LostSoul Опубликовано 4 апреля, 2019 · Жалоба 38 минут назад, st_re сказал: у меня это работет то что оно работает, не значит что так правильно и можно делать. по встречке тоже вон ездить можно и это работает. Авторы протокола указали, что в запросе должна быть актуальная метка времени запроса. На данный момент использование этого поля не реализовано. А в будущем, кто знает, вдруг оно старую историческую версию списка станет отдавать или ещё какая блажь. Я сам делаю точно так же как вы . Но при этом отчетливо понимаю что я НАРУШАЮ регламент. И я готов получить по шапке и исправится , если потребуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 4 апреля, 2019 · Жалоба 23 минуты назад, LostSoul сказал: то что оно работает, не значит что так правильно и можно делать. по встречке тоже вон ездить можно и это работает. Авторы протокола указали, что в запросе должна быть актуальная метка времени запроса. На данный момент использование этого поля не реализовано. А в будущем, кто знает, вдруг оно старую историческую версию списка станет отдавать или ещё какая блажь. Я сам делаю точно так же как вы . Но при этом отчетливо понимаю что я НАРУШАЮ регламент. И я готов получить по шапке и исправится , если потребуется. Если Вы про Цитата В качестве параметров передаются файл запроса и файл подписи, сформированные на этапах 1-2. В ответ метод возвращает статус обработки запроса (принят или не принят), а также уникальный текстовый код, присвоенный данному запросу – в случае его принятия. то этот код они возвращают нам, а не то что даем им мы.. он похоже длействительно каждый раз разный, на уникальность я не проверял, ибо логи конечно храню несколько лет, но не занимался парсингом... да и логи у меня только свои, а операторов, их тьма, а код не столь длинный, надо смотреть как его генерят, но нам что то не покызывают :)... Если про дату в запросе... ну она актуальная вполне, из срока действия ключа, ни до ни после :) Критерияе актуальности других вроде как нет..Както проще решать проблемы по мере поступления. А если это поменяется... да там 100500 еще чего может поменяться. завтра проверят сертифицированная ли криптография с нашей стороны, и все со своимми опенсселями пойдут лесом стройными колоннами покупать сертифицированные средства, обо это все несертифицировано ни разу. то что оно из исходников тех же, что и криптопро и писано ими же, це не важно, сертификата на это, опен, нет, о чем на сайте криптопро и написано. С точки зрения закона оно не кошерно :) А там еще брошурка на 70+ листов по обеспечению доступа к ключам. и ежедневным ребутом сервера с контролем, что не перегревается.. где Ваш журнал с соотв отметками и роспиясми, что проверяли ? вот то то.. (Тут, блин, задачка прилетела, кажется с гостом придется плотно познакомиться, причем с честным, с сертификатами и журналами, совсем не в сторону РКН. пока штудирую методички и надеюсь, что пролетит мимо..) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 апреля, 2019 · Жалоба 8 часов назад, st_re сказал: опенсселями пойдут лесом стройными колоннами покупать сертифицированные средства так она сертифицированная от криптокома. но лицензию купить действительно придеться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 5 апреля, 2019 · Жалоба 10 часов назад, LostSoul сказал: Но при этом отчетливо понимаю что я НАРУШАЮ регламент. Так создайте заранее все 100500 запросов с разным временем и подпишите их на винде. Автоматизировать чем угодно можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 5 апреля, 2019 · Жалоба 13 часов назад, Andrei сказал: Вот нашлось из старого: https://forum.nag.ru/index.php?/topic/79836-opublikovana-procedura-blokirovki-nekoshernoy-info/&page=21&tab=comments#comment-771668 Так вот там ключевую роль играет P12FromGostCSP, который у меня, например, крАшится на новом сертификате Цитата экспорт осуществить можно при помощи: http://www.lissi-crypto.ru/free_distribs/p12fromcsp_download/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
default_vlan Опубликовано 5 апреля, 2019 · Жалоба 14 часов назад, st_re сказал: еще раз по буквам. у меня это работет я вам 15 раз пытаюсь объяснить, что территориальные органы РКН или кто их там контролирует со своими заходами. И в 15 раз я объясняю, то нашей организации сказали устранить и в XML-файле запроса указывать дату. Повторного предписания я не хочу. Вместо того, чтобы вникнуть в суть проблемы, вы "включили" доктора-программиста: "У меня такая же нога и не болит" 16 часов назад, Andrei сказал: Вот нашлось из старого: https://forum.nag.ru/index.php?/topic/79836-opublikovana-procedura-blokirovki-nekoshernoy-info/&page=21&tab=comments#comment-771668 Спасибо за ссылку. У меня изначально так сделано. Сложность в том, что есть пункт 4 Цитата 4. конвертируем полученный на Windows PKCS#12 в PEM: Я хотел бы от него уйти или избежать его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 апреля, 2019 · Жалоба 3 часа назад, ixi сказал: Так создайте заранее все 100500 запросов с разным временем и подпишите их на винде. Автоматизировать чем угодно можно. Да, в принципе это решение. Только подписание занимает время и чтобы подписать 8760 запросов потребуется (например по 5 секунд на файл) более 12 часов, то есть минимум два рабочих дня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a290 Опубликовано 5 апреля, 2019 · Жалоба 3 часа назад, Urs_ak сказал: Так вот там ключевую роль играет P12FromGostCSP, который у меня, например, крАшится на новом сертификате Так надо обновленную версию от 2016 года с поддежкой GOST2012. Либо купить, либо спиратить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 апреля, 2019 · Жалоба Спиратить не получится, там не дураки отдавать курицу, которая золотые яйца несет. Теоретически можно оплатить разработку с нуля подобной утилиты и подарить ее провайдерам. Но такого не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 апреля, 2019 · Жалоба 4 часа назад, alibek сказал: Спиратить не получится, там не дураки отдавать курицу, которая золотые яйца несет. Спиратить можно всё :) Но нарываться на недоумённые запросы правообладателей, отчего вами купленный продукт оказался в неизвестных руках ? Да и потом, ЭЦП и выгрузка это примерно тыщ 6 в год, стоит оно того, чтобы на этом экономить, вся эта выгрузка - к основному бизнесу провайдера имеет весьма косвенное отношение. Это неизбежные издержки. Засада будет видимо в другом, госты они собирались поменять, а это опенссл уже придётся патчить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 апреля, 2019 · Жалоба 5 часов назад, default_vlan сказал: я вам 15 раз пытаюсь объяснить, что территориальные органы РКН или кто их там контролирует со своими заходами. И в 15 раз я объясняю, то нашей организации сказали устранить и в XML-файле запроса указывать дату. Повторного предписания я не хочу. Вместо того, чтобы вникнуть в суть проблемы, вы "включили" доктора-программиста: "У меня такая же нога и не болит" Ну как вы вы так и не сказали точную формулировк, что им не понравилось... "это не прокатило" не слишком точно описывает их ответ Дата в ХМЛ запросе есть в описании (не дата а таймстапм генерации запроса, не важно, пусть называется дата).. у меня она там естественно есть.. какое то там июля 2018 года. где в их инструкции написано что она должна быть сегодня на момент отправки запроса? Она валидная в диапазоне действия ключа? Это время генерации запроса = времени его подписи. Где сказано что запрос действителен XX часов-минут-секунд-дней-лет с момента подписания ? Проверку оно успешно проходит как через ручную отправку, так и автоматом. Спасибо, расслабляемся. Я так понимаю вы попали на очередные косяки в работе их поделия, они не слишком разбираясь что это не работает у них по их косякам и зацепились за вашу дату в реквесте, вы и повелись... ну да, вариант. Это не секрет, их отвечальщики вообще мало понимают как оно у них там работает, и цепляться будут за что угодно.. Ну завтра прицепятся к чемуто другому, на процесс не влияющему... Да, отвечальщики в разных регионах расные... а вот софт с их стороны делающий проверки и выгрузки всетаки похоже одинаковый.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 апреля, 2019 · Жалоба 3 минуты назад, st_re сказал: Где сказано что запрос действителен XX часов-минут-секунд-дней-лет с момента подписания ? Проверку оно успешно проходит как через ручную отправку, так и автоматом. Спасибо, расслабляемся. Как и обещал, проверил. Подписал запрос с датой, через сутки отправил - всё сработало. И вообще, заниматься этой непрофильной херней (непрофильной!) нормальному ленивому сисадмину в лом. Для гимнастики головного мозга есть масса более интересных случаев. Положено забирать - забираем, положено блокировать - блокируем, но не самопиской, а дпи, который стоит как хороший авто, и сам списки из своего облака забирает. Держать пытчивого юношу, для создания собственного дпи или своей фильтрации официально дороже выйдет. Вот только мне бы бамагу от дпи-производителя, что забираем и фильтруем, не дают.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 апреля, 2019 · Жалоба Ну если они бумагу подпишут, вы же им штрафы понесете ... онж не дураки.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 апреля, 2019 · Жалоба 5 минут назад, st_re сказал: Ну если они бумагу подпишут, вы же им штрафы понесете ... онж не дураки.. Мнять, попасть в список рекомендованных - не дураки, что конечно снижает количество претензий со стороны ркн и рчц. И даже в суде может помочь, при наезде оголтелой прокуратуры например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 5 апреля, 2019 · Жалоба 5 минут назад, YuryD сказал: попасть в список рекомендованных - не дураки, что конечно снижает количество претензий со стороны ркн и рчц. Не буду рекламировать, чью систему блокировки мы используем, но у них есть тариф с защитой от штрафов РКН. Вопрос цены. :) 6 минут назад, YuryD сказал: И даже в суде может помочь, при наезде оголтелой прокуратуры например. Мы в суде говорили примерно так: поставили систему блокировки из рекомендованных РКН, согласно протоколов испытаний РКН система блокировки не блокирует 100% (есть пропуски в 0.004%), по протоколу РКН мы в этот процент пропусков уложились, т.е. рекомендованная система работает с заявленными параметрами, а надзорный орган сам признает невозможность 100% блокировки. На что суд сказал - невозможность 100% блокировки не является основанием для непривлечения оператора к ответственности. Так что в суде не прокатывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 апреля, 2019 · Жалоба Увы, это наши реалии, а не росстатовские заключения о том, что всё в РФ хорошо... Надеюсь, что оспорили, хотя сумма штрафа нормального адвоката не впечатлит.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 5 апреля, 2019 · Жалоба Оспаривали, но... :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
default_vlan Опубликовано 8 апреля, 2019 · Жалоба В 05.04.2019 в 19:45, st_re сказал: где в их инструкции написано что она должна быть сегодня на момент отправки запроса? Вы инструкцию читали?http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf - на всякий случай. Цитата 4. Описание процесса получения выгрузки requestTime – дата и время формирования запроса с указанием временной зоны; Избыточно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 апреля, 2019 · Жалоба В 05.04.2019 в 12:56, alibek сказал: Спиратить не получится, там не дураки отдавать курицу, которая золотые яйца несет. Теоретически можно оплатить разработку с нуля подобной утилиты и подарить ее провайдерам. Но такого не бывает. Самое сложное во всей этой теме - получить приватный ключ, скажем в виде hex или в виде сертификата. Вся наша крипта уже есть в опенсорсных реализациях, собрать утилиту которая подписывает нечто таким приватным ключём можно за 1-2 вечера, там практическая сложность может быть разве что в нюансах куда потом подпись девать и в каком формате. Те если на вход приходит криватный ключ в hex (вероятно его формат в виде пары опций на выбор), имя файла который подписать и выплёвывать подпись на выходе в hex - то вообще не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...