Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline workaj9  
#1 Оставлено : 27 февраля 2017 г. 11:51:57(UTC)
workaj9

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.02.2017(UTC)
Сообщений: 2

Добрый день!
Как с помощью cryptcp создавать такие виды подписей (умеет ли он и какие параметры нужно использовать):

1. CMS
2. Cades-Bes
3. CAdES-X Long Type 1

В пункте 1 требуется именно голый CMS, т.к. Рутокен признает подпись Cades-Bes невалидной.
Заодно хотелось бы понять, можно как-то определить тип полученной подписи с помощью средств КриптоПро или сторонних средств?
Offline wolfer  
#2 Оставлено : 27 февраля 2017 г. 14:55:12(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Чтобы лишнию тему не создавать, разрешите присоседится к вопросу:

как можно получить "чистую" подпись с помощью консольных утилит, то есть только 64 байта.
Offline wolfer  
#3 Оставлено : 27 февраля 2017 г. 15:23:47(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: wolfer Перейти к цитате
Чтобы лишнию тему не создавать, разрешите присоседится к вопросу:

как можно получить "чистую" подпись с помощью консольных утилит, то есть только 64 байта.


нашел.

csptest -keys -cont '\\.\HDIMAGE\test' -sign GOST -in /tmp/123 -out /tmp/123.sig -password 123456789
Offline workaj9  
#4 Оставлено : 27 февраля 2017 г. 15:58:16(UTC)
workaj9

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.02.2017(UTC)
Сообщений: 2

Вопрос остается актуальным для cryptcp
Offline Константин Гаинцев  
#5 Оставлено : 28 февраля 2017 г. 18:50:02(UTC)
Константин Гаинцев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.01.2014(UTC)
Сообщений: 28

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 6 раз в 6 постах
Здравствуйте!

1. Для создания голой CMS подписи необходимо отключить добавление атрибутов. Добавление атрибутов на всём компьютере регулируется параметром реестра AddEsAttribute. Если данный параметр отсутствует, то добавление дополнительных атрибутов будет производиться. Для того, чтобы отключить добавление атрибутов, нужно добавить параметр AddEsAttribute типа DWORD и значением 0 в ветку реестра "HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters". Далее в cryptcp:
cryptcp -sign -uMy -dn "..." test.txt test2.sig

2. Для формирования подписи Cades-bes, необходимо установить КриптоПро ЭЦП runtime ( http://www.cryptopro.ru/downloads ):
cryptcp -signf -dn "..." -cades-bes text.txt text.sig

3. Так же необходим КриптоПро ЭЦП runtime:
cryptcp -signf -dn "..." -xlongtype1 text.txt text.sig -cadesTSA "http://----/tsp/tsp.srf

Отредактировано пользователем 1 марта 2017 г. 11:38:26(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline AlexIkt  
#6 Оставлено : 2 марта 2017 г. 14:05:17(UTC)
AlexIkt

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.04.2015(UTC)
Сообщений: 1
Российская Федерация

Доброго времени суток!

Подскажите, какая версия cryptcp поддерживает команду -cades-bes?

Можно ли с использованием cryptcp получить RAW-подпись?

Отредактировано пользователем 2 марта 2017 г. 14:15:07(UTC)  | Причина: Не указана

Offline Русев Андрей  
#7 Оставлено : 8 июня 2017 г. 13:13:02(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 867

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 222 раз в 171 постах
Ключи называются -cadesbes, -cadest, -xlongtype1 и доступны с конца лета 2015 года. В любом случае рекомендуем использовать только последние версии продуктов, так как в них исправлены ошибки. Не-CMS подпись (RAW) с помощью cryptcp получить нельзя. Подпись без атрибутов можно сделать, добавив настройку \config\parameters\AddEsAttribute = 0, как указано выше.

Отредактировано пользователем 8 июня 2017 г. 13:16:17(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Offline bonya  
#8 Оставлено : 15 января 2018 г. 14:47:28(UTC)
bonya

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.12.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Нижний Новгород

Сказал(а) «Спасибо»: 1 раз
Доброе время суток.
Дабы не плодить темы, хотелось бы уточнить возможность получения "чистой" подписи с использованием утилиты cryptcp.
Для начала, что имеем.
1. Формирование откреплённой подписи строкой вида
Код:
cryptcp.x64.exe -signf -f fileForSign.xml -nochain -der -detached -nocert fileForSign.sign1

-der используется сознательно, дабы была возможность вырезать "чистую" подпись из полученного файла подписи.
2. Далее "извлекаем" только "чистую" подпись, без дополнительных атрибутов. Таково требование стороны, принимающей файлы от нас, подпись должна быть "чистой", то есть та, что приходит от криптопровайдера (если я правильно использую терминологию, иначе прошу прощения за непонятность).
3. Далее с использованием certutil преобразуем подпись из DER формата в BASE64. Это тоже требование принимающей стороны.
Код:
certutil.exe -encode -f ...

Хотелось бы получать сразу "чистую" подпись 64 байта в формате BASE64 без реализованных промежуточных шагов.
Использование testcsp нежелательно по ряду моментов, да и не нравится лично мне подход использования утилиты с примерами использования API КриптоПро.
К сожалению использование API так же не представляется возможным.

Заранее благодарю за ответ.
Offline wolfer  
#9 Оставлено : 15 января 2018 г. 14:56:02(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Мы делаем вот так
Код:

csptest.exe -keys -cont <КПС> -sign GOST94_256 -in <подписываемое> -out <подпись> -keytype signature

на выходе чистые 64 байта, только если будете валидировать чем то кроме криптопро, то надо побайтово перевернуть. То есть 1 байт уйдет в конец, а последний станет первым. Подпись на выходе DER, но зато избавляетесь от выкусывания подписи из cades
thanks 1 пользователь поблагодарил wolfer за этот пост.
Александр Лавник оставлено 19.06.2019(UTC)
Offline bonya  
#10 Оставлено : 16 января 2018 г. 9:33:45(UTC)
bonya

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.12.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Нижний Новгород

Сказал(а) «Спасибо»: 1 раз
Автор: wolfer Перейти к цитате
Мы делаем вот так...
Спасибо за подробный ответ, но боюсь csptest использовать не получится в виду организационных моментов. В любом случае возьму на заметку.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.