Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Так надо диск или не надо? (вечный вопрос)
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.06.2008(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 2 раз
|
Автор: Андрей *  Здравствуйте.
Версия из 5.0.11495 не знает о новом сертификате подписи.
Я примерно так и понял. В итоге как действовать? Проверка ГОСТ хэша будет считаться удостоверением доверенности нового дистрибутива?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.07.2024(UTC) Сообщений: 4  Откуда: Washington
|
Привет,
Спасибо за обмен этой информацией.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 28
Сказал(а) «Спасибо»: 3 раз
|
Автор: Yuri Автор: Андрей * Здравствуйте.
Версия из 5.0.11495 не знает о новом сертификате подписи.
Я примерно так и понял. В итоге как действовать? Присоединяюсь к вопросу. По идее дистрибутив надо проверить новой cpverify из этого дистрибутива (тогда проверка проходит). А новую cpverify - проверить имеющейся cpverify, полученной доверенным способом (например, cpverify от КриптоПро 4). Только вот как это сделать (где параметры команды взять), да еще чтобы проверка прошла - загадка...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,087   Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
Автор: sandrey Автор: Yuri Автор: Андрей * Здравствуйте.
Версия из 5.0.11495 не знает о новом сертификате подписи.
Я примерно так и понял. В итоге как действовать? Присоединяюсь к вопросу. По идее дистрибутив надо проверить новой cpverify из этого дистрибутива (тогда проверка проходит). А новую cpverify - проверить имеющейся cpverify, полученной доверенным способом (например, cpverify от КриптоПро 4). Только вот как это сделать (где параметры команды взять), да еще чтобы проверка прошла - загадка... Поиск есть, либо полистать в этой теме и увидеть пример? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 28
Сказал(а) «Спасибо»: 3 раз
|
Вы дали ссылку не на ответ, а на вопрос к которому я присоединяюсь Автор: Yuri
Как конкретно правильно проверить скачанный дистрибутив КриптоПро CSP 5.0.13000 с помощью доверенной версии 5.0.11455?
Мой вопрос: Как конкретно правильно проверить скачанный дистрибутив КриптоПро CSP 5.0.13003 с помощью доверенной версии 4.0.9963?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 3,064
Сказал(а) «Спасибо»: 686 раз
Поблагодарили: 548 раз в 519 постах
|
Автор: sandrey Мой вопрос:
Как конкретно правильно проверить скачанный дистрибутив КриптоПро CSP 5.0.13003 с помощью доверенной версии 4.0.9963? " Проверка контрольной суммы по ГОСТ и MD5". Проверка дистрибутива: Код:$ /opt/cprocsp/bin/amd64/cpverify -mk -alg GR3411_2012_256 ~/linux-amd64.tgz
F46CC3FAD767BF4B675CA0E4B066A38740DB2CD84E24FF2F7968D5A72476214D
$ /opt/cprocsp/bin/amd64/cpverify -alg GR3411_2012_256 ~/linux-amd64.tgz F46CC3FAD767BF4B675CA0E4B066A38740DB2CD84E24FF2F7968D5A72476214D
File '/home/det/linux-amd64.tgz' has been verified
$ md5sum ~/linux-amd64.tgz
f096178ef2a67407e55171e1192350a3 /home/det/linux-amd64.tgz
md5 сумма утилиты cpverify: Код:$ md5sum /opt/cprocsp/bin/amd64/cpverify
565b585db93e18c88a36c41d4439fdc6 /opt/cprocsp/bin/amd64/cpverify
Верификация утилиты cpverify по хэшу: Код:$ find /opt/cprocsp/lib/hashes -type f -exec cat {} \;| awk '{system("/opt/cprocsp/bin/amd64/cpverify " $1 " -alg GR3411 " $2)}'| grep cpver
File '//opt/cprocsp/bin/amd64/cpverify' has been verified
Установленные пакеты СКЗИ "КриптоПро CSP": Код:$ dnf list installed| grep -i cpro
cprocsp-curl-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-emv-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-gui-gtk-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-inpaspot-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-mskey-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-novacard-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-pcsc-64.x86_64 4.0.9963-5 @System
cprocsp-rdr-rutoken-64.x86_64 4.0.9963-5 @System
lsb-cprocsp-base.noarch 4.0.9963-5 @System
lsb-cprocsp-ca-certs.noarch 4.0.9963-5 @System
lsb-cprocsp-capilite-64.x86_64 4.0.9963-5 @System
lsb-cprocsp-kc1-64.x86_64 4.0.9963-5 @System
lsb-cprocsp-pkcs11-64.x86_64 4.0.9963-5 @System
lsb-cprocsp-rdr-64.x86_64 4.0.9963-5 @System
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 28
Сказал(а) «Спасибо»: 3 раз
|
Автор: nickm Проверка дистрибутива: Вы рассказали про проверку хэшей дистрибутива. А речь здесь вообще не об этом. В документации написано: Цитата:На странице загрузки вместе с дистрибутивом и документацией размещается отделенная электронная подпись, для проверки которой необходимо использовать утилиту cpverify, полученную доверенным образом и содержащую ключ проверки данной электронной подписи. Средство контроля целостности (cpverify) первоначально должно быть получено пользователем на физическом носителе в офисе Уполномоченной организации. Такая утилита считается полученной доверенным образом. Далее полученной доверенным образом признается очередная версия утилиты, полученная любым образом (например, скачанная с сайта https://cryptopro.ru/), при условии, что она была проверена другим экземпляром утилиты, полученным ранее доверенным образом, и проверка была успешной. На сайте КриптоПро в разделе Скачать к дистрибутиву есть файл verify.txt (в нем есть signval и date), благодаря которому можно выполнить команду: Код:cpverify.exe -file_verify DISTR-filename signval -timestamp date
Только вот в сообщении, к которому меня отправил сотрудник КриптоПро, Автор: Андрей * Поиск есть, либо полистать в этой теме и увидеть пример? как раз и показано, что старой cpverify, полученной доверенным способом, не получается проверить новый дистрибутив. Проверять нужно новой cpverify. Вопрос - а где ее взять? Ответ вроде бы в цитате из документации: на сайте КриптоПро должна быть доступна для скачивания цепочка из разных версий утилит cpverify и информация вроде того же verify.txt (с параметрами sigval и date), по которой можно было бы выполнить команды: Код:cpverify-OLD.exe -file_verify cpverify-NEW.exe signval -timestamp date
После чего последний скачанный cpverify-NEW.exe будет считаться доверенным, и тогда после успешного выполнения команды Код:cpverify-NEW.exe -file_verify DISTR-filename signval -timestamp date
DISTR-filename будет считаться полученным надлежащим образом. Однако вот этой вот цепочки из разных версий утилит cpverify я на сайте не вижу. И потому опять возвращаюсь к Автор: sandrey Мой вопрос:
Как конкретно правильно проверить скачанный дистрибутив КриптоПро CSP 5.0.13003 с помощью доверенной версии 4.0.9963? Отредактировано пользователем 13 января 2026 г. 6:38:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,153
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 163 раз в 148 постах
|
Автор: sandrey Ответ вроде бы в цитате из документации: на сайте КриптоПро должна быть доступна для скачивания цепочка из разных версий утилит cpverify Вы рассуждаете так, что разработчик обязан предоставить вам такую цепочку версий. А чем, простите, вы собрались обосновать это ваше требование? Разработчик согласовал с регулятором процедуру, позволяющую использовать утилиту cpverify, скачанную с сайта, при условии успешной проверки доверенной утилитой cpverify, ещё не означает, что разработчик обязан держать какую-то цепочку cpverify на сайте. Скачали cpverify и смогли проверить доверенной? Замечательно - качаем дистрибутив, проверяем и считаем скачанное доверенным. Скачали, но не смогли проверить? Разводим ручками и покупаем диск.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 3,064
Сказал(а) «Спасибо»: 686 раз
Поблагодарили: 548 раз в 519 постах
|
Автор: sandrey А речь здесь вообще не об этом. Понял, извините; Автор: sandrey Однако вот этой вот цепочки из разных версий утилит cpverify я на сайте не вижу. Например, каждый последующий Linux-дистрибутив содержит обновлённую утилиту cpverify. Цитата:Проверить подпись можно с помощью обновленной утилиты cpverify Полагаю, что по цепочке версий 4.0.9963--> 5.0.11455--> 5.0.12000--> (здесь промежуточная версия, например, 5.0.12800)--> 5.0.13000-5.0.13003, можно будет проверить.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 28
Сказал(а) «Спасибо»: 3 раз
|
Автор: basid Вы рассуждаете так, что разработчик обязан предоставить вам такую цепочку версий. А чем, простите, вы собрались обосновать это ваше требование? А с чего вы взяли, что я так рассуждаю? И где это вы увидели, что я чего-то требую от разработчика? Задан самый обычный вопрос: как проверить дистрибутив в соответствии с инструкцией, изложенной в документации? Ваш ответ: купить доверенный дистрибутив на физическом носителе. Он понятен. А вот ваши выдумки на счет моего вопроса - непонятны. Оставьте их при себе.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Так надо диск или не надо? (вечный вопрос)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
