[alibek]

Мы сделали ЭЦП только для выгрузки реестра. Обошлось это примерно в 5 тысяч.

Аналогично.

[legioner0]

Мы сделали ЭЦП только для выгрузки реестра

а можно более подробно ?

Тут увы не помогу. Документов стараюсь не касаться.

[Ansy]

Мы сделали ЭЦП только для выгрузки реестра

а можно более подробно ?

Тут увы не помогу. Документов стараюсь не касаться.

Ну самой ЭЦП-то Вы касаетесь в процессе подписывания запроса?

Посмотрите, что там в сертификате написано. Это открытая информация, не ключи. Её можно получить любому контрагенту, чтобы проверять валидность ваших подписей. Сертификат выгружается из защищенного носителя (криптоконтейнера) в виде файла и выкладывается на те же торговые площадки, его можно также получить в Удостоверяющем Центре (где заказывали ЭЦП).

 

Мне интересно, какой же такой ключик вам продали? И по какому тарифному плану "специально для выгрузки реестра" ;)

 

Подозреваю, что у СКБ Контур это что-то типа Квалифицированный Классик за 4500 (в которых тыща лицензия КриптоПро и полштуки РуТокен-носитель). И что там на туче торговых площадок можно мутить... сами смотрите по ссылкам.

Изменено 20 декабря, 2013 пользователем Ansy

[alibek]

Ну например в моем написано следующее:

* Защищает сообщения электронной почты

* Подтверждает удаленному компьютеру идентификацию вашего компьютера

* 1.2.643.100.113.1

* 1.2.643.100.113.2

* 1.2.643.3.56.5.8

* Пользователь Центра Регистрации, HTTP, TLS клиент

[nuclearcat]

http://www.utro.ru/news/2013/12/23/1165188.shtml#0203

В Роскомнадзоре дают понять, что идея создания списка в том, чтобы призвать добросовестные ресурсы, которые являются клиентами попавших под подозрение компаний, менять интернет-прописку во избежание случайной блокировки.

...

В список Роскомнадзора попали, в частности, хостинг-провайдеры, зарегистрированные в США: hostnoc.net, datashack.net, infinitie.net, incapsula.com, staminus.net, maileig.com, ovh.net, alfatelecom.cz, voxility.net, stop-ddos.net; украинские хостинг-провайдеры Yurteh ltd и Vedekon ltd (vedekon.ua), а также CDN сервис cloudflare.com/.

Это полнейшая жесть.

ovh.net - один из крупнейших хостеров

incapsula, voxility - крупнейшие по DDoS защите

Причем voxility почти единственный кто держит 500 гиг атаки.

[Ivan_83]

ovh.net - похож на крупнейшего в мире хостера заразы. Крупнее него только все китайцы вместе взятые.

[beckman]

Это полнейшая жесть.

Не, кэт, вот это полнейшая жесть:

 

В том числе и в твоём родном городе, так что не защищай их.

Изменено 23 декабря, 2013 пользователем beckman

[Andrei]

Собрал openssl 1.0.1c по инструкции http://www.cryptocom.ru/opensource/openssl100.html

/gost-ssl/bin/openssl pkcs12 -in ./p12.pfx -out ./provider.pem
Enter Import Password:
Mac verify error: invalid password?
3074054296:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:88:
3074054296:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:122:

Пароль точно правильный ввожу. ( Что не так делаю? Сейчас получается в системе две openssl, одна стандартная из дистра 0.9.8, а другая, которую сам собирал 1.0.1c, лежит в /gost-ssl/bin/openssl

Как удалось победить эту ошибку?

В декабре контур перевыпустил сертификат и новый никак не могу конвертировать:

root@gate# /gost-ssl/bin/openssl version
OpenSSL 1.0.1c 10 May 2012
root@gate# /gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep GOST
GOST2001-GOST89-GOST89
GOST94-GOST89-GOST89
root@gate# /gost-ssl/bin/openssl pkcs12 -in atlas.pfx -out kontur_atlas.pem -nodes -clcerts
Enter Import Password:
MAC verified OK
Error outputting keys and certificates
140689797011112:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:167:TYPE=1.2.840.113549.1.12.1.80
140689797011112:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
140689797011112:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:130:

openssl компилировал как указано тут

https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab43-bc6db27fe919/c535b6e5047ec69d304519fe81c2c9ac?noteKey=c535b6e5047ec69d304519fe81c2c9ac&noteGuid=ceb0b021-47e7-4c61-ab43-bc6db27fe919

Прежний сертификат конвертировался без проблем, а с новым какая-то засада. :(

[Ansy]

Собрал openssl 1.0.1c по инструкции http://www.cryptocom.ru/opensource/openssl100.html

/gost-ssl/bin/openssl pkcs12 -in ./p12.pfx -out ./provider.pem
Enter Import Password:
Mac verify error: invalid password?
3074054296:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:88:
3074054296:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:122:

Пароль точно правильный ввожу. ( Что не так делаю? Сейчас получается в системе две openssl, одна стандартная из дистра 0.9.8, а другая, которую сам собирал 1.0.1c, лежит в /gost-ssl/bin/openssl

Как удалось победить эту ошибку?

В декабре контур перевыпустил сертификат и новый никак не могу конвертировать:

root@gate# /gost-ssl/bin/openssl version
OpenSSL 1.0.1c 10 May 2012
root@gate# /gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep GOST
GOST2001-GOST89-GOST89
GOST94-GOST89-GOST89
root@gate# /gost-ssl/bin/openssl pkcs12 -in atlas.pfx -out kontur_atlas.pem -nodes -clcerts
Enter Import Password:
MAC verified OK
Error outputting keys and certificates
140689797011112:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:167:TYPE=1.2.840.113549.1.12.1.80
140689797011112:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
140689797011112:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:130:

openssl компилировал как указано тут

https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab43-bc6db27fe919/c535b6e5047ec69d304519fe81c2c9ac?noteKey=c535b6e5047ec69d304519fe81c2c9ac&noteGuid=ceb0b021-47e7-4c61-ab43-bc6db27fe919

Прежний сертификат конвертировался без проблем, а с новым какая-то засада. :(

Подпишите запрос под Виндой в утилитке КриптоПро, вот так примерно:

"c:\Program Files\Crypto Pro\CSP\csptest.exe" -sfsign -sign -detached -add -base64 -in request.xml -out request.xml.sign -my ваше.мыло@указанное.в.сертификате

и утащите оба файла в Линукс, или что там у вас... только копируйте БИНАРНО -- а то полдня парился, почему подпись не проходит проверку, оказалось -- по умолчанию копирование в SFTP стояло текстовое, концы строк поменялись в исходном запросе.

openssl позже поправите, возобновить запросы важнее.

[alibek]

Прежний сертификат конвертировался без проблем, а с новым какая-то засада.

Нужно уточнить у поставщика, сертификат был изготовлен с возможностью экспорта или без возможности таковой.

Сейчас по умолчанию их делают неэкспортируемыми.

 

Подпишите запрос под Виндой в утилитке КриптоПро, вот так примерно

Так ведь КриптоПро платный.

Или утилита csptest есть в КриптоCSP?

[Andrei]

Подпишите запрос под Виндой в утилитке КриптоПро, вот так примерно:

"c:\Program Files\Crypto Pro\CSP\csptest.exe" -sfsign -sign -detached -add -base64 -in request.xml -out request.xml.sign -my ваше.мыло@указанное.в.сертификате

и утащите оба файла в Линукс, или что там у вас... только копируйте БИНАРНО

Экспортированный ключ положил рядом с request.xml. Прога его не видит, лезет на дискету. Даже если на дискету положить тот же ключ, прога говорит "вставлен другой носитель".

А копирование бинарное.

 

openssl позже поправите, возобновить запросы важнее.

Что надо поправить?

 

После неудачной конвертации

root@gate# /gost-ssl/bin/openssl pkcs12 -in atlas.pfx -out kontur_atlas.pem -nodes -clcerts

появляется pem-файлик вот такого содержания:

Bag Attributes
   localKeyID: 01 00 00 00
   friendlyName: REGISTRY\\74087885@2013-12-10-... .B;0A-.=B5@=5B
   Microsoft CSP Name: Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider

[Syzygy]

Роскомнадзор просит размещать свои сайты у отечественных хостинг провайдеров.

 

Просьба не случайна. Иностранные хостинг провайдеры вызывают основные нарекания ведомства по невыполнению российского законодательства по блокировке доступа к ресурсам, которые нарушают российское законодательство, отметили "РГ" в Роскомнадзоре.

 

Ведомство уже составила список таких нарушителей и обратило внимание на него отечественные ресурсы, чтобы они не размещались на этих площадках.

 

За год ведения Единого реестра у Роскомнадзора не было нареканий к российским хостинг провайдерам, отметили в Службе. Они ведут себя добросовестно и не вызывают нареканий, а следовательно их "отрезать" от пользователей не будут.

Далее

[Andrei]

Прежний сертификат конвертировался без проблем, а с новым какая-то засада.

Нужно уточнить у поставщика, сертификат был изготовлен с возможностью экспорта или без возможности таковой.

Сейчас по умолчанию их делают неэкспортируемыми.

Уточнил - сертификат экспортируемый.

[nuclearcat]

Не, кэт, вот это полнейшая жесть:

 

В твоём родном городе, так что не защищай их.

beckman - что, блокировка вебсайтов сильно огорчит наркоторговцев и они станут рыдать и перестанут продавать?

Я как-то зашел на один из их сайтов, к сожалению забыл имя, там _все_ знают как пользоваться VPN и tor, и покупатели и продавцы, и срали они с колокольни на все эти блокировки. Это только видимость деятельности по предотвращению наркоторговли.

Может все таки их нужно ловить, а не блокировать сайты?

[Ansy]

* 1.2.643.100.113.1

* 1.2.643.100.113.2

* 1.2.643.3.56.5.8

Последний OID это издатель вашего сертификата:

Удостоверяющие центры;1.2.643.3.56;"C=RU,o=REG3,o=Certification Center ""ACKOM"" Ltd";ООО Удостоверяющий центр «АСКОМ»;Защита информации, обеспечение инфраструктуры открытых ключей

Первые два OID-а -- классы средства ЭП в зависимости от способностей противостоять атакам (КС1 и КС2).

Не хватает OID-а Квалифицированный сертификат (1.2.643.3.7.8.1), уточните на вкладке "Состав" поле "Улучшенный ключ", там все перечислено и многое описано текстом.

 

Более интересно и полезно было бы посмотреть на вкладке "Состав" поле "Использование ключа" и сопоставить эти права с реквизитами поля "Субъект" -- то есть что обладатель ключа фактически может сделать от имени организации и владельца в тех информационных системах, где принимают этот сертификат.

[Ansy]

Подпишите запрос под Виндой в утилитке КриптоПро, вот так примерно:

"c:\Program Files\Crypto Pro\CSP\csptest.exe" -sfsign -sign -detached -add -base64 -in request.xml -out request.xml.sign -my ваше.мыло@указанное.в.сертификате

и утащите оба файла в Линукс, или что там у вас... только копируйте БИНАРНО

Экспортированный ключ положил рядом с request.xml. Прога его не видит, лезет на дискету. Даже если на дискету положить тот же ключ, прога говорит "вставлен другой носитель".

А копирование бинарное.

Не-не-не!

Процедура с csptest.exe предполагает наличие доступа к закрытому ключу ЭЦП в штатном режиме, с защищенного носителя (РуТокен) или дискетка/флешка с копией криптоконтейнера -- потому и спрашивает, нельзя просто положить ключики рядом.

Насчет КриптоПро... лицензия обычно куплена в составе пакета вместе с сертификатом и ЭЦП на период обслуживания в УЦ.

Эта процедура -- чтобы взять исходный ключ-брелок (у руководителя, или в его присутствии, или чтоб он сам ввел пин-код/пароль закрытого ключа), подписать ЕДИНОЖДЫ запрос на имеющемся настроенном рабочем месте и утащить его в Линуксовую машинку для последующей работы с запретами.

 

openssl позже поправите, возобновить запросы важнее.

Что надо поправить?

Извиняйте, тут не подскажу, ибо пока РКН не проверяет дату в запросе -- не заморачиваемся неоднозначной и опасной в плане сохранности ЭЦП процедурой ежедневной переподписи на самом Линукс-сервере.

[alibek]

Более интересно и полезно было бы посмотреть на вкладке "Состав" поле "Использование ключа" и сопоставить эти права с реквизитами поля "Субъект" -- то есть что обладатель ключа фактически может сделать от имени организации и владельца в тех информационных системах, где принимают этот сертификат.

Субъект:

SN = фамилия

G = имя отчество

T = должность

Неструктурированное имя = KPP=цифры

CN = фамилия имя отчество

OU = 0

O = организация

L = город

S = район

C = RU

E = email

ИНН = цифры

ОГРН = цифры

СНИЛС = цифры

Использование ключа: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)

По прежнему не вижу какого-то ужаса.

Ни «продать фирму», ни «право исполнительного органа» в сертификате не заявлено.

 

 

не заморачиваемся неоднозначной и опасной в плане сохранности ЭЦП процедурой ежедневной переподписи на самом Линукс-сервере.

Автоматическая обработка на сервере гораздо безопаснее, нежели ежедневное таскание токена из сейфа.

[Andrei]

Не-не-не!

Процедура с csptest.exe предполагает наличие доступа к закрытому ключу ЭЦП в штатном режиме, с защищенного носителя (РуТокен) или дискетка/флешка с копией криптоконтейнера -- потому и спрашивает, нельзя просто положить ключики рядом.

Разово подписать запрос удалось и выгрузку получил. Но остался вопрос с автоматизацией процесса. Все было отлажено и со старым ключом работало нормально. Проблема только в конвертации ключа:

root@gate# /gost-ssl/bin/openssl pkcs12 -in atlas.pfx -out kontur_atlas.pem -nodes -clcerts
Enter Import Password:
MAC verified OK
Error outputting keys and certificates
140416322713256:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:167:TYPE=1.2.840.113549.1.12.1.80
140416322713256:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
140416322713256:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:130:

Обсуждения http://habrahabr.ru/users/xtron/comments/ и

вот тут http://usenet.su/showthread.php/979424-openssl-1.0.1-%D0%B8-%D0%93%D0%9E%D0%A1%D0%A2-%D0%A0-34.11-34.10-2001 резюмировали, что

Проблему обошел использованием другой экспортилки P12FromGostCSP.exe,

которая создаёт PFX-файл со стандартными PBE.

Но я именно с помощью P12FromGostCSP.exe и экспортировал закрытый ключ из реестра. :(

[Andrei]

Но я именно с помощью P12FromGostCSP.exe и экспортировал закрытый ключ из реестра. :(

Решено.

Суть в том, что в рееестре-то ключ лежит защищенный паролем, а извлекать его оттуда надо обязательно БЕЗ ПАРОЛЯ, иначе openssl не распознает тип шифрования, примененный в ключе.

[Ansy]

Более интересно и полезно было бы посмотреть на вкладке "Состав" поле "Использование ключа" и сопоставить эти права с реквизитами поля "Субъект" -- то есть что обладатель ключа фактически может сделать от имени организации и владельца в тех информационных системах, где принимают этот сертификат.

Субъект:

SN = фамилия

G = имя отчество

T = должность

Неструктурированное имя = KPP=цифры

CN = фамилия имя отчество

OU = 0

O = организация

L = город

S = район

C = RU

E = email

ИНН = цифры

ОГРН = цифры

СНИЛС = цифры

Использование ключа: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)

По прежнему не вижу какого-то ужаса.

Ни «продать фирму», ни «право исполнительного органа» в сертификате не заявлено.

Что и требовалось доказать :)

То есть наличие у Вас в руках средства, юридически эквивалентного печати организации + подписи должностного лица (руководителя, полагаю?), позволяющее Вам состряпать ПРАКТИЧЕСКИ ЛЮБОЙ документ от лица этой организации (Цифровая подпись, Неотрекаемость) -- нисколько не смущает?

Ну-ну, для прикола -- попробуйте зарегистрироваться с этой ЭЦП на какой-нить электронной торговой площадке, типа http://utp.sberbank-ast.ru (там квалифицированные ЭЦП принимают). И поучаствовать в аукционах ;)

 

не заморачиваемся неоднозначной и опасной в плане сохранности ЭЦП процедурой ежедневной переподписи на самом Линукс-сервере.

Автоматическая обработка на сервере гораздо безопаснее, нежели ежедневное таскание токена из сейфа.

Чуть выше заметили, что даже храниться ключ ЭЦП должен без пароля, чтоб автоматически работало подписывание. Жесть.

[alibek]

То есть наличие у Вас в руках средства, юридически эквивалентного печати организации + подписи должностного лица (руководителя, полагаю?), позволяющее Вам состряпать ПРАКТИЧЕСКИ ЛЮБОЙ документ от лица этой организации (Цифровая подпись, Неотрекаемость) -- нисколько не смущает?

Не нужно домысливать факты под свою теорию.

Как я уже говорил, субъект — это обычный сотрудник, не руководитель. И его должность прямо указана в сертификате.

Данный сертификат эквивалентен печати организации и подписи данного сотрудника (не руководителя).

Поэтому мне интересно было бы знать, каким образом этот сотрудник сможет заключить договор без предоставления соответствующей доверенности.

 

Чуть выше заметили, что даже храниться ключ ЭЦП должен без пароля, чтоб автоматически работало подписывание.

Ужас, а мужики то не знают.

[Ansy]

То есть наличие у Вас в руках средства, юридически эквивалентного печати организации + подписи должностного лица (руководителя, полагаю?), позволяющее Вам состряпать ПРАКТИЧЕСКИ ЛЮБОЙ документ от лица этой организации (Цифровая подпись, Неотрекаемость) -- нисколько не смущает?

Не нужно домысливать факты под свою теорию.

Как я уже говорил, субъект — это обычный сотрудник, не руководитель. И его должность прямо указана в сертификате.

Данный сертификат эквивалентен печати организации и подписи данного сотрудника (не руководителя).

Поэтому мне интересно было бы знать, каким образом этот сотрудник сможет заключить договор без предоставления соответствующей доверенности.

Домысливания нет -- есть обобщение :) Вы же не уточнили, какая именно должность у Вас в сертификате прописана...

 

Если конкретно у Вас подпись должностного лица-"НЕ руководителя" -- замечательно. Осталось лишь выяснить, какие права были прописаны этому должностному лицу в Доверенности, которую предъявляли Удостоверяющему Центру при запросе сертификата ЭЦП.

 

Опять же, обобщая -- если форма Доверенности одна из стандартных (а должна быть по сути, потому что в сертификате права кодируются OID-ами, а их набор стандартизован), обычно принимаются Доверенности уполномоченному представителю:

• чисто курьерские (на предоставление документов в СЦ и получение ЭЦП в СЦ)
  
• курьерские с правом подписи бланков Запроса и Сертификата
  
• с правом совершения сделок с УЦ, подписания договоров, финансовых и прочих документов по ним
  
• на участие в торгах (по 94-ФЗ, например).
  

То есть какая-то доверенность из этих (предполагаю, последняя) была предоставлена УЦ, и на ее основании (и с соответствующими полномочиями!) выпущен сертификат.

 

И кстати, кто в СЦ обращался за сертификатом ЭЦП для скачивания "запретов" -- брали именно квалифицированный для торгов (Классик, Голд) и именно на руководителя (директора). Как уж там они потом с админами их фактически используют -- это уже их проблемы.

 

Чуть выше заметили, что даже храниться ключ ЭЦП должен без пароля, чтоб автоматически работало подписывание.

Ужас, а мужики то не знают.

Увы. Если технически это так -- засада, блин... наш директор на таких условиях свой ключик админам не отдаст.

P.S. Засада будет, если РКН начнет проверять дату фактического подписывания запроса. Пока же все норм :)

Изменено 24 декабря, 2013 пользователем Ansy

[alibek]

Вы же не уточнили, какая именно должность у Вас в сертификате прописана...

Я об этом говорил, ЭЦП оформлена на обычного сотрудника.

 

Осталось лишь выяснить, какие права были прописаны этому должностному лицу в Доверенности, которую предъявляли Удостоверяющему Центру при запросе сертификата ЭЦП.

Не понимаю, о какой доверенности вообще идет речь.

Для получения ЭЦП в УЦ направляется заявление на получение ЭЦП для работы с реестром. В заявлении, подписанном руководителем, указываются данные организации и сотрудника, на которую/которого оформляется ЭЦП. Никаких делегаций полномочий не происходит, максимум — доверенность на получение ТМЦ, если токен приедет забирать не владелец.

Делегирование прав (доверенность) может потребовать не УЦ, а площадка, на которой используется ЭЦП (также как она бы потребовала доверенность, если сотрудник действует на площадке как представитель организации). Но в данном случае в ЭЦП указан тот электронный адрес, который регистрировался в РКН для работы с реестром.

 

То есть какая-то доверенность из этих (предполагаю, последняя) была предоставлена УЦ, и на ее основании (и с соответствующими полномочиями!) выпущен сертификат.

Неверное предположение. Заявление подписывает руководитель. Согласно заявлению ЭЦП изготавливается на сотрудника. Для получения токена водителю выписывается доверенность на получение ТМЦ (она не требуется, если токен заберет лично владелец). Никаких других доверенностей не предоставлялось. В дополнение к списку документов по ссылке нужны только персональные данные (сканы паспортов и СНИЛС) руководителя И сотрудника.

 

И кстати, кто в СЦ обращался за сертификатом ЭЦП для скачивания "запретов" -- брали именно квалифицированный для торгов (Классик, Голд) и именно на руководителя (директора).

Это проблемы тех, кто их брал. В законодательстве такое требование не прописано. В УЦ я специально уточнил процедуру, чтобы получить ЭЦП не на руководителя, а на сотрудника.

[Sergey Gilfanov]

А торговые площадки проверяют, что та подпись, что в их заявках используется - она на сотрудника выписана, что от имени организации доверенность на

торги имеет? Если нет, то как они от жуликов отбиваются, которые в какой-то момент заявляют, что заявка была не имеющим на то полномочий человеком была подписана?

[alibek]

А торговые площадки проверяют, что та подпись, что в их заявках используется - она на сотрудника выписана, что от имени организации доверенность на торги имеет?

По идее должны. Как уже говорилось, ЭЦП это печать организации + личная подпись.

Во всяком случае традиционный "бумажный" документооборот подразумевает наличие доверенности на представителя организации.