YuryD Posted November 15, 2017 · Report post Не секрет, что провайдер должен сам забирать реестр запретинфо, иначе его взгреют не за фимльтрацию, а не за забор и пропуски забора. И вот - встал в поиске, моя автомато не сумеет работать, из-за того, что экспортёр в ркс12 от лисси стал платным. ЭЦП - да без траблем, но в использование его в автомате в сопенссл - невозможно, точнее небесплатно. Будет ли возможно у вас - воткнуть рутокен usb в скат, и имитировать забор собой рестра. Карбон вроде сделал, или ваять и подписывать с кем-то договор о заборе реестра ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bike Posted November 15, 2017 · Report post Можно выгружать реестр с Вашей ЭПЦ облаком СКАТа, если хотите локально - так бесплатная версия ЛИССИ-Крипто прекрасно продолжает работать. Или это запрос функционала автовыгрузки с локально хранимой ЭПЦ для VAS EXPERTS? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
satboy Posted November 15, 2017 · Report post Если стоит ревизор и он успешно все видит закрытым - обычно на забор списков самостоятельно закрывают глаза.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bike Posted November 15, 2017 · Report post Только что, satboy сказал: Если стоит ревизор и он успешно все видит закрытым - обычно на забор списков самостоятельно закрывают глаза.. Только не надо вредных советов. На прошлом совещании в РНК раз 10 напомнили - выгрузка это РКН, ревизор - РЧЦ и штрафы ни как не связанны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 15, 2017 · Report post Выбирайте тот CA, который делает экспортируемые сертификаты. Наш CA по умолчанию делает неэкспортируемые, нужно в заявке возможность экспорта специально указывать (но в цене разницы нет). Экспортер у меня остался с тех пор, когда он был публичным и бесплатным, им и пользуюсь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 15, 2017 · Report post Если у кого-то уже случилась по факту беда и куплен "не экспортируемый" сертификат на брелке ruToken , то писали что там всё это профанация, реализация софтовая, ключ всё равно бывает в памяти компа при каждой операции. И что с помощью патченного криптопро такой неизвлекаемый ключ из ruToken всегда можно извлечь ( то есть "не извлекаемый" это не более чем флаг, определяющий поведение непатченного криптопровайдера ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
satboy Posted November 15, 2017 · Report post 42 минуты назад, bike сказал: Только не надо вредных советов. На прошлом совещании в РНК раз 10 напомнили - выгрузка это РКН, ревизор - РЧЦ и штрафы ни как не связанны. Протоколы по пропуску Ревизора - пишет РКН. ЕСли кто-то не может или не хочет запросить у коллег данные - то может смело составлять протокол... НО когда через полгода-год прокурор потребует с составителя возместить ущерб казне, платить он будет со своего кармана. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post Куплен хоть и экспортируемый, только средствами криптопро или виндовыми его в openssl не втащить. Единственная утилита - от лисси, но она теперь платная. Ну и геморрой с лицензированием. Хотя пара писем в саппорт проблему решила быстро. А хотел я у скатовцев спросить - можно ли просто алладина в комп включить, чтобы имитировать выгрузку реестра. У конкурентов от карбона аж инструкция есть, как это можно сделать. Мне нужна имитация, а облако скатовское и так хорошо работает. Договор с кем-то за забор реестра для меня - это слишком геморройно затем доказывать, да и наводит проверяющих на лишние мысли. Мне нужно чисто выглядеть для ркн про забор реестра регулярный, а за фильтрацию и ревизоры - я спокоен, пока скат жив-здоров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 16, 2017 · Report post Вы уж определитесь, алладин или ruToken всё таки? Зачем вам утилита? Из рутокена извлекается один раз ключ и сертификат в виде pem файла и используется уже потом ключ и сертификат из простого файла сколько вам влезет. Тестовую выгрузку реестра с помощью криптопро я сделал тупо руками в блокноте используя примеры с их страницы за пару минут. сделал запрос, подписал и отправил. Вам нужен просто вменяемый ИТ-шник по моему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post 1 минуту назад, LostSoul сказал: Вы уж определитесь, алладин или ruToken всё таки? Зачем вам утилита? Из рутокена извлекается один раз ключ и сертификат в виде pem файла и используется уже потом ключ и сертификат из простого файла сколько вам влезет. Я в сортах криптодерьма не особо разбираюсь. То, что мне дали наши эцпшники - это usb с надпистью алладин. И то, что они - очумные, занимаются эцп за зряплату у нас, смогли мне экспортировать в p12 -как-то не очень нравилось openssl при попытке сделать pem. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 16, 2017 · Report post 5 минут назад, YuryD сказал: Я в сортах криптодерьма не особо разбираюсь. То, что мне дали наши эцпшники - это usb с надпистью алладин. И то, что они - очумные, занимаются эцп за зряплату у нас, смогли мне экспортировать в p12 -как-то не очень нравилось openssl при попытке сделать pem. может они просто без приватного ключа экспортировали, вот и не понравилось? там можно сертификат с ключем в обнимку, а можно отдельно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post Только что, LostSoul сказал: может они просто без приватного ключа экспортировали, вот и не понравилось? там можно сертификат с ключем в обнимку, а можно отдельно Ну да, он при мне какие-то умные кнопки нажимал и галочки ставил. Но pem из этого как-то не получался. Мне их гнать за профнепригодность ? :) В pem так-то всё видно, если его openssl сделал, вот серт, внизу приватный ключ. А утиль p12fromgost сделала нормальный .p12, который пережевался с радостью опенсслем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 16, 2017 · Report post 1 минуту назад, YuryD сказал: Ну да, он при мне какие-то умные кнопки нажимал и галочки ставил. Но pem из этого как-то не получался. Мне их гнать за профнепригодность ? :) В pem так-то всё видно, если его openssl сделал, вот серт, внизу приватный ключ. А утиль p12fromgost сделала нормальный .p12, который пережевался с радостью опенсслем то есть сейчас у вас все получилось? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post 2 минуты назад, LostSoul сказал: то есть сейчас у вас все получилось? Покупкой p12fromgostxxx, И траханием с её использованием. Я токен трижды у директора просил, что неудобно, и еще пинками эцпшников про пинкод. Ну и зачем мне такой геморрой - каждый год ? Поэтому и хочу от скатовцев симулятор забора реестра с моего ската с моим токеном. Не обязательно его применять, главное - архивы заборов хранить, ну и логи неудач забора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 16, 2017 · Report post По моему довольно странно бегать за кем-то и просить сделать в своем продукте то, что можно легко сделать себе самостоятельно один вечер максимум. Тем более вы говорите утилиту уже купили, ну и в чем дело то? Как новый сертификат получаете сразу преобразуете его в нужный формат и вопрос решен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 16, 2017 · Report post 48 минут назад, YuryD сказал: У конкурентов от карбона аж инструкция есть, как это можно сделать. Это означает дать неизвестному лицу свою квалифицированную ЭЦП. Лень это полезное свойство, но в данном случае лучше не лениться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post 8 минут назад, LostSoul сказал: По моему довольно странно бегать за кем-то и просить сделать в своем продукте то, что можно легко сделать себе самостоятельно один вечер максимум. Тем более вы говорите утилиту уже купили, ну и в чем дело то? Как новый сертификат получаете сразу преобразуете его в нужный формат и вопрос решен. Не совсем бесплатно. Я покупаю ЭЦП - за деньги, и еще вынужден покупать экстрактор эцп, 2700 за год, это в 2017. Так не проще ли мне запросить функционал, который сэкономит мне время жизни ? Пусть и небесплатно. Чтобы я открыл дверь серверной, вынул старый usb и вонзил новый ? И ещё раз - фильтрация, ревизоры и проч эцп - это не то, за что мне платят деньги, просто навязанная реальность. 6 минут назад, alibek сказал: Это означает дать неизвестному лицу свою квалифицированную ЭЦП. Лень это полезное свойство, но в данном случае лучше не лениться. Это не мой вопрос. Государство потребовало квалифицированную - значит так им надо. Правда зачем подписывать запрос на выгрузку реестра квалифицированной - мне не понятно. Они и свои-то документы не всегда подписывают. Но дура лекс - сед лекс :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 16, 2017 · Report post 46 минут назад, YuryD сказал: Правда зачем подписывать запрос на выгрузку реестра квалифицированной - мне не понятно. Квалифицированная ЭЦП — это юридический аналог собственноручной подписи. То есть должностное лицо оператора собственноручно подписывает запрос на получение выгрузки (а без подписи возникает вопрос, как доказать, что запрос был направлен). И в ответ на этот запрос получает выгрузку, заверенную и подписанную ЭЦП РКН (а без подписи возникает вопрос, как доказать, что именно этот дамп был получен от РКН). И кстати, все документы, которые мы получаем от РКН, уже достаточно давно подписываются квалифицированной ЭЦП. Передавать закрытый ключ от своей ЭЦП кому-то постороннему — не самый разумный поступок. Этой ЭЦП можно много где воспользоваться — например на площадке гос.торгов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post 2 минуты назад, alibek сказал: Квалифицированная ЭЦП — это юридический аналог собственноручной подписи. Для чего такая сущность в выгрузке реестров из РКН ? Это совсекретно? , максимум - дсп. Выгрузка - да, подписана, но кто её ЭЦП проверяет ? По поводу всех документов - немного не правда. Некие письма с указивками приходят по е-майл без никакой эцп, а затем елефонный звонок - получилили ? Далее - РКН давно имеет список ИП, каждый провайдер отчитался откуда он забирает реестр. И фиреволл они построили наверное почти правильный. Так что квалифицированная эцп тут - ни к чему, разве только для упорядочения систем документооборота. И если бы они еще и указивки в odt-формате писали, подписанные ЭЦП , то в сфере провайдинга наступила бы полная автоматизация и взаимопонимание. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 16, 2017 · Report post 9 минут назад, YuryD сказал: Для чего такая сущность в выгрузке реестров из РКН ? Например для идентификации оператора. ЭЦП нормальное решение, не хуже какой-нибудь самодельной системы авторизации. Из плюсов тут автоматическая проверка на наличие действующей лицензии. 9 минут назад, YuryD сказал: Выгрузка - да, подписана, но кто её ЭЦП проверяет ? Я проверяю. Если подпись невалидна, скрипт пишет запись в лог. 9 минут назад, YuryD сказал: Некие письма с указивками приходят по е-майл без никакой эцп, а затем елефонный звонок - получилили У нас ни разу такого не было, по меньшей мере года три. Если придёт письмо без ЭЦП или без подписанного скана, я его проигнорирую. 9 минут назад, YuryD сказал: Далее - РКН давно имеет список ИП, каждый провайдер отчитался откуда он забирает реестр. Это не идентификация, а первая линия защиты от DoS. Например от нас заявлена подсеть /24, какая уж тут идентификация. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 16, 2017 · Report post мне кажется, проблема высосана из пальца. в кошмарном сне не пришло бы в голову платить 2700 в год за какую-то утилиту по преобразованию одного документированного широко используемого формата ключа в другой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 16, 2017 · Report post Только что, alibek сказал: Это не идентификация, а первая линия защиты от DoS. Например от нас заявлена подсеть /24, какая уж тут идентификация. Ну я всю свою AS заявил :) Подписи под выгрузкой не проверяю - за ненадобностью, прижмут - архивы есть с подписями. 1 минуту назад, LostSoul сказал: мне кажется, проблема высосана из пальца. в кошмарном сне не пришло бы в голову платить 2700 в год за какую-то утилиту по преобразованию одного документированного широко используемого формата ключа в другой. Опубликуйте бесплатное решение. Задача проста - забирать реестр запросом, подписанным квалифицированной эцп. Держать девочек-обезьян с кнопками и usb-токеном 24*365. С купленной системой типа крипто-про, или создать робота на базе опенссл с русским крипто. Других форматов эцп на флэшке - мне чего-то не предлагают, алладин и никого. Подскажите ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 16, 2017 · Report post Как сделано у меня (скрипт где-то я публиковал). 1. Раз в год получаю новый ключ, с перекрытием сроков действия на пару дней. 2. Раз в год делаю вручную экспорт в PEM. 3. Загружаю PEM на сервер, на котором работает скрипт, запускаю обновление используемого ключа. На этом ручная работа закончена. Все остальное скрипт делает сам - подписывает запрос, отправляет его, получает ответ, проверяет подпись и пр. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 16, 2017 · Report post И версий таких скриптов с разными вариантами работы на гитхабе три варианта было точно. Но если лень позволяет сьездить, отстоять очередь и.т.п. на то чтоб перевыпустить сертификат, но потом не позволяет разобраться как экспортировать в pem бесплатно - ну значит такая лень избирательная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted November 16, 2017 · Report post Во первых не надо было подписывать каждый запрос заново, достаточно подписать запрос один раз, для чего достаточно бесплатной версии криптопро, скопировать запрос и подпись на сервак и пользоваться ими целый год. PS Но даже этот совет уже устарел, т.к. ЭЦП для забора списков больше не требуется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...