Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Delphi |
![]() ![]() |
Топик располагается на нескольких страницах: [1] 2 3 4 5 6 7 8 вперед Ctrl→ все |
maratvg Member Откуда: 74 Сообщений: 120 |
Добрый день. Имеется подписанный файл (для удобства чтения отформатированный):
Также в наличии имеется 2 сертификата: свой и ФСС. С вычислением хеш-суммы и подписи разобрался. А вот шифрование не осилил. Задача: этот подписанный файл зашифровать и поместить в файл:
В документе Спецификация_ЭЛН_Страхователь_v1_1_20171215.doc указано:
Собственно вопросы: 1. Что такое "секретный ключ для данного информационного взаимодействия"? 2. Из непонимания (1) следующий вопрос: какими функциями пользоваться и в какой последовательности для шифрования файла. 3. "публичный сертификат пользователя, зашифровавшего данные (X509Certificate)" - эти данные берутся из сертификата ФСС? Ведь шифровать файл надо их ключом? |
||||
25 дек 17, 09:17 [21059341] Ответить | Цитировать Сообщить модератору |
sql2012 Member Откуда: РФ Сообщений: 776 |
Создание и проверка подписи документа XML Объект CPEnvelopedData + форум КРИПТО-ПРО. |
25 дек 17, 23:18 [21061778] Ответить | Цитировать Сообщить модератору |
maratvg Member Откуда: 74 Сообщений: 120 |
sql2012, Спасибо за ссылки, только они не открываются. Вот сейчас у меня есть конкретный вопрос: как формируется CipherValue. Тот самый, который "секретный ключ для данного информационного взаимодействия". По примерам с сайта накидал вот такое:
Как, зная SessionKey, InitVector и может быть что-то еще сформировать CipherValue? |
|
28 дек 17, 12:51 [21069603] Ответить | Цитировать Сообщить модератору |
sql2012 Member Откуда: РФ Сообщений: 776 |
http://cpdn.cryptopro.ru/?url=/content/cades/plugin-samples-sign-xml.html http://cpdn.cryptopro.ru/?url=/content/cades/class_c_ad_e_s_c_o_m_1_1_c_p_enveloped_data.html |
28 дек 17, 16:47 [21070326] Ответить | Цитировать Сообщить модератору |
sql2012 Member Откуда: РФ Сообщений: 776 |
>CP_GR3410_2001_PROV_A, PROV_GOST_2001_DH Такого не должно быть в коде, в 2018 переход на ГОСТ-2012. |
28 дек 17, 16:49 [21070329] Ответить | Цитировать Сообщить модератору |
cutecode Member Откуда: Сообщений: 47 |
Тоже бьюсь над этим вопросом. Начал в сентябре и только к декабрю удалось сделать подпись. И теперь застрял на шифровании. Я использую C++, openssl и xmlsec1 Если Вам удастся разобраться, буду рад услышать способы вашего решения. По поводу третьего вопроса 3. "публичный сертификат пользователя, зашифровавшего данные (X509Certificate)" - эти данные берутся из сертификата ФСС? Ведь шифровать файл надо их ключом? Нет, это ваш сертификат (клиники), в нем содержится открытый ключ, с помощью которого ФСС зашифрует ответное сообщение, а вы расшифруете его вашим закрытым ключом (клиники) А вот шифровать данные надо открытым ключом ФСС, чтобы он смог расшифровать их своим закрытым ключом |
31 дек 17, 04:27 [21075732] Ответить | Цитировать Сообщить модератору |
sql2012 Member Откуда: РФ Сообщений: 776 |
Мне разобраться? "Ваш" сертификат? Что мешает использовать SDK и примеры с форумов? Нежелание выделить время и взять\найти, лень, непонимание как искать по ключевым словам? А... Новый Год же... С наступающим. |
||
31 дек 17, 09:52 [21075791] Ответить | Цитировать Сообщить модератору |
onets Member Откуда: Сообщений: 76 |
Мда, на .NET я подобное делал для ФССП в 2012-2013 годах за три месяца весь проект. В целом ничего сложного - крипто-про, их примеры и форумы. Были локальные проблемы, типа несовпадения хеш сумм, но все решалось отладкой, вдумчивыми чтением документации и форумов крипто-про. Или как подлезть к этому во внутренностях WCF, чтоб в итоге все заработало. Насколько я помню: 1. Если через СМЭВ, то два сертификата. Один для СМЭВ, второй для получателя. Нужно зашифровать сообщение-конверт для получателя сертификатом для получателя. Потом вложить его в конверт СМЕВ и зашифровать еще раз сертификатом для СМЭВ. Проблемы были - какой именно вложенный блок шифровать (начиная с какого xml тега) и какой проставлять Reference URI 2. Если напрямую, то по идее один сертификат. В любом случае библиотека и примеры от крипто-про делали львиную долю работы. Все SignedInfo, DigestValue, SignatureValue проставлялись автоматически. Просто указываешь контент и какой сертификат использовать. maratvg, cutecode Попробуйте поискать примеры для делфей и C++ у крипто-про. Не думаю, что вас обделили в этом плане. |
||
31 дек 17, 10:58 [21075821] Ответить | Цитировать Сообщить модератору |
sql2012 Member Откуда: РФ Сообщений: 776 |
onets, ему уже был дан пример из руководства разработчика, открыть SDK и посмотреть... что же там такого нужно написать на C++... видимо сложно. |
31 дек 17, 12:57 [21075921] Ответить | Цитировать Сообщить модератору |
cutecode Member Откуда: Сообщений: 47 |
Уж поверьте мне - сложно. ибо вы тут сами пишите всякую "хрень" например, ели человек пишет Такого не должно быть в коде, в 2018 переход на ГОСТ-2012. то он не имеет ни какого представления об XML encryption. В шаблоне же XML явно указаны алгоритмы Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gost28147" Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001" А юзер onets вообще не знает разницы между XML Signing и XML encryption. Автор темы же написал, что он разобрался с подписью, и не может зашифровать. А onets злорадно описывает, о том как он легко разобрался с подписью и ни слова о шифровании А .NET вам не C++. Да, на Java и C# есть готовые библиотеки. Но на С++ я не нашел. Есть куча библиотек, но они ГОСТ-а не понимают. А на КриптоПро есть пример только с СОМ-объктом, т.е. на Линукс уже работать не будет. И то при условии что установлен MS Office 2003. Если вы "умники" если такие умные, то я готов вам заплатить если вы мне сделаете это для вас "легкое задание". Говорите вашу цену. С Новым Годом |
2 янв 18, 04:07 [21078073] Ответить | Цитировать Сообщить модератору |
maratvg Member Откуда: 74 Сообщений: 120 |
cutecode, На delphi пока никуда не продвинулся. На данный момент пользуюсь классами GostEncryptSOAP/GostDecryptSOAP из GostCryptography.dll из набора arm_fss. Что примечательно, программисты ФСС видимо тоже не делфи не стали это всё реализовывать, раз юзают дотнетовскую длл-ку. |
9 янв 18, 13:42 [21089923] Ответить | Цитировать Сообщить модератору |
uranic Member Откуда: Сообщений: 309 |
Знаю одну успешную реализацию на Delphi, с ноября 2017 все отправляют. Номера ЛН регистрируют и т.п. Вообщем полный цикл Из сторонних библиотек используется JwaWinCrypt.pas (из JEDI, для доступа к CryptoAPI) Весь процесс реализации затянулся на 4 месяца. (начали в середине июля, к середине октября были в тестовой эксплуатации). К сожалению подробностей много рассказать не могу. |
9 янв 18, 17:18 [21091020] Ответить | Цитировать Сообщить модератору |
Dmitry19891 Member Откуда: Сообщений: 2 |
Здравствуйте! Пытаюсь получить ответ из ФСС Сервис Страхователя с подписанием и шифрованием данных (версия 1.1) подписываю запрос или подсовываю из примера (руководства), шифрую, вкладываю в бади нового соап конверта и от ФСС всегда получаю ответ (com.sun.xml.internal.ws.fault.ServerSOAPFaultException) com.sun.xml.internal.ws.fault.ServerSOAPFaultException: Client received SOAP Fault from server: ru.ibs.cryptoprto.jcp.wrapper.ws.client.generated.CryptoException_Exception: HIERARCHY_REQUEST_ERR: An attempt was made to insert a node where it is not permitted. class org.w3c.dom.DOMException Please see the server log to find more detail regarding exact cause of the failure. Использую JCP Откликнитесь, пожалуйста, кто имел опыт общения с этим сервисом. |
19 янв 18, 09:02 [21118698] Ответить | Цитировать Сообщить модератору |
Dmitry19891 Member Откуда: Сообщений: 2 |
Разобрался. Я неправильно подписывал сообщение. Теперь другой вопрос, может кто знает Тестовый Сервис ФСС ответил мне шифрованным сообщением. Я посылал запрос getPrivateLNData("3103275205", "290195190104", "09365295200") (взял эти регнам,ЭЛН,СНИЛС из примера) Но расшифровать его я не могу XMLCipher xmlCipher = XMLCipher.getInstance(); xmlCipher.init(XMLCipher.DECRYPT_MODE, null); Element encryptedDataElement = (Element) doc2.getElementsByTagNameNS(EncryptionConstants.EncryptionSpecNS,EncryptionConstants._TAG_ENCRYPTEDDATA).item(0); xmlCipher.setKEK(key); xmlCipher.doFinal(doc2, encryptedDataElement); Получаю Exception "No Key Encryption Key loaded and cannot determine using key resolvers" Это ошибка что неправильный ключ для расшифровки (не тот абонент) или в принципе неправильный объект ключ и он его не загрузил? Кто знает где для тестового ФСС взять ключ чтобы расшифровать ответ на 3103275205? Сообщение было отредактировано: 25 янв 18, 21:48 |
24 янв 18, 17:17 [21135327] Ответить | Цитировать Сообщить модератору |
Anvig Member Откуда: Сообщений: 4 |
Dmitry19891, Тоже делаю связь с ФСС сервисом, хотелось бы узнать поподробнее- в чем была ошибка при шифровании ? Вот уже третий день на все мои потуги ответ мне один-ru.ibs.cryptoprto.jcp.wrapper.ws.client.generated.CryptoException_Exception: Error in execution of data crypting operation. class org.apache.xml.security.encryption.XMLEncryptionException Если не трудно опишите, пожалуйста, поподробнее какой режим шифрования выбирали, какие параметры устанавливали.И если уж совсем набраться наглости, то можете выложить оба зашифрованных файл(запрос и ответ от сервиса) ? А по поводу Вашего вопроса , насколько я понимаю, ключ от ФСС Вы уже получили в ответе. Вы должны его загрузить к себе и расшифровать свои закрытым ключом. |
25 янв 18, 20:39 [21139816] Ответить | Цитировать Сообщить модератору |
cutecode Member Откуда: Сообщений: 47 |
вот еще 4 недели прошло, и пока все глухо. "Танцы с бубном" не помогают. Пока только понял следующее, может кто поправит 1. генерируем 8 байт IV 2. генерируем 32 байт сессионного ключа 3. c помощью IV и сессионного ключа шифруем данные алгоритмом ГОСТ 89 4. к полученным зашифрованным данным добавляем префикс из IV (8 байт) 5. из последнего делаем 64encoding и записываем в XML файл 6. шифруем сессионный ключ, открытым ключом ФСС алгоритмом ГОСТ 2001 7. из последнего делаем 64encoding и записываем в XML файл |
25 янв 18, 22:53 [21139978] Ответить | Цитировать Сообщить модератору |
Anvig Member Откуда: Сообщений: 4 |
Я, конечно, не спец в этом вопросе, потому что за весь январь мне так и не удалось послать шифрованное сообщение. Единственное мое достижение -сервис ФСС перестал материться на мой ключ, теперь ошибка в шифровании данных ) Но, по-моему, алгоритм не такой, как Вы написали 1.генерится сессионый ключ с IV с алгид Гост 89 2.на основе открытого ключа ФСС генерится ключ согласования с алгоритмом ГОСТ 2001 3. сессионный ключ шифруется полученным ключом согласования 4.данные шифруются уже зашифрованным ключом, потом в base64 и в XML 5.в XML ключ ложится в base64, но не по простому, а в виде структуры , описанной в госте 89 Поправьте, если я ошибаюсь. Так достало уже, от ФСС помощи никакой, с техподдержкой хрен свяжешься |
26 янв 18, 21:28 [21142818] Ответить | Цитировать Сообщить модератору |
cutecode Member Откуда: Сообщений: 47 |
Это вы как я понял по примерам КриптоПро рассуждаете? я вообще не понимаю причом там ключ согласования. Cогласно описанию https://tools.ietf.org/html/draft-chudov-cryptopro-cpxmldsig-08 An example of a GOST 28147-89 xenc:EncryptionMethod node is: <xenc:EncryptionMethod dsig:Algorithm= "urn:ietf:params:xml:ns:cpxmlsec:algorithms:gost28147"> <!-- id-Gost28147-89-CryptoPro-A-ParamSet --> <cpxmlsec:Parameters28147>urn:oid:1.2.643.2.2.31.1< /cpxmlsec:Parameters28147> </xenc:EncryptionMethod> 256-bit key, 64-bit Initialization Vector (IV), and optional parameters are used in GOST 28147-89 encryption algorithm. The resulting cipher text is prefixed by the IV. If included in XML output, it is then base64 encoded. В SOAP сообщении, данным обязательно должен предшествовать IV (8 bites) Я пробовал всунуть туда IV через криптоПро, один "хрен", даже на ключ ругается ФСС. А вот через openssl удалость зашифровать ключ, но на данные ругается. Причом через Openssl делал без всяки там "ключей согласования" |
27 янв 18, 00:31 [21143172] Ответить | Цитировать Сообщить модератору |
Anvig Member Откуда: Сообщений: 4 |
cutecode, За этот месяц что только не было прочитано, ваш документ тоже читала. Я так понимаю, что у нас 2 задачи:зашифровать по госту 89(urn:ietf:params:xml:ns:cpxmlsec:algorithms:gost28147) и положить в Cipher ключа по госту 2001(urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001) Шифровать: уже не помню откуда вычитала, но там говорилось, что если просто генерить сессионный ключ по госту 89, то он получается всегда одинаковый.И поэтому он , в свою очередь , должен зашифрован ключом по госту2001.Причем параметры ключа должны совпадать с параметрами ключа получателя, т.е. открытого ключа ФСС Получается , что ключ согласования должен быть тоже сгенерен.Если найду снова этот документ, кину ссылку. А на криптопро в потверждении моей теории -https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=12611 Положить ключ в Cipher: чтобы доставить ключ, он должен быть представлен в виде структуры GostR3410-KeyTransport.Опять же на каком-то форуме нашла ответ ФСС, перевела ключ в ASN, увидела , что она полностью соотвествует структуре GostR3410-KeyTransport А по поводу вставки IV вообще не поняла,судя по стандарту надо к зашифрованным данным добавить вперед 8 байт IV, а если посмотреть файл , приложенный в https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=87721 там ничего в сами данные не вставлено. В любом случае, с IV или без него, у меня рез-т одинаковый.Ключ принимается, данные-нет. Возможно, что надо другой режим шифрования указать, отличный от дефолта, или доп параметры какие. Или я вообще не права,хз |
27 янв 18, 16:21 [21143811] Ответить | Цитировать Сообщить модератору |
cutecode Member Откуда: Сообщений: 47 |
вы писали, что вам удалось зашифровать сессионный ключ, можете поделиться кодом? мой email stomatolog99@ mail.ru |
29 янв 18, 02:36 [21145910] Ответить | Цитировать Сообщить модератору |
Anvig Member Откуда: Сообщений: 4 |
а смысл? раз данные не расшифровываются(Error in execution of data crypting operation), значит, несмотря на то, что ключ принимается ФСС, он все равно неправильный( Потому что в шифровании данных ошибку сделать сложно, там всего одна команда.Будет чем реально поделиться, поделюсь. Может и прав был maratvg,когда ушел на Net.Вот только задача у меня-написать на С++ |
29 янв 18, 21:41 [21148894] Ответить | Цитировать Сообщить модератору |
Павел Ишенин Member Откуда: Красноярск Сообщений: 361 |
Кто-либо продвинулся в теме шифрования больничных? Подписание у нас тоже сделано в web. А вот на шифровании ровно теже вопросы. |
9 фев 18, 11:20 [21179170] Ответить | Цитировать Сообщить модератору |
tamerlan00 Member Откуда: Сообщений: 26 |
Тоже использую эту библиотеку, но не смог найти таких классов GostEncryptSOAP/GostDecryptSOAP. Я использовал класс GostEncryptedXml. Смог зашифровать и расшифровать своими ключами. Также смог зашифровать, отправить на тестовый контур и получить зашифрованный ответ. Но не смог расшифровать =( Бьюсь уже день. Можете мне код (шифровки/дешифровки сообщения) выслать на почту alex_rpg@list.ru? |
||
31 май 18, 16:52 [21458267] Ответить | Цитировать Сообщить модератору |
maratvg Member Откуда: 74 Сообщений: 120 |
tamerlan00, В тот-то и удобство класса GostEncryptSOAP, что у него есть метод: function encryptMsg(const pProvName: WideString; const pCertName: WideString; const pSOAPMsg: WideString): WideString;которому надо отдать имя провайдера, имя сертификата и подписанный xml в виде строки. В ответ он вернет зашифрованный xml. То же самое с GostDecryptSOAP: function decryptMsg(const pProvName: WideString; const pSOAPMsg: WideString): WideString; |
1 июн 18, 08:28 [21459636] Ответить | Цитировать Сообщить модератору |
tamerlan00 Member Откуда: Сообщений: 26 |
Ой, точно. Уже недели 2 копаюсь в GostCryptography, а GostCryptography.SOAP не замечал ))) Спасибо, буду пробовать )) |
||
1 июн 18, 08:55 [21459684] Ответить | Цитировать Сообщить модератору |
Топик располагается на нескольких страницах: [1] 2 3 4 5 6 7 8 вперед Ctrl→ все |
Все форумы / Delphi | ![]() |