Andrei Опубликовано 20 декабря, 2018 · Жалоба 4 минуты назад, st_re сказал: пускай 1 раз подпишут запрос и с ним целый год и ходить Возможно ошибаюсь, но разве так можно? По-моему дата/время в запросе должны меняться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 20 декабря, 2018 · Жалоба 12 минут назад, Andrei сказал: Возможно ошибаюсь, но разве так можно? По-моему дата/время в запросе должны меняться. Все годы так и делал, пока dpi не поставили. Там все проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 декабря, 2018 · Жалоба 29 минут назад, Andrei сказал: По-моему дата/время в запросе должны меняться. В теории да, в этом и смысл запроса, подписываемого ЭЦП. В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его). Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 20 декабря, 2018 · Жалоба 50 минут назад, Andrei сказал: Возможно ошибаюсь, но разве так можно? По-моему дата/время в запросе должны меняться. работает именно так с момента появления необходимости загружать список. раз в год после получения новой подписи подписывается новый файл и подсовывается качальщику. Сам ключ я в глаза не видел ни разу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 декабря, 2018 · Жалоба 21 минуту назад, alibek сказал: В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его). Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса. 1) Не "в настоящий момент", а "по". 2) "Если вдруг" что-то вот четыре года все никак не наступит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 декабря, 2018 · Жалоба Только что, snvoronkov сказал: 2) "Если вдруг" что-то вот четыре года все никак не наступит. Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина. Не так уж много. Неужели лучше надеяться, что РКН ничего не поменяет? Риски ведь велики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 20 декабря, 2018 · Жалоба 34 минуты назад, alibek сказал: Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина. Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 декабря, 2018 · Жалоба Только что, Andrei сказал: Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер" Во-первых, слабым звеном обычно оказывается человек, а не сервер. А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 20 декабря, 2018 · Жалоба 2 минуты назад, alibek сказал: для ЕРДИ у меня отдельная ЭЦП Это хороший выход, но затраты. А разговор начался про использование уже имеющегося ключа бухов, например "контуровского". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 20 декабря, 2018 · Жалоба 5 часов назад, Andrei сказал: Если у вас бухгалтерия сдает отчетность в электронном виде, через "Контур" например, то эта ЭЦП подходит для выгрузок реестра. Если только отбросить паранойю на счет того, что ей будет пользоваться еще кто-то кроме бухов. Если паранойя присутствует, то да, придется делать отдельную ЭЦП. Заранее подписать запрос(ы) и потом их использовать никто не мешает. Сама подпись на сервере не нужна 1 час назад, alibek сказал: Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса. Можно заранее сформировать сколько угодно запросов. У меня они с интервалом в час, всегда свежий используется. 40 минут назад, alibek сказал: А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. Такое возможно? вроде обсуждали уже, что минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 декабря, 2018 · Жалоба 1 час назад, Andrei сказал: Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер" Это вы еще сберовскую паранойю не видели.... Только для того чтобы получить реестр приходов, всего-лишь... Не скажу, что хранить экспортированный ключ для openssl хорошо, но сервер-то можно зафайерволить до паранойи, если это конечно не винда. 4 года об безопасности ключа думаю.... Заддосить могут, проникнуть до рута и ключа - не думаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 декабря, 2018 · Жалоба 2 часа назад, ixi сказал: Такое возможно? Разумеется ЭЦП должна быть не на генерального директора, а на должностное лицо. А у должностного лица есть доверенность, где перечислено, что оно может делать. 2 часа назад, ixi сказал: Можно заранее сформировать сколько угодно запросов. Это 8760 запросов на год вперед. Вручную это не сделать. А если есть автоматизация, то уже не столь важно, делаются запросы по требованию или заранее пачкой. Но вообще да, это тоже решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALaddin Опубликовано 20 декабря, 2018 (изменено) · Жалоба 8 часов назад, alibek сказал: азумеется ЭЦП должна быть не на генерального директора, а на должностное лицо. А у должностного лица есть доверенность, где перечислено, что оно может делать. Это все понятно, но 10 часов назад, ixi сказал: минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Нельзя сделать ЭЦП исключительно на выгрузку реестра. Мы пытались и обломались. Изменено 20 декабря, 2018 пользователем ALaddin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 декабря, 2018 · Жалоба 6 часов назад, ALaddin сказал: Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Ну если делать доверенность с полномочиями ген.дира, то да. Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны. У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены. 6 часов назад, ALaddin сказал: Нельзя сделать ЭЦП исключительно на выгрузку реестра. ЭЦП сама по себе никаких полномочий не дает и какие-то задачи не делает. ЭЦП это аналог личной подписи. Если водитель или кадровик не могут заключать договора от имени фирмы, то и их ЭЦП этого не позволит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 21 декабря, 2018 · Жалоба К стати о ключах: Решили поменять сервер. Поставили FreeBSD12. Делаем: openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts Enter Import Password: Вводим пароль. И получаем: Mac verify error: invalid password? 34367890484:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:90: 34367890484:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:123: Пробовали установить openssl из портов. То же самое. На FreeBSD11 все отлично работает. Кто-то сталкивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 21 декабря, 2018 · Жалоба 9 минут назад, snik_1900 сказал: Поставили FreeBSD12 Думая, это вот про вот это вот: https://www.freebsd.org/releases/12.0R/announce.html Цитата Some of the highlights: OpenSSL has been updated to version 1.1.1a (LTS). https://www.openssl.org/news/cl110.txt Цитата *) The GOST engine was out of date and therefore it has been removed. An up to date GOST engine is now being maintained in an external repository. See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains support for GOST ciphersuites (these are only activated if a GOST engine is present). [Matt Caswell] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 21 декабря, 2018 (изменено) · Жалоба Если ставить из портов то устанавливается: OpenSSL 1.0.2q 20 Nov 2018 Но он то же не работает И как дальше быть? В догонку: /usr/local/bin/openssl engine (rdrand) Intel RDRAND engine (dynamic) Dynamic engine loading support 34370961408:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:117:filename(/usr/local/lib/engines-1.1/gost.so): Cannot open "/usr/local/lib/engines-1.1/gost.so" 34370961408:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162: 34370961408:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414: 34370961408:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:334:id=gost 34370961408:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=default_algorithms, value=ALL 34370961408:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:174:module=engines, value=engine_section, retcode=-1 Изменено 21 декабря, 2018 пользователем snik_1900 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 21 декабря, 2018 · Жалоба Какая-то каша у вас. Говорите что openssl 1.0.2, а либа ищется по путям из 1.1.х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 21 декабря, 2018 · Жалоба Уже разобрались. С OpenSSL 1.0.2q 20 Nov 2018 заработало. Наш косяк. В скрипте не были указаны пути. По этому брался тот который п умолчанию стоит. 1.1* Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 21 декабря, 2018 · Жалоба 13 часов назад, snvoronkov сказал: Думая, это вот про вот это вот: https://www.freebsd.org/releases/12.0R/announce.html https://www.openssl.org/news/cl110.txt Санкции? Интересный ход конём... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALaddin Опубликовано 24 декабря, 2018 · Жалоба В 21.12.2018 в 15:39, alibek сказал: Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны. У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены. Я это прекрасно понимаю. Но хорошо работает только в "бумажном" мире. Удостоверяющий центр нам так и не смог это реализовать в цифровом виде. Нет у них возможности сделать ЭЦП только для выгрузки. Может это нам так не повезло на ДВ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 29 декабря, 2018 · Жалоба В 22.12.2018 в 00:40, remos сказал: Санкции? Интересный ход конём... Да нет. Работа с нашими околоФСБшными конторами. Я как-то пробовал. Удручающее занятие. Скинули в плагин. Что, по добру, правильно при таком раскладе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dts Опубликовано 30 декабря, 2018 · Жалоба кто знает, какой адрес и порт командного центра Ревизора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 30 декабря, 2018 · Жалоба 19 минут назад, dts сказал: кто знает, какой адрес и порт командного центра Ревизора? Задедосить решили на новый год?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 2 января, 2019 · Жалоба В 30.12.2018 в 17:55, ayf сказал: Задедосить решили на новый год?) Не получится, они заранее списки ip с провайдеров собирали, где их ревизор живёт... Так что задача просто не решится. А адреса и порты-протоколы вполне видны, хоть тспдампом, у меня их всего пара. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...