logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Писарев  
#21 Оставлено : 20 февраля 2018 г. 11:57:55(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Автор: Boris@Serezhkin.com Перейти к цитате
Странно, а у меня на этот сертификат CERTMGR говорит
"Цифровая подпись, Неотрекаемость, Шифрование ключей, Согласование ключей(е8)"
Ни о каком шифровании данных и речи нет.
Также и CAPICOM говорит шифровать низзя!Shame on you


Проверил:
1. Говорит как на снимке выше - т.е. есть шифрование данных
2. Через CAPICOM успешно зашифровал тестовым сертификатом.


p.s.
Мы же про приложенный контейнер речь ведем?
Сертификат с отпечатком: 20D29852C51F9D2C05DBAA5CC10EDB781345C054
Период действия с 17.10.2016 по 17.10.2021
Offline Boris@Serezhkin.com  
#22 Оставлено : 20 февраля 2018 г. 13:12:59(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Да, да, да. Каюсь. Не тот сертификат выложил.
Перепутал. С тем все нормально и вааще он по формату 2001
и выпущен на предыдущем УЦ.
А тот о котором я говорил выглядит так:
Test2012-UC20.png (19kb) загружен 36 раз(а).
И вот он выпущен на УЦ20 и корневой у него
CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Стоит ли его выкладывать - не знаю.
Offline Захар Тихонов  
#23 Оставлено : 20 февраля 2018 г. 13:16:57(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,718
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 16 раз
Поблагодарили: 261 раз в 252 постах
Приложите сертификат и тестирование контейнера.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Андрей Писарев  
#24 Оставлено : 20 февраля 2018 г. 13:17:56(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
В настройках УЦ - прописано для использования ключа = e8 - это мы и видим на снимке.

Отсюда, еще раз вопрос - как\чем формируете запрос на сертификат?
Offline Boris@Serezhkin.com  
#25 Оставлено : 20 февраля 2018 г. 13:23:22(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Захар Тихонов Перейти к цитате
Приложите сертификат и тестирование контейнера.

Это тестирование:

Проверка завершена успешно ошибок не обнаружено
Контейнер закрытого ключа пользователя
имя ТЕСТ-УЦ2.0-контейнер
уникальное имя FAT12\2D746DE7_CERTS\ivhi-jm2.000\E4EF
FQCN \\.\FAT12_M\ТЕСТ-УЦ2.0-контейнер
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10-2001, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
E=support_eod@oviont.com, C=RU, L=Москва, O="ООО ""Овионт""", CN=ТЕСТ-УЦ2.0-2
FAT12\2D746DE7_CERTS\ivhi-jm2.000\E4EF; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
имя сертификата ТЕСТ-УЦ2.0-2
субъект E=support_eod@oviont.com, C=RU, L=Москва, O="ООО ""Овионт""", CN=ТЕСТ-УЦ2.0-2
поставщик E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
действителен с 26 декабря 2017 г. 12:22:32
действителен по 26 декабря 2022 г. 12:32:32
ключ действителен с 26 декабря 2017 г. 12:22:31
ключ действителен по 26 декабря 2018 г. 12:22:31
серийный номер 753F 9D00 55A8 F98F 47E7 28EE 6A9D AA15
Срок действия закрытого ключа 26 декабря 2018 г. 12:22:31
Использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 27 марта 2019 г. 18:37:05
некритическое Расширение контейнера КриптоПро CSP. Доверенные сертификаты обмена
имя сертификата УЦ КРИПТО-ПРО (ГОСТ 2012)
субъект E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
поставщик E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
действителен с 23 марта 2017 г. 14:59:49
действителен по 23 марта 2032 г. 14:59:49
серийный номер 00DD 104E E494 90C2 80E7 11C1 0F78 71BE 9B

TEST-UC20.rar (2kb) загружен 2 раз(а).
Offline Андрей Писарев  
#26 Оставлено : 20 февраля 2018 г. 13:28:51(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
см. Настройка расширений сертификата.
Там не указано желаемое.
Отсюда - CAPICOM дает отказ.
Offline Boris@Serezhkin.com  
#27 Оставлено : 20 февраля 2018 г. 13:29:41(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Андрей Писарев Перейти к цитате
В настройках УЦ - прописано для использования ключа = e8 - это мы и видим на снимке.

Отсюда, еще раз вопрос - как\чем формируете запрос на сертификат?


0) ПАК "КриптоПро УЦ" 2.0.6558
1) 2.0.6558.0000 (консоль управления)

И ничего больше. Может в настройках "Добавлять по умолчанию" надо добавить "Шифрование данных" ?
Offline Андрей Писарев  
#28 Оставлено : 20 февраля 2018 г. 13:33:02(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Автор: Андрей Писарев Перейти к цитате
см. Настройка расширений сертификата.
Там не указано желаемое.
Отсюда - CAPICOM дает отказ.


У меня по-прежнему без проблем шифрует и расшифровывает...
Через CAPICOM.
Зашифрованный ф test.zip (764kb) загружен 2 раз(а).айл в архиве
Offline Андрей Писарев  
#29 Оставлено : 20 февраля 2018 г. 13:34:02(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Автор: Boris@Serezhkin.com Перейти к цитате
Автор: Андрей Писарев Перейти к цитате
В настройках УЦ - прописано для использования ключа = e8 - это мы и видим на снимке.

Отсюда, еще раз вопрос - как\чем формируете запрос на сертификат?


0) ПАК "КриптоПро УЦ" 2.0.6558
1) 2.0.6558.0000 (консоль управления)

И ничего больше. Может в настройках "Добавлять по умолчанию" надо добавить "Шифрование данных" ?


Обязательно, если требуется это использование в KeyUsage
Offline Андрей Писарев  
#30 Оставлено : 20 февраля 2018 г. 13:35:13(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Автор: Андрей Писарев Перейти к цитате
Автор: Андрей Писарев Перейти к цитате
см. Настройка расширений сертификата.
Там не указано желаемое.
Отсюда - CAPICOM дает отказ.


У меня по-прежнему без проблем шифрует и расшифровывает...
Через CAPICOM.
Зашифрованный ф test.zip (764kb) загружен 2 раз(а).айл в архиве


p.s. расширение у файла, который шифровал: .jpg (если расшифруешь)
Offline Boris@Serezhkin.com  
#31 Оставлено : 20 февраля 2018 г. 19:59:51(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Андрей Писарев Перейти к цитате
p.s. расширение у файла, который шифровал: .jpg (если расшифруешь)


Очень странно и непонятно. КриптоАрм спокойно расшифровал.
Все равно очень не нравится что нет назначения "Шифрование данных"
Offline Андрей Писарев  
#32 Оставлено : 20 февраля 2018 г. 20:19:16(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Автор: Boris@Serezhkin.com Перейти к цитате
Автор: Андрей Писарев Перейти к цитате
p.s. расширение у файла, который шифровал: .jpg (если расшифруешь)


Очень странно и непонятно. КриптоАрм спокойно расшифровал.
Все равно очень не нравится что нет назначения "Шифрование данных"


А почему бы и нет?
В чём проблема?
В контейнере ключ есть.

Добавить "Шифрование данных" и забыть о проблеме.
Offline Boris@Serezhkin.com  
#33 Оставлено : 20 февраля 2018 г. 22:45:00(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Андрей Писарев Перейти к цитате
А почему бы и нет?
В чём проблема?
В контейнере ключ есть.
Добавить "Шифрование данных" и забыть о проблеме.

Господи, Андрей, да промблемма в том, что нужно однозначное
определение назначения сертификата.
И не важно есть там ключ али нет. Сказано низзя значит низзя.
Должна быть возможность административно определять что с этим
сертификатом можно делать.
Если не сказано "Подписание сертификатов", то что?
А я уже не сомневаюсь что получится.
Для чего вводилось KeyUsage?
Offline Андрей Писарев  
#34 Оставлено : 20 февраля 2018 г. 23:43:08(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Автор: Boris@Serezhkin.com Перейти к цитате
Автор: Андрей Писарев Перейти к цитате
А почему бы и нет?
В чём проблема?
В контейнере ключ есть.
Добавить "Шифрование данных" и забыть о проблеме.

Господи, Андрей, да промблемма в том, что нужно однозначное
определение назначения сертификата.
И не важно есть там ключ али нет. Сказано низзя значит низзя.
Должна быть возможность административно определять что с этим
сертификатом можно делать.
Если не сказано "Подписание сертификатов", то что?
А я уже не сомневаюсь что получится.
Для чего вводилось KeyUsage?



В настройках (административная возможность есть) указаны параметры создания ключа:
Ключ будет использоваться для: Подписание и шифрование.
Ключ обмена создан.
Шифрование и расшифровка доступны.

По сертификату - определяется необходимый контейнер и ключ,
но можно же и без сертификата шифровать\расшифровывать... \

Прикладное ПО, которое работает с сертификатами должно учитывать выставленные биты в KeyUsage.

По аналогии: Защищенная эл.почта.
Если в расширении Улучшенный ключ отсутствует OID - ответственность в использовании этого сертификата на почтовом приложении.
Offline Андрей Писарев  
#35 Оставлено : 21 февраля 2018 г. 0:01:46(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Еще можно в RFC прочитать заметку про это...

Цитата:
Note that the use of this bit is extremely uncommon;
almost all applications use key transport or key agreement to establish a symmetric key.



А насчёт "ответственности" за это в прикладном ПО, как пример:

Snimok ehkrana ot 2018-02-21 03-51-19.png (8kb) загружен 101 раз(а).

Это прикладное ПО - не позволяет использовать такой сертификат для шифрования.
Offline Boris@Serezhkin.com  
#36 Оставлено : 21 февраля 2018 г. 8:07:43(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Андрей Писарев Перейти к цитате
см. Настройка расширений сертификата.
Там не указано желаемое.
Отсюда - CAPICOM дает отказ.

А как указать?
Утверждают, что в "Настройка расширений сертификата"
ничего изменить и добавить не могут, поля неактивны.Think
Offline Андрей Писарев  
#37 Оставлено : 25 февраля 2018 г. 5:20:47(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,723
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1011 раз в 819 постах
Предлагаю ответственному лицу посмотреть в документацию...

p.s. хотя бы:
Настройка шаблонов сертификатов
в руководстве по эксплуатации


Комплект эксплуатационной документации (ZIP, 24 Мб) на странице загрузки
Offline Boris@Serezhkin.com  
#38 Оставлено : 2 марта 2018 г. 8:19:20(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Андрей Писарев Перейти к цитате
Предлагаю ответственному лицу посмотреть в документацию...

Андрей, Захар и все остальные
Я сегодня недобрый. И веду речь о том, что если есть
чекбокс "ЭЦП+Шифрование", то я хочу в keyusage увидеть
"Шифрование данных(f1)"
И все.
Меня абсолютно не интересует что там в контейнере,
какие там ключи. Я флаг хочу!Shame on you



Offline Захар Тихонов  
#39 Оставлено : 2 марта 2018 г. 8:25:40(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,718
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 16 раз
Поблагодарили: 261 раз в 252 постах
Автор: Boris@Serezhkin.com Перейти к цитате
Автор: Андрей Писарев Перейти к цитате
Предлагаю ответственному лицу посмотреть в документацию...

Андрей, Захар и все остальные
Я сегодня недобрый. И веду речь о том, что если есть
чекбокс "ЭЦП+Шифрование", то я хочу в keyusage увидеть
"Шифрование данных(f1)"
И все.
Меня абсолютно не интересует что там в контейнере,
какие там ключи. Я флаг хочу!Shame on you



Тут этот вопрос не решить. Обращайтесь к Администратору УЦ и просите править шаблон как вам требуется. Или используйте ПО для подписи/шифровании которое умнее.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Boris@Serezhkin.com  
#40 Оставлено : 2 марта 2018 г. 8:38:27(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 253
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 10 раз в 9 постах
Автор: Захар Тихонов Перейти к цитате

Тут этот вопрос не решить. Обращайтесь к Администратору УЦ и просите править шаблон как вам требуется. Или используйте ПО для подписи/шифровании которое умнее.

Я не хочу править шаблон. Это нечто предопределенное.
И ежели я его поправлю, то всегда буду получать "шифрование данных"
А как же с чекбоксом ? Если я укажу просто "эцп", то что я получу?
Think
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.