Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline dadv  
#1 Оставлено : 13 ноября 2012 г. 22:13:03(UTC)
dadv

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4

Добрый день!

Совсем недавно мы приобрели Aladdin eToken Java 72K (USB) с ЭЦП внутри. Экспортировал ЭЦП (вместе с приватным ключем) в файл формата PFX (PKCS#12) при помощи КриптоПро 3.6, задав пароль. Хочу расшифровать PKCS#12, чтобы затем использовать его для подписывания файлов при помощи openssl командной строки.

Проблема в том, что openssl 1.0.1c не знает о PBE 1.2.840.113549.1.12.1.80, которым зашифрован результат экспорта ЭЦП. Подскажите, что это за PBE такой? Гугль и Яндекс о нём тоже не знают.

$ /usr/local/bin/openssl pkcs12 -in file.pfx -out file.pem -nodes
Enter Import Password:
MAC verified OK
Error outputting keys and certificates
675239592:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:167:TYPE=1.2.840.113549.1.12.1.80
675239592:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
675239592:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:130:

Без ключа -nodes та же ошибка, с ключем -nokeys без ошибок создаёт сертификат.
Offline dadv  
#2 Оставлено : 13 ноября 2012 г. 22:15:53(UTC)
dadv

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4

Забыл отметить, что сам токен работает без проблем в Windows, к нему вопросов нет.
Offline Андрей Куликов  
#3 Оставлено : 16 ноября 2012 г. 21:00:25(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
dadv написал:
Экспортировал ЭЦП (вместе с приватным ключем) в файл формата PFX (PKCS#12) при помощи КриптоПро 3.6, задав пароль
1. Что значит "экспортировал ЭЦП"? Сертификат экспортировал? Открытый ключь? Иное?
2. Насколько я помню КриптоПро приватный ключь в PKCS#12 не экспортирует никогда. Даже если попросить.
Offline dadv  
#4 Оставлено : 16 ноября 2012 г. 21:56:48(UTC)
dadv

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4

amdei написал:
1. Что значит "экспортировал ЭЦП"? Сертификат экспортировал? Открытый ключь? Иное?
2. Насколько я помню КриптоПро приватный ключь в PKCS#12 не экспортирует никогда. Даже если попросить.


1. Сертификат с приватным ключем.
2. Что же в таком случае в результате экспорта зашифровано неведомым PBE за номером 1.2.840.113549.1.12.1.80, как не приватный ключ?

В любом случае, острота проблемы для меня снята - при помощи небезызвестной утилиты P12FromGostCSP.exe мне удалось экспортировать сертификат и приватный ключ из eToken в PKCS#12 при посредничестве КриптоПро CSP в файл PFX, понятный openssl. Конвертировал его в cer/pem файлы и уже многократно использовал ЭЦП в формате pem для подписывания файлов.

Остался больше академический интерес, что же есть PBE 1.2.840.113549.1.12.1.80 и почему его нет в стандартах.
Offline Андрей Куликов  
#5 Оставлено : 16 ноября 2012 г. 22:08:16(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 110
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
А версия CSP какая? (с точностью до билда)
Offline dadv  
#6 Оставлено : 17 ноября 2012 г. 16:00:30(UTC)
dadv

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4

Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027
Offline Coriolis  
#7 Оставлено : 14 августа 2018 г. 9:11:10(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
Автор: dadv Перейти к цитате
Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027


Вы таки будете смеяться, но проблема не решена до сих пор.
Нормально использовать pfx от криптопро из openssl (даже используя ихнюю gostengy.dll) не получится - ровно та же ошибка.

Версия 4.0.9955
Версия ядра 4.0.9018 KC1

Чтобы экспортировать нормальную pfx - используйте утилиту P12FromGostCSP (гуглится).

PS, эта утилита стоит 2700 денег, что особенно "доставляет".

Отредактировано пользователем 14 августа 2018 г. 9:12:48(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#8 Отправлено: : 14 августа 2018 г. 12:22:49(UTC)
pd

Статус: Сотрудник

Группы готовые для захвата: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Coriolis Перейти к цитате
Автор: dadv Перейти к цитате
Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027


Вы таки будете смеяться, но проблема не решена до сих пор.
Нормально использовать pfx от криптопро из openssl (даже используя ихнюю gostengy.dll) не получится - ровно та же ошибка.

Версия 4.0.9955
Версия ядра 4.0.9018 KC1

Чтобы экспортировать нормальную pfx - используйте утилиту P12FromGostCSP (гуглится).

PS, эта утилита стоит 2700 денег, что особенно "доставляет".

Неверно, при использовании КриптоПро CSP и наших ENGINE для OpenSSL (gostengy и gost_capi), вы можете работать с контейнерами напрямую, никуда не извлекая совсем.
Знания в базе знаний, поддержка в техподдержке
Offline Coriolis  
#9 Оставлено : 14 августа 2018 г. 15:03:14(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Coriolis Перейти к цитате
Автор: dadv Перейти к цитате
Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027


Вы таки будете смеяться, но проблема не решена до сих пор.
Нормально использовать pfx от криптопро из openssl (даже используя ихнюю gostengy.dll) не получится - ровно та же ошибка.

Версия 4.0.9955
Версия ядра 4.0.9018 KC1

Чтобы экспортировать нормальную pfx - используйте утилиту P12FromGostCSP (гуглится).

PS, эта утилита стоит 2700 денег, что особенно "доставляет".

Неверно, при использовании КриптоПро CSP и наших ENGINE для OpenSSL (gostengy и gost_capi), вы можете работать с контейнерами напрямую, никуда не извлекая совсем.


Да Дмитрий, так и есть, помог один из участников форума, вот ссылка на топик.
Offline two_oceans  
#10 Оставлено : 15 августа 2018 г. 7:39:52(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 319 раз в 300 постах
Дополню, что pfx допустимо использовать чтобы удалить сертификат из контейнера КриптоПро либо заменить сертификат на другой (через перенос ключа в другой контейнер КриптоПро без сертификата). Прямая команда импорта другого сертификата выдает ошибку, что сертификат для указанного ключа уже установлен в контейнер. Через экспорт в pfx в остнастке Сертификаты и установку сертификата из pfx (правый клик на файле - Установить PFX) создается новый контейнер КриптоПро со случайным именем и без сертификата (в этом случае 1.2.840.113549.1.12.1.80 подхватывается автоматически).

Таким образом, закрытый ключ все же экспортируется, однако не только openssl, но и p12utility (утилита для преобразования PKCS#12 в контейнер КриптоПро) не может его открыть.

Отредактировано пользователем 15 августа 2018 г. 7:44:30(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.