Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline D!m@n  
#1 Оставлено : 28 октября 2008 г. 19:18:11(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Добрый день!

На старом форуме нашел несколько тем, в которых говорится о совместимости КриптоПро CSP с Вербой версии 6.1.
Чтобы не быть голословным:
http://cryptopro.ru/cryp...ro/forum/view.asp?q=1130
http://www.cryptopro.ru/...ro/forum/view.asp?q=1478

Наша фирма в основном использует КриптоПро, но для общения с несколькими контрагентами приходится использовать Вербу.
Если бы у нас была возможность с помощью КриптоПро проверять осуществлять проверку ЭЦП и расшифрование документов, подписанных с помощью СКЗИ "Верба-OW", то можно было бы отойти от ее использования в нашей организации.

Скажите, где можно почитать поподробнее про то, как подружить Вербу и КриптоПро?
В частности, интересует такой вопрос - как можно вербовский сертификат (с закрытым ключом!) "превратить" в стандартный и импортировать в системный реестр, чтобы с ним мог работать КриптоПро?

Заранее спасибо!

Отредактировано пользователем 28 октября 2008 г. 19:28:35(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#2 Оставлено : 10 ноября 2008 г. 11:34:14(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Литеературы на тему "как подружить Вербу и КриптоПро" нет. Вам не нужно делать это "вербовский сертификат (с закрытым ключом!) "превратить" в стандартный и импортировать в системный реестр, чтобы с ним мог работать КриптоПро". Зачем?! ПРосто попробуйте проверить файл, шифрованный и подписанный Вербой с помощью "КриптоПро CSP" и, например, КриптоАРМ. Используя при этом ТОЛЬКо вербоский сертификат открытого ключа, который в формате Х.509 версии 3. Должно получиться.
С уважением,
КРИПТО-ПРО
Offline D!m@n  
#3 Оставлено : 10 ноября 2008 г. 19:00:33(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Юрий Маслов написал:
Литеературы на тему "как подружить Вербу и КриптоПро" нет. Вам не нужно делать это "вербовский сертификат (с закрытым ключом!) "превратить" в стандартный и импортировать в системный реестр, чтобы с ним мог работать КриптоПро". Зачем?! ПРосто попробуйте проверить файл, шифрованный и подписанный Вербой с помощью "КриптоПро CSP" и, например, КриптоАРМ. Используя при этом ТОЛЬКо вербоский сертификат открытого ключа, который в формате Х.509 версии 3. Должно получиться.
Спасибо за ответ!
Я сделал следующее:
1. Импортировал в хранилище "Другие пользователи" вербовский сертификат открытого ключа.
2. Попробовал зашифровать файлик на этот сертификат с помощью КриптоАРМ. Не получилось - в хранилище не видно импортированный сертификат.*
3. Попробовал зашифровать файлик с помощью своей самописной программки. Моя прога сертификат вербовский видит, но при шифровании происходит ошибка "Встречено неверное значение тега ASN.1".

Что я делаю не так?

* Кстати, если смотреть сертификаты через IE, то этот импортированный сертификат тоже не видно. Зато видно через оснастку "Сертификаты" в мелкософтовской консоли.
Offline Юрий Маслов  
#4 Оставлено : 10 ноября 2008 г. 19:16:40(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
А у Вас в вербовском сертификате стоит тот же алгоритм открыого ключа, что и в криптопрошном сертификате? А стоит ли сертификат УЦ Вербы и УЦ крипто-про (ЦСов) в списке доверенных ЦС хранилища сертификатов.
С уважением,
КРИПТО-ПРО
Offline D!m@n  
#5 Оставлено : 11 ноября 2008 г. 17:29:26(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Еще раз спасибо за ответ!
Юрий Маслов написал:
А у Вас в вербовском сертификате стоит тот же алгоритм открыого ключа, что и в криптопрошном сертификате?
Нет, конечно!
В вербовсеом сертификате поле "алгоритм подписи" какое-то странное: 1.3.6.1.4.1.3670.1.6
В криптопрошных - нормальное: ГОСТ Р 34.11/34.10-2001
Я почему и говорил, что их, видимо, как-то преобразовывать надо...

Цитата:
А стоит ли сертификат УЦ Вербы и УЦ крипто-про (ЦСов) в списке доверенных ЦС хранилища сертификатов.
Установил - результат тот же.
Offline D!m@n  
#6 Оставлено : 11 ноября 2008 г. 17:44:29(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Вот еще что интересно: если удалить с машины CryptoPro CSP, то при шифровании файла на криптопрошный сертификат возникает та же самая ошибка - "Встречено неверное значение тега ASN.1".
Offline Юрий Маслов  
#7 Оставлено : 11 ноября 2008 г. 18:05:42(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
А какая версия "Вербы-OW"? Мы проверяли совместимость с версией 6.1, используя алгоритм ГОСТ Р 34.10-2001. Для вербы использовался ЦУКС ПФР. ПРоверялось а сообщениях: шифрованные, подписанные и одновременно подписанные и шифрованные. Формат сообщений: PKCS#7. И у нас на стенде и верба и крипто-про работали корректно. Правда и КриптоПро CSP и Верба были на разных компах. Попробуйте тоже на разных компах ставить СКЗИ.

С уважением,
КРИПТО-ПРО
Offline D!m@n  
#8 Оставлено : 11 ноября 2008 г. 18:11:55(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Юрий Маслов написал:
А какая версия "Вербы-OW"? Мы проверяли совместимость с версией 6.1, используя алгоритм ГОСТ Р 34.10-2001. Для вербы использовался ЦУКС ПФР. ПРоверялось а сообщениях: шифрованные, подписанные и одновременно подписанные и шифрованные. Формат сообщений: PKCS#7. И у нас на стенде и верба и крипто-про работали корректно. Правда и КриптоПро CSP и Верба были на разных компах. Попробуйте тоже на разных компах ставить СКЗИ.

На машине, где я все это тестирую, стоит только Крипто-Про.
Какое ПО использовалось для выпуска вербовского сертификата - мне неизвестно. Но сам этот сертификат успешно используется нашим юзером с СКЗИ "Верба-OW" версии 6.1.2.
Offline D!m@n  
#9 Оставлено : 11 ноября 2008 г. 18:13:46(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Скажите, а Вы, когда тестировали Крипто-Про и Вербу на совместимость, пробовали сделать то же, что и я сейчас? Т.е. зашифровать что-нибудь на получателя с вербовским сертификатом?
Или совместимость проверена только на операции расшифрования и проверки подписи?

Отредактировано пользователем 11 ноября 2008 г. 18:14:53(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#10 Оставлено : 11 ноября 2008 г. 18:16:04(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Ессно, что пробовали. Шифровали и туда и обратно, включая на получателя с вербовским сертификатом.
С уважением,
КРИПТО-ПРО
Offline Юрий Маслов  
#11 Оставлено : 11 ноября 2008 г. 18:16:59(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Могу выслать по мылу скан-копию официального протокола о совместимости.
С уважением,
КРИПТО-ПРО
Offline D!m@n  
#12 Оставлено : 11 ноября 2008 г. 18:36:59(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Юрий Маслов написал:
Могу выслать по мылу скан-копию официального протокола о совместимости.
Если Вам не трудно...
Свой e-mail отправил Вам P.M.-кой.
Заранее спасибо!

Отредактировано пользователем 11 ноября 2008 г. 18:39:58(UTC)  | Причина: Не указана

Offline D!m@n  
#13 Оставлено : 11 ноября 2008 г. 18:39:40(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Юрий Маслов написал:
Ессно, что пробовали. Шифровали и туда и обратно, включая на получателя с вербовским сертификатом.
Понятно... А у вербовского сертификата, который Вы использовали, что стояло в поле "алгоритм подписи"?
И еще - может быть, если это тестовый сертификат, его тоже можно получить у Вас?
Исключительно для тестовых целей, конечно, - чтобы был некий "эталон".
Offline Юрий Маслов  
#14 Оставлено : 11 ноября 2008 г. 18:59:16(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
В вербовском сертификате отображалось как и в криптопрошнх ГОСТ Р 34.11/34.10-2001

Сейчас у нас этого стенда нет. Давно уже было и разобрали за ненадобностью.
С уважением,
КРИПТО-ПРО
Offline D!m@n  
#15 Оставлено : 11 ноября 2008 г. 19:24:26(UTC)
D!m@n

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.10.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Юрий Маслов написал:
В вербовском сертификате отображалось как и в криптопрошнх ГОСТ Р 34.11/34.10-2001
Значит, проблема в сертификате...
Это, конечно, все усложняет: своими силами здесь уже не обойтись, придется "мучить" ЦС контрагента... Brick wall
Спасибо за помощь!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.