20 апреля, пятница 12:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Утилита командной строки СКАД Сигнатура, СКЗИ Верба-OW, Крипто-ПРО CSP и VIP.NET CSP

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Можно использовать несколько абоентов для шифрования?
    В т.ч. зашифровать на самого себя.
    Последний раз редактировалось Mitka_irk; 11.10.2017, 10:08.

    Комментарий


    • Сообщение от Eugene74 Посмотреть сообщение
      С помощью крипто-библиотеки от Верба-OW подписываем и шифруем файлы. В какой-то момент внутри зашифрованного файла оказывается не весь подписанный файл, а только его часть
      Не может быть связано с досрочной передачей управления последующим командам в запускающем скрипте/программе? И если там стоит переименование/перенос исходного/зашифрованного файла, то в процессе шифрования файл вдруг исчезает из-под носа криптобиблиотеки.
      Из-под чего запускаете шифрование? Может попробовать какие-то таймауты вставить после передачи управления криптобиблиотеке в зависимости от объёма исходного файла, если такая байда? Или посмотреть, может отсутствует/глючит анализ ответа от библиотеки о завершении операции шифрования.

      Комментарий


      • Сообщение от Mitka_irk Посмотреть сообщение
        Можно использовать несколько абоентов для шифрования?
        В т.ч. зашифровать на самого себя.
        Да, можно, мы именно так и поступаем - шифруем еще и на себя - для разбора полетов.

        Комментарий


        • Сообщение от Avantage Посмотреть сообщение
          Не может быть связано с досрочной передачей управления последующим командам в запускающем скрипте/программе? И если там стоит переименование/перенос исходного/зашифрованного файла, то в процессе шифрования файл вдруг исчезает из-под носа криптобиблиотеки.
          Из-под чего запускаете шифрование? Может попробовать какие-то таймауты вставить после передачи управления криптобиблиотеке в зависимости от объёма исходного файла, если такая байда? Или посмотреть, может отсутствует/глючит анализ ответа от библиотеки о завершении операции шифрования.
          Да нет, все линейно, никаких форков и тредов. Более того некоторое время после подписи стоял код проверяющий подпись, подпись проверялась, а следом формировался шифрованный файл с частью шифруемого.

          Используем два варианта - exe-файл собранный из примера в SDK, и вызов функций библиотеки из скрипта, результат в обоих случаях одинаковый - иногда зашифрована часть файла, а не весь. Код проверялся на предмет анализа кода возврата функции шифрования, все красиво - если пытаться шифровать на "левого" получателя, стабильно генерится ошибка. Грешили на антивирус - поставили рабочие каталоги в исключения - лучше не стало.

          Единственно что осталось проверить - будет ли лучше если шифровать в файл с новым именем, но 365-П проработала кучу времени без проблем именно с таким подходом - шифруем с тем же именем что и шифруемый файл, а потом переименовываем.

          Комментарий


          • Eugene74
            -v"AB1" "AB2"
            так?
            Покажите как перечислить абонентов?
            Последний раз редактировалось Mitka_irk; 11.10.2017, 14:11.

            Комментарий


            • Сообщение от Eugene74 Посмотреть сообщение
              Код проверялся на предмет анализа кода возврата функции шифрования, все красиво - если пытаться шифровать на "левого" получателя, стабильно генерится ошибка.
              В этом случае ошибка генерится без обращения к файлу - так что это не показатель. Ответ о логической ошибке и невозможности начать операцию - это совсем не то же самое, что положительный ответ об окончании файловой операции.
              Сообщение от Eugene74 Посмотреть сообщение
              365-П проработала кучу времени без проблем именно с таким подходом - шифруем с тем же именем что и шифруемый файл, а потом переименовываем
              Как раз очень похоже, что последуюшее переименование этого файла выхватывает ещё не дошифрованный исходный файл с тем же именем из-под носа шифрователя. Не факт, конечно, но вероятность есть. Я бы пока вставил таймаут в секунду/несколько между запуском шифрования и последующим переименованием файла. Чисто для собственного успокоения, пока разбираюсь с ответами от библиотечных функций.

              Комментарий


              • Сообщение от Mitka_irk Посмотреть сообщение
                Eugene74
                -v"AB1" "AB2"
                так?
                Покажите как перечислить абонентов?
                Вот как wftesto.exe принимает несколько ключей:
                USAGE: wftesto.exe command [arguments]
                where command [arguments] are:
                e In_file Out_file Secret_key_path Pub_key_pat From To ...

                comands:
                e - encrypt file,

                EXAMPLES:
                wftesto.exe e file.txt file.cry a:\ c:\pub 0005999999 0006999999 0007999999
                (encrypt from abonent 0005999999 to abonents 0006999999 and 0007999999)

                Комментарий


                • Сообщение от Avantage Посмотреть сообщение
                  В этом случае ошибка генерится без обращения к файлу - так что это не показатель. Ответ о логической ошибке и невозможности начать операцию - это совсем не то же самое, что положительный ответ об окончании файловой операции.
                  Ну это уже в крипто-библиотеке должно анализироваться, я то как могу на данный процесс влиять ?
                  Сообщение от Avantage Посмотреть сообщение
                  Как раз очень похоже, что последуюшее переименование этого файла выхватывает ещё не дошифрованный исходный файл с тем же именем из-под носа шифрователя. Не факт, конечно, но вероятность есть. Я бы пока вставил таймаут в секунду/несколько между запуском шифрования и последующим переименованием файла. Чисто для собственного успокоения, пока разбираюсь с ответами от библиотечных функций.
                  Если бы шифрованный файл бый битый, то он бы не расшифровался.
                  Задержка в секунду недопустима - колирчество обрабатываемых файлов не позволяет такой роскоши.
                  Последний раз редактировалось Eugene74; 12.10.2017, 15:07.

                  Комментарий


                  • Сообщение от Eugene74 Посмотреть сообщение
                    Если бы шифрованный файл бый битый, то он бы не расшифровался.
                    Это да, но только в том случае, если бы он побился уже после окончания шифрования.
                    Давай попробую пояснить свою мысль по шагам:
                    1. Ты передаёшь утилите шифрования имя файла для шифрования.
                    2. Утилита проверяет, может ли она начать операцию, есть ли файл и, если всё нормально, то...
                    3. Начинает побуферно/побайтово (в зависимости от реализации разработчиков) считывать файл и шифровать каждый считанный буфер/байт в памяти или временном файле.
                    4. В какой-то момент исходный файл исчезает, всё считанное ранее зашифровано, а следующий буфер считать невозможно.
                    5. Утилита считает что файл закончился, и сливает зашифрованное из памяти/переименовывает временный файл в файл с прежним именем.

                    В результате мы как раз и должны получить нормально зашифрованный внезапно оборванный кусок исходного файла, который расшифровывается без проблем. Предположение о досрочной передаче управления команде переименования файла всё ещё не кажется логичным?
                    Есть ли уверенность, что утилита шифрования вызывается из вашего кода с обязательным ожиданием полного окончания процедуры, прежде, чем передавать управление следующему оператору? Не может там стоять какой-нибудь /nowait в настройках вызова по умолчанию?

                    P.S. Хотя, нет. Где-то у меня не сходится. В этом случае должен оставаться и файл со старым именем, в котором зашифрованный обрезок, и файл с новым именем, где незашифрованный файл. Явно хромает моя логика. Извини.
                    Последний раз редактировалось Avantage; 12.10.2017, 16:49.

                    Комментарий


                    • Eugene74
                      А есть ли понимание, файл не полностью (не до конца) шифруется, не полностью "считывается" при процедуре шифрования, или, например, не полностью записывается в уже зашифрованном виде?
                      Т.е. например, можно ли сравнить реальную длину файла, который должен быть зашифрован, сколько байт было реально считано с диска, сколько отправлено на шифрование, сколько получено после шифрования, и сколько реально записано в файл на диск?
                      Может таким образом получится локализовать проблему.

                      ЗЫ: Помнится давным-давно, у меня периодически не "обрабатывались" должным образом большие файлы. Пришлось память менять на персоналке....
                      Последний раз редактировалось saches; 12.10.2017, 18:07.

                      Комментарий


                      • Сообщение от Eugene74 Посмотреть сообщение
                        Вот как wftesto.exe принимает несколько ключей...
                        Ветка про CRYPT, я спрашивал как зашифровать на несколько абонентов указанной утилитой.

                        Комментарий


                        • Сообщение от Mitka_irk Посмотреть сообщение
                          Ветка про CRYPT, я спрашивал как зашифровать на несколько абонентов указанной утилитой.
                          В текущей версии не реализовано. Реализовать возможно... в течении недели допилю.
                          [email]tuauto@inbox.ru[/email]
                          WMR239362348037 Я410015375040697

                          Комментарий


                          • Прошу в данной ветке задавать вопросы только по утилите CRYPT.
                            [email]tuauto@inbox.ru[/email]
                            WMR239362348037 Я410015375040697

                            Комментарий


                            • 1.1.39.440
                              -Исправлена ошибка приводящая к краху при одновременной проверке подписи CAPI нескольких файлов с указанным сертификатом (параметр p)
                              Вложения
                              [email]tuauto@inbox.ru[/email]
                              WMR239362348037 Я410015375040697

                              Комментарий


                              • Mitka_irk
                                Работа по шифрованию/расшифрования на/с нескольких отправителей (верба) почти закончена, идет тестирование, надеюсь на этой неделе закончу.
                                [email]tuauto@inbox.ru[/email]
                                WMR239362348037 Я410015375040697

                                Комментарий


                                • 1.1.44.535
                                  +Для Верба-OW добавлена возможность шифрования на нескольких получателей
                                  Вложения
                                  [email]tuauto@inbox.ru[/email]
                                  WMR239362348037 Я410015375040697

                                  Комментарий


                                  • Спасибо! Не добавлено описание как использовать.

                                    Комментарий


                                    • Описание было добавлено в справке.
                                      -v"номер1,номер2..."

                                      [email]tuauto@inbox.ru[/email]
                                      WMR239362348037 Я410015375040697

                                      Комментарий


                                      • Добрый день,

                                        пытаюсь подписать единичное ЭС с помощью ЗК + КА согласно документам УФЭБС (делают промежуточную программу).
                                        Опираюсь на присланный документ из УФЭБС ( у нем мало подробностей) и на тот , что нашел тут
                                        http://www.cbr.ru/analytics/formats/...del_v1_1_2.pdf

                                        С подписью КА проблем нет, а вот с ЗК проблема.

                                        Вот этот "XML" после подписания ЗК (и затем КА), и прогонки его через КБР-Н пишет, что подпись ЗК - ок
                                        Код:
                                        <ED101 EDNo="1"><AccDoc AccDocNo="1"></AccDoc></ED101>
                                        Стоит мне добавить хотя бы еще один атрибут в любой из тегов, то сразу пишет что подпись недостоверна
                                        Код:
                                        <ED101 EDNo="1" InfoCode="1"><AccDoc AccDocNo="1"></AccDoc></ED101>
                                        в приложении пытался вникнуть в канонизацию/нормализацию (так как стандартные средства не прокатили - не дали ни какого результата), но так и не понял в чем проблема. Там есть пункт нормализация атрибутов (но как я понимаю это относится к значениям).

                                        Единственное на что я грешу, что ему не нравиться пробел между атрибутами. правильно ли я понимаю, что перед подписанием ЗК, нужно пробел между атрибутом EDNo и InfoCode заменить на #x20 ?

                                        Комментарий


                                        • внимательнее читайте про нормализацию и канонизацию.
                                          руками ничего заменять не надо

                                          Комментарий


                                          • Уже перечитал несколько раз.. распечатанные лежат приложения к документу с описанием. Перепробовал разные варианты, не помогает.
                                            Я уже несколько месяцев бьюсь над этим, периодически возвращаясь снова и снова. Уж еи шифрование реализвал, и подписи, и проверки, и все варианты подписей с одним двумя и тремя ключами.. и внутреннее архивирование и вообщем все что можно.

                                            Что значит руками ни чего заменять не надо? Каким тогда способом заменить? То что я пробовал из стандартных вариантов, ни чего не работает.
                                            В комплекте у Сигнатуры тоже таких методов не идет, для предобработки XML перед подписью.
                                            Конкретно на моем примере, что не так? Мне проще написать согласно документации эти методы (хотя я уже их несколько раз переписал), да и документация если честно не полная((( например написано нормализация атрибутов.. как подразумевается делать ее ни где не сказано дальше в документе, и таких моментов выше крыши. Руки оторвать тем, кто ее писал((
                                            Ну или посоветуйте стандартные средства для канонизации и нормализации, которые точно помогли... ? может интерфейсы виндусовские, объекты, dll?

                                            Комментарий


                                            • Для подписания ЗК я использую spki1.dll
                                              методы VCERT_SignFile и VCERT_SignMem - пробовал оба, с ними проблем нет.
                                              для КА все отлично работает, а вот с ЗК из за этих преобразований достичь результата не удается.
                                              Может кто то подскажет. Как кто решил вопрос канонизации и нормализации XML перед его подписыванием ЗК?
                                              Пытался посмотреть код утилиты, которую в этом топике выложили, но там нет нормализации и канонизации.

                                              Комментарий


                                              • Сходите сюда :
                                                Тема "АРМ КБР-Н Пусконаладка" в Автоматизации
                                                и
                                                Тема "Новый КБР-Н и подписание ЭС в АС (информ. письмо МЦОИ 58 от 05-06-2017)" в Информационной безопасности.

                                                Там найдёте всё что Вас интересует...



                                                Комментарий


                                                • Сообщение от idelta Посмотреть сообщение
                                                  Сходите сюда :
                                                  Тема "АРМ КБР-Н Пусконаладка" в Автоматизации
                                                  и
                                                  Тема "Новый КБР-Н и подписание ЭС в АС (информ. письмо МЦОИ 58 от 05-06-2017)" в Информационной безопасности.

                                                  Там найдёте всё что Вас интересует...
                                                  Спасибо. Ушел читать их)

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X