Перейти к содержимому
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

4 минуты назад, st_re сказал:

пускай 1 раз подпишут запрос и с ним целый год и ходить

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, Andrei сказал:

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

Все годы так и делал, пока dpi не поставили. Там все проще.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

29 минут назад, Andrei сказал:

По-моему дата/время  в запросе должны меняться.

В теории да, в этом и смысл запроса, подписываемого ЭЦП.

В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его).

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

50 минут назад, Andrei сказал:

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

работает именно так с момента появления необходимости загружать список. раз в год после получения новой подписи подписывается новый файл и подсовывается качальщику. Сам ключ я в глаза не видел ни разу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, alibek сказал:

В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его).

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

1) Не "в настоящий момент", а "по".

2) "Если вдруг" что-то вот четыре года все никак не наступит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, snvoronkov сказал:

2) "Если вдруг" что-то вот четыре года все никак не наступит.

Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина.

Не так уж много.

Неужели лучше надеяться, что РКН ничего не поменяет?

Риски ведь велики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, alibek сказал:

Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина.

Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, Andrei сказал:

Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

Во-первых, слабым звеном обычно оказывается человек, а не сервер.

А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, alibek сказал:

для ЕРДИ у меня отдельная ЭЦП

Это хороший выход, но затраты. А разговор начался про использование уже имеющегося ключа бухов, например "контуровского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Andrei сказал:

Если у вас бухгалтерия сдает отчетность в электронном виде, через "Контур" например, то эта ЭЦП подходит для выгрузок реестра. Если только отбросить паранойю на счет того, что ей будет пользоваться еще кто-то кроме бухов. Если паранойя присутствует, то да, придется делать отдельную ЭЦП. 

Заранее подписать запрос(ы) и потом их использовать никто не мешает. Сама подпись на сервере не нужна

 

1 час назад, alibek сказал:

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

Можно заранее сформировать сколько угодно запросов. У меня они с интервалом в час, всегда свежий используется.

 

40 минут назад, alibek сказал:

А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. 

Такое возможно? вроде обсуждали уже, что минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Andrei сказал:

Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

 Это вы еще сберовскую паранойю не видели.... Только для того чтобы получить реестр приходов, всего-лишь... Не скажу, что хранить экспортированный ключ для openssl хорошо, но сервер-то можно зафайерволить до паранойи, если это конечно не винда. 4 года об безопасности ключа думаю.... Заддосить могут, проникнуть до рута и ключа - не думаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, ixi сказал:

Такое возможно?

Разумеется ЭЦП должна быть не на генерального директора, а на должностное лицо.

А у должностного лица есть доверенность, где перечислено, что оно может делать.

 

2 часа назад, ixi сказал:

Можно заранее сформировать сколько угодно запросов.

Это 8760 запросов на год вперед.

Вручную это не сделать.

А если есть автоматизация, то уже не столь важно, делаются запросы по требованию или заранее пачкой.

Но вообще да, это тоже решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, alibek сказал:

азумеется ЭЦП должна быть не на генерального директора, а на должностное лицо.

А у должностного лица есть доверенность, где перечислено, что оно может делать. 

Это все понятно, но

 

10 часов назад, ixi сказал:

минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. 

Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Нельзя сделать ЭЦП исключительно на выгрузку реестра. Мы пытались и обломались.

Изменено пользователем ALaddin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, ALaddin сказал:

Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности.

Ну если делать доверенность с полномочиями ген.дира, то да.

Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны.

У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены.

 

6 часов назад, ALaddin сказал:

Нельзя сделать ЭЦП исключительно на выгрузку реестра.

ЭЦП сама по себе никаких полномочий не дает и какие-то задачи не делает.

ЭЦП это аналог личной подписи. Если водитель или кадровик не могут заключать договора от имени фирмы, то и их ЭЦП этого не позволит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К стати о ключах:

 

Решили поменять сервер. Поставили FreeBSD12. 

Делаем:

openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts

Enter Import Password:

Вводим пароль.

И получаем:

Mac verify error: invalid password?
34367890484:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:90:
34367890484:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:123:

Пробовали установить openssl из портов. То же самое.

На FreeBSD11 все отлично работает.

Кто-то сталкивался?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, snik_1900 сказал:

Поставили FreeBSD12

Думая, это вот про вот это вот:

 

https://www.freebsd.org/releases/12.0R/announce.html

 

Цитата

Some of the highlights:

  • OpenSSL has been updated to version 1.1.1a (LTS).

https://www.openssl.org/news/cl110.txt

 

Цитата

  *) The GOST engine was out of date and therefore it has been removed. An up
     to date GOST engine is now being maintained in an external repository.
     See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
     support for GOST ciphersuites (these are only activated if a GOST engine
     is present).
     [Matt Caswell]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если ставить из портов то устанавливается: OpenSSL 1.0.2q  20 Nov 2018

Но он то же не работает

И как дальше быть?

 

В догонку:

/usr/local/bin/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
34370961408:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:117:filename(/usr/local/lib/engines-1.1/gost.so): Cannot open "/usr/local/lib/engines-1.1/gost.so"
34370961408:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
34370961408:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
34370961408:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:334:id=gost
34370961408:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=default_algorithms, value=ALL
34370961408:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:174:module=engines, value=engine_section, retcode=-1

 

Изменено пользователем snik_1900

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какая-то каша у вас. Говорите что openssl 1.0.2, а либа ищется по путям из 1.1.х

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже разобрались. 

С OpenSSL 1.0.2q  20 Nov 2018 заработало.

Наш косяк. В скрипте не были указаны пути. По этому брался тот который п умолчанию стоит. 1.1*

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, snvoronkov сказал:

Думая, это вот про вот это вот:

 

https://www.freebsd.org/releases/12.0R/announce.html

 

https://www.openssl.org/news/cl110.txt

 

 

Санкции? Интересный ход конём...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 21.12.2018 в 15:39, alibek сказал:

Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны.

У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены.

Я это прекрасно понимаю. Но хорошо работает только в "бумажном" мире. Удостоверяющий центр нам так и не смог это реализовать в цифровом виде. Нет у них возможности сделать ЭЦП только для выгрузки. Может это нам так не повезло на ДВ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.12.2018 в 00:40, remos сказал:

Санкции? Интересный ход конём...

Да нет. Работа с нашими околоФСБшными конторами. Я как-то пробовал. Удручающее занятие.

 

Скинули в плагин. Что, по добру, правильно при таком раскладе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кто знает, какой адрес и порт командного центра Ревизора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, dts сказал:

кто знает, какой адрес и порт командного центра Ревизора?

Задедосить решили на новый год?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 30.12.2018 в 17:55, ayf сказал:

Задедосить решили на новый год?)

 Не получится, они заранее списки ip с провайдеров собирали, где их ревизор живёт... Так что задача просто не решится. А адреса и порты-протоколы вполне видны, хоть тспдампом, у меня их всего пара.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.