Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Не подписывается отчетность после обновления - После обновления КриптоПро до 4.0.9680 при попытке подписать отчетность ошибка
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Кокорева Алиса  
#1 Оставлено : 11 марта 2016 г. 14:07:39(UTC)
Кокорева Алиса

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Добрый день!

После обновления КриптоПро CSP 3.9 до версии 4.0.9680 стало невозможно подписать отчетность одним из сертификатов:

2016-03-11 13:01:12.903286] [P:9088] [T:10156] [Trace] CPCrypto: ICPCryptoImpl::CertIsValid: leaved
[2016-03-11 13:01:12.903286] [P:9088] [T:10156] [Trace] CPCrypto: Из множества сертификатов выбран: "ОАО "Сказка"".
[2016-03-11 13:01:12.903286] [P:9088] [T:10156] [Trace] CPCrypto: Сертификат(ы) был(и) найден(ы) в хранилище "Личные".
[2016-03-11 13:01:12.904286] [P:9088] [T:10156] [Trace] CPCrypto:
--------------- Подпись ---------------
Сертификат подписи: ОАО "Сказка", {D01EC7...E696}

[2016-03-11 13:01:12.905286] [P:9088] [T:10156] [Trace] CPCrypto: Будет использован криптопровайдер "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider"
[2016-03-11 13:01:12.905286] [P:9088] [T:10156] [Trace] CPCrypto: Размер подписываемых данных 12
[2016-03-11 13:01:12.918287] [P:9088] [T:10156] [Trace] CPCrypto: Не удалось определить размер для кодирования, причина: Отказано в доступе. (0x80090010)
[2016-03-11 13:01:12.918287] [P:9088] [T:10156] [Trace] CPCrypto: ICPCryptoImpl::sign_stream_d: leaved
[2016-03-11 13:01:12.933289] [P:9088] [T:11256] [Trace] CPCrypto: CRL "TAXCOM CA" для БД действительна

Никаких паролей не стоит, перепривязать ключ пробовала. С сертификатом все хорошо, с КриптоПро 3.9 все было в порядке.
С остальными сертификатами проблем нет.

Подскажите пожалуйста, в чем может быть проблема?
Вверх
Offline Андрей Писарев  
#2 Оставлено : 11 марта 2016 г. 14:18:15(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,907
Мужчина
Российская Федерация

Сказал «Спасибо»: 595 раз
Поблагодарили: 2333 раз в 1830 постах
Здравсвуйте.
1. Тестирование контейнера для этого сертификата - выявляет ошибки?
2. Обновитесь до актуальной версии CSP

Цитата:
КриптоПро CSP 4.0.9708 (Nechaev) от 01.03.2016.
http://www.cryptopro.ru/...a-fsb-o-kriptopro-csp-40

http://www.cryptopro.ru/...p/downloads#latest_csp40
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Кокорева Алиса оставлено 11.04.2016(UTC)
Offline Кокорева Алиса  
#3 Оставлено : 8 апреля 2016 г. 16:09:44(UTC)
Кокорева Алиса

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Добрый день!

Протестировала контейнер, вот что пишет:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя le-81eeea8f-deca-4d4c-8660-c4fee15164c4
уникальное имя REGISTRY\\le-81eeea8f-deca-4d4c-8660-c4fee15164c4
FQCN \\.\REGISTRY\le-81eeea8f-deca-4d4c-8660-c4fee15164c4
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись Ошибка 0x80090010 (-2146893808) Отказано в доступе.[/b][/u]
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2001 DH
ГОСТ Р 34.10-2001, параметры обмена по умолчанию
ГОСТ Р 34.11-94, параметры по умолчанию
ГОСТ 28147-89, параметры по умолчанию
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
СНИЛС=99999985973, ОГРН=1140181251220, OID.1.2.643.3.141.1.2=0011, OID.1.2.643.3.141.1.1=0000000011, ИНН=009901652368, E=9901doc@host1.taxcom.ru, C=RU, L=Москва, O="ОАО ""Сказка""", OU=0, CN="ОАО ""Сказка""", STREET=Москва, OID.1.2.840.113549.1.9.2=Иванов Сергей Иванович, T=директор, G=Сергей Иванович, SN=Иванов
REGISTRY\\le-81eeea8f-deca-4d4c-8660-c4fee15164c4; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider#75; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
имя сертификата ОАО "Сказка"
субъект СНИЛС=99999985973, ОГРН=1140181251220, OID.1.2.643.3.141.1.2=0011, OID.1.2.643.3.141.1.1=0000000011, ИНН=009901652368, E=9901doc@host1.taxcom.ru, C=RU, L=Москва, O="ОАО ""Сказка""", OU=0, CN="ОАО ""Сказка""", STREET=Москва, OID.1.2.840.113549.1.9.2=Иванов Сергей Иванович, T=директор, G=Сергей Иванович, SN=Иванов
поставщик ОГРН=1027700071530, ИНН=7704211201, STREET=Варшавское шоссе 33, C=RU, S=Москва, L=Москва, O="ООО ""Такском""", OU=Удостоверяющий центр, CN="УЦ ООО ""Такском"""
действителен с 17 июня 2014 г. 13:25:00
действителен по 15 марта 2017 г. 11:00:00
ключ действителен с 17 июня 2014 г. 13:25:00
ключ действителен по 17 июня 2015 г. 13:25:00
серийный номер 111F 4C1D 0000 0000 1395
Срок действия закрытого ключа 17 июня 2015 г. 13:25:00
Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2


Как может быть, что для Крипто Про 3.9 для этого же сертификата ошибки нет?

Отредактировано пользователем 8 апреля 2016 г. 16:13:11(UTC)  | Причина: Не указана
Вверх
Offline Станислав Смышляев  
#4 Оставлено : 8 апреля 2016 г. 17:05:19(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Добрый день!

Начиная с версии 4.0, контроль сроков действия закрытых ключей стал обязателен в CSP.

Причина введения данного контроля в следующем. В случае спорных ситуаций с подписыванным документом в процессе аудита, в частности, проводится проверка валидности ключа подписи на момент подписания. Если Вы подписали документ просроченным ключом, подпись, строго говоря, недействительна. Исходя из этих соображений, сертификаторы настояли на запрете использования просроченных ключей.

Если Вам требуется дополнительная помощь с необходимостью сформировать подпись на просроченном ключе, напишите мне, пожалуйста, на svs@cryptopro.ru.

Отредактировано пользователем 8 апреля 2016 г. 17:06:27(UTC)  | Причина: Не указана

С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Вверх
thanks 1 пользователь поблагодарил Станислав Смышляев за этот пост.
Кокорева Алиса оставлено 11.04.2016(UTC)
Offline svyazist  
#5 Оставлено : 11 апреля 2016 г. 10:09:04(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 221
Мужчина

Сказал «Спасибо»: 33 раз
Поблагодарили: 60 раз в 37 постах
Автор: svs Перейти к цитате
Добрый день!

Начиная с версии 4.0, контроль сроков действия закрытых ключей стал обязателен в CSP.

Причина введения данного контроля в следующем. В случае спорных ситуаций с подписыванным документом в процессе аудита, в частности, проводится проверка валидности ключа подписи на момент подписания. Если Вы подписали документ просроченным ключом, подпись, строго говоря, недействительна. Исходя из этих соображений, сертификаторы настояли на запрете использования просроченных ключей.


Отлично, наконец-то данная функциональность реализована!

ключ действителен с 17 июня 2014 г. 13:25:00
ключ действителен по 17 июня 2015 г. 13:25:00
 - получается, что данный работник более 10 месяцев подписывал документы просроченным ключом?

Документацией на сертифицированное по требованию ФСБ России средство ЭП установлено ограничение на использование ключей ЭП и ключа проверки ЭП. При этом срок действия ключа ЭП зависит от конкретного средства ЭП и варьируется от 1 года до 3-х лет (для ФКН), а срок действия ключа проверки ЭП – не более 15 лет от срока действия закрытого ключа.
Признание квалифицированной электронной подписи установлено статьей 11 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи». При этом в перечне условий признания квалифицированной электронной подписи не установлено условие, при котором ключ электронной подписи, предназначенный для создания квалифицированной ЭП, должен использоваться только в период, который указан в квалифицированном сертификате ключа проверки ЭП - это явная недоработка 63-ФЗ.
Вверх
thanks 1 пользователь поблагодарил svyazist за этот пост.
Кокорева Алиса оставлено 11.04.2016(UTC)
Offline svyazist  
#6 Оставлено : 11 апреля 2016 г. 13:14:27(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 221
Мужчина

Сказал «Спасибо»: 33 раз
Поблагодарили: 60 раз в 37 постах
Автор: Кокорева Алиса Перейти к цитате
Добрый день!

Протестировала контейнер, вот что пишет:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя le-81eeea8f-deca-4d4c-8660-c4fee15164c4
уникальное имя REGISTRY\\le-81eeea8f-deca-4d4c-8660-c4fee15164c4
FQCN \\.\REGISTRY\le-81eeea8f-deca-4d4c-8660-c4fee15164c4
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись Ошибка 0x80090010 (-2146893808) Отказано в доступе.[/b][/u]
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2001 DH
ГОСТ Р 34.10-2001, параметры обмена по умолчанию
ГОСТ Р 34.11-94, параметры по умолчанию
ГОСТ 28147-89, параметры по умолчанию
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
СНИЛС=99999985973, ОГРН=1140181251220, OID.1.2.643.3.141.1.2=0011, OID.1.2.643.3.141.1.1=0000000011, ИНН=009901652368, E=9901doc@host1.taxcom.ru, C=RU, L=Москва, O="ОАО ""Сказка""", OU=0, CN="ОАО ""Сказка""", STREET=Москва, OID.1.2.840.113549.1.9.2=Иванов Сергей Иванович, T=директор, G=Сергей Иванович, SN=Иванов
REGISTRY\\le-81eeea8f-deca-4d4c-8660-c4fee15164c4; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider#75; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
имя сертификата ОАО "Сказка"
субъект СНИЛС=99999985973, ОГРН=1140181251220, OID.1.2.643.3.141.1.2=0011, OID.1.2.643.3.141.1.1=0000000011, ИНН=009901652368, E=9901doc@host1.taxcom.ru, C=RU, L=Москва, O="ОАО ""Сказка""", OU=0, CN="ОАО ""Сказка""", STREET=Москва, OID.1.2.840.113549.1.9.2=Иванов Сергей Иванович, T=директор, G=Сергей Иванович, SN=Иванов
поставщик ОГРН=1027700071530, ИНН=7704211201, STREET=Варшавское шоссе 33, C=RU, S=Москва, L=Москва, O="ООО ""Такском""", OU=Удостоверяющий центр, CN="УЦ ООО ""Такском"""
действителен с 17 июня 2014 г. 13:25:00
действителен по 15 марта 2017 г. 11:00:00
ключ действителен с 17 июня 2014 г. 13:25:00
ключ действителен по 17 июня 2015 г. 13:25:00
серийный номер 111F 4C1D 0000 0000 1395
Срок действия закрытого ключа 17 июня 2015 г. 13:25:00
Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2


Как может быть, что для Крипто Про 3.9 для этого же сертификата ошибки нет?


Смотрим, ЖТЯИ.00050-03 90 02. КриптоПро CSP. Руководство администратора безопасности. Общая часть:
7.8. Сроки действия пользовательских ключей
При эксплуатации СКЗИ ЖТЯИ.00050-03 должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов:
максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет;
максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца.

Вопрос, если это ключ обмена, то почему сроки действия закрытого и открытого ключа обмена изначально не были равны 1 г. 3 м.?
Вверх
Offline Alex_04  
#7 Оставлено : 26 января 2018 г. 18:17:29(UTC)
Alex_04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2014(UTC)
Сообщений: 90
Мужчина
Российская Федерация

Сказал «Спасибо»: 21 раз
Поблагодарили: 9 раз в 9 постах
Автор: svs Перейти к цитате
Начиная с версии 4.0, контроль сроков действия закрытых ключей стал обязателен в CSP.

Причина введения данного контроля понятна и справедлива. Но впервые в своей практике столкнулся со следующим:
- дата генерации и создания закрытых ключей - 25.10.2016;
- дата изготовления сертификата ЭП и срок его действия - с 27.10.2016 по 27.01.2018;
- период использования закрытого ключа - с 26.01.2016 по 26.01.2018 (?)
Как такое получается, что период закрытых ключей не совпадает ни с датой их генерации, ни со сроком действия сертификата ЭП?
Генерация производилась под КриптоПро-3.6.1, сертификат работает уже под КриптоПро-4.0.9842, обе лицензионные.
При попытке подписать получили ошибку 0x80090010 - отказано в доступе.

UPD: 2016 год был високосным, генерация производилась после 29 февраля. Неужели это могло привести к такому "подвоху"?

Отредактировано пользователем 26 января 2018 г. 18:24:43(UTC)  | Причина: Не указана
Вверх
Offline nikolaev  
#8 Оставлено : 29 января 2018 г. 13:44:35(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Добрый день.
Подскажите, пожалуйста, есть ли в используемом сертификате расширение со сроком действия закрытого ключа (Private Key Usage Period)? Если да, какие сроки там указаны?
Вверх
Offline Alex_04  
#9 Оставлено : 30 января 2018 г. 13:45:59(UTC)
Alex_04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2014(UTC)
Сообщений: 90
Мужчина
Российская Федерация

Сказал «Спасибо»: 21 раз
Поблагодарили: 9 раз в 9 постах
Автор: nikolaev Перейти к цитате
есть ли в используемом сертификате расширение со сроком действия закрытого ключа (Private Key Usage Period)? Если да, какие сроки там указаны?

Если правильно Вас понимаю - имеете в виду следующие параметры, которые отображаются
при открытии файла сертификата стандартно в Windows:
Цитата:
Период использования закрытого ключа (2.5.29.16):
не ранее: 26.10.2016 15:01
не позднее: 26.01.2018 15:01

Если это не то, тогда подскажите, пожалуйста, через какую прогу или команду увидеть Private Key Usage Period в cer-файле.

Отредактировано пользователем 30 января 2018 г. 13:47:51(UTC)  | Причина: Не указана
Вверх
Offline nikolaev  
#10 Оставлено : 30 января 2018 г. 15:18:56(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Да, именно это расширение я и имел в виду, спасибо.

Криптопровайдер определяет сроки действия закрытых ключей по следующим данным (с убыванием приоритета).
1. Расширение в контейнере. Так как контейнер создавался в КриптоПро CSP версии 3.6.1, эти расширения записаны не были.
2. Расширение PKUP в сертификате.
3. Сроки действия сертификата.

Таким образом криптопровайдер стал отталкиваться от даты начала действия закрытого ключа, указанной в сертификате - 26.10.2016.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET