Статус: Участник
Группы: Участники
Зарегистрирован: 01.02.2022(UTC) Сообщений: 16  Сказал(а) «Спасибо»: 8 раз
|
Здравствуйте, возможно вопрос не совсем к месту, но у наших клиентов возникла спорная ситуация с продуктом КриптоПро CSP и им пришлось установить продукт Vipnet CSP. Суть в том, что подписи наложенные через криптопровайдер Vipnet CSP не проверяются в КриптоПро CSP (ну и на других сайтах). Ошибку которую получаю на сайте https://dss.cryptopro.ru/Verify/#/signatureзвучит так Цитата:Не удалось проверить подпись формата CMS. Ошибка: [Указан неправильный алгоритм]. Код: [0x80090008]. Не удается построить цепочку сертификатов для доверенного корневого центра. В подписи есть признаки формата CAdES-BES, но подпись не соответствует всем требованиям формата. Подпись была проверена без учёта формата CAdES-BES. Не удалось проверить подпись CAdES-BES. Ошибка: [Указан неправильный алгоритм]. Код: [0x80090008]. О каком именно алгоритме идет речь? Данные при необходимости отправлю на почту специалиста. А саму отсоединенную подпись прилагаю.  20250124_36_15783155_budg_33_EhP_3_urovnja.zip (2kb) загружен 4 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664  Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
|
Здравствуйте. А в каком приложении так сформировалась подпись? В файле с ЭП есть 2 проблемы: 1) неправильный алгоритм - почему-то указывается ГОСТ Р 34.11-94, когда давно есть ГОСТ Р 34.11-2012... 2) сертификат подписанта - УЦ неизвестный: Цитата:CN = Администратор сети №611
O = Министерство финансов Республики Саха (Якутия)
OU = Удостоверяющий и Ключевой центр
T = Администратор
L = Якутск Конечно, DSS будет про это сообщать и доверия к этому сертификату нет. Snimok ehkrana ot 2025-04-23 11-14-58.png (16kb) загружен 6 раз(а). |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.02.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 8 раз
|
Автор: Андрей *  Здравствуйте. А в каком приложении так сформировалась подпись? В файле с ЭП есть 2 проблемы: 1) неправильный алгоритм - почему-то указывается ГОСТ Р 34.11-94, когда давно есть ГОСТ Р 34.11-2012... 2) сертификат подписанта - УЦ неизвестный: Цитата:CN = Администратор сети №611
O = Министерство финансов Республики Саха (Якутия)
OU = Удостоверяющий и Ключевой центр
T = Администратор
L = Якутск Конечно, DSS будет про это сообщать и доверия к этому сертификату нет. Snimok ehkrana ot 2025-04-23 11-14-58.png (16kb) загружен 6 раз(а). Насчет алгоритма да он старый, берется первый возвращаемый по крипто провайдеру через CryptoApi, это я проверю. Но он же корректен с математической точки зрения, только из-за того что алгоритм хеширования устарел он ругается с ошибкой "неправильный алгоритм"?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664 Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
|
Автор: lomik_xp Автор: Андрей * Здравствуйте. А в каком приложении так сформировалась подпись? В файле с ЭП есть 2 проблемы: 1) неправильный алгоритм - почему-то указывается ГОСТ Р 34.11-94, когда давно есть ГОСТ Р 34.11-2012... 2) сертификат подписанта - УЦ неизвестный: Цитата:CN = Администратор сети №611
O = Министерство финансов Республики Саха (Якутия)
OU = Удостоверяющий и Ключевой центр
T = Администратор
L = Якутск Конечно, DSS будет про это сообщать и доверия к этому сертификату нет. Snimok ehkrana ot 2025-04-23 11-14-58.png (16kb) загружен 6 раз(а). Насчет алгоритма да он старый, берется первый возвращаемый по крипто провайдеру через CryptoApi, это я проверю. Но он же корректен с математической точки зрения, только из-за того что алгоритм хеширования устарел он ругается с ошибкой "неправильный алгоритм"? А почему такой алгоритм поиска придуман? Почему не на основании алгоритма из сертификата? Кто разрешил смешивать ГОСТы 1994 и 2012? Насчет правильности - у меня нет исходного документа, чтобы сделать однозначный вывод. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.02.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 8 раз
|
Автор: Андрей * Автор: lomik_xp Автор: Андрей * Здравствуйте. А в каком приложении так сформировалась подпись? В файле с ЭП есть 2 проблемы: 1) неправильный алгоритм - почему-то указывается ГОСТ Р 34.11-94, когда давно есть ГОСТ Р 34.11-2012... 2) сертификат подписанта - УЦ неизвестный: Цитата:CN = Администратор сети №611
O = Министерство финансов Республики Саха (Якутия)
OU = Удостоверяющий и Ключевой центр
T = Администратор
L = Якутск Конечно, DSS будет про это сообщать и доверия к этому сертификату нет. Snimok ehkrana ot 2025-04-23 11-14-58.png (16kb) загружен 6 раз(а). Насчет алгоритма да он старый, берется первый возвращаемый по крипто провайдеру через CryptoApi, это я проверю. Но он же корректен с математической точки зрения, только из-за того что алгоритм хеширования устарел он ругается с ошибкой "неправильный алгоритм"? А почему такой алгоритм поиска придуман? Почему не на основании алгоритма из сертификата? Кто разрешил смешивать ГОСТы 1994 и 2012? Насчет правильности - у меня нет исходного документа, чтобы сделать однозначный вывод. Согласен глупый алгоритм, нужно брать при возможности из SubjectPublicKeyInfo.algorithm.parameters Проблем в смешивании же тоже не вижу, провайдер либо поддерживает указанные значения либо нет при проверке подписи. Исходный документ есть могу отправить. Так что скрывается за ошибкой "неправильный алгоритм"?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664 Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
|
Автор: lomik_xp
Так что скрывается за ошибкой "неправильный алгоритм"?
смешивание алгоритмов -> ошибка, CSP 80 типа (если было бы про КриптоПРО) - в нём нет ГОСТ 1994. GOST R 34.11-1994 256 в 75 типе же, "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider", в нём ГОСТ 2001 подпись, 1994 - хеширование. аналогичное про ViPNet CSP - 77 тип подключается? А с чего вдруг? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,664 Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
|
поставил, удивился, в 77 типе оба алгоритма... Ясно, csp даже тип 2 выдаёт 1994\2012, передайте им спасибо, а свой алгоритм поиска поменяйте (можно ВРЕМЕННО явно прописать даже 2012). 2.png (49kb) загружен 15 раз(а). 77.png (48kb) загружен 11 раз(а). |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.02.2022(UTC) Сообщений: 16 Сказал(а) «Спасибо»: 8 раз
|
Автор: Андрей * поставил, удивился, в 77 типе оба алгоритма... Ясно, csp даже тип 2 выдаёт 1994\2012, передайте им спасибо, а свой алгоритм поиска поменяйте (можно ВРЕМЕННО явно прописать даже 2012). 2.png (49kb) загружен 15 раз(а). 77.png (48kb) загружен 11 раз(а). На последние два комментария: Еще раз, по сути да это не совсем первый попавшийся, а конкретно для выбранного сертификата подходящий провайдер, и в нем уже ищется алгоритм хеширования. Да понадеялся на корректность в провайдере, сам проверил что там возвращает. Так вот в открытом ключе есть алгоритм хеширования буду на него смотреть в начале, а потом уже первый подходящий из хеширования. А по Vipnet CSP я там не смог зарегистрироваться чтобы создать аналогичную тему с вопросом, поэтому не буду передавать "привет" и "спасибо". Тему можно считать решенной, спасибо
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
