Доброго времени суток. Есть ЭП на токене ESMART.
Пробовал через скрипт и вручную сделать копию, безрезультатно. Выскакивала ошибка при тесте через криптопро.
В итоге, при очередной попытке скопировать получилось. Теперь флешка проходит тест из панель управления-криптопро.
(правда при этом не просит ввести пинкод, оригинальный токен просит)
Но.
При попытке пройти тест через плагин в браузере просит вставить именно носитель Esmart.
Подскажите, может я както неправильно собрал файлы подписи? Или может еще гдето ошибку допустил?
Также обратил внимание, что в pki клиенте есть упоминание о pkcs#11. Возможно изза этого и затык?
С ориг подписью все работает, само собой.
Копирование неэкспортируемого ключа с JaCarta LT
-
- Сообщения: 2
- Зарегистрирован: 11 июн 2024, 03:39
- Поблагодарили: 2 раза
Re: Копирование неэкспортируемого ключа с JaCarta LT
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Архитектор
- Сообщения: 7829
- Зарегистрирован: 06 май 2015, 14:10
- Откуда: Чехов, МО
- Благодарил (а): 681 раз
- Поблагодарили: 493 раза
Re: Копирование неэкспортируемого ключа с JaCarta LT
Это встроенная аппаратная криптография, при которой ключ никогда не покидает память самого устройства. В этой теме не раз и не два об этом говорилось.
Решение против этого пока не найдено и будет ли найдено вообще - неизвестно.
-
- Сообщения: 17
- Зарегистрирован: 30 янв 2024, 02:05
- Поблагодарили: 11 раз
Re: Копирование неэкспортируемого ключа с JaCarta LT
Ну строго говоря pkcs#11 - это просто интерфейс для общения с ключом. В том числе и с простеньким Рутокен лайт, который только и умеет, что хранить файлы закрытого ключа.
Если действительно удалось получить файлы key, значит закрытый ключ как-то покинул токен, и теперь нас уже мало беспокоит, pkcs#11, ГОСТ, не ГОСТ или что там было.
Файлы key, в свою очередь, это чисто внутренняя разработка КриптоПро. Никто не знает как в них хранится ключ, кроме КриптоПро, и только КриптоПро в этих файлах что-то там видит или не видит.
Соответственно, если КриптоПро ключ видит, а плагин не видит, значит они смотрят в разные места, или что то там ещё с личным сертификатом, хранилищами и пр. и т.д. Таких тем море в яндексах, люди также мучаются и с нормальными железными ключами.
Самое главное, что закрытый ключ добыт. Можно неспешно разбираться.
Если действительно удалось получить файлы key, значит закрытый ключ как-то покинул токен, и теперь нас уже мало беспокоит, pkcs#11, ГОСТ, не ГОСТ или что там было.
Файлы key, в свою очередь, это чисто внутренняя разработка КриптоПро. Никто не знает как в них хранится ключ, кроме КриптоПро, и только КриптоПро в этих файлах что-то там видит или не видит.
Соответственно, если КриптоПро ключ видит, а плагин не видит, значит они смотрят в разные места, или что то там ещё с личным сертификатом, хранилищами и пр. и т.д. Таких тем море в яндексах, люди также мучаются и с нормальными железными ключами.
Самое главное, что закрытый ключ добыт. Можно неспешно разбираться.
-
- Сообщения: 2
- Зарегистрирован: 11 июн 2024, 03:39
- Поблагодарили: 2 раза
Re: Копирование неэкспортируемого ключа с JaCarta LT
Продолжаю свой рассказ.
Итак, пост тов. Драйзера напомнил мне то, что я устанавливал сертификат через крипто про в личные.
И видимо плагин в браузере как раз обращался к этому сертификату. И требовал вставить оригинальный ключ.
Я удалил сертификат средствами криптопро(инструменты криптопро) из хранилища на пк и теперь скопированная подпись корректно проходит тест в обоих случаях(и через браузер и через протестировать в крипто про). Через браузер, правда, ругается что сертификат не установлен в
личное хранилище. И, самое что интересное, не требует ввода пинкода.
_____
Продолжаю эксперименты.
Я смог авторизоваться на гос услугах для организации через скопированную ЭП.
При входе потребовал пинкод кстати.
Я НЕ смог войти в личный кабинет налоговой, так как налоговая требует добавление сертификата в хранилище(а в этом случае требует вставить
оригинальный токен).
Итак, пост тов. Драйзера напомнил мне то, что я устанавливал сертификат через крипто про в личные.
И видимо плагин в браузере как раз обращался к этому сертификату. И требовал вставить оригинальный ключ.
Я удалил сертификат средствами криптопро(инструменты криптопро) из хранилища на пк и теперь скопированная подпись корректно проходит тест в обоих случаях(и через браузер и через протестировать в крипто про). Через браузер, правда, ругается что сертификат не установлен в
личное хранилище. И, самое что интересное, не требует ввода пинкода.
_____
Продолжаю эксперименты.
Я смог авторизоваться на гос услугах для организации через скопированную ЭП.
При входе потребовал пинкод кстати.
Я НЕ смог войти в личный кабинет налоговой, так как налоговая требует добавление сертификата в хранилище(а в этом случае требует вставить
оригинальный токен).
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 17
- Зарегистрирован: 30 янв 2024, 02:05
- Поблагодарили: 11 раз
Re: Копирование неэкспортируемого ключа с JaCarta LT
Версия в виде исполняемого файла. Питон ставить не надо.
Просто скопировать в папку с текстовым файлом и запустить. Создаст key файлы в этой же папке.
Для 64битных Windows.
Если написала "Ключ не найден.", то и версия на Питоне ключ не найдёт.
Для 32битных Windows нужно скопировать текстовый файл сниффера с 32битной на 64битную Windows и там достать ключ.
Просто скопировать в папку с текстовым файлом и запустить. Создаст key файлы в этой же папке.
Для 64битных Windows.
Если написала "Ключ не найден.", то и версия на Питоне ключ не найдёт.
Для 32битных Windows нужно скопировать текстовый файл сниффера с 32битной на 64битную Windows и там достать ключ.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 5
- Зарегистрирован: 17 авг 2024, 08:02
- Благодарил (а): 9 раз
Re: Копирование неэкспортируемого ключа с JaCarta LT
возможно информация будет кому-то полезной, читал только последние 4 страницы, каюсь.
пока копию сделать получилось, ситуация:
есть эцп на ISBC ESMART Token 0
в pki клиенте есть упоминание о pkcs#11 (!!!), как у человека в первом комментарии на этой странице
делаю на Windows 7x64
использую новый imp2_64.exe из коммента сверху
использую 2 способа появления текстового файла:
1)КриптоПро CSP --> Сервис --> Протестировать
2)Яндекс-браузер-вход в личный кабинет налогоплательщика ИП
соответственно создаются файлы
1)rundll32.exe.txt / 54738 байт
2)browser.exe.txt / 48776 байт
после применения imp2_64.exe появляются совпадающие name.key, primary.key и mask.key, но разного размера header.key соответственно
1)2400 байт
2)2581 байт
далее в обоих случаях на диске видется контейнер ExEsmart, но строчка пустая в CertFix, кроме столбцов тест=ERR, владелец=нет сертификата , при "тесте контейнера" = "тест контейнера пройден"
при попытке "Просмотреть сертификаты в контейнере" через крипто-про ошибка "В контейнер 'FAT32\#######' отсутствуют закрытые ключи"
при тестировании контейнера закрытого ключа в крипто-про:
"Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
Имя ExEsmart
Уникальное имя FAT12\#######
FQCN \\.\FAT12_E\ExEsmart
Проверка целостности контейнера поврежден
Ключ обмена отсутствует
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Значение ControlKeyTimeValidity 0
Режим работы CSP библиотека
Расширения контейнера Ошибка 0x8009000A: Указан неправильный тип."
через pki клиент тектовый файл создается, но на носителе 2 подписи, которые пока нельзя разделять или удалять, так что файл непригоден, так как снифует только сразу 2, потом ключ в нем не находит
и в нескольких случаях текстовый файл не создавался совсем, например
- при заходе на гос услуги по эцп
- при тестах через утилиту "Инструменты КриптоПро"
- при тесте через плагин в браузере (как 1й комент на стр)
методом ковыряний дошел в утилите CertFix нажать правой кнопкой "восстановить контейнер(файловая система)" - выбирать файл *.cer сертификата предварительно выгруженного простым способом по умолчанию из контейнера физического токена esmart.
дальше скопированная эцп в обоих случаях стала определятся везде нормально , заходить на сайт налоговой, госуслуг, проходить тест через плагин подпись в браузере(в отличие от 1го комента на стр) без ошибок и предупреждений ттт.
даже скопированный файловый результат на другую - чистую машину, где никогда не был физический токен(и соответственно следов и привязок), показал нормальную работу ттт. отпечаток и серийный номер идентичны оригиналу.
в обоих описанных выше вариантах "исправленный" файл header.key стал размером 3075 байт и равным по содержимому для обоих вариантов.
НО непосредственно в работе и в подписи реальных документов пока не проверяли, дам буху на проверку в течении недели.
* #### - я заменил часть символов
пока копию сделать получилось, ситуация:
есть эцп на ISBC ESMART Token 0
в pki клиенте есть упоминание о pkcs#11 (!!!), как у человека в первом комментарии на этой странице
делаю на Windows 7x64
использую новый imp2_64.exe из коммента сверху
использую 2 способа появления текстового файла:
1)КриптоПро CSP --> Сервис --> Протестировать
2)Яндекс-браузер-вход в личный кабинет налогоплательщика ИП
соответственно создаются файлы
1)rundll32.exe.txt / 54738 байт
2)browser.exe.txt / 48776 байт
после применения imp2_64.exe появляются совпадающие name.key, primary.key и mask.key, но разного размера header.key соответственно
1)2400 байт
2)2581 байт
далее в обоих случаях на диске видется контейнер ExEsmart, но строчка пустая в CertFix, кроме столбцов тест=ERR, владелец=нет сертификата , при "тесте контейнера" = "тест контейнера пройден"
при попытке "Просмотреть сертификаты в контейнере" через крипто-про ошибка "В контейнер 'FAT32\#######' отсутствуют закрытые ключи"
при тестировании контейнера закрытого ключа в крипто-про:
"Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
Имя ExEsmart
Уникальное имя FAT12\#######
FQCN \\.\FAT12_E\ExEsmart
Проверка целостности контейнера поврежден
Ключ обмена отсутствует
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Значение ControlKeyTimeValidity 0
Режим работы CSP библиотека
Расширения контейнера Ошибка 0x8009000A: Указан неправильный тип."
через pki клиент тектовый файл создается, но на носителе 2 подписи, которые пока нельзя разделять или удалять, так что файл непригоден, так как снифует только сразу 2, потом ключ в нем не находит
и в нескольких случаях текстовый файл не создавался совсем, например
- при заходе на гос услуги по эцп
- при тестах через утилиту "Инструменты КриптоПро"
- при тесте через плагин в браузере (как 1й комент на стр)
методом ковыряний дошел в утилите CertFix нажать правой кнопкой "восстановить контейнер(файловая система)" - выбирать файл *.cer сертификата предварительно выгруженного простым способом по умолчанию из контейнера физического токена esmart.
дальше скопированная эцп в обоих случаях стала определятся везде нормально , заходить на сайт налоговой, госуслуг, проходить тест через плагин подпись в браузере(в отличие от 1го комента на стр) без ошибок и предупреждений ттт.
даже скопированный файловый результат на другую - чистую машину, где никогда не был физический токен(и соответственно следов и привязок), показал нормальную работу ттт. отпечаток и серийный номер идентичны оригиналу.
в обоих описанных выше вариантах "исправленный" файл header.key стал размером 3075 байт и равным по содержимому для обоих вариантов.
НО непосредственно в работе и в подписи реальных документов пока не проверяли, дам буху на проверку в течении недели.
* #### - я заменил часть символов
-
- Архитектор
- Сообщения: 7829
- Зарегистрирован: 06 май 2015, 14:10
- Откуда: Чехов, МО
- Благодарил (а): 681 раз
- Поблагодарили: 493 раза
Re: Копирование неэкспортируемого ключа с JaCarta LT
СерёжаФартов, иными словами, вы сделали всё стандартно, только нашли новый метод при этом:
восстановить контейнер с помощью CertFix.
А какой версии была утилита CertFix?
восстановить контейнер с помощью CertFix.
А какой версии была утилита CertFix?
-
- Сообщения: 17
- Зарегистрирован: 30 янв 2024, 02:05
- Поблагодарили: 11 раз
Re: Копирование неэкспортируемого ключа с JaCarta LT
Отпишитесь кто-нибудь, кому удалось с помощью imp2_64.exe или imp2.py достать ключ для Esmart, который потом заработал.
Что для джакарт нормально работает уже понятно.
Что для джакарт нормально работает уже понятно.
-
- Сообщения: 5
- Зарегистрирован: 17 авг 2024, 08:02
- Благодарил (а): 9 раз
Re: Копирование неэкспортируемого ключа с JaCarta LT
как я описал выше - именно есмарт заработал, на входе и по проверкам везде, точно такой же есмарт как у человека в первом комменте на стр, неплохо бы ему проверить этот способ, не знаю как у вас обращаться. я был раньше только на ру-борде.) в конце недели отпишусь по прям подписям отчетов для бухов и разных сайтов в работе. сертфикс та версия которая одна без обнов делает некопируемые ключи копируемыми правой кнопкой 1.1.27.3154
любые вопросы и проверки приветствуются. я сам 10 раз правил "отчет" по ходу дела и проверки результатов
если драйзер хочет доработать утилиту, то мб могу сбросить в лс результаты 3х вариантов хедер кей
любые вопросы и проверки приветствуются. я сам 10 раз правил "отчет" по ходу дела и проверки результатов
если драйзер хочет доработать утилиту, то мб могу сбросить в лс результаты 3х вариантов хедер кей
-
- Архитектор
- Сообщения: 7829
- Зарегистрирован: 06 май 2015, 14:10
- Откуда: Чехов, МО
- Благодарил (а): 681 раз
- Поблагодарили: 493 раза
Re: Копирование неэкспортируемого ключа с JaCarta LT
СерёжаФартов, нет проблем, на форуме доступна связь через ЛС.