logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

27 Страницы«<2223242526>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#461 Оставлено : 4 декабря 2018 г. 18:30:22(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: dmitry lavrov Перейти к цитате
Уже был установлен параметр ssl_session_timeout 5m;
Добавил ssl_session_cache off;

Будем мониторить, если ошибка повторится - обязательно сообщу.
Спасибо!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/
Знания в базе знаний, поддержка в техподдержке
Offline dmitry lavrov  
#462 Оставлено : 5 декабря 2018 г. 13:32:59(UTC)
dmitry lavrov

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Ну вы оперативные ! :)

Спасибо, будем обновлять наш прод!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/


Offline buytoor  
#463 Оставлено : 12 декабря 2018 г. 15:47:48(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Добрый день!Извините меня за мое ламерство и руки из задницы. Уже не знаю,у кого и как спрашивать.Осталось спросить только у данного сообщества и именно в этой ветке,так моя тема вскользь касается данного раздела. Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.

Отредактировано модератором 12 декабря 2018 г. 16:47:23(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#464 Оставлено : 12 декабря 2018 г. 17:00:51(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: buytoor Перейти к цитате
Добрый день!Извините меня за мое ламерство и руки из задницы. Уже не знаю,у кого и как спрашивать.Осталось спросить только у данного сообщества и именно в этой ветке,так моя тема вскользь касается данного раздела. Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.

Здесь всё просто, не существует штатных средств для подобной процедуры.

Да, включение gostengy позволяет использовать алгоритмы и ключи ГОСТ в OpenSSL, но исключительно в рамках функционала КриптоПро CSP.

А в сертифицированных средствах защиты, как мы все уже хорошо знаем, экспорта "голых" ключей не бывает.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
buytoor оставлено 12.12.2018(UTC)
Offline two_oceans  
#465 Оставлено : 12 декабря 2018 г. 17:04:12(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 354
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 24 раз
Поблагодарили: 84 раз в 81 постах
Итак, по порядку.
Автор: buytoor Перейти к цитате
Добрый день!Извините меня за мое ламерство и руки из задницы. Уже не знаю,у кого и как спрашивать.Осталось спросить только у данного сообщества и именно в этой ветке,так моя тема вскользь касается данного раздела. Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.
Ответ: вместо нескольких форумов прочитайте второе сообщение в этой теме и поймете, что с gostengy Вам принципиально не нужно получать ключ в *.pem, просто указываете -keyform ENGINE вместо имени pem файла указываете -key c:имя_контейнера и движок gostengy сделает вид, что дал openSSL ключ, а на самом деле идентификатор. Потом Openssl при какой-либо операции передает идентификатор движку обратно и движок использует ключ из контейнера. В общих чертах так.
К слову, столкнулся с неким багом в OpenSSL 1.1.0j обычно все нормально, но если попытаться определить файл конфигурации параметром -config то эта версия выполняет как файл указанный в переменной среды, так и тот что в параметре командной строки. Версии 1.0.2 игнорировали переменную среды если указан параметр командной строки. Казалось бы ничего страшного? Как бы ни так - если в обоих файлах прописаны движки, то всё выпадает в осадок. Понятно - если в одном файле gost_capi в другом gostengy, то они выдадут несовместимость версии. Если в обоих файлах gostengy то конфликтует идентификатор движка. Поэтому пришлось полностью отказаться от параметра -config и править переменную среды в конкретной консоли.

Отредактировано пользователем 12 декабря 2018 г. 17:23:18(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
buytoor оставлено 12.12.2018(UTC)
Offline buytoor  
#466 Оставлено : 12 декабря 2018 г. 17:49:16(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
two_oceans, спасибо за совет. Да, действительно изначально была задача подписать файл и отправить его на сайт (название пока нет у меня). Потом все изучение по форумам привело меня к *.pem-файлу. До этого у меня была в загашнике была некая команда, которая использует -keyform ENGINE и "загугленная" на одном из форумов,но как я писал,я извиняюсь за свою кривожопость в таких делах, но опять я что-то ни так делаю и не могу понять как все это работает.Привожу использованную мною команду

c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE
-inkey E:\TEST.000 -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile C:\P
rogram Files\OpenSSL\bin\123.cer -nodetach -signer C:\Program Files\OpenSSL\bin\
123.cer
engine "gostengy" set.
Illegal -inkey without -signer
cms: Use -help for summary.
Offline Дмитрий Пичулин  
#467 Оставлено : 12 декабря 2018 г. 17:58:03(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: buytoor Перейти к цитате
Мне поставлена задача,имея на руках сертификат КриптоПРО (ГОСТ-2012): сформировать *.pem-файл.

Автор: buytoor Перейти к цитате
Да, действительно изначально была задача подписать файл


Правильно формулируйте задачу, вот ответ на задачу о подписи файла: https://www.cryptopro.ru...ts&m=95461#post95461

Знания в базе знаний, поддержка в техподдержке
Offline buytoor  
#468 Оставлено : 13 декабря 2018 г. 11:32:47(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Дмитрий,извините за сумбур моих мыслей. Спасибо за ссылку,единственный момент,не знаю пока,как это все работает - я новичок в данной области.Поэтому простите,но работаю топорно,читая форумы (в том числе и на сайте КриптоПРО). Все эти манипуляции,как я писал первый раз я делаю в Windows 7x64 SP1. Читая присланную Вами ссылку на статью в форуме https://www.cryptopro.ru...s&m=95461#post95461:
1. автор статьи генерирует контейнер с использованием тестового УЦ КриптоПРО /opt/cprocsp/bin/amd64/certmgr -export -dn CN=t2012 -dest ./t2012.der ,я пропускаю этот раздел,так как у меня уже есть готовый контейнер и я пробую на нём;

2. далее происходит экспорт сертификата /opt/cprocsp/bin/amd64/certmgr -export -dn CN=t2012 -dest ./t2012.der, и на сколько я понял что,эта операция,аналогична выгрузки открытой части сертификата в файл штатными средствами КриптоПРО, то есть я установил корневой и промежуточный сертификаты для открытой части сертификата,затем выгрузил открытую часть сертификата Панель управления-КриптоПРО CSP-Сервис-Просмотреть сертификаты в контейнере-Обзор-выбираю закрытый контейнер-Свойства-Состав-Копировать в файл-Далее-Нет,не экспортировать закрытый ключ-Далее-выбираю Файлы X.509 (.CER) в кодировке DER-выбираю куда выгружать файл (например,выгружаю в bin -C:\Program Files\OpenSSL\bin\) и получаю файл 123.cer

3. далее в статье происходит конвертация сертификата в формат PEM(base64):
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl x509 -in ./t2012.der -inform DER -out ./t2012.pem -outform PEM,

делаю аналогично у себя

openssl x509 -inform der -in 123.cer -out certificate.pem

получаю файл со следующими внутренностями:
-----BEGIN CERTIFICATE-----
MIIIPTCCB+qgAwIBAgIQKaS2AJipgJhBhX0PUUSsHDAKBggqhQMHAQEDAjCCAVsx
IDAeBgkqhkiG9w0BCQEWEWluZm9AY3J5cHRvcHJvLnJ1MRgwFgYFKoUDZAESDTEw
Mzc3MDAwODU0NDQxGjAYBggqhQMDgQMBARIMMDA3NzE3MTA3OTkxMQswCQYDVQQG
EwJSVTEYMBYGA1UECAwPNzcg0JzQvtGB0LrQstCwMRUwEwYDVQQHDAzQnNC+0YHQ
utCy0LAxLzAtBgNVBAkMJtGD0LsuINCh0YPRidGR0LLRgdC60LjQuSDQstCw0Lsg
-----END CERTIFICATE-----
4. далее в статье идёт подпись файла
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem

делаю аналогично у себя

c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig

получаю ошибку:
unable to load Private Key
4768:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745
:Expecting: ANY PRIVATE KEY


То есть,я как бы резюмирую свои изыскания: если я пытаюсь сделать файл для подписи (*.pem) из файла *.pfx (содержащий закрытый контейнер), полученного с помощью КриптоПРО, то при конвертации в PEM получается ошибка:
C:\Program Files\OpenSSL\bin>openssl.exe pkcs12 -in 123.pfx -nocerts -out key.pem
Enter Import Password:
Error outputting keys and certificates
6920:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe alg
orithm:crypto\evp\evp_pbe.c:95:TYPE=1.2.840.113549.1.12.1.80
6920:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit err
or:crypto\pkcs12\p12_decr.c:41:
6920:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt err
or:crypto\pkcs12\p12_decr.c:94:


А при подписи нет возможности загрузить приватный ключ и на сколько я понял,что это это и есть закрытый контейнер,который как-то должен быть выгружен в файл PEM с кодировкой BASE64, а при выгрузке сертификата в CER закрытый контейнер не выгружается. Как выйти из этой ситуации?
Offline Дмитрий Пичулин  
#469 Оставлено : 13 декабря 2018 г. 12:00:09(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Всё шло хорошо до шага 4:

Автор: buytoor Перейти к цитате

/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem

делаю аналогично у себя

c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig

получаю ошибку:
unable to load Private Key
4768:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745
:Expecting: ANY PRIVATE KEY

Это совсем не аналогично и непонятно чем вы руководствуетесь.

Знания в базе знаний, поддержка в техподдержке
Offline buytoor  
#470 Оставлено : 13 декабря 2018 г. 13:38:52(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Дмитрий,не ругайте строго.Брал отсюда команду отсюда https://www.ssl.ua/news/...ommon-openssl-commands/. Насколько я понял теперь мне нужна команда подписи с использованием связки закрытого и открытого контейнеров.Перерабатываю команду

/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer./t2012.pem

под Windows и получаю следущее:

c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE -inkey E:\TEST1811.000 -in C:\doc.txt -out C:\doc.signed.txt -outform DER -signer C:\certificate.pem
engine "gostengy" set.
cannot load signing key file from engine
676:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file


Что я делаю не так как нужно опять,извините за мое ламерство?

Отредактировано пользователем 13 декабря 2018 г. 13:39:26(UTC)  | Причина: Не указана

Offline two_oceans  
#471 Оставлено : 13 декабря 2018 г. 13:45:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 354
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 24 раз
Поблагодарили: 84 раз в 81 постах
Автор: buytoor Перейти к цитате
4. далее в статье идёт подпись файла
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem
делаю аналогично у себя
c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig
Полагаю даже новичок может отличить openssl cms от openssl rsautl. Как можно догадаться по названию rsautl предназначена для алгоритма RSA и ничего общего с гост не имеет, движок gostengy не задействуется при этой команде и формат имени ключа для gostengy команда не примет. Используйте cms. Смутно помню подписание гост также возможно еще одной командой, а все остальные вариации подписания под конкретные алгоритмы неэффективны для гост.

Во втором варианте с cms нужно правильно указать имя контейнера E:\TEST1811.000 не будет принято gostengy. скорее должно быть что-то вроде c:TEST1811 и так далее. Далее потому что TEST1811 в имени папки это первые 8 символов имени контейнера, а само имя может быть длинеее. правильное имя контейнера смотрите в Криптопро CSP

Отредактировано пользователем 13 декабря 2018 г. 14:02:19(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#472 Оставлено : 13 декабря 2018 г. 13:57:33(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: buytoor Перейти к цитате
Дмитрий,не ругайте строго.

Почти всё делаете правильно, не стоит при каждой ошибке бежать на форум, это некрасиво, читайте внимательно (перечитывайте при ошибках), полнота знаний вам предоставлена, осталось применить.

Знания в базе знаний, поддержка в техподдержке
Offline buytoor  
#473 Оставлено : 13 декабря 2018 г. 15:11:58(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Спасибо, two_oceans за подсказку. Да,действительно ошибся с именем контейнера.
Попробовал команду

c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE -inkey TEST1811 -in C:\doc.txt -out C:\doc.signed.txt -outform DER -signer C:\certificate.pem

engine "gostengy" set.

cannot load signing key file from engine
8156:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file



Ошибка повторилась. Но предложенный вариант two_oceans оказался - рабочим.СПАСИБО БОЛЬШОЕ!!!!!!!!

Отредактировано пользователем 13 декабря 2018 г. 15:17:21(UTC)  | Причина: Не указана

Offline MultiAAB  
#474 Оставлено : 15 декабря 2018 г. 12:09:26(UTC)
MultiAAB

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.12.2018(UTC)
Сообщений: 2

Добрый день!

Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):

  1. Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
  2. Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
  3. Проводилось ли нагрузочное/стресс тестирование ваших доработок?
  4. Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
  5. Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?



Заранее благодарю!

Отредактировано пользователем 15 декабря 2018 г. 13:19:53(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#475 Оставлено : 15 декабря 2018 г. 19:46:50(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: MultiAAB Перейти к цитате
Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):

  1. Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
  2. Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
  3. Проводилось ли нагрузочное/стресс тестирование ваших доработок?
  4. Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
  5. Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?


  1. Нет
  2. Нет
  3. Да
  4. Да
  5. Нет


Знания в базе знаний, поддержка в техподдержке
Offline MultiAAB  
#476 Оставлено : 15 декабря 2018 г. 21:28:53(UTC)
MultiAAB

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.12.2018(UTC)
Сообщений: 2

Автор: Дмитрий Пичулин Перейти к цитате
Автор: MultiAAB Перейти к цитате
Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):

  1. Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
  2. Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
  3. Проводилось ли нагрузочное/стресс тестирование ваших доработок?
  4. Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
  5. Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?


  1. Нет
  2. Нет
  3. Да
  4. Да
  5. Нет




По пунктам 3 и 4 - результаты доступны в открытом доступе? Или, возможно, есть какие-нибудь тест-сьюты для воспроизведения?
Offline Дмитрий Пичулин  
#477 Оставлено : 16 декабря 2018 г. 3:41:47(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: MultiAAB Перейти к цитате
По пунктам 3 и 4 - результаты доступны в открытом доступе? Или, возможно, есть какие-нибудь тест-сьюты для воспроизведения?

Нет и нет.

Как вы могли заметить, мы не очень сильно продвигаем gostengy, так как не видим в этом направлении перспектив, поэтому данных не очень много и они все на форуме.

Скорости мы проверили, всё работает согласно ожиданиям, потерь производительности нет, скорость ровно такая, какую даёт КриптоПро CSP.

Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#478 Оставлено : 17 декабря 2018 г. 7:09:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 354
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 24 раз
Поблагодарили: 84 раз в 81 постах
Автор: Дмитрий Пичулин Перейти к цитате
Цитата:
4.Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
Да
У меня почему-то было впечателение, что контейнер надо создавать в КриптоПро (через csptest например), а в openssl только использовать уже созданный. Для ясности: создаст ли КриптоПро контейнер при получении через engine команды на генерацию ключей?
Offline Дмитрий Пичулин  
#479 Оставлено : 17 декабря 2018 г. 10:23:03(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 799
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: two_oceans Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Цитата:
4.Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
Да
У меня почему-то было впечателение, что контейнер надо создавать в КриптоПро (через csptest например), а в openssl только использовать уже созданный. Для ясности: создаст ли КриптоПро контейнер при получении через engine команды на генерацию ключей?

Нет, этот вопрос в контексте gostengy и предыдущих вопросов, с большой вероятностью, подразумевает скорость установления рукопожатия по TLS, является стандартной мерой определяющей максимальное количество подключений пользователей в секунду.

А для ясности, да, через openssl + gostengy долговременные ГОСТ ключи создать нельзя никаким образом, только через КриптоПро CSP.

Отредактировано пользователем 17 декабря 2018 г. 10:23:59(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
two_oceans оставлено 18.12.2018(UTC)
Offline Iliyas_B  
#480 Оставлено : 18 декабря 2018 г. 16:38:12(UTC)
Iliyas_B

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.12.2018(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Добрый день. Пытаюсь подписать документ по госту с помощью openssl, но ничего не выходит. Пролистал кучу инфы на форуме, но все в единую картинку так и не складывается.
На убунте установлен Крипто про CSP 4 крипто провайде KC 2 и openssl с поддержкой библиотеки gost_capi. Установил сертификат командой:
Код:
certmgr -install -store uMy -file certificate.pem


Пытаюсь подписать файл командой:
Код:
/opt/cprocsp/cp-openssl/bin/amd64/openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "doc.txt" -out "sign.txt" -outform PEM -CAfile cert.cer -nodetach -signer cert.cer

Но получаю ошибку:
Код:
engine "gost_capi" set.
unable to load certificate
140428701611712:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE


Сертификат и закрытый ключ в формате pem был получен из СМЭВ для разработки информационной системы.
Я так понимаю, что я еще должен как-то при подписании использовать закрытый ключ, но судя по постам на форуме закрытый ключ в формате pem никак не затолкать в криптопро. Получается я должен как-то сгенирировать закрытый ключ?
Пардон за ламерские вопросы, но делах криптографии и шифровании я не разбираюсь и знания ограничиваются лишь нагугленной инфой.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
27 Страницы«<2223242526>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.