Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Valera65  
#1 Оставлено : 4 сентября 2018 г. 17:21:28(UTC)
Valera65

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.09.2018(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Доброго дня,
пытаюсь подписать файл сертификатом по ГОСТ Р 34.10-2012, но ничего не получается
ос windows 10

Код:
OpenSSL> cms -sign -signer cert.cer -inkey priv-key.key
unable to load signing key file
5348:error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag:crypto\asn1
\tasn_dec.c:1129:
5348:error:0D06C03A:asn1 encoding routines:asn1_d2i_ex_primitive:nested asn1 err
or:crypto\asn1\tasn_dec.c:693:
5348:error:0D08303A:asn1 encoding routines:asn1_template_noexp_d2i:nested asn1 e
rror:crypto\asn1\tasn_dec.c:626:Field=version, Type=PKCS8_PRIV_KEY_INFO
5348:error:0907B00D:PEM routines:PEM_read_bio_PrivateKey:ASN1 lib:crypto\pem\pem
_pkey.c:87:
error in cms


дальше там ещё есть команды со значениями, но пока он не увидит файл с ключом нет смысла их писать
(там та же ошибка будет),
файл с ключом лежит вместе с сертификатом в одной директории с .exe

сразу скажу - с openSSL раньше не имел дела...

Спасибо

Отредактировано пользователем 4 сентября 2018 г. 17:23:56(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#2 Оставлено : 4 сентября 2018 г. 17:42:30(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Valera65 Перейти к цитате
сразу скажу - с openSSL раньше не имел дела...

Некрасиво вот так приходить, ни в чём не разобравшись.

Ответ есть в FAQ, который обязателен для чтения: https://www.cryptopro.ru...ts&m=55563#post55563

Знания в базе знаний, поддержка в техподдержке
Offline Valera65  
#3 Оставлено : 4 сентября 2018 г. 17:52:36(UTC)
Valera65

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.09.2018(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Да не, это я все читал и настроил как смог, дальше уже просто не осталось идей, вот и спросил

Цитата:
Каков процесс развертывания gostengy и gost_capi?

При соблюдении требований достаточно обеспечить загрузку ENGINE в OpenSSL через настройку конфигурационного файла


и тут ссылка не рабочая
Цитата:
настройку конфигурационного файла

Отредактировано пользователем 4 сентября 2018 г. 17:56:41(UTC)  | Причина: Не указана

Offline Valera65  
#4 Оставлено : 5 сентября 2018 г. 10:52:52(UTC)
Valera65

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.09.2018(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
А если я использую только openSSL для подписи, настройки будут такие же, нужна только другая библиотека
(не gostengy и gost_capi)?

Отредактировано пользователем 5 сентября 2018 г. 10:53:55(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#5 Оставлено : 5 сентября 2018 г. 11:02:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Valera65 Перейти к цитате
А если я использую только openSSL для подписи, настройки будут такие же, нужна только другая библиотека
(не gostengy и gost_capi)?

Как вам угодно.
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#6 Оставлено : 10 сентября 2018 г. 10:27:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
и тут ссылка не рабочая
пару абзацев ниже там же пример настройки, из нерабочей ссылки наверно можно было только почерпнуть, где искать файл нужный конфигурации. Вкратце, если у Вас только одна версия оpenssl на компьютере, то достаточно создать переменную среды OPENSSL_CONF в которой указать путь к нужному файлу конфигурации.
Автор: Valera65 Перейти к цитате
А если я использую только openSSL для подписи, настройки будут такие же, нужна только другая библиотека (не gostengy и gost_capi)?
openSSL в чистом виде не поддерживает алгоритмы гост - используется либо уже устаревшая библиотека криптоком, либо доработанная сертифицированная платная версия openssl другого российского криптопровайдера либо указанные здесь (gost_capi или) gostengy библиотеки на основе Криптопро CSP. Судя по Вашему сообщению об ошибке дело скорее не в библиотеке, а в том как Вы библиотеку используете. Скорее всего Вы прочитали кучу советов для самой openssl, но большинство из них вредны для случая с gostengy и потому ничего не получается.
1) Прежде всего Вам нужно определиться какой формы у Вас контейнер закрытого ключа - gostengy подойдет только если у Вас есть ключ в формате, который либо может прочитаться самой openssl либо если у Вас есть контейнер закрытого ключа в формате криптопро. Если не то и не другое - ищите другую библиотеку. Судя по Вашему сообщению сама openssl не может "переварить" формат Вашего ключа. Такое может случиться если Вы экспортировали ключ КриптоПро из хранилища "Личные", но вопреки куче советов в интернете в случае gostengy экспортировать ключ не нужно (пункт 4 ниже) и gostengy не поддерживает такой экспортированный ключ.
2) очевидно, что gostengy не будет работать если на компьютере не установлен Криптопро CSP. Для гост-2012 нужна версия Криптопро CSP 4.0 и выше, openssl 1.1.0 и выше. С версиями ниже доступен только гост-2001.
3) нужно проверить подгрузилась ли библиотека и есть ли гост в списке алгоритмов. В сообщении на которое Вас направили про это есть.
4) обратите внимание на то, что при использовании gostengy нет необходимости указывать ключ в виде файла, если у Вас есть контейнер закрытого ключа в формате криптопро. Просто устанавливаете сертификат в хранилище "Личные" с привязкой к контейнеру закрытого ключа и вместо файла указываете имя контейнера или хэш сертификата. Устанавливать нужно ли под тем пользователем, которым будет производится подпись или в хранилище "Личные" компьютера если требуется подписывать службой. Далее читаете пример подписи с помощью -keyform ENGINE в сообщении на которое Вас направили.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
Valera65 оставлено 10.09.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.