Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Если паранойя присутствует, то пускай 1 раз подпишут запрос и с ним целый год и ходить.

Share this post


Link to post
Share on other sites
4 минуты назад, st_re сказал:

пускай 1 раз подпишут запрос и с ним целый год и ходить

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

Share this post


Link to post
Share on other sites
12 минут назад, Andrei сказал:

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

Все годы так и делал, пока dpi не поставили. Там все проще.

 

Share this post


Link to post
Share on other sites
29 минут назад, Andrei сказал:

По-моему дата/время  в запросе должны меняться.

В теории да, в этом и смысл запроса, подписываемого ЭЦП.

В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его).

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

Share this post


Link to post
Share on other sites
50 минут назад, Andrei сказал:

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

работает именно так с момента появления необходимости загружать список. раз в год после получения новой подписи подписывается новый файл и подсовывается качальщику. Сам ключ я в глаза не видел ни разу.

Share this post


Link to post
Share on other sites
21 минуту назад, alibek сказал:

В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его).

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

1) Не "в настоящий момент", а "по".

2) "Если вдруг" что-то вот четыре года все никак не наступит.

Share this post


Link to post
Share on other sites
Только что, snvoronkov сказал:

2) "Если вдруг" что-то вот четыре года все никак не наступит.

Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина.

Не так уж много.

Неужели лучше надеяться, что РКН ничего не поменяет?

Риски ведь велики.

Share this post


Link to post
Share on other sites
34 минуты назад, alibek сказал:

Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина.

Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

Share this post


Link to post
Share on other sites
Только что, Andrei сказал:

Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

Во-первых, слабым звеном обычно оказывается человек, а не сервер.

А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут.

Share this post


Link to post
Share on other sites
2 минуты назад, alibek сказал:

для ЕРДИ у меня отдельная ЭЦП

Это хороший выход, но затраты. А разговор начался про использование уже имеющегося ключа бухов, например "контуровского".

Share this post


Link to post
Share on other sites
5 часов назад, Andrei сказал:

Если у вас бухгалтерия сдает отчетность в электронном виде, через "Контур" например, то эта ЭЦП подходит для выгрузок реестра. Если только отбросить паранойю на счет того, что ей будет пользоваться еще кто-то кроме бухов. Если паранойя присутствует, то да, придется делать отдельную ЭЦП. 

Заранее подписать запрос(ы) и потом их использовать никто не мешает. Сама подпись на сервере не нужна

 

1 час назад, alibek сказал:

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

Можно заранее сформировать сколько угодно запросов. У меня они с интервалом в час, всегда свежий используется.

 

40 минут назад, alibek сказал:

А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. 

Такое возможно? вроде обсуждали уже, что минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий.

Share this post


Link to post
Share on other sites
1 час назад, Andrei сказал:

Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

 Это вы еще сберовскую паранойю не видели.... Только для того чтобы получить реестр приходов, всего-лишь... Не скажу, что хранить экспортированный ключ для openssl хорошо, но сервер-то можно зафайерволить до паранойи, если это конечно не винда. 4 года об безопасности ключа думаю.... Заддосить могут, проникнуть до рута и ключа - не думаю.

Share this post


Link to post
Share on other sites
2 часа назад, ixi сказал:

Такое возможно?

Разумеется ЭЦП должна быть не на генерального директора, а на должностное лицо.

А у должностного лица есть доверенность, где перечислено, что оно может делать.

 

2 часа назад, ixi сказал:

Можно заранее сформировать сколько угодно запросов.

Это 8760 запросов на год вперед.

Вручную это не сделать.

А если есть автоматизация, то уже не столь важно, делаются запросы по требованию или заранее пачкой.

Но вообще да, это тоже решение.

Share this post


Link to post
Share on other sites
8 часов назад, alibek сказал:

азумеется ЭЦП должна быть не на генерального директора, а на должностное лицо.

А у должностного лица есть доверенность, где перечислено, что оно может делать. 

Это все понятно, но

 

10 часов назад, ixi сказал:

минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. 

Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Нельзя сделать ЭЦП исключительно на выгрузку реестра. Мы пытались и обломались.

Edited by ALaddin

Share this post


Link to post
Share on other sites
6 часов назад, ALaddin сказал:

Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности.

Ну если делать доверенность с полномочиями ген.дира, то да.

Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны.

У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены.

 

6 часов назад, ALaddin сказал:

Нельзя сделать ЭЦП исключительно на выгрузку реестра.

ЭЦП сама по себе никаких полномочий не дает и какие-то задачи не делает.

ЭЦП это аналог личной подписи. Если водитель или кадровик не могут заключать договора от имени фирмы, то и их ЭЦП этого не позволит.

Share this post


Link to post
Share on other sites

К стати о ключах:

 

Решили поменять сервер. Поставили FreeBSD12. 

Делаем:

openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts

Enter Import Password:

Вводим пароль.

И получаем:

Mac verify error: invalid password?
34367890484:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:90:
34367890484:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:123:

Пробовали установить openssl из портов. То же самое.

На FreeBSD11 все отлично работает.

Кто-то сталкивался?

 

 

Share this post


Link to post
Share on other sites
9 минут назад, snik_1900 сказал:

Поставили FreeBSD12

Думая, это вот про вот это вот:

 

https://www.freebsd.org/releases/12.0R/announce.html

 

Цитата

Some of the highlights:

  • OpenSSL has been updated to version 1.1.1a (LTS).

https://www.openssl.org/news/cl110.txt

 

Цитата

  *) The GOST engine was out of date and therefore it has been removed. An up
     to date GOST engine is now being maintained in an external repository.
     See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
     support for GOST ciphersuites (these are only activated if a GOST engine
     is present).
     [Matt Caswell]

 

Share this post


Link to post
Share on other sites

Если ставить из портов то устанавливается: OpenSSL 1.0.2q  20 Nov 2018

Но он то же не работает

И как дальше быть?

 

В догонку:

/usr/local/bin/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
34370961408:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:117:filename(/usr/local/lib/engines-1.1/gost.so): Cannot open "/usr/local/lib/engines-1.1/gost.so"
34370961408:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
34370961408:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
34370961408:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:334:id=gost
34370961408:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=default_algorithms, value=ALL
34370961408:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:174:module=engines, value=engine_section, retcode=-1

 

Edited by snik_1900

Share this post


Link to post
Share on other sites

Какая-то каша у вас. Говорите что openssl 1.0.2, а либа ищется по путям из 1.1.х

Share this post


Link to post
Share on other sites

Уже разобрались. 

С OpenSSL 1.0.2q  20 Nov 2018 заработало.

Наш косяк. В скрипте не были указаны пути. По этому брался тот который п умолчанию стоит. 1.1*

Share this post


Link to post
Share on other sites
В 21.12.2018 в 15:39, alibek сказал:

Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны.

У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены.

Я это прекрасно понимаю. Но хорошо работает только в "бумажном" мире. Удостоверяющий центр нам так и не смог это реализовать в цифровом виде. Нет у них возможности сделать ЭЦП только для выгрузки. Может это нам так не повезло на ДВ.

Share this post


Link to post
Share on other sites
В 22.12.2018 в 00:40, remos сказал:

Санкции? Интересный ход конём...

Да нет. Работа с нашими околоФСБшными конторами. Я как-то пробовал. Удручающее занятие.

 

Скинули в плагин. Что, по добру, правильно при таком раскладе.

Share this post


Link to post
Share on other sites

кто знает, какой адрес и порт командного центра Ревизора?

Share this post


Link to post
Share on other sites
19 минут назад, dts сказал:

кто знает, какой адрес и порт командного центра Ревизора?

Задедосить решили на новый год?)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now