[YuryD]

 Не секрет, что провайдер должен сам забирать реестр запретинфо, иначе его взгреют не за фимльтрацию, а не за забор и пропуски забора. И вот - встал в поиске, моя автомато не сумеет работать, из-за того, что экспортёр в ркс12 от лисси стал платным. ЭЦП - да без траблем, но в использование его в автомате в сопенссл - невозможно, точнее небесплатно. Будет ли возможно у вас - воткнуть рутокен usb в скат, и имитировать забор собой рестра. Карбон вроде сделал, или ваять и подписывать с кем-то договор о заборе реестра ?

[bike]

Можно выгружать реестр с Вашей ЭПЦ облаком СКАТа, если хотите локально - так бесплатная версия ЛИССИ-Крипто прекрасно продолжает работать.

Или это запрос функционала автовыгрузки с локально хранимой ЭПЦ для VAS EXPERTS?

[satboy]

Если стоит ревизор  и он успешно все видит закрытым - обычно на забор списков самостоятельно закрывают глаза..

[bike]

Только что, satboy сказал:

Если стоит ревизор  и он успешно все видит закрытым - обычно на забор списков самостоятельно закрывают глаза..

Только не надо вредных советов.

На прошлом совещании в РНК раз 10 напомнили - выгрузка это РКН, ревизор - РЧЦ и штрафы ни как не связанны.

[alibek]

Выбирайте тот CA, который делает экспортируемые сертификаты. Наш CA по умолчанию делает неэкспортируемые, нужно в заявке возможность экспорта специально указывать (но в цене разницы нет).

Экспортер у меня остался с тех пор, когда он был публичным и бесплатным, им и пользуюсь.

[LostSoul]

Если у кого-то уже случилась по факту беда и куплен "не экспортируемый" сертификат на брелке ruToken , то писали что там всё это профанация, реализация софтовая, ключ всё равно бывает в памяти компа при каждой операции.

И что  с помощью патченного криптопро такой неизвлекаемый ключ из ruToken всегда можно извлечь ( то есть "не извлекаемый" это не более чем флаг, определяющий поведение непатченного криптопровайдера )

 

[satboy]

42 минуты назад, bike сказал:

Только не надо вредных советов.

На прошлом совещании в РНК раз 10 напомнили - выгрузка это РКН, ревизор - РЧЦ и штрафы ни как не связанны.

Протоколы по пропуску Ревизора - пишет РКН.  ЕСли кто-то не может или не хочет запросить у коллег данные - то может смело составлять протокол...  НО когда через полгода-год прокурор потребует с составителя возместить ущерб казне, платить он будет со своего кармана.

[YuryD]

 Куплен хоть и экспортируемый, только средствами криптопро или виндовыми его в openssl не втащить. Единственная утилита - от лисси, но она теперь платная. Ну и геморрой с лицензированием.  Хотя пара писем в саппорт проблему решила быстро. А хотел я у скатовцев спросить - можно ли просто алладина в комп включить, чтобы имитировать выгрузку реестра. У конкурентов от карбона аж инструкция есть, как это можно сделать. Мне нужна имитация, а облако скатовское и так хорошо работает. Договор с кем-то за забор реестра для меня - это слишком геморройно затем доказывать, да и наводит проверяющих на лишние мысли. Мне нужно чисто выглядеть для ркн про забор реестра регулярный, а за фильтрацию и ревизоры - я спокоен, пока скат жив-здоров.

[LostSoul]

Вы уж определитесь, алладин или ruToken всё таки?

 

Зачем вам утилита?

Из рутокена извлекается один раз ключ и сертификат в виде pem файла и используется уже потом ключ и сертификат из простого файла сколько вам влезет.

 

Тестовую выгрузку реестра с помощью криптопро я сделал тупо руками в блокноте используя примеры с их страницы за пару минут.

сделал запрос, подписал и отправил.

 

Вам нужен просто вменяемый ИТ-шник по моему.

 

 

[YuryD]

1 минуту назад, LostSoul сказал:

Вы уж определитесь, алладин или ruToken всё таки?

 

Зачем вам утилита?

Из рутокена извлекается один раз ключ и сертификат в виде pem файла и используется уже потом ключ и сертификат из простого файла сколько вам влезет.

 

 Я в сортах криптодерьма не особо разбираюсь. То, что мне дали наши эцпшники - это usb с надпистью алладин. И то, что они - очумные, занимаются эцп за зряплату у нас, смогли мне экспортировать в p12 -как-то не очень нравилось openssl при попытке сделать pem.

[LostSoul]

5 минут назад, YuryD сказал:

Я в сортах криптодерьма не особо разбираюсь. То, что мне дали наши эцпшники - это usb с надпистью алладин. И то, что они - очумные, занимаются эцп за зряплату у нас, смогли мне экспортировать в p12 -как-то не очень нравилось openssl при попытке сделать pem.

может они просто без приватного ключа экспортировали, вот и не понравилось?

там можно сертификат с ключем в обнимку, а можно отдельно

 

[YuryD]

Только что, LostSoul сказал:

может они просто без приватного ключа экспортировали, вот и не понравилось?

там можно сертификат с ключем в обнимку, а можно отдельно

 

 Ну да, он при мне какие-то умные кнопки нажимал и галочки ставил. Но pem из этого как-то не получался. Мне их гнать за профнепригодность ? :)  В pem так-то всё видно, если его openssl сделал, вот серт, внизу приватный ключ. А утиль p12fromgost сделала нормальный .p12, который пережевался с радостью опенсслем

[LostSoul]

1 минуту назад, YuryD сказал:

 Ну да, он при мне какие-то умные кнопки нажимал и галочки ставил. Но pem из этого как-то не получался. Мне их гнать за профнепригодность ? :)  В pem так-то всё видно, если его openssl сделал, вот серт, внизу приватный ключ. А утиль p12fromgost сделала нормальный .p12, который пережевался с радостью опенсслем

то есть сейчас у вас все получилось?

 

[YuryD]

2 минуты назад, LostSoul сказал:

то есть сейчас у вас все получилось?

 

Покупкой p12fromgostxxx, И траханием с её использованием. Я токен трижды у директора просил, что неудобно, и еще пинками  эцпшников  про пинкод. Ну и зачем мне такой геморрой - каждый год ? Поэтому и хочу от скатовцев симулятор забора реестра с моего ската с моим токеном. Не обязательно его применять, главное - архивы заборов хранить, ну и логи неудач забора.

[LostSoul]

По моему довольно странно бегать за кем-то и просить сделать в своем продукте то, что можно легко сделать себе самостоятельно один вечер максимум.

 

Тем более вы говорите утилиту уже купили, ну и в чем дело то?

Как новый сертификат получаете сразу преобразуете его в нужный формат и вопрос решен.

 

 

[alibek]

48 минут назад, YuryD сказал:

У конкурентов от карбона аж инструкция есть, как это можно сделать.

Это означает дать неизвестному лицу свою квалифицированную ЭЦП.

Лень это полезное свойство, но в данном случае лучше не лениться.

 

[YuryD]

8 минут назад, LostSoul сказал:

По моему довольно странно бегать за кем-то и просить сделать в своем продукте то, что можно легко сделать себе самостоятельно один вечер максимум.

 

Тем более вы говорите утилиту уже купили, ну и в чем дело то?

Как новый сертификат получаете сразу преобразуете его в нужный формат и вопрос решен.

 

 

 Не совсем бесплатно. Я покупаю ЭЦП - за деньги, и еще вынужден покупать экстрактор эцп, 2700 за год, это в 2017. Так не проще ли мне запросить функционал, который сэкономит мне время жизни ? Пусть и небесплатно. Чтобы я открыл дверь серверной, вынул старый usb и вонзил новый ?  И ещё раз - фильтрация, ревизоры и проч эцп - это не то, за что мне платят деньги, просто навязанная реальность.

 

6 минут назад, alibek сказал:

Это означает дать неизвестному лицу свою квалифицированную ЭЦП.

Лень это полезное свойство, но в данном случае лучше не лениться.

 

 Это не мой вопрос. Государство потребовало квалифицированную - значит так им надо. Правда зачем подписывать запрос на выгрузку реестра квалифицированной - мне не понятно. Они и свои-то документы не всегда подписывают. Но дура лекс - сед лекс :(

[alibek]

46 минут назад, YuryD сказал:

Правда зачем подписывать запрос на выгрузку реестра квалифицированной - мне не понятно.

Квалифицированная ЭЦП — это юридический аналог собственноручной подписи.

То есть должностное лицо оператора собственноручно подписывает запрос на получение выгрузки (а без подписи возникает вопрос, как доказать, что запрос был направлен). И в ответ на этот запрос получает выгрузку, заверенную и подписанную ЭЦП РКН (а без подписи возникает вопрос, как доказать, что именно этот дамп был получен от РКН).

И кстати, все документы, которые мы получаем от РКН, уже достаточно давно подписываются квалифицированной ЭЦП.

Передавать закрытый ключ от своей ЭЦП кому-то постороннему — не самый разумный поступок. Этой ЭЦП можно много где воспользоваться — например на площадке гос.торгов.

[YuryD]

2 минуты назад, alibek сказал:

Квалифицированная ЭЦП — это юридический аналог собственноручной подписи.

 

 Для чего такая сущность в выгрузке реестров из РКН ? Это совсекретно? , максимум - дсп. Выгрузка - да, подписана, но кто её ЭЦП проверяет ? По поводу всех документов - немного не правда. Некие письма с указивками приходят по е-майл без никакой эцп, а затем елефонный звонок - получилили ? Далее - РКН давно имеет список ИП, каждый провайдер отчитался откуда он забирает реестр. И фиреволл они построили наверное почти правильный. Так что квалифицированная эцп тут - ни к чему, разве только для упорядочения систем документооборота. И если бы они еще и указивки в odt-формате писали, подписанные ЭЦП , то в сфере провайдинга  наступила бы полная автоматизация и взаимопонимание.

[alibek]

9 минут назад, YuryD сказал:

Для чего такая сущность в выгрузке реестров из РКН ?

Например для идентификации оператора. ЭЦП нормальное решение, не хуже какой-нибудь самодельной системы авторизации.

Из плюсов тут автоматическая проверка на наличие действующей лицензии.

 

9 минут назад, YuryD сказал:

Выгрузка - да, подписана, но кто её ЭЦП проверяет ?

Я проверяю. Если подпись невалидна, скрипт пишет запись в лог.

 

9 минут назад, YuryD сказал:

Некие письма с указивками приходят по е-майл без никакой эцп, а затем елефонный звонок - получилили

У нас ни разу такого не было, по меньшей мере года три. Если придёт письмо без ЭЦП или без подписанного скана, я его проигнорирую.

 

9 минут назад, YuryD сказал:

Далее - РКН давно имеет список ИП, каждый провайдер отчитался откуда он забирает реестр.

Это не идентификация, а первая линия защиты от DoS. Например от нас заявлена подсеть /24, какая уж тут идентификация.

 

 

[LostSoul]

мне кажется, проблема высосана из пальца.

в кошмарном сне не пришло бы в голову платить 2700 в год за какую-то утилиту по преобразованию одного документированного широко используемого формата ключа в другой.

 

[YuryD]

Только что, alibek сказал:

Это не идентификация, а первая линия защиты от DoS. Например от нас заявлена подсеть /24, какая уж тут идентификация.

 

 

 Ну я всю свою AS заявил :) Подписи под выгрузкой не проверяю - за ненадобностью, прижмут - архивы есть с подписями.

 

1 минуту назад, LostSoul сказал:

мне кажется, проблема высосана из пальца.

в кошмарном сне не пришло бы в голову платить 2700 в год за какую-то утилиту по преобразованию одного документированного широко используемого формата ключа в другой.

 

 Опубликуйте бесплатное решение. Задача проста - забирать реестр запросом, подписанным квалифицированной эцп. Держать девочек-обезьян с кнопками и usb-токеном 24*365. С купленной системой типа крипто-про, или создать робота на базе опенссл с русским крипто. Других форматов эцп на флэшке - мне чего-то не предлагают, алладин и никого. Подскажите ?

[alibek]

Как сделано у меня (скрипт где-то я публиковал).

 

1. Раз в год получаю новый ключ, с перекрытием сроков действия на пару дней.

2. Раз в год делаю вручную экспорт в PEM.

3. Загружаю PEM на сервер, на котором работает скрипт, запускаю обновление используемого ключа.

 

На этом ручная работа закончена. Все остальное скрипт делает сам - подписывает запрос, отправляет его, получает ответ, проверяет подпись и пр.

[LostSoul]

И версий таких скриптов с разными вариантами работы на гитхабе три варианта было точно.

Но если лень позволяет сьездить, отстоять очередь и.т.п. на то чтоб перевыпустить сертификат, но потом не позволяет разобраться как экспортировать в pem бесплатно - ну значит такая лень избирательная.

 

[DimaM]

Во первых не надо было подписывать каждый запрос заново, достаточно подписать запрос один раз, для чего достаточно бесплатной версии криптопро,

скопировать запрос и подпись на сервак и пользоваться ими целый год.

 

PS

Но даже этот совет уже устарел, т.к. ЭЦП для забора списков больше не требуется.