Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline alSteve  
#1 Оставлено : 18 декабря 2019 г. 20:58:18(UTC)
alSteve

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2016(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Здравствуйте!
Ситуация: переходный период со старого сертификата на новый.
Поясню: имеем поток зашифрованных файлов от клиентов, зашифрованных с использованием открытого ключа получателя файлов. У получателя файлов через неделю заканчивается срок действия сертификата, однако имеется уже новый сертификат, который предстоит довести до клиентов.
На текущий момент у получателя файлов в хранилище My только один пока действующий сертификат (новый не установлен) и процедура расшифрования происходит следующим образом:
cryptcp -decr -dn XXXXXXXXX f.enc f.sgn -errchain

Задача: как запускать cryptcp для успешного расшифрования файлов от клиентов, которые пока используют "старый", устаревающий сертификат получателя и тех, кто уже шифрует на новый сертификат получателя, при условии, что в хранилище My у получателя установлены оба сертификата (новый и устаревающий) с одинаковыми КПС XXXXXXXXX?

Выполнение
cryptcp -decr -dn XXXXXXXXX f.enc f.sgn -all -errchain
выдает следующую ошибку:
Ошибка: Команда подразумевает использование только одного сертификата.
Certs.cpp:258: 0x2000012F


В документации CryptCP написано: -all* использовать все найденные сертификаты (* для КПС), где * - При описании опций звездочкой (*) помечена опция по умолчанию (для нескольких взаимоисключающих опций), что не очень понятно(

Прошу помощи в реализации задуманного функционала, если это в принципе возможно.

Отредактировано пользователем 18 декабря 2019 г. 22:05:59(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#2 Оставлено : 18 декабря 2019 г. 23:36:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.

Для однозначного КПС - используйте отпечаток сертификата

Цитата:

z:\cryptcp.exe -decr -nochain -thumbprint 67BD92829D85A47E4FB4BB5AABF8A96B047DF05D y:\file.doc.enc y:\file.doc

Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#3 Оставлено : 19 декабря 2019 г. 0:04:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Еще варианты:
Цитата:
-f в качестве хранилища используется сообщение или файл сертификата;


Цитата:

z:\cryptcp.exe -decr -nochain -f y:\my.cer y:\file.doc.enc y:\file.doc

Техническую поддержку оказываем тут
Наша база знаний
Offline alSteve  
#4 Оставлено : 19 декабря 2019 г. 10:55:07(UTC)
alSteve

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2016(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей Писарев Перейти к цитате
Здравствуйте.

Для однозначного КПС - используйте отпечаток сертификата

Цитата:

z:\cryptcp.exe -decr -nochain -thumbprint 67BD92829D85A47E4FB4BB5AABF8A96B047DF05D y:\file.doc.enc y:\file.doc



Автор: Андрей Писарев Перейти к цитате
Еще варианты:
Цитата:
-f в качестве хранилища используется сообщение или файл сертификата;


Цитата:

z:\cryptcp.exe -decr -nochain -f y:\my.cer y:\file.doc.enc y:\file.doc



С КПС как раз таки сложностей нет.

Попробую иначе изъясниться.
Имеем 2 зашифрованных файла.
Первый файл зашифрован на сертификат Иванова Ивана Ивановича (КПС - ivanov@ivanov.ru) срок действия которого истекает 31.12.2019.
Второй файл зашифрован также на сертификат (новый) Иванова Ивана Ивановича (КПС - ivanov@ivanov.ru) с периодом действия с 01.11.2019 по 01.11.2020.

В хранилище My у Иванова Ивана Ивановича имеется 2 действующих сертификата (первый еще не прокис).

Вопрос: как запускать cryptcp чтобы успешно расшифровывался и первый и второй файл, при условии того, что параметры запуска cryptcp не могут меняться за исключением имени файлов.

Выполнение cryptcp -decr -dn ivanov@ivanov.ru f.enc f.sgn -all -errchain приводит к "Ошибка: Команда подразумевает использование только одного сертификата."

Отредактировано пользователем 19 декабря 2019 г. 10:59:04(UTC)  | Причина: Не указана

Offline two_oceans  
#5 Оставлено : 20 декабря 2019 г. 4:52:05(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Наверно команда для такого не предназначена?
Offline Андрей Писарев  
#6 Оставлено : 20 декабря 2019 г. 8:03:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Запускать дважды, в команде указывать сертификат 1, а во втором вызове сертификат 2. Устраивает вариант ?

Или другую утилиту...
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#7 Оставлено : 20 декабря 2019 г. 8:26:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Утилита будет доработана.

Проверять по номеру:
CPCSP-10662: cryptcp - расшифровывать без указания сертификата в командной строке.

Отредактировано пользователем 20 декабря 2019 г. 8:30:17(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline alSteve  
#8 Оставлено : 20 декабря 2019 г. 10:35:09(UTC)
alSteve

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2016(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей Писарев Перейти к цитате
Утилита будет доработана.

Проверять по номеру:
CPCSP-10662: cryptcp - расшифровывать без указания сертификата в командной строке.


Спасибо!
Подскажите пожалуйста как и где проверять по этому номеру?
Offline Александр Лавник  
#9 Оставлено : 20 декабря 2019 г. 10:42:22(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: alSteve Перейти к цитате
Автор: Андрей Писарев Перейти к цитате
Утилита будет доработана.

Проверять по номеру:
CPCSP-10662: cryptcp - расшифровывать без указания сертификата в командной строке.


Спасибо!
Подскажите пожалуйста как и где проверять по этому номеру?

Здравствуйте.

В темах форума с описанием изменений в версиях CSP 4.0 или CSP 5.0 либо в changelog для соответствующих версий на странице загрузки КриптоПро CSP.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.