TrustedJava, CryptoPro и токены с GOST3410v12256

Про жаву не знаю, но ведь понятно написано же - разные алгоритмы. Публичный v12256 суффикс имеет, а приватный не имеет, в этом и суть.

Вангую, что бага на стороне криптопрошных - багу им на трекер.

На их форуме вообще советуют забить на keyStore.getEntry и юзать getKey

Ну дело ваше, можно изображать типа с твоей авы, а можно хотя бы попробовать заставить их отрабатывать бабло. А если не выйдет я бы написал на хабре статейку с заголовком уровня «Костыли и подпорки отечественных крипто вендоров часть 1».

Ну дело ваше, можно изображать типа с твоей авы

Там делов на 2 строчки, я больше паники навёл с недосыпу.

а можно хотя бы попробовать заставить их отрабатывать бабло.

Они, в лучшем случае, пока пофиксят, пройдёт месяц, а работать должно было еще на той неделе.

«Костыли и подпорки отечественных крипто вендоров часть 1».

против отечественных крипто вендоров.

Месяц это ещё оптимистично. Но если не зарепортать - то вообще никогда не пофиксят.

А куда там репортить? Где у них багтрекер?

Попробуй у них на форуме написать.

https://github.com/Crutchmaster/CPKeyTester/blob/master/src/main/java/com/test/gis/KeyTester/App.java

Имя пакета «com.ric.gis.KeyTester» не совпадает с путём файла com/test/gis/KeyTester. И имя пакета с большой буквы. Но это так, мелочи, я просто придираюсь. :)

Ты хотя бы подсказал, откуда взять trusted.jar. Отсюда что ли?

Я как закончил работать с отечественной криптографией, забыл её как страшный сон. Куча провайдеров, у каждого своя (кривая) реализация. Всё через жопу работает, тех. поддержка никакая, документации с гулькин нос, примеры куцые...

И там разве не надо ещё в jre/lib/ext закидывать файлы для разбора xml?

Имя пакета «com.ric.gis.KeyTester» не совпадает с путём файла com/test/gis/KeyTester

Точно. Поправил.

Я как закончил работать с отечественной криптографией, забыл её как страшный сон. Куча провайдеров, у каждого своя (кривая) реализация. Всё через жопу работает, тех. поддержка никакая, документации с гулькин нос, примеры куцые...

Я вообще туда не хочу залазить по этой причине, но надо. Как я понял там лучше сделать свою велообвязку и не тащить внешние либы.

Это надо спрашивать у тех - кто покупал. Я с ними не работал(настолько плотно, что бы баги им репортать).

На любой контактный имейл им пишешь с указанием компании, дальше тебя перенаправят. Треккера может и не быть в привычном понимании, внутри он есть(скорее всего), но зачастую запросы на поддержку принимаются через первую линию и мыло.

Это в корне не верный подход. Люди делают продукт. Продают его. Продукт гавно - но все об этом молчат и велосипедят велосипеды. Продукт остаётся гуаниной. Разве это profit?

Знакомая практика, как минимум в одном продукте в разработке которого я участвовал. При адекватном руководстве - клиентам начинают чуть ли не платить за фидбэк. Ну платить это я загнул, но скидки на лицухи - в порядке вещей.

Люди делают продукт. Продают его. Продукт гавно - но все об этом молчат и велосипедят велосипеды. Продукт остаётся гуаниной.

Они есть только благодаря административному ресурсу, потому что всякие гисжкх работают только с их токенами. Если бы можно было генерить ключи самому не было бы у нас этих криптопро с их поделками. Российское ИТ на госзаказах - это тот еще треш.

Это в корне не верный подход.

Да, совершенно не верный. Но у нас не слишком большой выбор : сделать правильно и сделать чтобы работало.

Продукт гавно - но все об этом молчат

Ну, вообще пишут. Но где пишут? На ЛОРе/хабре не будут про это писать, там все серьёзные ИТшники, которые зарабатывают $500кк/сек, какие госшараги и зачем им это. Остальные пишут в саппорт, который не отвечает годами и на местный форум, где модер всё трёт. Есть нейтральный чисто жкхшний бурмистр.ру, но там кодеров почти нет.

Я сильно сомневаюсь, что они прям полнейшие мудаки. Просто наш менталитет не даёт репортать баги почему-то. Нет багов - всё ок, они считают что написали код без багов, чебы так не саппортать.

Я сильно сомневаюсь, что они прям полнейшие мудаки.

Кто? Гисхкж? Ну я бы не сказал прям так, просто работы на них много свалилось.

Вот после таких заявлений на самом непопулярном форуме рунета твой риквест будет точно повышен в приоритете.

Интерфейс к саппорту у них не хуже чем скажем у биржи, или многих и многих зарубежных контор крупной и средней руки.

Тут вся проблема в сертификации, т. е. получения бумажки. Без бумажки ты никто, зато с бумажкой - огого...

Сам процесс разработки продукта (нужно по ГОСТам, инструкциям и нормативам делать, иначе не пройти сертификацию) заслуживает отдельного повествования. И в итоге до финала доходят не только лишь все, а те, кто дошли, становятся практически монополистами потому, что их единицы, а ЦБ, ПФР и налоговые службы требуют работу только через сертифицированные продукты. Да и сам процесс прохождения сертификации в итоге сводится к процессу, чтобы добавить очередной костыль, чтобы получить-таки эту бумажку. И на то, что там говнокод уже не особо смотрят.

Ну… тот же кузнечик есть в том же OpenSSL (вроде от тех же вендоров, но с ребятами из открытых защищённых уровней не забалуешь с морж риквестами), чет я слабо верю, что в джава нет адекватного коннектора к этому продукту.

Тут либа работает с криптопро, который работает с токеном. OpenSSL работает просто с ключами. Я уже хотел его приделать, но обломался. Ключик в токене невынимаемый.

А, я чет не уловил акцент на слове токен, подумал что речь об обычной цифровой подписи, которая тоже есть в опенссл.

Да, была бы подпись вообще бы проблем не было.

https://trusted.ru/products/trusted-java/about/ :)

А так ещё есть https://commons.apache.org/proper/commons-crypto/

Правда я ни с тем, ни с другим не работал, мне хватало bouncycastle.