default_vlan Posted April 3, 2019 (edited) · Report post Привет всем. Срок действия сертификата ЭЦП подходит к концу, следовательно и действие моей pkcs12 скоро также закончится. Уже не помню как и каким образом я получил эту открепленную подпись и от этого только хуже. Решил попробовать одну из софтин в интернете, но ее стоимость - 3К в год. Собственно это меня не радует и вопрос встает сам собой. Есть ли возможность получить pkcs12 бесплатно из контейнера CSP или каким-то еще образом? Как-то не хочется отдавать 3К за ПО, которым я в лучшем случае 2 раза в год воспользуюсь. Может есть какие решения? Спасибо. P.S. Просьба не советовать мне покупать ПО за 3000 мотивируя это тем, что штраф дороже. Я и так слишком много отдаю своей стране. Edited April 3, 2019 by default_vlan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted April 3, 2019 · Report post Если для выгрузки РКН, то вот уже много лет подписывается 1 запрос в год на другой машине и кормится в РКН этот подписанный запрос.. Я вообще в руках ключа не держал и даже его не видел ни разу. директор получил ключ, подписал готовый файл запроса и подпись отдал мне.. повторять раз в 365 дней. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
default_vlan Posted April 3, 2019 · Report post 21 минуту назад, st_re сказал: Если для выгрузки РКН, то вот уже много лет подписывается 1 запрос в год У меня такое не получилось и мы за это огребли. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted April 3, 2019 · Report post 1 час назад, default_vlan сказал: У меня такое не получилось и мы за это огребли. Что не получилось ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 3, 2019 · Report post 44 минуты назад, st_re сказал: Что не получилось ? Ну вечные хождения по граблям, описано многократно здесь. Пусть автор поиском пользуется.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
default_vlan Posted April 3, 2019 · Report post 2 часа назад, st_re сказал: Что не получилось ? Фокус такой не удался. 2 часа назад, YuryD сказал: Пусть автор поиском пользуется.... Мне гугл не помог, а вы о поиске по форуму((( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted April 3, 2019 · Report post 1 час назад, default_vlan сказал: Фокус такой не удался. Како фокус то ? запихивать одинажды подписанный реквест каждый раз вместо подписывать каждый раз ? Ну да, таки бином ньютона для нечеловеческого разума.... купите вынималку за 3000р и не парьтесь.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 3, 2019 · Report post 2 часа назад, default_vlan сказал: Фокус такой не удался. Мне гугл не помог, а вы о поиске по форуму((( я подтверждаю, работает. не факт конечно что будет всегда работать. Надо на мониторинг поставить успешность обновлений Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 4, 2019 · Report post 6 часов назад, LostSoul сказал: я подтверждаю, работает. не факт конечно что будет всегда работать. Надо на мониторинг поставить успешность обновлений Ну значит мне одному не везет, из рчц предупреждают заранее, что эцп скоро протухнет. Ну и подписать можно и протухшей, только вот на той стороне такой запрос от меня отвергают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
default_vlan Posted April 4, 2019 · Report post 7 часов назад, st_re сказал: запихивать одинажды подписанный реквест каждый раз вместо подписывать каждый раз ? Именно. Я такое делал и получил предписание для устранения. Я уже писал об этом в других ветках форума. 7 часов назад, st_re сказал: купите вынималку за 3000р и не парьтесь Бесплатных решений на базе openssl и чего-то подобного не бывает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 4, 2019 · Report post 38 минут назад, default_vlan сказал: Именно. Я такое делал и получил предписание для устранения. Я уже писал об этом в других ветках форума. Бесплатных решений на базе openssl и чего-то подобного не бывает? есть openssl с гост. представитель компании , выпускающей пакеты тут на форуме сидит. они вроде бы есть с коммерческой поддержкой, а есть и бесплатный вариант ( без поддержки ) 54 минуты назад, YuryD сказал: Ну значит мне одному не везет, из рчц предупреждают заранее, что эцп скоро протухнет. Ну и подписать можно и протухшей, только вот на той стороне такой запрос от меня отвергают. ну так это наверное робот делает. просто меняй файл запроса вовремя Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
default_vlan Posted April 4, 2019 · Report post 1 час назад, LostSoul сказал: выпускающей пакеты тут на форуме сидит. Можете его контакт дать? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted April 4, 2019 · Report post 6 часов назад, default_vlan сказал: Именно. Я такое делал и получил предписание для устранения. Я уже писал об этом в других ветках форума. Устранения ЧЕГО ? подпись валидна с-по. запрос подписан в этом периоде, период еще не кончился, проверка подписи проходит, ключ выдан на компанию с верным ИНН, есть живая лицензия на соотв. услуги для получения выгрузки.. Что устранять то предполагается? Да, за сертификатом своим надо следить и перевыпускать заранее и заранее подписывать новый реквест. раз в году руками и класть куда надо, ДО окончания действия старого. Если вы пропускаете дату, ну да, проблема, точно такая же как и то, что ваш ключ просто протух и вы не смогли им подписать новый запрос, или подписали когда не протух, но пытаетесь получить выгрузку после даты протухания. что так что так вы не получите выгрузку, не отметитесь в их системе, что выгрузка получена и (т.к. выгрузка просрочена) у вас будут пропуски по новый ресурсам. У меня есть чекалка в нагиосе (тупо дата валидности купленного сертификата в конфиге вписана руками, -30 дней до неё варнинг и -15 критикал, чтобы не забыть.). Но это не единственный способ не забыть перевыпустить сертификат. Вон, в телефон вписать будильник за 2 недели до срока Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 4, 2019 · Report post 1 час назад, st_re сказал: Устранения ЧЕГО ? того, что в запросе некорректная метка времени? В их инструкции написано что метка должна быть актуальная. скорее всего, многократная передача одинаковых данных снижает криптостойкость канала ну и прочие заморочки. Если вы в ноябре шлете запрос с меткой времени от января , то явно тут что-то не так. У них просто руки в РКН не дошли отказывать на запросы с меткой времени старше 10 минут, или там дважды по одной и той же метке не выдавать. 5 часов назад, default_vlan сказал: Можете его контакт дать? я не помню. по в гугле есть куча инфы по словам openssl gost https://www.altlinux.org/ГОСТ_в_OpenSSL а по словам openssl gost nag вы вероятно отыщите и сотрудника. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
default_vlan Posted April 4, 2019 · Report post 6 минут назад, LostSoul сказал: по в гугле есть куча инфы по словам openssl gost https://www.altlinux.org/ГОСТ_в_OpenSSL Благодарю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 4, 2019 · Report post 9 часов назад, LostSoul сказал: ну так это наверное робот делает. просто меняй файл запроса вовремя Им пофиг наверное на время в файле запроса, а подпись в запросе проверяют, и если она протухла - сразу отлуп. Про платную экспортилку я писал, купить несложно электронно, действует год, практически можно воспользоваться дважды, если новую эцп пораньше перевыпустить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 4, 2019 · Report post 13 минут назад, YuryD сказал: Им пофиг наверное на время в файле запроса, роботу пока пофиг. а если сотрудник вручную смотрел по какой-то надобности то вполне мог сделать ай-ай-ай Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted April 4, 2019 · Report post 2 часа назад, LostSoul сказал: того, что в запросе некорректная метка времени? В их инструкции написано что метка должна быть актуальная. скорее всего, многократная передача одинаковых данных снижает криптостойкость канала ну и прочие заморочки. Если вы в ноябре шлете запрос с меткой времени от января , то явно тут что-то не так. У них просто руки в РКН не дошли отказывать на запросы с меткой времени старше 10 минут, или там дважды по одной и той же метке не выдавать. где прочитать про 10 минут ? в моем понимании запрос сгенерирванный в период действия подписи - актуален. пока никто не напишет в иструкции какогото другого диапазона или... а 10 минут, там запросы то временами дольше обрабатываются. пускай тогда крестик снимают... А так, дальше можно слать всех кто подписывает опенсслем, т.к. оно не сертифицировано вообще. и с точки зрения закона оно просто не подпписано и не шифровано, если сертификата на средства нетути. А серверный лицензии на тот же криптопро уже не 3000 а 30к.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 4, 2019 · Report post 1 минуту назад, st_re сказал: где прочитать про 10 минут ? в моем понимании запрос сгенерирванный в период действия подписи - актуален. пока никто не напишет в иструкции какогото другого диапазона или... а 10 минут, там запросы то временами дольше обрабатываются. пускай тогда крестик снимают... Прочитать нигде, проверить можно. Подписать и через n минут отправить запрос. Если примут - то нет ограничений. Могу и сам проверить, но завтра. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted April 4, 2019 · Report post В инструкции вот тут , https://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf написано следующее Цитата Оператор связи формирует xml-файл запроса на получение выгрузки в формате: 2012-01-01T01:01:01.000+04:00 Наименование оператора 1234567890 1234567890123 email@email.ru requestTime – дата и время формирования запроса с указанием временной зоны; и далее чуть ниже Цитата В качестве параметров передаются файл запроса и файл подписи, сформированные на этапах 1-2. В ответ метод возвращает статус обработки запроса (принят или не принят), а также уникальный текстовый код, присвоенный данному запросу – в случае его принятия. Исходя из моей логики чтения технических документов , тут вполне понятно написано, что запрос должен быть уникальным. А не одним и тем-же , раз за разом. Хотя, конечно, прямого запрета использовать один и тот же заранее подготовленный файл запроса буквально не прописано. Но лично я эти требования понимаю так , нужно формировать уникальные запросы с актуальной датой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 4, 2019 · Report post 41 минуту назад, LostSoul сказал: Исходя из моей логики чтения технических документов , тут вполне понятно написано, что запрос должен быть уникальным. А не одним и тем-же , раз за разом. Расширенно трактуете. Ответ с кодом от них - уникальный, по нему затем забираются результаты. Отсюда несколько выводов. 1. Зная код ответа, результат(выгрузку) сможет получить любой желающий(эцп не требуется). 2. Выгрузка будет засчитана только подписанту запроса по факту принятия запроса. 3. Неявный результат разглашения кода последнего запроса дает возможность получит доступ к личному кабинету ревизора :) (Это они сами рекомендуют такой способ попадания в свой ЛК первый раз :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Urs_ak Posted April 4, 2019 · Report post Блин, у меня тоже P12FromGostCSP перестал работать - на новом сертификате крашится. Чего вы тут - просто подписываете на машине с Крипто-Про ? Надо тоже попробовать. UPD: я подписал крипто-прошной утилитой (требуется установленный Крипто-Про): https://www.cryptopro.ru/products/other/cryptcp утилита https://www.cryptopro.ru/sites/default/files/products/cryptcp/5.0.10804/cryptcp.x64.exe временная лицензия (на странице дают) https://www.cryptopro.ru/sites/default/files/products/cryptcp/licence.pdf Пример запуска (сертификат берётся из "Личного" хранилища пользователя) cryptcp.x64.exe -sign request.xml -der [-q] На выходе request.xml.sig Тут проверяется, что .sig нормальный https://www.gosuslugi.ru/pgu/eds/ Выгрузка забирается Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 4, 2019 · Report post 26 минут назад, Urs_ak сказал: Блин, у меня тоже P12FromGostCSP перестал работать - на новом сертификате крашится. Чего вы тут - просто подписываете на машине с Крипто-Про ? Надо тоже попробовать. Дедушка старый, мне пох... До перевыпуска по осени еще надо дожить, а там и лиссисофт что-нибудь продаст... Главное чтобы патчи в openssl были. Создать один раз подписанный запрос - это конечно идея. Проверить из дома понятно не смогу, но завтра, под страхом айяй - ну были демоны, самоликвидировались, попытаюсь проверить.... Про криптопро - она немного бесплатна даже, только столько в винду пихает, что вернуть её в бесплатное состояние непросто. Хинт- или создайте образ, или кочку восстановления системы, с бакапом своего. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted April 4, 2019 · Report post 5 часов назад, LostSoul сказал: а по словам openssl gost nag вы вероятно отыщите и сотрудника. Вот нашлось из старого: https://forum.nag.ru/index.php?/topic/79836-opublikovana-procedura-blokirovki-nekoshernoy-info/&page=21&tab=comments#comment-771668 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted April 4, 2019 · Report post 4 часа назад, YuryD сказал: Прочитать нигде, проверить можно. Подписать и через n минут отправить запрос. Если примут - то нет ограничений. Могу и сам проверить, но завтра. еще раз по буквам. у меня это работет, с какого там нам придумали эту развлекуху, 2014, кажется, года, или раньше, но в общем с самого начала. Было подписано ровно столько раз сколько покупалось ключей на 1 год каждый. подписано 1 раз свеже полученным ключем лично директором, оба файла положены на сервере и скармливаются каждый цикл забора весь оставшийся год без какого либо изменения как файла запроса, так и оторванной подписи. Сейчас успешно, судя по новым дампам, отдается запрос подписанный в июле 2018. В июле планируется операцию повторить снова, т.е получить ключ, подписать, пользоваться результатами пожписи следующий год. На сервере забирающем выгрузки слова ГОСТ вообще не знают. И закрытого ключа там отродясь небыло. Ну в общем я не настаиваю.. можно дальше искать, чем выгружать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...