[st_re]

Если паранойя присутствует, то пускай 1 раз подпишут запрос и с ним целый год и ходить.

[Andrei]

4 минуты назад, st_re сказал:

пускай 1 раз подпишут запрос и с ним целый год и ходить

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

[ayf]

12 минут назад, Andrei сказал:

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

Все годы так и делал, пока dpi не поставили. Там все проще.

 

[alibek]

29 минут назад, Andrei сказал:

По-моему дата/время  в запросе должны меняться.

В теории да, в этом и смысл запроса, подписываемого ЭЦП.

В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его).

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

[st_re]

50 минут назад, Andrei сказал:

Возможно ошибаюсь, но разве так можно?  По-моему дата/время  в запросе должны меняться.

работает именно так с момента появления необходимости загружать список. раз в год после получения новой подписи подписывается новый файл и подсовывается качальщику. Сам ключ я в глаза не видел ни разу.

[snvoronkov]

21 минуту назад, alibek сказал:

В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его).

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

1) Не "в настоящий момент", а "по".

2) "Если вдруг" что-то вот четыре года все никак не наступит.

[alibek]

Только что, snvoronkov сказал:

2) "Если вдруг" что-то вот четыре года все никак не наступит.

Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина.

Не так уж много.

Неужели лучше надеяться, что РКН ничего не поменяет?

Риски ведь велики.

[Andrei]

34 минуты назад, alibek сказал:

Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина.

Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

[alibek]

Только что, Andrei сказал:

Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

Во-первых, слабым звеном обычно оказывается человек, а не сервер.

А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут.

[Andrei]

2 минуты назад, alibek сказал:

для ЕРДИ у меня отдельная ЭЦП

Это хороший выход, но затраты. А разговор начался про использование уже имеющегося ключа бухов, например "контуровского".

[ixi]

5 часов назад, Andrei сказал:

Если у вас бухгалтерия сдает отчетность в электронном виде, через "Контур" например, то эта ЭЦП подходит для выгрузок реестра. Если только отбросить паранойю на счет того, что ей будет пользоваться еще кто-то кроме бухов. Если паранойя присутствует, то да, придется делать отдельную ЭЦП. 

Заранее подписать запрос(ы) и потом их использовать никто не мешает. Сама подпись на сервере не нужна

 

1 час назад, alibek сказал:

Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса.

Можно заранее сформировать сколько угодно запросов. У меня они с интервалом в час, всегда свежий используется.

 

40 минут назад, alibek сказал:

А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. 

Такое возможно? вроде обсуждали уже, что минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий.

[YuryD]

1 час назад, Andrei сказал:

Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер"

 Это вы еще сберовскую паранойю не видели.... Только для того чтобы получить реестр приходов, всего-лишь... Не скажу, что хранить экспортированный ключ для openssl хорошо, но сервер-то можно зафайерволить до паранойи, если это конечно не винда. 4 года об безопасности ключа думаю.... Заддосить могут, проникнуть до рута и ключа - не думаю.

[alibek]

2 часа назад, ixi сказал:

Такое возможно?

Разумеется ЭЦП должна быть не на генерального директора, а на должностное лицо.

А у должностного лица есть доверенность, где перечислено, что оно может делать.

 

2 часа назад, ixi сказал:

Можно заранее сформировать сколько угодно запросов.

Это 8760 запросов на год вперед.

Вручную это не сделать.

А если есть автоматизация, то уже не столь важно, делаются запросы по требованию или заранее пачкой.

Но вообще да, это тоже решение.

[ALaddin]

8 часов назад, alibek сказал:

азумеется ЭЦП должна быть не на генерального директора, а на должностное лицо.

А у должностного лица есть доверенность, где перечислено, что оно может делать. 

Это все понятно, но

 

10 часов назад, ixi сказал:

минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. 

Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Нельзя сделать ЭЦП исключительно на выгрузку реестра. Мы пытались и обломались.

Edited December 20, 2018 by ALaddin

[alibek]

6 часов назад, ALaddin сказал:

Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности.

Ну если делать доверенность с полномочиями ген.дира, то да.

Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны.

У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены.

 

6 часов назад, ALaddin сказал:

Нельзя сделать ЭЦП исключительно на выгрузку реестра.

ЭЦП сама по себе никаких полномочий не дает и какие-то задачи не делает.

ЭЦП это аналог личной подписи. Если водитель или кадровик не могут заключать договора от имени фирмы, то и их ЭЦП этого не позволит.

[snik_1900]

К стати о ключах:

 

Решили поменять сервер. Поставили FreeBSD12. 

Делаем:

openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts

Enter Import Password:

Вводим пароль.

И получаем:

Mac verify error: invalid password?
34367890484:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:90:
34367890484:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:123:
Пробовали установить openssl из портов. То же самое.

На FreeBSD11 все отлично работает.

Кто-то сталкивался?

 

 

[snvoronkov]

9 минут назад, snik_1900 сказал:

Поставили FreeBSD12

Думая, это вот про вот это вот:

 

https://www.freebsd.org/releases/12.0R/announce.html

 

Цитата

Some of the highlights:

• OpenSSL has been updated to version 1.1.1a (LTS).

https://www.openssl.org/news/cl110.txt

 

Цитата

  *) The GOST engine was out of date and therefore it has been removed. An up
     to date GOST engine is now being maintained in an external repository.
     See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains
     support for GOST ciphersuites (these are only activated if a GOST engine
     is present).
     [Matt Caswell]

 

[snik_1900]

Если ставить из портов то устанавливается: OpenSSL 1.0.2q  20 Nov 2018

Но он то же не работает

И как дальше быть?

 

В догонку:

/usr/local/bin/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
34370961408:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:117:filename(/usr/local/lib/engines-1.1/gost.so): Cannot open "/usr/local/lib/engines-1.1/gost.so"
34370961408:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
34370961408:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
34370961408:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:334:id=gost
34370961408:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=default_algorithms, value=ALL
34370961408:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:174:module=engines, value=engine_section, retcode=-1

 

Edited December 21, 2018 by snik_1900

[taf_321]

Какая-то каша у вас. Говорите что openssl 1.0.2, а либа ищется по путям из 1.1.х

[snik_1900]

Уже разобрались. 

С OpenSSL 1.0.2q  20 Nov 2018 заработало.

Наш косяк. В скрипте не были указаны пути. По этому брался тот который п умолчанию стоит. 1.1*

[remos]

13 часов назад, snvoronkov сказал:

Думая, это вот про вот это вот:

 

https://www.freebsd.org/releases/12.0R/announce.html

 

https://www.openssl.org/news/cl110.txt

 

 

Санкции? Интересный ход конём...

[ALaddin]

В 21.12.2018 в 15:39, alibek сказал:

Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны.

У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены.

Я это прекрасно понимаю. Но хорошо работает только в "бумажном" мире. Удостоверяющий центр нам так и не смог это реализовать в цифровом виде. Нет у них возможности сделать ЭЦП только для выгрузки. Может это нам так не повезло на ДВ.

[snvoronkov]

В 22.12.2018 в 00:40, remos сказал:

Санкции? Интересный ход конём...

Да нет. Работа с нашими околоФСБшными конторами. Я как-то пробовал. Удручающее занятие.

 

Скинули в плагин. Что, по добру, правильно при таком раскладе.

[dts]

кто знает, какой адрес и порт командного центра Ревизора?

[ayf]

19 минут назад, dts сказал:

кто знает, какой адрес и порт командного центра Ревизора?

Задедосить решили на новый год?)