Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Aleksei Neverov  
#1 Оставлено : 7 апреля 2021 г. 8:26:16(UTC)
Aleksei Neverov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 40

Сказал(а) «Спасибо»: 14 раз
Коллеги, день добрый

Для подписания док-тов используем КриптоПро CSP 5.0.11455 KC1, CAdES plugin, сертификаты на Рутокентах. OC Windows 10

Буквально на прошлой неделе все работало, как надо.
Недавно сформировали на токене новую ключевую пару, после чего в момент подписания

Код:
var sSignature = yield oSignedData.SignCades(oSigner, cadesplugin.CADESCOM_CADES_BES, false);


Возникает ошибка

Ключ не существует. (0x8009000D)

Проверка ключевого носителя средствами КриптоПро тоже сообщает об ошибке (подпись - Ключ не существует), хотя ниже говорится, что сертификат в контейнере соответствует закрытому ключу (как так?)

Цитата:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя 30303030303030312e6b6579
уникальное имя SCARD\rutoken_pkcs_399b6348\30303030303030312e6b6579
FQCN \\.\Aktiv Rutoken ECP 0\30303030303030312e6b6579
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись Ошибка 0x8009000D: Ключ не существует.
создание ключа обмена успешно
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище не установлен


Проверка другими средствами (Admin PKI, File PRO от Сигнал-КОМ, запрос на сертификат формировался в них) говорит, что с токеном все в порядке.

Скажите, пожалуйста, в чем может быть причина такой работы КриптоПро с токеном?

Заранее большое спасибо

Offline Андрей *  
#2 Оставлено : 7 апреля 2021 г. 9:46:53(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
Здравствуйте.

А новая ключевая пара тестируется?
Техническую поддержку оказываем тут
Наша база знаний
Offline Aleksei Neverov  
#3 Оставлено : 7 апреля 2021 г. 10:03:05(UTC)
Aleksei Neverov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 40

Сказал(а) «Спасибо»: 14 раз
Автор: Андрей * Перейти к цитате
Здравствуйте.

А новая ключевая пара тестируется?


День добрый!

Для новой ключевой пары пока не пришел сертификат.
Может ли быть проблема в том, что одна из ключевых пар записана без сертификата?
Offline two_oceans  
#4 Оставлено : 9 апреля 2021 г. 6:01:34(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Автор: Aleksei Neverov Перейти к цитате
Для новой ключевой пары пока не пришел сертификат.
Может ли быть проблема в том, что одна из ключевых пар записана без сертификата?
Добрый день.
В норме после генерации нового ключа на тот же токен Вы должны видеть на токене 2 (или больше) отдельных контейнера. В случае пока у Вас нет сертификата для нового ключа, очевидно Вы не сможете выбрать второй контейнер для тестирования по сертификату, но можно выбирать новый контейнер через обзор.

Других неудобств от отсутствия сертификата по идее быть не должно. С сертификатом возможны накладки при использовании разных криптопровайдеров, кодирующих гост-2012 в разные оиды, но пока нет сертификата это не должно быть проблемой.

Тыкнув пальцем в небо, мне кажется подозрительным имя контейнера 30303030303030312e6b6579, как будто это шестнадцатиричное представление некого текста. Выходит текст 00000001.key

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Aleksei Neverov оставлено 09.04.2021(UTC)
Offline Агафьин Сергей  
#5 Оставлено : 9 апреля 2021 г. 11:48:10(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 138 раз в 114 постах
Добрый день.
Судя по тому, что речь о контейнере на "rutoken_pkcs", он был сгенерирован сторонними средствами (Рутокен Плагин / VipNet CSP / СигналКом и т.д.) через интерфейс PKCS#11. Его поддержка в 11455 была довольно условной и ненадежной. Возможно, состояние контейнера изменилось на какое-то нами неучтенное.
Если вам нужно использовать этот контейнер именно через КриптоПро CSP, рекомендую обновиться до CSP 5.0 R2 RC6 (5.0.11998). Там добавлена "нативная" поддержка PKCS#11 - возможно, починится.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 2 пользователей поблагодарили Grey за этот пост.
two_oceans оставлено 09.04.2021(UTC), Aleksei Neverov оставлено 09.04.2021(UTC)
Offline Aleksei Neverov  
#6 Оставлено : 9 апреля 2021 г. 15:48:38(UTC)
Aleksei Neverov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 40

Сказал(а) «Спасибо»: 14 раз
Автор: Агафьин Сергей Перейти к цитате
Добрый день.
Судя по тому, что речь о контейнере на "rutoken_pkcs", он был сгенерирован сторонними средствами (Рутокен Плагин / VipNet CSP / СигналКом и т.д.) через интерфейс PKCS#11. Его поддержка в 11455 была довольно условной и ненадежной. Возможно, состояние контейнера изменилось на какое-то нами неучтенное.
Если вам нужно использовать этот контейнер именно через КриптоПро CSP, рекомендую обновиться до CSP 5.0 R2 RC6 (5.0.11998). Там добавлена "нативная" поддержка PKCS#11 - возможно, починится.


Коллеги, день добрый

Спасибо всем за помощь!
Токен починили, проблема была, действительно, в том, как были сформированы контейнеры (они формировались сторонними средствами)
Реакция КриптоПро на это была абсолютно адекватной.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.