[LostSoul]

38 минут назад, st_re сказал:

у меня это работет

то что оно работает, не значит что так правильно и можно делать.

по встречке тоже вон ездить можно и это работает.

Авторы протокола указали, что в запросе должна быть актуальная метка времени запроса.

На данный момент использование этого поля не реализовано.

А в будущем, кто знает, вдруг оно старую историческую версию списка станет отдавать или ещё какая блажь.

 

Я сам делаю точно так же как вы .

Но при этом отчетливо понимаю что я НАРУШАЮ регламент.

И я готов получить по шапке и исправится , если потребуется.

[st_re]

23 минуты назад, LostSoul сказал:

то что оно работает, не значит что так правильно и можно делать.

по встречке тоже вон ездить можно и это работает.

Авторы протокола указали, что в запросе должна быть актуальная метка времени запроса.

На данный момент использование этого поля не реализовано.

А в будущем, кто знает, вдруг оно старую историческую версию списка станет отдавать или ещё какая блажь.

 

Я сам делаю точно так же как вы .

Но при этом отчетливо понимаю что я НАРУШАЮ регламент.

И я готов получить по шапке и исправится , если потребуется.

 

Если Вы про

Цитата

 

В качестве параметров передаются файл запроса и файл подписи, сформированные на этапах 1-2. В ответ метод возвращает статус обработки запроса (принят или не принят), а также уникальный текстовый код, присвоенный данному запросу – в случае его принятия. 
 

 

то этот код они возвращают нам, а не то что даем им мы.. он похоже длействительно каждый раз разный, на уникальность я не проверял, ибо логи конечно храню несколько лет, но не занимался парсингом... да и логи у меня только свои, а операторов, их тьма, а код не столь длинный, надо смотреть как его генерят, но нам что то не покызывают :)...

 

Если про дату в запросе... ну она актуальная вполне, из срока действия ключа, ни до ни после :) Критерияе актуальности других вроде как нет..Както проще решать проблемы по мере поступления. А если это поменяется... да там 100500 еще чего может поменяться. завтра проверят сертифицированная ли криптография с нашей стороны, и все со своимми опенсселями пойдут лесом стройными колоннами покупать сертифицированные средства, обо это все несертифицировано ни разу. то что оно из исходников тех же, что и криптопро и писано ими же, це не важно, сертификата на это, опен, нет, о чем на сайте криптопро и написано. С точки зрения закона оно не кошерно :) А там еще брошурка на 70+ листов по обеспечению доступа к ключам. и ежедневным ребутом сервера с контролем, что не перегревается.. где Ваш журнал с соотв отметками и роспиясми, что проверяли ? вот то то.. (Тут, блин, задачка прилетела, кажется с гостом придется плотно познакомиться, причем с честным, с сертификатами и журналами, совсем не в сторону РКН. пока штудирую методички и надеюсь, что пролетит мимо..)

[LostSoul]

8 часов назад, st_re сказал:

опенсселями пойдут лесом стройными колоннами покупать сертифицированные средства

так она сертифицированная от криптокома.    но лицензию купить действительно придеться.

 

[ixi]

10 часов назад, LostSoul сказал:

Но при этом отчетливо понимаю что я НАРУШАЮ регламент.

Так создайте заранее все 100500 запросов с разным временем и подпишите их на винде. Автоматизировать чем угодно можно.

[Urs_ak]

13 часов назад, Andrei сказал:

Вот нашлось из старого: https://forum.nag.ru/index.php?/topic/79836-opublikovana-procedura-blokirovki-nekoshernoy-info/&page=21&tab=comments#comment-771668

 

Так вот там ключевую роль играет P12FromGostCSP, который у меня, например, крАшится на новом сертификате

Цитата

экспорт осуществить можно при помощи: http://www.lissi-crypto.ru/free_distribs/p12fromcsp_download/

 

[default_vlan]

14 часов назад, st_re сказал:

еще раз по буквам. у меня это работет

я вам 15 раз пытаюсь объяснить, что территориальные органы РКН или кто их там контролирует со своими заходами. И в 15 раз я объясняю, то нашей организации сказали устранить и в XML-файле запроса указывать дату. Повторного предписания я не хочу. Вместо того, чтобы вникнуть в суть проблемы, вы "включили" доктора-программиста: "У меня такая же нога и не болит"

 

16 часов назад, Andrei сказал:

Вот нашлось из старого: https://forum.nag.ru/index.php?/topic/79836-opublikovana-procedura-blokirovki-nekoshernoy-info/&page=21&tab=comments#comment-771668

Спасибо за ссылку. У меня изначально так сделано. Сложность в том, что есть пункт 4
 

Цитата

4. конвертируем полученный на Windows PKCS#12 в PEM:

 

Я хотел бы от него уйти или избежать его.

[alibek]

3 часа назад, ixi сказал:

Так создайте заранее все 100500 запросов с разным временем и подпишите их на винде. Автоматизировать чем угодно можно.

Да, в принципе это решение.

Только подписание занимает время и чтобы подписать 8760 запросов потребуется (например по 5 секунд на файл) более 12 часов, то есть минимум два рабочих дня.

[a290]

3 часа назад, Urs_ak сказал:

Так вот там ключевую роль играет P12FromGostCSP, который у меня, например, крАшится на новом сертификате

 

Так надо обновленную версию от 2016 года с поддежкой GOST2012. Либо купить, либо спиратить.

[alibek]

Спиратить не получится, там не дураки отдавать курицу, которая золотые яйца несет.

Теоретически можно оплатить разработку с нуля подобной утилиты и подарить ее провайдерам.

Но такого не бывает.

[YuryD]

4 часа назад, alibek сказал:

Спиратить не получится, там не дураки отдавать курицу, которая золотые яйца несет.

 

 Спиратить можно всё :) Но нарываться на недоумённые запросы правообладателей, отчего вами купленный продукт оказался в неизвестных руках ? Да и потом, ЭЦП и выгрузка это примерно тыщ 6 в год, стоит оно того, чтобы на этом экономить, вся эта выгрузка - к основному бизнесу провайдера имеет весьма косвенное отношение. Это неизбежные издержки. Засада будет видимо в другом, госты они собирались поменять, а это опенссл уже придётся патчить.

[st_re]

5 часов назад, default_vlan сказал:

я вам 15 раз пытаюсь объяснить, что территориальные органы РКН или кто их там контролирует со своими заходами. И в 15 раз я объясняю, то нашей организации сказали устранить и в XML-файле запроса указывать дату. Повторного предписания я не хочу. Вместо того, чтобы вникнуть в суть проблемы, вы "включили" доктора-программиста: "У меня такая же нога и не болит"

 

Ну как вы вы так и не сказали точную формулировк, что им не понравилось... "это не прокатило" не слишком точно описывает их ответ

Дата в ХМЛ запросе есть в описании (не дата а таймстапм генерации запроса, не важно, пусть называется дата).. у меня она там естественно есть..  какое то там июля 2018 года. где в их инструкции написано что она должна быть сегодня на момент отправки запроса?  Она валидная в диапазоне действия ключа? Это время генерации запроса = времени его подписи. Где сказано что запрос действителен  XX часов-минут-секунд-дней-лет с момента подписания ? Проверку оно успешно проходит как через ручную отправку, так и автоматом. Спасибо, расслабляемся. 

 

Я так понимаю вы попали на очередные косяки в работе их поделия, они не слишком разбираясь что это не работает у них по их косякам и зацепились за вашу дату в реквесте, вы и повелись... ну да, вариант. Это не секрет, их  отвечальщики вообще мало понимают как оно у них там работает, и цепляться будут за что угодно.. Ну завтра прицепятся к чемуто другому, на процесс не влияющему... Да, отвечальщики в разных регионах расные... а вот софт с их стороны делающий проверки и выгрузки всетаки похоже одинаковый.. 

[YuryD]

3 минуты назад, st_re сказал:

 Где сказано что запрос действителен  XX часов-минут-секунд-дней-лет с момента подписания ? Проверку оно успешно проходит как через ручную отправку, так и автоматом. Спасибо, расслабляемся. 

 Как и обещал, проверил. Подписал запрос с датой, через сутки отправил - всё сработало. И вообще, заниматься этой непрофильной херней  (непрофильной!) нормальному ленивому сисадмину в лом. Для гимнастики головного мозга есть масса более интересных случаев. Положено забирать - забираем, положено блокировать - блокируем, но не самопиской, а дпи, который стоит как хороший авто, и сам списки из своего облака забирает. Держать пытчивого юношу, для создания собственного дпи или своей фильтрации  официально дороже выйдет. Вот только мне бы бамагу от дпи-производителя, что забираем и фильтруем, не дают....

[st_re]

Ну если они бумагу подпишут, вы же им штрафы понесете ... онж не дураки..

[YuryD]

5 минут назад, st_re сказал:

Ну если они бумагу подпишут, вы же им штрафы понесете ... онж не дураки..

 Мнять, попасть в список рекомендованных - не дураки, что конечно снижает количество претензий со стороны ркн и рчц. И даже в суде может помочь, при наезде оголтелой прокуратуры например.

[Andrei]

5 минут назад, YuryD сказал:

попасть в список рекомендованных - не дураки, что конечно снижает количество претензий со стороны ркн и рчц.

Не буду рекламировать, чью систему блокировки мы используем, но у них есть тариф с защитой от штрафов РКН. Вопрос цены. :)

 

6 минут назад, YuryD сказал:

И даже в суде может помочь, при наезде оголтелой прокуратуры например.

Мы в суде говорили примерно так: поставили систему блокировки из рекомендованных РКН, согласно протоколов испытаний РКН система блокировки не блокирует 100% (есть пропуски в 0.004%), по протоколу РКН мы в этот процент пропусков уложились, т.е. рекомендованная система работает с заявленными параметрами, а надзорный орган сам признает невозможность 100% блокировки.  На что суд сказал - невозможность 100% блокировки не является основанием для непривлечения оператора  к ответственности.

Так что в суде не прокатывает.

[YuryD]

 Увы, это наши реалии, а не росстатовские заключения о том, что всё в РФ хорошо... Надеюсь, что оспорили, хотя сумма штрафа нормального адвоката не впечатлит....

[Andrei]

Оспаривали, но... :(

[default_vlan]

В 05.04.2019 в 19:45, st_re сказал:

где в их инструкции написано что она должна быть сегодня на момент отправки запроса?

Вы инструкцию читали?
http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf - на всякий случай.

 

Цитата

4. Описание процесса получения выгрузки

requestTime – дата и время формирования запроса с указанием временной зоны;

Избыточно?

[Ivan_83]

В 05.04.2019 в 12:56, alibek сказал:

Спиратить не получится, там не дураки отдавать курицу, которая золотые яйца несет.

Теоретически можно оплатить разработку с нуля подобной утилиты и подарить ее провайдерам.

Но такого не бывает.

Самое сложное во всей этой теме - получить приватный ключ, скажем в виде hex или в виде сертификата.

Вся наша крипта уже есть в опенсорсных реализациях, собрать утилиту которая подписывает нечто таким приватным ключём можно за 1-2 вечера, там практическая сложность может быть разве что в нюансах куда потом подпись девать и в каком формате.

Те если на вход приходит криватный ключ в hex (вероятно его формат в виде пары опций на выбор), имя файла который подписать и выплёвывать подпись на выходе в hex - то вообще не проблема.