st_re Posted December 20, 2018 · Report post Если паранойя присутствует, то пускай 1 раз подпишут запрос и с ним целый год и ходить. Share this post Link to post Share on other sites
Andrei Posted December 20, 2018 · Report post 4 минуты назад, st_re сказал: пускай 1 раз подпишут запрос и с ним целый год и ходить Возможно ошибаюсь, но разве так можно? По-моему дата/время в запросе должны меняться. Share this post Link to post Share on other sites
ayf Posted December 20, 2018 · Report post 12 минут назад, Andrei сказал: Возможно ошибаюсь, но разве так можно? По-моему дата/время в запросе должны меняться. Все годы так и делал, пока dpi не поставили. Там все проще. Share this post Link to post Share on other sites
alibek Posted December 20, 2018 · Report post 29 минут назад, Andrei сказал: По-моему дата/время в запросе должны меняться. В теории да, в этом и смысл запроса, подписываемого ЭЦП. В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его). Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса. Share this post Link to post Share on other sites
st_re Posted December 20, 2018 · Report post 50 минут назад, Andrei сказал: Возможно ошибаюсь, но разве так можно? По-моему дата/время в запросе должны меняться. работает именно так с момента появления необходимости загружать список. раз в год после получения новой подписи подписывается новый файл и подсовывается качальщику. Сам ключ я в глаза не видел ни разу. Share this post Link to post Share on other sites
snvoronkov Posted December 20, 2018 · Report post 21 минуту назад, alibek сказал: В настоящий момент это не контролируется и многие этим пользуются (ежегодно подписывают запрос один раз вручную и используют его). Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса. 1) Не "в настоящий момент", а "по". 2) "Если вдруг" что-то вот четыре года все никак не наступит. Share this post Link to post Share on other sites
alibek Posted December 20, 2018 · Report post Только что, snvoronkov сказал: 2) "Если вдруг" что-то вот четыре года все никак не наступит. Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина. Не так уж много. Неужели лучше надеяться, что РКН ничего не поменяет? Риски ведь велики. Share this post Link to post Share on other sites
Andrei Posted December 20, 2018 · Report post 34 минуты назад, alibek сказал: Сделать автоматическое подписывание несложно, это максимум пара дней работы сисадмина. Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер" Share this post Link to post Share on other sites
alibek Posted December 20, 2018 · Report post Только что, Andrei сказал: Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер" Во-первых, слабым звеном обычно оказывается человек, а не сервер. А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. Share this post Link to post Share on other sites
Andrei Posted December 20, 2018 · Report post 2 минуты назад, alibek сказал: для ЕРДИ у меня отдельная ЭЦП Это хороший выход, но затраты. А разговор начался про использование уже имеющегося ключа бухов, например "контуровского". Share this post Link to post Share on other sites
ixi Posted December 20, 2018 · Report post 5 часов назад, Andrei сказал: Если у вас бухгалтерия сдает отчетность в электронном виде, через "Контур" например, то эта ЭЦП подходит для выгрузок реестра. Если только отбросить паранойю на счет того, что ей будет пользоваться еще кто-то кроме бухов. Если паранойя присутствует, то да, придется делать отдельную ЭЦП. Заранее подписать запрос(ы) и потом их использовать никто не мешает. Сама подпись на сервере не нужна 1 час назад, alibek сказал: Но я бы так не делал. Если вдруг в какой-то момент РКН начнет проверять таймштамп запроса, то проблем будет гораздо больше, чем один раз отладить автоподписание запроса. Можно заранее сформировать сколько угодно запросов. У меня они с интервалом в час, всегда свежий используется. 40 минут назад, alibek сказал: А во-вторых, для ЕРДИ у меня отдельная ЭЦП, для которой разрешена только с выгрузками. Если даже ключ украдут, для других целей использовать не смогут. Такое возможно? вроде обсуждали уже, что минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. Share this post Link to post Share on other sites
YuryD Posted December 20, 2018 · Report post 1 час назад, Andrei сказал: Не сложно. Но тогда надо экспортнуть ключ и положить его на сервер, который будет формировать запрос, подписывать его и выкачивать реестр. Вот тут-то паранойя и появляется: "экспортнуть ключ и положить его на сервер" Это вы еще сберовскую паранойю не видели.... Только для того чтобы получить реестр приходов, всего-лишь... Не скажу, что хранить экспортированный ключ для openssl хорошо, но сервер-то можно зафайерволить до паранойи, если это конечно не винда. 4 года об безопасности ключа думаю.... Заддосить могут, проникнуть до рута и ключа - не думаю. Share this post Link to post Share on other sites
alibek Posted December 20, 2018 · Report post 2 часа назад, ixi сказал: Такое возможно? Разумеется ЭЦП должна быть не на генерального директора, а на должностное лицо. А у должностного лица есть доверенность, где перечислено, что оно может делать. 2 часа назад, ixi сказал: Можно заранее сформировать сколько угодно запросов. Это 8760 запросов на год вперед. Вручную это не сделать. А если есть автоматизация, то уже не столь важно, делаются запросы по требованию или заранее пачкой. Но вообще да, это тоже решение. Share this post Link to post Share on other sites
ALaddin Posted December 20, 2018 (edited) · Report post 8 часов назад, alibek сказал: азумеется ЭЦП должна быть не на генерального директора, а на должностное лицо. А у должностного лица есть доверенность, где перечислено, что оно может делать. Это все понятно, но 10 часов назад, ixi сказал: минимальная ЭЦП для выгрузки содержит все необходимые поля и для других действий. Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Нельзя сделать ЭЦП исключительно на выгрузку реестра. Мы пытались и обломались. Edited December 20, 2018 by ALaddin Share this post Link to post Share on other sites
alibek Posted December 21, 2018 · Report post 6 часов назад, ALaddin сказал: Т.е. будет ЭЦП на другое лицо с полномочиями ген. дира согласно доверенности. Ну если делать доверенность с полномочиями ген.дира, то да. Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны. У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены. 6 часов назад, ALaddin сказал: Нельзя сделать ЭЦП исключительно на выгрузку реестра. ЭЦП сама по себе никаких полномочий не дает и какие-то задачи не делает. ЭЦП это аналог личной подписи. Если водитель или кадровик не могут заключать договора от имени фирмы, то и их ЭЦП этого не позволит. Share this post Link to post Share on other sites
snik_1900 Posted December 21, 2018 · Report post К стати о ключах: Решили поменять сервер. Поставили FreeBSD12. Делаем: openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts Enter Import Password: Вводим пароль. И получаем: Mac verify error: invalid password? 34367890484:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:90: 34367890484:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:123: Пробовали установить openssl из портов. То же самое. На FreeBSD11 все отлично работает. Кто-то сталкивался? Share this post Link to post Share on other sites
snvoronkov Posted December 21, 2018 · Report post 9 минут назад, snik_1900 сказал: Поставили FreeBSD12 Думая, это вот про вот это вот: https://www.freebsd.org/releases/12.0R/announce.html Цитата Some of the highlights: OpenSSL has been updated to version 1.1.1a (LTS). https://www.openssl.org/news/cl110.txt Цитата *) The GOST engine was out of date and therefore it has been removed. An up to date GOST engine is now being maintained in an external repository. See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains support for GOST ciphersuites (these are only activated if a GOST engine is present). [Matt Caswell] Share this post Link to post Share on other sites
snik_1900 Posted December 21, 2018 (edited) · Report post Если ставить из портов то устанавливается: OpenSSL 1.0.2q 20 Nov 2018 Но он то же не работает И как дальше быть? В догонку: /usr/local/bin/openssl engine (rdrand) Intel RDRAND engine (dynamic) Dynamic engine loading support 34370961408:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:117:filename(/usr/local/lib/engines-1.1/gost.so): Cannot open "/usr/local/lib/engines-1.1/gost.so" 34370961408:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162: 34370961408:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414: 34370961408:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:334:id=gost 34370961408:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=default_algorithms, value=ALL 34370961408:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:174:module=engines, value=engine_section, retcode=-1 Edited December 21, 2018 by snik_1900 Share this post Link to post Share on other sites
taf_321 Posted December 21, 2018 · Report post Какая-то каша у вас. Говорите что openssl 1.0.2, а либа ищется по путям из 1.1.х Share this post Link to post Share on other sites
snik_1900 Posted December 21, 2018 · Report post Уже разобрались. С OpenSSL 1.0.2q 20 Nov 2018 заработало. Наш косяк. В скрипте не были указаны пути. По этому брался тот который п умолчанию стоит. 1.1* Share this post Link to post Share on other sites
remos Posted December 21, 2018 · Report post 13 часов назад, snvoronkov сказал: Думая, это вот про вот это вот: https://www.freebsd.org/releases/12.0R/announce.html https://www.openssl.org/news/cl110.txt Санкции? Интересный ход конём... Share this post Link to post Share on other sites
ALaddin Posted December 24, 2018 · Report post В 21.12.2018 в 15:39, alibek сказал: Только для того, чтобы работать с выгрузками, полномочия ген.дира не нужны. У меня есть несколько доверенностей для разных случаев и в каждой подробно перечислено, для каких мест и какие полномочия мне предоставлены. Я это прекрасно понимаю. Но хорошо работает только в "бумажном" мире. Удостоверяющий центр нам так и не смог это реализовать в цифровом виде. Нет у них возможности сделать ЭЦП только для выгрузки. Может это нам так не повезло на ДВ. Share this post Link to post Share on other sites
snvoronkov Posted December 29, 2018 · Report post В 22.12.2018 в 00:40, remos сказал: Санкции? Интересный ход конём... Да нет. Работа с нашими околоФСБшными конторами. Я как-то пробовал. Удручающее занятие. Скинули в плагин. Что, по добру, правильно при таком раскладе. Share this post Link to post Share on other sites
dts Posted December 30, 2018 · Report post кто знает, какой адрес и порт командного центра Ревизора? Share this post Link to post Share on other sites
ayf Posted December 30, 2018 · Report post 19 минут назад, dts сказал: кто знает, какой адрес и порт командного центра Ревизора? Задедосить решили на новый год?) Share this post Link to post Share on other sites