LINUX.ORG.RU

TrustedJava, CryptoPro и токены с GOST3410v12256

 , , ,


0

2

Короче ограбили нашу контору за новый токен, мы его воткнули и весь криптостек упал. Суть в том, что строчка алгоритм сертификата !equals строчке алгоритма публичного ключа. Минимальный тестировщик: https://github.com/Crutchmaster/CPKeyTester
Его выхлоп:

Keystory type: CryptoProCSPKeyStore
Keystore provider: DIGT
Private keys:
Private key:
cert #0 public key algorithm:GOST3410v12256
cert #1 public key algorithm:GOST3410v12256
cert #2 public key algorithm:GOST3410v12256
Private key algorithm:GOST3410
java.lang.IllegalArgumentException: private key algorithm does not match algorithm of public key in end entity certificate (at index 0)
	at java.security.KeyStore$PrivateKeyEntry.<init>(Unknown Source)
	at java.security.KeyStore$PrivateKeyEntry.<init>(Unknown Source)
	at java.security.KeyStoreSpi.engineGetEntry(Unknown Source)
	at java.security.KeyStore.getEntry(Unknown Source)
	at com.ric.gis.keyTester.App.run(App.java:70)
	at com.ric.gis.keyTester.App.main(App.java:26)
Падает на попытке вытащить интерфейс закрытого ключа из хранилища. Протестите ключик у кого есть, если не сложно, ну или наставьте на путь истинный.

Про жаву не знаю, но ведь понятно написано же - разные алгоритмы. Публичный v12256 суффикс имеет, а приватный не имеет, в этом и суть.

Вангую, что бага на стороне криптопрошных - багу им на трекер.

pon4ik ★★★★★
()
Ответ на: комментарий от crutch_master

Ну дело ваше, можно изображать типа с твоей авы, а можно хотя бы попробовать заставить их отрабатывать бабло. А если не выйдет я бы написал на хабре статейку с заголовком уровня «Костыли и подпорки отечественных крипто вендоров часть 1».

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Ну дело ваше, можно изображать типа с твоей авы

Там делов на 2 строчки, я больше паники навёл с недосыпу.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от pon4ik

а можно хотя бы попробовать заставить их отрабатывать бабло.

Они, в лучшем случае, пока пофиксят, пройдёт месяц, а работать должно было еще на той неделе.

«Костыли и подпорки отечественных крипто вендоров часть 1».

против отечественных крипто вендоров.

crutch_master ★★★★★
() автор топика

https://github.com/Crutchmaster/CPKeyTester/blob/master/src/main/java/com/test/gis/KeyTester/App.java

Имя пакета «com.ric.gis.KeyTester» не совпадает с путём файла com/test/gis/KeyTester. И имя пакета с большой буквы. Но это так, мелочи, я просто придираюсь. :)

Ты хотя бы подсказал, откуда взять trusted.jar. Отсюда что ли?

Я как закончил работать с отечественной криптографией, забыл её как страшный сон. Куча провайдеров, у каждого своя (кривая) реализация. Всё через жопу работает, тех. поддержка никакая, документации с гулькин нос, примеры куцые...

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

И там разве не надо ещё в jre/lib/ext закидывать файлы для разбора xml?

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

Имя пакета «com.ric.gis.KeyTester» не совпадает с путём файла com/test/gis/KeyTester

Точно. Поправил.

Я как закончил работать с отечественной криптографией, забыл её как страшный сон. Куча провайдеров, у каждого своя (кривая) реализация. Всё через жопу работает, тех. поддержка никакая, документации с гулькин нос, примеры куцые...

Я вообще туда не хочу залазить по этой причине, но надо. Как я понял там лучше сделать свою велообвязку и не тащить внешние либы.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от crutch_master

Это надо спрашивать у тех - кто покупал. Я с ними не работал(настолько плотно, что бы баги им репортать).

На любой контактный имейл им пишешь с указанием компании, дальше тебя перенаправят. Треккера может и не быть в привычном понимании, внутри он есть(скорее всего), но зачастую запросы на поддержку принимаются через первую линию и мыло.

pon4ik ★★★★★
()
Ответ на: комментарий от crutch_master

Это в корне не верный подход. Люди делают продукт. Продают его. Продукт гавно - но все об этом молчат и велосипедят велосипеды. Продукт остаётся гуаниной. Разве это profit?

Знакомая практика, как минимум в одном продукте в разработке которого я участвовал. При адекватном руководстве - клиентам начинают чуть ли не платить за фидбэк. Ну платить это я загнул, но скидки на лицухи - в порядке вещей.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Люди делают продукт. Продают его. Продукт гавно - но все об этом молчат и велосипедят велосипеды. Продукт остаётся гуаниной.

Они есть только благодаря административному ресурсу, потому что всякие гисжкх работают только с их токенами. Если бы можно было генерить ключи самому не было бы у нас этих криптопро с их поделками. Российское ИТ на госзаказах - это тот еще треш.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от pon4ik

Это в корне не верный подход.

Да, совершенно не верный. Но у нас не слишком большой выбор : сделать правильно и сделать чтобы работало.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от pon4ik

Продукт гавно - но все об этом молчат

Ну, вообще пишут. Но где пишут? На ЛОРе/хабре не будут про это писать, там все серьёзные ИТшники, которые зарабатывают $500кк/сек, какие госшараги и зачем им это. Остальные пишут в саппорт, который не отвечает годами и на местный форум, где модер всё трёт. Есть нейтральный чисто жкхшний бурмистр.ру, но там кодеров почти нет.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 2)
Ответ на: комментарий от crutch_master

Я сильно сомневаюсь, что они прям полнейшие мудаки. Просто наш менталитет не даёт репортать баги почему-то. Нет багов - всё ок, они считают что написали код без багов, чебы так не саппортать.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Я сильно сомневаюсь, что они прям полнейшие мудаки.

Кто? Гисхкж? Ну я бы не сказал прям так, просто работы на них много свалилось.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от crutch_master

Вот после таких заявлений на самом непопулярном форуме рунета твой риквест будет точно повышен в приоритете.

pon4ik ★★★★★
()
Ответ на: комментарий от crutch_master

Интерфейс к саппорту у них не хуже чем скажем у биржи, или многих и многих зарубежных контор крупной и средней руки.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Тут вся проблема в сертификации, т. е. получения бумажки. Без бумажки ты никто, зато с бумажкой - огого...

Сам процесс разработки продукта (нужно по ГОСТам, инструкциям и нормативам делать, иначе не пройти сертификацию) заслуживает отдельного повествования. И в итоге до финала доходят не только лишь все, а те, кто дошли, становятся практически монополистами потому, что их единицы, а ЦБ, ПФР и налоговые службы требуют работу только через сертифицированные продукты. Да и сам процесс прохождения сертификации в итоге сводится к процессу, чтобы добавить очередной костыль, чтобы получить-таки эту бумажку. И на то, что там говнокод уже не особо смотрят.

ma1uta ★★★
()
Ответ на: комментарий от ma1uta

Ну… тот же кузнечик есть в том же OpenSSL (вроде от тех же вендоров, но с ребятами из открытых защищённых уровней не забалуешь с морж риквестами), чет я слабо верю, что в джава нет адекватного коннектора к этому продукту.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Тут либа работает с криптопро, который работает с токеном. OpenSSL работает просто с ключами. Я уже хотел его приделать, но обломался. Ключик в токене невынимаемый.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 2)
Ответ на: комментарий от crutch_master

А, я чет не уловил акцент на слове токен, подумал что речь об обычной цифровой подписи, которая тоже есть в опенссл.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

Да, была бы подпись вообще бы проблем не было.

crutch_master ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.