Andrei Опубликовано 7 ноября, 2012 · Жалоба Ну что ж, проверим двойные стандарты составителей реестра _ttp://niceboy.buckshost.com/mike/015/P1012696.jpg так по одной фотке и будем пилить весь инет?! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 7 ноября, 2012 · Жалоба Ну что ж, проверим двойные стандарты составителей реестра _ttp://niceboy.buckshost.com/mike/015/P1012696.jpg так по одной фотке и будем пилить весь инет?! Ну да, в этом весь смысл - круглое носить, квадратное катать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 7 ноября, 2012 · Жалоба http://goo.gl/uLfDH Как-то так. Комментарии приветствуются =) ИМХО, в разборе даты из файла dump.xml ошибка - получается время формирования выписки +4 часа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 7 ноября, 2012 · Жалоба Ну что ж, проверим двойные стандарты составителей реестра Да ну почему сразу двойные? Могло тупо разным людям на обработку попасть :). Я сформировал xmlку, один раз ее подписал и с тех пор использую. т.е. можно демкой крипто-арма сделать валидные ключи, запросив демо-лицензию, и потом этими ключами все время подписывать? Это временно, потом надо будет каждый запрос отдельно подписывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 7 ноября, 2012 (изменено) · Жалоба адрес _ttps://www.megaproxy.com/go/_mp_framed?http://www.<DELETED>/oral/4/2.html не содержит информации, предусмотренной частью 5 статьи 15.1 Федерального закона Это пять! https://www.megaproxy.com/go/_mp_framed?http://www.<DELETED>.com/oral/4/2.html 3. Hot-linking is not allowed. Please START SURFING HERE. Как-то так, наброс не удался --- А не, через раз открывает Может, им просто не повезло =) Изменено 7 ноября, 2012 пользователем Wingman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 7 ноября, 2012 · Жалоба Слушайте, ну разъясните плиз кто силен в этих ЭЦП. Дано: Есть рутокен с ЭЦП, есть КриптоПРО CSP. на носителе залочена возможность экспорта закрытого ключа. Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу? Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да? Или как вообще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 ноября, 2012 · Жалоба Ну что ж, проверим двойные стандарты составителей реестра Да ну почему сразу двойные? Могло тупо разным людям на обработку попасть :). Т.е. экспертиза не проводится, а решение принимается единолично? С учётом характера картинки, вряд ли её можно тупо отсеять и не отправлять экспертам. А может и правда из-за хотлинкинга... ну ладно посмотрим что они сделают с https-ным гугловским кешем картинок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 7 ноября, 2012 · Жалоба http://goo.gl/uLfDH Как-то так. Комментарии приветствуются =) ИМХО, в разборе даты из файла dump.xml ошибка - получается время формирования выписки +4 часа. Хм, спасибо, завтра проверю По большому счету эта проверка даты особо не нужна, можно просто раз в час закронить и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Notius Опубликовано 7 ноября, 2012 · Жалоба так по одной фотке и будем пилить весь инет?! Желающие могут пожаловаться на такое, например, — https://goo.gl/Hyrby Здесь и https аж два раза, и проверенный контент, и любимая Корпорация Добра. Каждой твари по паре, как говорится. PS. Только, наверное, надо было циферку с 2.html хотя бы на 3 поменять… Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cold Опубликовано 8 ноября, 2012 · Жалоба Вот пришло от надзора письмо счастья. Что интересно требуют не блокировать записи из реестра, а просто зарегистрироваться :)Или они считают. что если лицензия на телематику есть, то автоматом оператор хостером становится? :) И что отписал ?В Красноярске нет УЦ аккредитованного Минкомсвязи, ЭЦП где получал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fanster Опубликовано 8 ноября, 2012 · Жалоба Красноярске нет УЦ аккредитованного Минкомсвязи, ЭЦП где получал? С нами Барнаул связался, активизировались лихо. Предлагают за 6500, выдача ключиков непосредственно в Красноярске у партнеров. В Москве тоже самое 4800 предлагают + доставка, а это около 1000. Вот как-то так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 8 ноября, 2012 · Жалоба Э-э-э, а у нас, что, есть ассиметричный алгоритм, чтобы это сделать?Я знаю только про ГОСТ 34.10, но он для подписей, и его применение для шифрования несколько непонятно. Да нет, абсолютно верно. _Только_ для подписи. Единственное что - в описание этого ГОСТ смотрели? RSA, вид сбоку. Даже не сбоку, а прямо в анфас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 8 ноября, 2012 · Жалоба так по одной фотке и будем пилить весь инет?! Желающие могут пожаловаться на такое, например, — https://goo.gl/Hyrby Здесь и https аж два раза, и проверенный контент, и любимая Корпорация Добра. Каждой твари по паре, как говорится. PS. Только, наверное, надо было циферку с 2.html хотя бы на 3 поменять… не... гугл-транслейт не проксирует картинки, посмотрите на поле src тега <img>, там чётко видно хотлинкинг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 8 ноября, 2012 · Жалоба не... гугл-транслейт не проксирует картинки, посмотрите на поле src тега <img>, там чётко видно хотлинкинг так картинки в списке запрещенной инфо нет. только страница Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 8 ноября, 2012 · Жалоба Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу? Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да? Или как вообще? РКН скажет - это ваши расходы на ведение бизнеса. Извольте потратиться. У нас есть система "Контур" для сдачи налоговой отчетности, там есть нужный ключ, только как его оттуда экспортнуть? Местные представители "Контура" делают круглые глаза и ничего сказать не могут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 8 ноября, 2012 · Жалоба Слушайте, ну разъясните плиз кто силен в этих ЭЦП. Дано: Есть рутокен с ЭЦП, есть КриптоПРО CSP. на носителе залочена возможность экспорта закрытого ключа. Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу? Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да? Или как вообще? Я добился нормального решения. Описываю как: а) Windows-host (сертификат Контур-Экстерн - КриптоПРО 3.x) 0. если у Вас руТокен, то необходимо средствами КриптоПро скопировать ключевой контейнер в реестр с возможностью экспорта; 1. Чудные товарищи из КриптоПро, ссылаясь на требования ФСБ, не поддерживают экспорт в формате PKCS#12 (сертификат + закрытый ключ), но экспорт осуществить можно при помощи: http://www.lissi-crypto.ru/free_distribs/p12fromcsp_download/ (огромное им спасибо за вменяемость); 2. Пользуясь вышеуказанонй утилитой выгружаем сертификат в формате PCKS#12 и переходим к Unix-хосту. б) Unix-host 0. Требуется OpenSSL с поддержкой алгоритмов GOST и тут есть два пути: - нормальный дистр с openssl 1.0.1c-4 (Debian с веткой testing в моем случае); - для openssl 0.9.8 есть патч http://www.cryptocom.ru/opensource/openssl098.html (далее стандартно src.rpm / патч / пересборка и установка пакета); 1. вносим изменения в openssl.cnf, описанные http://forum.nag.ru/forum/index.php?showtopic=79836&st=160&p=769646entry769646 (это правда поломает нормальную работу openssl на хосте, например отвалится SSH); 2. проверяем наличие в алгоритмах GOST; 3. проверяем, что у нас нормальный (содержит сертификат и закрытый ключ) PKCS#12 командами: openssl pkcs12 -in name.p12 -nodes 4. конвертируем полученный на Windows PKCS#12 в PEM: openssl pkcs12 -in name.p12 -out name.pem -nodes -clcerts 5. создаем XML файл запроса, согласно памятке оператора и конфертируем его при помощи icov в СP1251; 6. подписываем: openssl smime -sign -in req.xml -out req.bin -binary -signer name.pem -outform DER 7. проверяем при помощи ручного запроса - в поле "Файл запроса" вставляем неподписанный файл запроса (req.xml); - в поле "Файл электронной подписи" вставляем подписанный файл, созданный в п.6 (req.bin); 8. Вроде работает. Автоматизация получения может быть выполнена на perl -модули SOAP::WSDL и OpenSSL::CMD. Осталось разобраться как не ломать openssl на хосте используя GOST, но для этого надо поспать. :) Ахх да, еще со времен работы в гос. структурах НЕНАВИЖУ КриптоПро. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 8 ноября, 2012 · Жалоба Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу? Я правильно понимаю что могу слать РКН в зад по причине "не имеем технической возможности использования ЭЦП" или пусть нам КриптоАРМ покупают да? Или как вообще? РКН скажет - это ваши расходы на ведение бизнеса. Извольте потратиться. У нас есть система "Контур" для сдачи налоговой отчетности, там есть нужный ключ, только как его оттуда экспортнуть? Местные представители "Контура" делают круглые глаза и ничего сказать не могут. Поставить триалку криптоарма, сформировать xmlку, подписать ее один раз. Использовать полученный комплект xml+подпись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 8 ноября, 2012 · Жалоба Осталось разобраться как не ломать openssl на хосте используя GOST, но для этого надо поспать. :) Собрать в --prefix=/usr/local/opensslgost ? Сразу еще варианты - chroot, LXC и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 8 ноября, 2012 · Жалоба Собрать в --prefix=/usr/local/opensslgost ? Сразу еще варианты - chroot, LXC и т.п. Я ничего не собираю руками - это на 'пакетных' дистрах очень плохо. И все гораздо проще, надо просто подключить доп. engine к openssl, а для этого внимательно прочитать man-ы еще раз или как вариант, то что описывал коллега - это т.н. подключаемая библиотека для софтины которая будет ей пользоваться (и в тестовом режиме нам приходтся пользоваться openssl нарямую), но потом это же будет некий скрипт на perl, для которого нужно будет создать аналогичную библиотеку ссекциями, а default оставить как есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 8 ноября, 2012 · Жалоба Я ничего не собираю руками - это на 'пакетных' дистрах очень плохо. Почему? Соберите свой .rpm / .deb / или что там у вас - и инсталльните. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 8 ноября, 2012 · Жалоба Слушайте, ну разъясните плиз кто силен в этих ЭЦП. Дано: Есть рутокен с ЭЦП, есть КриптоПРО CSP. на носителе залочена возможность экспорта закрытого ключа. Я правильно понимаю, что воспользоваться openssl для подписи запроса я не могу? Теоретически openssl можно научить пользоваться токенами через PKCS#11 интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 8 ноября, 2012 (изменено) · Жалоба ЛиссиКрипто пробовал, говорит невозможен экспорт закрытого ключа с носителя. В доке пишут что в этом случае ничего сделать нельзя, галка запрета экспорта поставлена при заливке контейнера на девайс. Теоретически openssl можно научить пользоваться токенами через PKCS#11 интерфейс. Хочется это делать автоматизированно с сервера. Но за ссылку на енджин спасибо. Изменено 8 ноября, 2012 пользователем adnull Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 8 ноября, 2012 · Жалоба Хочется это делать автоматизированно с сервера. Но за ссылку на енджин спасибо. На сайте самого рутокена еще что-то по этому поводу было. Вообще говоря, самый правильный способ - это добить составителей списка, чтобы они сертификаты сотрудников, подписанные ключем организации принимали. Если проверка подписи у них сделана хоть немного правильно, то им для этого достаточно поставить один флаг в конфигах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 8 ноября, 2012 · Жалоба adnull http://forum.rutoken.ru/topic/1639/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 8 ноября, 2012 · Жалоба Осталось разобраться как не ломать openssl на хосте используя GOST, но для этого надо поспать. :) export OPENSSL_CONF=/home/ssl_user/.ssl/openssl.cnf Должно помочь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...