Перейти к содержимому
Калькуляторы

Да, вашу мать государство!

 Не секрет, что провайдер должен сам забирать реестр запретинфо, иначе его взгреют не за фимльтрацию, а не за забор и пропуски забора. И вот - встал в поиске, моя автомато не сумеет работать, из-за того, что экспортёр в ркс12 от лисси стал платным. ЭЦП - да без траблем, но в использование его в автомате в сопенссл - невозможно, точнее небесплатно. Будет ли возможно у вас - воткнуть рутокен usb в скат, и имитировать забор собой рестра. Карбон вроде сделал, или ваять и подписывать с кем-то договор о заборе реестра ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно выгружать реестр с Вашей ЭПЦ облаком СКАТа, если хотите локально - так бесплатная версия ЛИССИ-Крипто прекрасно продолжает работать.

Или это запрос функционала автовыгрузки с локально хранимой ЭПЦ для VAS EXPERTS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если стоит ревизор  и он успешно все видит закрытым - обычно на забор списков самостоятельно закрывают глаза..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, satboy сказал:

Если стоит ревизор  и он успешно все видит закрытым - обычно на забор списков самостоятельно закрывают глаза..

Только не надо вредных советов.

На прошлом совещании в РНК раз 10 напомнили - выгрузка это РКН, ревизор - РЧЦ и штрафы ни как не связанны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выбирайте тот CA, который делает экспортируемые сертификаты. Наш CA по умолчанию делает неэкспортируемые, нужно в заявке возможность экспорта специально указывать (но в цене разницы нет).

Экспортер у меня остался с тех пор, когда он был публичным и бесплатным, им и пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если у кого-то уже случилась по факту беда и куплен "не экспортируемый" сертификат на брелке ruToken , то писали что там всё это профанация, реализация софтовая, ключ всё равно бывает в памяти компа при каждой операции.

И что  с помощью патченного криптопро такой неизвлекаемый ключ из ruToken всегда можно извлечь ( то есть "не извлекаемый" это не более чем флаг, определяющий поведение непатченного криптопровайдера )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
42 минуты назад, bike сказал:

Только не надо вредных советов.

На прошлом совещании в РНК раз 10 напомнили - выгрузка это РКН, ревизор - РЧЦ и штрафы ни как не связанны.

Протоколы по пропуску Ревизора - пишет РКН.  ЕСли кто-то не может или не хочет запросить у коллег данные - то может смело составлять протокол...  НО когда через полгода-год прокурор потребует с составителя возместить ущерб казне, платить он будет со своего кармана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Куплен хоть и экспортируемый, только средствами криптопро или виндовыми его в openssl не втащить. Единственная утилита - от лисси, но она теперь платная. Ну и геморрой с лицензированием.  Хотя пара писем в саппорт проблему решила быстро. А хотел я у скатовцев спросить - можно ли просто алладина в комп включить, чтобы имитировать выгрузку реестра. У конкурентов от карбона аж инструкция есть, как это можно сделать. Мне нужна имитация, а облако скатовское и так хорошо работает. Договор с кем-то за забор реестра для меня - это слишком геморройно затем доказывать, да и наводит проверяющих на лишние мысли. Мне нужно чисто выглядеть для ркн про забор реестра регулярный, а за фильтрацию и ревизоры - я спокоен, пока скат жив-здоров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы уж определитесь, алладин или ruToken всё таки?

 

Зачем вам утилита?

Из рутокена извлекается один раз ключ и сертификат в виде pem файла и используется уже потом ключ и сертификат из простого файла сколько вам влезет.

 

Тестовую выгрузку реестра с помощью криптопро я сделал тупо руками в блокноте используя примеры с их страницы за пару минут.

сделал запрос, подписал и отправил.

 

Вам нужен просто вменяемый ИТ-шник по моему.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, LostSoul сказал:

Вы уж определитесь, алладин или ruToken всё таки?

 

Зачем вам утилита?

Из рутокена извлекается один раз ключ и сертификат в виде pem файла и используется уже потом ключ и сертификат из простого файла сколько вам влезет.

 

 Я в сортах криптодерьма не особо разбираюсь. То, что мне дали наши эцпшники - это usb с надпистью алладин. И то, что они - очумные, занимаются эцп за зряплату у нас, смогли мне экспортировать в p12 -как-то не очень нравилось openssl при попытке сделать pem.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, YuryD сказал:

Я в сортах криптодерьма не особо разбираюсь. То, что мне дали наши эцпшники - это usb с надпистью алладин. И то, что они - очумные, занимаются эцп за зряплату у нас, смогли мне экспортировать в p12 -как-то не очень нравилось openssl при попытке сделать pem.

может они просто без приватного ключа экспортировали, вот и не понравилось?

там можно сертификат с ключем в обнимку, а можно отдельно

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, LostSoul сказал:

может они просто без приватного ключа экспортировали, вот и не понравилось?

там можно сертификат с ключем в обнимку, а можно отдельно

 

 Ну да, он при мне какие-то умные кнопки нажимал и галочки ставил. Но pem из этого как-то не получался. Мне их гнать за профнепригодность ? :)  В pem так-то всё видно, если его openssl сделал, вот серт, внизу приватный ключ. А утиль p12fromgost сделала нормальный .p12, который пережевался с радостью опенсслем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, YuryD сказал:

 Ну да, он при мне какие-то умные кнопки нажимал и галочки ставил. Но pem из этого как-то не получался. Мне их гнать за профнепригодность ? :)  В pem так-то всё видно, если его openssl сделал, вот серт, внизу приватный ключ. А утиль p12fromgost сделала нормальный .p12, который пережевался с радостью опенсслем

то есть сейчас у вас все получилось?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, LostSoul сказал:

то есть сейчас у вас все получилось?

 

Покупкой p12fromgostxxx, И траханием с её использованием. Я токен трижды у директора просил, что неудобно, и еще пинками  эцпшников  про пинкод. Ну и зачем мне такой геморрой - каждый год ? Поэтому и хочу от скатовцев симулятор забора реестра с моего ската с моим токеном. Не обязательно его применять, главное - архивы заборов хранить, ну и логи неудач забора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По моему довольно странно бегать за кем-то и просить сделать в своем продукте то, что можно легко сделать себе самостоятельно один вечер максимум.

 

Тем более вы говорите утилиту уже купили, ну и в чем дело то?

Как новый сертификат получаете сразу преобразуете его в нужный формат и вопрос решен.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
48 минут назад, YuryD сказал:

У конкурентов от карбона аж инструкция есть, как это можно сделать.

Это означает дать неизвестному лицу свою квалифицированную ЭЦП.

Лень это полезное свойство, но в данном случае лучше не лениться.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, LostSoul сказал:

По моему довольно странно бегать за кем-то и просить сделать в своем продукте то, что можно легко сделать себе самостоятельно один вечер максимум.

 

Тем более вы говорите утилиту уже купили, ну и в чем дело то?

Как новый сертификат получаете сразу преобразуете его в нужный формат и вопрос решен.

 

 

 Не совсем бесплатно. Я покупаю ЭЦП - за деньги, и еще вынужден покупать экстрактор эцп, 2700 за год, это в 2017. Так не проще ли мне запросить функционал, который сэкономит мне время жизни ? Пусть и небесплатно. Чтобы я открыл дверь серверной, вынул старый usb и вонзил новый ?  И ещё раз - фильтрация, ревизоры и проч эцп - это не то, за что мне платят деньги, просто навязанная реальность.

 

6 минут назад, alibek сказал:

Это означает дать неизвестному лицу свою квалифицированную ЭЦП.

Лень это полезное свойство, но в данном случае лучше не лениться.

 

 Это не мой вопрос. Государство потребовало квалифицированную - значит так им надо. Правда зачем подписывать запрос на выгрузку реестра квалифицированной - мне не понятно. Они и свои-то документы не всегда подписывают. Но дура лекс - сед лекс :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
46 минут назад, YuryD сказал:

Правда зачем подписывать запрос на выгрузку реестра квалифицированной - мне не понятно.

Квалифицированная ЭЦП — это юридический аналог собственноручной подписи.

То есть должностное лицо оператора собственноручно подписывает запрос на получение выгрузки (а без подписи возникает вопрос, как доказать, что запрос был направлен). И в ответ на этот запрос получает выгрузку, заверенную и подписанную ЭЦП РКН (а без подписи возникает вопрос, как доказать, что именно этот дамп был получен от РКН).

И кстати, все документы, которые мы получаем от РКН, уже достаточно давно подписываются квалифицированной ЭЦП.

Передавать закрытый ключ от своей ЭЦП кому-то постороннему — не самый разумный поступок. Этой ЭЦП можно много где воспользоваться — например на площадке гос.торгов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, alibek сказал:

Квалифицированная ЭЦП — это юридический аналог собственноручной подписи.

 

 Для чего такая сущность в выгрузке реестров из РКН ? Это совсекретно? , максимум - дсп. Выгрузка - да, подписана, но кто её ЭЦП проверяет ? По поводу всех документов - немного не правда. Некие письма с указивками приходят по е-майл без никакой эцп, а затем елефонный звонок - получилили ? Далее - РКН давно имеет список ИП, каждый провайдер отчитался откуда он забирает реестр. И фиреволл они построили наверное почти правильный. Так что квалифицированная эцп тут - ни к чему, разве только для упорядочения систем документооборота. И если бы они еще и указивки в odt-формате писали, подписанные ЭЦП , то в сфере провайдинга  наступила бы полная автоматизация и взаимопонимание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
9 минут назад, YuryD сказал:

Для чего такая сущность в выгрузке реестров из РКН ?

Например для идентификации оператора. ЭЦП нормальное решение, не хуже какой-нибудь самодельной системы авторизации.

Из плюсов тут автоматическая проверка на наличие действующей лицензии.

 

9 минут назад, YuryD сказал:

Выгрузка - да, подписана, но кто её ЭЦП проверяет ?

Я проверяю. Если подпись невалидна, скрипт пишет запись в лог.

 

9 минут назад, YuryD сказал:

Некие письма с указивками приходят по е-майл без никакой эцп, а затем елефонный звонок - получилили

У нас ни разу такого не было, по меньшей мере года три. Если придёт письмо без ЭЦП или без подписанного скана, я его проигнорирую.

 

9 минут назад, YuryD сказал:

Далее - РКН давно имеет список ИП, каждый провайдер отчитался откуда он забирает реестр.

Это не идентификация, а первая линия защиты от DoS. Например от нас заявлена подсеть /24, какая уж тут идентификация.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мне кажется, проблема высосана из пальца.

в кошмарном сне не пришло бы в голову платить 2700 в год за какую-то утилиту по преобразованию одного документированного широко используемого формата ключа в другой.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, alibek сказал:

Это не идентификация, а первая линия защиты от DoS. Например от нас заявлена подсеть /24, какая уж тут идентификация.

 

 

 Ну я всю свою AS заявил :) Подписи под выгрузкой не проверяю - за ненадобностью, прижмут - архивы есть с подписями.

 

1 минуту назад, LostSoul сказал:

мне кажется, проблема высосана из пальца.

в кошмарном сне не пришло бы в голову платить 2700 в год за какую-то утилиту по преобразованию одного документированного широко используемого формата ключа в другой.

 

 Опубликуйте бесплатное решение. Задача проста - забирать реестр запросом, подписанным квалифицированной эцп. Держать девочек-обезьян с кнопками и usb-токеном 24*365. С купленной системой типа крипто-про, или создать робота на базе опенссл с русским крипто. Других форматов эцп на флэшке - мне чего-то не предлагают, алладин и никого. Подскажите ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как сделано у меня (скрипт где-то я публиковал).

 

1. Раз в год получаю новый ключ, с перекрытием сроков действия на пару дней.

2. Раз в год делаю вручную экспорт в PEM.

3. Загружаю PEM на сервер, на котором работает скрипт, запускаю обновление используемого ключа.

 

На этом ручная работа закончена. Все остальное скрипт делает сам - подписывает запрос, отправляет его, получает ответ, проверяет подпись и пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И версий таких скриптов с разными вариантами работы на гитхабе три варианта было точно.

Но если лень позволяет сьездить, отстоять очередь и.т.п. на то чтоб перевыпустить сертификат, но потом не позволяет разобраться как экспортировать в pem бесплатно - ну значит такая лень избирательная.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во первых не надо было подписывать каждый запрос заново, достаточно подписать запрос один раз, для чего достаточно бесплатной версии криптопро,

скопировать запрос и подпись на сервак и пользоваться ими целый год.

 

PS

Но даже этот совет уже устарел, т.к. ЭЦП для забора списков больше не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас