Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
PKCS#12/PBE 1.2.840.113549.1.12.1.80
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4
|
Добрый день!
Совсем недавно мы приобрели Aladdin eToken Java 72K (USB) с ЭЦП внутри. Экспортировал ЭЦП (вместе с приватным ключем) в файл формата PFX (PKCS#12) при помощи КриптоПро 3.6, задав пароль. Хочу расшифровать PKCS#12, чтобы затем использовать его для подписывания файлов при помощи openssl командной строки.
Проблема в том, что openssl 1.0.1c не знает о PBE 1.2.840.113549.1.12.1.80, которым зашифрован результат экспорта ЭЦП. Подскажите, что это за PBE такой? Гугль и Яндекс о нём тоже не знают.
$ /usr/local/bin/openssl pkcs12 -in file.pfx -out file.pem -nodes
Enter Import Password:
MAC verified OK
Error outputting keys and certificates
675239592:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:167:TYPE=1.2.840.113549.1.12.1.80
675239592:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
675239592:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:130:
Без ключа -nodes та же ошибка, с ключем -nokeys без ошибок создаёт сертификат.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4
|
Забыл отметить, что сам токен работает без проблем в Windows, к нему вопросов нет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
dadv написал:Экспортировал ЭЦП (вместе с приватным ключем) в файл формата PFX (PKCS#12) при помощи КриптоПро 3.6, задав пароль 1. Что значит "экспортировал ЭЦП"? Сертификат экспортировал? Открытый ключь? Иное? 2. Насколько я помню КриптоПро приватный ключь в PKCS#12 не экспортирует никогда. Даже если попросить.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4
|
amdei написал:1. Что значит "экспортировал ЭЦП"? Сертификат экспортировал? Открытый ключь? Иное?
2. Насколько я помню КриптоПро приватный ключь в PKCS#12 не экспортирует никогда. Даже если попросить. 1. Сертификат с приватным ключем. 2. Что же в таком случае в результате экспорта зашифровано неведомым PBE за номером 1.2.840.113549.1.12.1.80, как не приватный ключ? В любом случае, острота проблемы для меня снята - при помощи небезызвестной утилиты P12FromGostCSP.exe мне удалось экспортировать сертификат и приватный ключ из eToken в PKCS#12 при посредничестве КриптоПро CSP в файл PFX, понятный openssl. Конвертировал его в cer/pem файлы и уже многократно использовал ЭЦП в формате pem для подписывания файлов. Остался больше академический интерес, что же есть PBE 1.2.840.113549.1.12.1.80 и почему его нет в стандартах.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 10 раз в 9 постах
|
А версия CSP какая? (с точностью до билда)
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2012(UTC)
Сообщений: 4
|
Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 17  Откуда: Москва Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
|
Автор: dadv  Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027 Вы таки будете смеяться, но проблема не решена до сих пор. Нормально использовать pfx от криптопро из openssl (даже используя ихнюю gostengy.dll) не получится - ровно та же ошибка. Версия 4.0.9955 Версия ядра 4.0.9018 KC1 Чтобы экспортировать нормальную pfx - используйте утилиту P12FromGostCSP (гуглится). PS, эта утилита стоит 2700 денег, что особенно "доставляет". Отредактировано пользователем 14 августа 2018 г. 9:12:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,536
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 500 раз в 354 постах
|
Автор: Coriolis Автор: dadv Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027 Вы таки будете смеяться, но проблема не решена до сих пор. Нормально использовать pfx от криптопро из openssl (даже используя ихнюю gostengy.dll) не получится - ровно та же ошибка. Версия 4.0.9955 Версия ядра 4.0.9018 KC1 Чтобы экспортировать нормальную pfx - используйте утилиту P12FromGostCSP (гуглится). PS, эта утилита стоит 2700 денег, что особенно "доставляет". Неверно, при использовании КриптоПро CSP и наших ENGINE для OpenSSL (gostengy и gost_capi), вы можете работать с контейнерами напрямую, никуда не извлекая совсем. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 17 Откуда: Москва Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
|
Автор: Дмитрий Пичулин Автор: Coriolis Автор: dadv Версия ядра СКЗИ: 3.6.5359 КС1
Версия продукта: 3.6.7027 Вы таки будете смеяться, но проблема не решена до сих пор. Нормально использовать pfx от криптопро из openssl (даже используя ихнюю gostengy.dll) не получится - ровно та же ошибка. Версия 4.0.9955 Версия ядра 4.0.9018 KC1 Чтобы экспортировать нормальную pfx - используйте утилиту P12FromGostCSP (гуглится). PS, эта утилита стоит 2700 денег, что особенно "доставляет". Неверно, при использовании КриптоПро CSP и наших ENGINE для OpenSSL (gostengy и gost_capi), вы можете работать с контейнерами напрямую, никуда не извлекая совсем. Да Дмитрий, так и есть, помог один из участников форума, вот ссылка на топик.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Дополню, что pfx допустимо использовать чтобы удалить сертификат из контейнера КриптоПро либо заменить сертификат на другой (через перенос ключа в другой контейнер КриптоПро без сертификата). Прямая команда импорта другого сертификата выдает ошибку, что сертификат для указанного ключа уже установлен в контейнер. Через экспорт в pfx в остнастке Сертификаты и установку сертификата из pfx (правый клик на файле - Установить PFX) создается новый контейнер КриптоПро со случайным именем и без сертификата (в этом случае 1.2.840.113549.1.12.1.80 подхватывается автоматически). Таким образом, закрытый ключ все же экспортируется, однако не только openssl, но и p12utility (утилита для преобразования PKCS#12 в контейнер КриптоПро) не может его открыть. Отредактировано пользователем 15 августа 2018 г. 7:44:30(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
PKCS#12/PBE 1.2.840.113549.1.12.1.80
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
