[Andrei]

Ну что ж, проверим двойные стандарты составителей реестра

_ttp://niceboy.buckshost.com/mike/015/P1012696.jpg

так по одной фотке и будем пилить весь инет?!

[straus]

Ну что ж, проверим двойные стандарты составителей реестра

_ttp://niceboy.buckshost.com/mike/015/P1012696.jpg

так по одной фотке и будем пилить весь инет?!

Ну да, в этом весь смысл - круглое носить, квадратное катать.

[max1976]

http://goo.gl/uLfDH

Как-то так. Комментарии приветствуются =)

ИМХО, в разборе даты из файла dump.xml ошибка - получается время формирования выписки +4 часа.

[visir]

Ну что ж, проверим двойные стандарты составителей реестра

Да ну почему сразу двойные? Могло тупо разным людям на обработку попасть :).

 

Я сформировал xmlку, один раз ее подписал и с тех пор использую.

т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать?

Это временно, потом надо будет каждый запрос отдельно подписывать.

[Wingman]

адрес _ttps://www.megaproxy.com/go/_mp_framed?http://www.<DELETED>/oral/4/2.html не содержит информации, предусмотренной частью 5 статьи 15.1 Федерального закона

Это пять!

https://www.megaproxy.com/go/_mp_framed?http://www.<DELETED>.com/oral/4/2.html

3. Hot-linking is not allowed. Please START SURFING HERE.

 

Как-то так, наброс не удался

---

А не, через раз открывает

Может, им просто не повезло =)

Изменено 7 ноября, 2012 пользователем Wingman

[adnull]

Слушайте, ну разъясните плиз кто силен в этих ЭЦП.

Дано: Есть рутокен с ЭЦП, есть КриптоПРО CSP.

на носителе залочена возможность экспорта закрытого ключа.

Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу?

Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да?

Или как вообще?

[s.lobanov]

Ну что ж, проверим двойные стандарты составителей реестра

Да ну почему сразу двойные? Могло тупо разным людям на обработку попасть :).

 

Т.е. экспертиза не проводится, а решение принимается единолично? С учётом характера картинки, вряд ли её можно тупо отсеять и не отправлять экспертам.

 

А может и правда из-за хотлинкинга... ну ладно посмотрим что они сделают с https-ным гугловским кешем картинок.

[yegorov-p]

http://goo.gl/uLfDH

Как-то так. Комментарии приветствуются =)

ИМХО, в разборе даты из файла dump.xml ошибка - получается время формирования выписки +4 часа.

Хм, спасибо, завтра проверю

 

По большому счету эта проверка даты особо не нужна, можно просто раз в час закронить и все.

[Notius]

так по одной фотке и будем пилить весь инет?!

Желающие могут пожаловаться на такое, например, — https://goo.gl/Hyrby

 

Здесь и https аж два раза, и проверенный контент, и любимая Корпорация Добра. Каждой твари по паре, как говорится.

 

PS. Только, наверное, надо было циферку с 2.html хотя бы на 3 поменять…

[Cold]

Вот пришло от надзора письмо счастья. Что интересно требуют не блокировать записи из реестра, а просто зарегистрироваться :)Или они считают. что если лицензия на телематику есть, то автоматом оператор хостером становится? :)

И что отписал ?

В Красноярске нет УЦ аккредитованного Минкомсвязи, ЭЦП где получал?

[Fanster]

Красноярске нет УЦ аккредитованного Минкомсвязи, ЭЦП где получал?

С нами Барнаул связался, активизировались лихо. Предлагают за 6500, выдача ключиков непосредственно в Красноярске у партнеров. В Москве тоже самое 4800 предлагают + доставка, а это около 1000. Вот как-то так

[Alex/AT]

Э-э-э, а у нас, что, есть ассиметричный алгоритм, чтобы это сделать?

Я знаю только про ГОСТ 34.10, но он для подписей, и его применение для шифрования несколько непонятно.

Да нет, абсолютно верно. _Только_ для подписи. Единственное что - в описание этого ГОСТ смотрели? RSA, вид сбоку. Даже не сбоку, а прямо в анфас.

[s.lobanov]

так по одной фотке и будем пилить весь инет?!

Желающие могут пожаловаться на такое, например, — https://goo.gl/Hyrby

 

Здесь и https аж два раза, и проверенный контент, и любимая Корпорация Добра. Каждой твари по паре, как говорится.

 

PS. Только, наверное, надо было циферку с 2.html хотя бы на 3 поменять…

 

 

не... гугл-транслейт не проксирует картинки, посмотрите на поле src тега <img>, там чётко видно хотлинкинг

[woddy]

не... гугл-транслейт не проксирует картинки, посмотрите на поле src тега <img>, там чётко видно хотлинкинг

так картинки в списке запрещенной инфо нет. только страница

[Andrei]

Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу?

Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да?

Или как вообще?

РКН скажет - это ваши расходы на ведение бизнеса. Извольте потратиться.

У нас есть система "Контур" для сдачи налоговой отчетности, там есть нужный ключ, только как его оттуда экспортнуть? Местные представители "Контура" делают круглые глаза и ничего сказать не могут.

[Dm1try]

Слушайте, ну разъясните плиз кто силен в этих ЭЦП.

Дано: Есть рутокен с ЭЦП, есть КриптоПРО CSP.

на носителе залочена возможность экспорта закрытого ключа.

Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу?

Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да?

Или как вообще?

 

Я добился нормального решения.

Описываю как:

а) Windows-host (сертификат Контур-Экстерн - КриптоПРО 3.x)

0. если у Вас руТокен, то необходимо средствами КриптоПро скопировать ключевой контейнер в реестр с возможностью экспорта;

1. Чудные товарищи из КриптоПро, ссылаясь на требования ФСБ, не поддерживают экспорт в формате PKCS#12 (сертификат + закрытый ключ), но экспорт осуществить можно при помощи: http://www.lissi-crypto.ru/free_distribs/p12fromcsp_download/ (огромное им спасибо за вменяемость);

2. Пользуясь вышеуказанонй утилитой выгружаем сертификат в формате PCKS#12 и переходим к Unix-хосту.

 

б) Unix-host

0. Требуется OpenSSL с поддержкой алгоритмов GOST и тут есть два пути:

- нормальный дистр с openssl 1.0.1c-4 (Debian с веткой testing в моем случае);

- для openssl 0.9.8 есть патч http://www.cryptocom.ru/opensource/openssl098.html (далее стандартно src.rpm / патч / пересборка и установка пакета);

1. вносим изменения в openssl.cnf, описанные http://forum.nag.ru/forum/index.php?showtopic=79836&st=160&p=769646entry769646 (это правда поломает нормальную работу openssl на хосте, например отвалится SSH);

2. проверяем наличие в алгоритмах GOST;

3. проверяем, что у нас нормальный (содержит сертификат и закрытый ключ) PKCS#12 командами:

openssl pkcs12 -in name.p12 -nodes

4. конвертируем полученный на Windows PKCS#12 в PEM:

openssl pkcs12 -in name.p12 -out name.pem -nodes -clcerts

5. создаем XML файл запроса, согласно памятке оператора и конфертируем его при помощи icov в СP1251;

6. подписываем:

openssl smime -sign -in req.xml -out req.bin -binary -signer name.pem -outform DER

7. проверяем при помощи ручного запроса

- в поле "Файл запроса" вставляем неподписанный файл запроса (req.xml);

- в поле "Файл электронной подписи" вставляем подписанный файл, созданный в п.6 (req.bin);

8. Вроде работает.

 

Автоматизация получения может быть выполнена на perl -модули SOAP::WSDL и OpenSSL::CMD.

 

Осталось разобраться как не ломать openssl на хосте используя GOST, но для этого надо поспать. :)

 

Ахх да, еще со времен работы в гос. структурах НЕНАВИЖУ КриптоПро.

[yegorov-p]

Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу?

Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да?

Или как вообще?

РКН скажет - это ваши расходы на ведение бизнеса. Извольте потратиться.

У нас есть система "Контур" для сдачи налоговой отчетности, там есть нужный ключ, только как его оттуда экспортнуть? Местные представители "Контура" делают круглые глаза и ничего сказать не могут.

Поставить триалку криптоарма, сформировать xmlку, подписать ее один раз. Использовать полученный комплект xml+подпись.

[MMM]

 

Осталось разобраться как не ломать openssl на хосте используя GOST, но для этого надо поспать. :)

 

 

 

Собрать в --prefix=/usr/local/opensslgost ?

Сразу еще варианты - chroot, LXC и т.п.

[Dm1try]

Собрать в --prefix=/usr/local/opensslgost ?

Сразу еще варианты - chroot, LXC и т.п.

 

Я ничего не собираю руками - это на 'пакетных' дистрах очень плохо.

И все гораздо проще, надо просто подключить доп. engine к openssl, а для этого внимательно прочитать man-ы еще раз или как вариант, то что описывал коллега - это т.н. подключаемая библиотека для софтины которая будет ей пользоваться (и в тестовом режиме нам приходтся пользоваться openssl нарямую), но потом это же будет некий скрипт на perl, для которого нужно будет создать аналогичную библиотеку ссекциями, а default оставить как есть.

[Alex/AT]

Я ничего не собираю руками - это на 'пакетных' дистрах очень плохо.

Почему? Соберите свой .rpm / .deb / или что там у вас - и инсталльните.

[Sergey Gilfanov]

Слушайте, ну разъясните плиз кто силен в этих ЭЦП.

Дано: Есть рутокен с ЭЦП, есть КриптоПРО CSP.

на носителе залочена возможность экспорта закрытого ключа.

Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу?

Теоретически openssl можно научить пользоваться токенами через PKCS#11 интерфейс.

[adnull]

ЛиссиКрипто пробовал, говорит невозможен экспорт закрытого ключа с носителя. В доке пишут что в этом случае ничего сделать нельзя, галка запрета экспорта поставлена при заливке контейнера на девайс.

 

Теоретически openssl можно научить пользоваться токенами через PKCS#11 интерфейс.

Хочется это делать автоматизированно с сервера. Но за ссылку на енджин спасибо.

Изменено 8 ноября, 2012 пользователем adnull

[Sergey Gilfanov]

Хочется это делать автоматизированно с сервера. Но за ссылку на енджин спасибо.

На сайте самого рутокена еще что-то по этому поводу было.

 

Вообще говоря, самый правильный способ - это добить составителей списка, чтобы они сертификаты сотрудников, подписанные ключем организации принимали.

 

Если проверка подписи у них сделана хоть немного правильно, то им для этого достаточно поставить один флаг в конфигах.

[Dm1try]

adnull http://forum.rutoken.ru/topic/1639/

[snvoronkov]

Осталось разобраться как не ломать openssl на хосте используя GOST, но для этого надо поспать. :)

 

export OPENSSL_CONF=/home/ssl_user/.ssl/openssl.cnf

 

Должно помочь.