(ByteArrayInputStream) на одной из машин вылетает ошибка:


При этом на других машинах (на той же ОС - AstraLinux и gosJava) программа работает корректно.
История данной машины:
Изначально была установлена версия java csp 5.0.40424
Сформировали на ней ключевые пары для подписи и шифрования, ошибок не было.
На второй машине, с которой производился обмен шифрованными данными, также стояла версия java csp 5.0.40424, но на ней не проходило шифрование на открытом ключе, сгенерированном на первой машине.
На вторую машину поставили версию 40055 и шифрование прошло, однако первая машина не смогла расшифровать данные с ошибкой, приложенной выше.
Тогда на первую машину также поставили версию 40055, однако ошибка расшифрования осталась.
Попробовали на версии 40055 на первой машине сгенерировать новые контейнеры, но при установке открытого ключа в новые контейнеры появилась ошибка о неверной длине ключа подписи.
(на версии 5.0.40424 такой ошибки не было).
Переустановили на первой машине КриптоПРО на последнюю версию (4.0.0.0.9963) - ошибка не ушла. Попробовали после переустановки КриптоПРО сгенерировать новые контейнеры командой:
keytool -J-Dkeytool.compat=true -genkey -alias serverSignKey2019 -keysize 512 -providername JCSP -storetype HSMDB -dname CN=serverSignKey2019,O=IDSystems,C=RU -keystore NONE -storepass 1 -keyalg GOST3410_2012_256 -sigalg GOST3411_2012_256withGOST3410_2012_256 -keypass ******

стали получать ошибку:


Пробовали удалять JCSP и ставить заново, но ошибка при создании контейнера и при попытке расшифровки не уходит.
В чём может быть дело? Как можно решить эту проблему на конкретной машине без переустановки ОС и настройки окружения с нуля?
Offline Евгений Афанасьев  
#2 Оставлено : 25 октября 2019 г. 17:07:19(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Здравствуйте. Приложите, пожалуйста, зашифрованное сообщение, исходное сообщение и тестовый контейнер для расшифрование сообщения, который вы сможете дать (допустим, сформировать сертификат в тестовом уц).
Техническую поддержку оказываем тут
Наша база знаний
Offline Малыгин Н.  
#3 Оставлено : 28 октября 2019 г. 14:32:20(UTC)
Малыгин Н.

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2018(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Во вложении архив с исходным сообщением, зашифрованным сообщением и сертификатом открытого ключа, на котором производилось шифрование.
Также интересует, почему всё-таки теперь не удаётся сгенерировать новые ключевые пары?
encryption_issues.zip (9kb) загружен 2 раз(а).
Offline Евгений Афанасьев  
#4 Оставлено : 28 октября 2019 г. 16:39:36(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Если это тестовый контейнер, сможете его представить для расшифрования сообщения?
Техническую поддержку оказываем тут
Наша база знаний
Offline Малыгин Н.  
#5 Оставлено : 28 октября 2019 г. 17:37:31(UTC)
Малыгин Н.

Статус: Участник

Группы: Участники
Зарегистрирован: 28.08.2018(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Контейнер тестовый, но он находится на HSM, так что, насколько я понимаю, его не экспортировать
Offline n.matveev_1  
#6 Оставлено : 28 октября 2019 г. 17:56:43(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

Добрый день.

Возникла аналогичная проблема при создании контейнера через hsm после переустановки КриптоПРО на сервере. Хотелось бы понять от чего возникает ошибка при создании новых контейнеров.
Offline Евгений Афанасьев  
#7 Оставлено : 29 октября 2019 г. 9:30:44(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
По поводу генерации: попробуйте выполнить генерацию, например, с помощью csptest (-keyset -newkeyset с указанием имени провайдера -provider и его типа -provtype).
Использовать нужно последнюю сборку JCSP с сайта.
Автор: Малыгин Н. Перейти к цитате

На второй машине, с которой производился обмен шифрованными данными, также стояла версия java csp 5.0.40424, но на ней не проходило шифрование на открытом ключе, сгенерированном на первой машине.

Нужно с этим разобраться. Какие были ошибки?

Отредактировано пользователем 29 октября 2019 г. 9:49:49(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline n.matveev_1  
#8 Оставлено : 29 октября 2019 г. 10:37:48(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

Автор: Евгений Афанасьев Перейти к цитате
По поводу генерации: попробуйте выполнить генерацию, например, с помощью csptest (-keyset -newkeyset с указанием имени провайдера -provider и его типа -provtype).
Использовать нужно последнюю сборку JCSP с сайта.

Какое имя провайдера и его тип использовать, если ранее для генерации использовалось: -providername JCSP -storetype HSMDB?


Offline Евгений Афанасьев  
#9 Оставлено : 29 октября 2019 г. 11:10:26(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Имя HSM CSP провайдера и тип в зависимости от ключа: 75, 80 или 81. Имена провайдеров можно посмотреть в панели CSP, в панели JCSP (Настройки JCSP) или config.ini. Еще их можно, по идее, перечислить с помощью csptest -enum ... PP_ENUMPROVIDERS ...
Техническую поддержку оказываем тут
Наша база знаний
Offline n.matveev_1  
#10 Оставлено : 29 октября 2019 г. 11:22:47(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

root@srv-ids-01:/etc/opt/cprocsp# ./csptest -keyset -newkeyset -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 cont 'serverEncryptKey2019'
root@srv-ids-01:/opt/cprocsp/bin/amd64# ./csptest -keyset -newkeyset -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 -cont 'serverEncryptKey2019'
CSP (Type:80) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 40417171
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 HSM CSP
Container name: "serverEncryptKey2019"
Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:2177:GenKey()
Error number 0x80090020 (2148073504).
Внутренняя ошибка.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 59,910 sec
[ErrorCode: 0x80090020]
Offline Евгений Афанасьев  
#11 Оставлено : 29 октября 2019 г. 11:34:34(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Не передали пароль, например:
-password 12345678
Техническую поддержку оказываем тут
Наша база знаний
Offline n.matveev_1  
#12 Оставлено : 29 октября 2019 г. 11:46:39(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

Контейнер создался, но не понятно какой закрытый ключ в нем. Необходим ключ для шифрования по протоколу Диффи-Хеллмана.
Offline Евгений Афанасьев  
#13 Оставлено : 29 октября 2019 г. 11:51:00(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
У -keyset -newkeyset есть и другие параметры, если не ошибаюсь, тип ключа:
-keytype <type>
Key type for creating key and certificate, signing or
exporting public key, intended signature verifying
on private key: signature, exchange, uec, none.
Default: signature and exchange

Отредактировано пользователем 29 октября 2019 г. 11:52:17(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Евгений Афанасьев  
#14 Оставлено : 29 октября 2019 г. 12:04:18(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Автор: Малыгин Н. Перейти к цитате

ОС - AstraLinux.
версия java csp 5.0.40424...
На второй машине, с которой производился обмен шифрованными данными, также стояла версия java csp 5.0.40424, но на ней не проходило шифрование на открытом ключе, сгенерированном на первой машине.
Переустановили на первой машине КриптоПРО на последнюю версию (4.0.0.0.9963)...
Попробовали после переустановки КриптоПРО сгенерировать новые контейнеры командой:
keytool -J-Dkeytool.compat=true -genkey -alias serverSignKey2019 -keysize 512 -providername JCSP -storetype HSMDB -dname CN=serverSignKey2019,O=IDSystems,C=RU -keystore NONE -storepass 1 -keyalg GOST3410_2012_256 -sigalg GOST3411_2012_256withGOST3410_2012_256 -keypass ******

Правильно ли указаны все версии (для попытки воспроизведения на стенде)?

Отредактировано пользователем 29 октября 2019 г. 12:06:25(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline n.matveev_1  
#15 Оставлено : 29 октября 2019 г. 12:07:02(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

Где можно найти все параметры для -keyset -newkeyset, чтобы понять что указывать при генерации ключа для протокола Диффи-Хеллмана?
Offline Евгений Афанасьев  
#16 Оставлено : 29 октября 2019 г. 12:09:30(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Автор: n.matveev_1 Перейти к цитате
Где можно найти все параметры для -keyset -newkeyset, чтобы понять что указывать при генерации ключа для протокола Диффи-Хеллмана?

csptest -keyset -newkeyset -help

Техническую поддержку оказываем тут
Наша база знаний
Offline n.matveev_1  
#17 Оставлено : 29 октября 2019 г. 12:15:32(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

Автор: Евгений Афанасьев Перейти к цитате

csptest -keyset -newkeyset -help



Как все параметры увидеть это понятно, какие именно нужно указать, что шифрование было по протоколу Диффи-Хеллмана?

Offline Евгений Афанасьев  
#18 Оставлено : 29 октября 2019 г. 12:17:22(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Укажите -keytype exchange
Будет ключ обмена, с параметрами обмена.
Техническую поддержку оказываем тут
Наша база знаний
Offline n.matveev_1  
#19 Оставлено : 29 октября 2019 г. 14:15:58(UTC)
n.matveev_1

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2019(UTC)
Сообщений: 9

Создал контейнер:
root@srv-ids-01:/opt/cprocsp/bin/amd64# ./csptest -keyset -newkeyset -provider "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 -cont 'serverEncryptKey2020' -password ***** -keytype exchange
CSP (Type:80) v5.0.10001 KB2 Release Ver:5.0.10001 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 32894051
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 HSM CSP
Container name: "serverEncryptKey2020"
Exchange key is not available.
Attempting to create an exchange key...
an exchange key created.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.

Командой

keytool -J-Dkeytool.compat=true -list -providername JCSP -storetype HSMDB -keystore NONE -storepass 1


его находит:

окт 29, 2019 4:44:30 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 4:44:31 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 4:44:37 PM ru.CryptoPro.JCSP.Starter check
INFO: Loading JCSP 5.0.40055
окт 29, 2019 4:44:37 PM ru.CryptoPro.JCSP.Starter check
INFO: JCSP loaded.
Keystore type: HSMDB
Keystore provider: JCSP

Your keystore contains 2 entries

contname2012, 31.12.2006, PrivateKeyEntry,
Certificate fingerprint (SHA1): 2B:39:8F:F5:01:FD:5A:6D:06:B4:D9:DB:F8:D4:C0:AF:0E:5B:8C:12

serverEncryptKey2020, 31.12.2006, SecretKeyEntry

Далее пытаюсь создать запрос на получение открытого ключа:

/cryptcp -creatrqst -dn "CN=DSServerEncryptKey2020,O=IDSystems,C=RU" -provtype 80 -nokeygen -cont 'serverEncryptKey2020' -certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" serverEncrypt2020.req


Возникает ошибка:

CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.
Ошибка: Набор ключей не найден/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x80090016
[ErrorCode: 0x80090016]


Если попробовать создать запрос через keytool:

keytool -J-Dkeytool.compat=true -certreq -alias serverEncryptKey2020 -providername JCSP -keypass ***** -storetype HSMDB -keystore NONE -storepass 1 -sigalg GOST3411_2012_256withGOST3410_2012_256 -file 1.req

То ошибка:

окт 29, 2019 4:59:44 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 4:59:45 PM ru.CryptoPro.JCSP.MSCAPI.cl_6 enumInstalledProviders
WARNING: Provider with type of 24 not found.
окт 29, 2019 4:59:51 PM ru.CryptoPro.JCSP.Starter check
INFO: Loading JCSP 5.0.40055
окт 29, 2019 4:59:51 PM ru.CryptoPro.JCSP.Starter check
INFO: JCSP loaded.
keytool error: java.lang.Exception: serverEncryptKey2020 has no public key (certificate)





Offline Евгений Афанасьев  
#20 Оставлено : 29 октября 2019 г. 14:27:06(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,838
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 418 раз в 411 постах
Автор: n.matveev_1 Перейти к цитате
keytool -J-Dkeytool.compat=true

Попробуйте так:
keytool -J-Dkeytool.compat=true -J-Duse.cert.stub=true ....

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.