Данная ошибка возникает в следующем коде

public static void SignFile(string fileName,X509Certificate2 signCert)
{
FileStream fs = File.Open(fileName, FileMode.Open, FileAccess.Read, FileShare.ReadWrite);
var msg = new byte[fs.Length];
fs.Read(msg, 0, (int)fs.Length);

var gostFormatter = new GostSignatureFormatter(signCert.PrivateKey); эксепшен вываливается здесь
// Объект, реализующий алгоритм хэширования.
var gostHash = new Gost3411CryptoServiceProvider();
// Подсчитываем значение хэш для потока данных.
byte[] hashValue = gostHash.ComputeHash(fs);
// Подписываем хеш
byte[] signedHashValue = gostFormatter.CreateSignature(hashValue);

fs.Close();
fs.Dispose();
}
не подскажете в чем проблема? клиент клянется что у него сертификат выданный КриптоПРО УЦ в соответствии с гостом.


Так же еще вопрос, какие условия должны быть соблюдены при генерации сертификата, что бы функция проверки цепочки сертификатов CheckSignature(false)

public static bool VerifySignature(string fileName,out bool certChainProblems)
{
certChainProblems = false;
FileStream fs = File.Open(fileName, FileMode.Open, FileAccess.Read, FileShare.None);
var msg = new byte[fs.Length];
fs.Read(msg, 0, (int)fs.Length);
// fs.Unlock(0,fs.Length);
fs.Close();
fs.Dispose();
// Создаем объект ContentInfo по сообщению.
// Это необходимо для создания объекта SignedCms.
var contentInfo = new ContentInfo(msg);

// Создаем SignedCms для декодирования и проверки.
var signedCms = new SignedCms(contentInfo, true);

FileStream signatureFile = File.Open(fileName + ".sig", FileMode.Open, FileAccess.Read, FileShare.None);
var encodedSignature = new byte[signatureFile.Length];
signatureFile.Read(encodedSignature, 0, (int)signatureFile.Length);
signatureFile.Close();
signatureFile.Dispose();
// Декодируем подпись

// Перехватываем криптографические исключения, для
// возврата false значения при некорректности подписи.
try
{
signedCms.Decode(encodedSignature);
// Проверяем подпись и сертификат
signedCms.CheckSignature(false); генерирует эксепшен о том что не удалось проверить цепочку
}
catch (CryptographicException)
{
//проблемы с проверкой цепочки сертификатов
certChainProblems = true;
try
{ //проверяем только подпись
signedCms.CheckSignature(true);
}
catch (CryptographicException ex)
{
SignConvertDocClass.WriteTextToLog("Ошибка проверки цифровой подписи " +
"SignDocument.cs VerifySignature "
+ ex.Message + ex.StackTrace);
return false;
}
}
return true;
}

1. Exception в signCert.PrivateKey? или в new GostSignatureFormatter(key)?
2. А текст exception (жалательно со стеком посмотреть можно)?
3. Ссылка с этого сертификата на контейнер секретного ключа есть? В контрольной панели CSP контейнер по сертификату открывается? (Закладка Сервис/Кнопка Просмотреть сертификаты в контейнере/Кнопка по сертификату/Выбрать сертификат/Далее)?

P.S. С вопросом о проверки цепочки отпишите, пожалуйста, в чем была проблема, чтобы другие на эти же грабли не наступали.

Код в этом месте в Sharpei не менялся. Совместимость должна быть полная. Код работоспособен на обоих версиях (только что перепроверил).
Проблема, скорее всего, возникла при перестановке (криво встало) или эксперименты на разных версиях не полностью одинаковые (проблема с сертификатами).

Для диагностики первого случая (криво встало) поможет alarm:
Для сбора информации об установке запустите из командной строки

в текущем каталоге появится файл osinfo.xml. Этот файл можно открыть в Internet Explorer на компьютере подключенном к internet. При наличии сообщений в разделе "Обнаруженные неисправности" попытайтесь самостоятельно их исправить. При отсутствии ошибок или невозможности их исправить прикрепляйте данный файл к сообщению на support@cryptopro.ru или в ветку форума. Этот файл не содержит ни информацию о секретных ключах ни о серийных номерах установленных продуктов (если вы не доверяете, просмотрите этот файл в обычном текстовом редакторе).

Диагностировать ошибку с сертификатами поможет контрольная панель CSP (см. пост выше)

Проверяет цепочку. Если при проверке возникает исключение, то можно устанавливать CRL локально. Лучше смотреть CDP в сертификате издателя и проверять доступ к CRL по CDP.

Клиент же уже устанавливал список отозванных сертификатов (CRL) локально.
А про доступ. Откройте корневой сертификат и посмотрите расширение Точка распределения списка отзыва (CRL Distribution Point). И попробуйте обратиться по этому URL, например из эксплорера.

writemaster:

Может и не быть. Тогда сам сертификат. CDP может вообще не быть... А может быть в формате, которым его в explorer не скачаешь (LDAP например)... Тогда откройте инструкцию от своего удостоверяющего центра и читайте как и чего и куда ставить...
для Hardbotan:
Так получилось добраться до CRL?