Когда я пытаюсь подписать документ, то получаю код ошибки 0x800B0109

Приобрел Рутокен ЭЦП 2.0 для ИП.Сдача декларации, обмен документами с ЭЦП и т.д.

Выбрал как максимально защищенную, не требующую приобретения внешней программы Крипто-Про.

Но выяснилось, что программ “Крипто АРМ” достаточно много, замучился исследовать.

Большинство моих знакомых работает со старыми токенами и использует Крипто Про CSV, там свой Крипто АРМ, им и выбирать не приходится.

Нужен Крипто АРМ, который выполняет указанные выше задачи и хорошо дружит с Рутокен ЭЦП 2.0 для Windows 10/64.

Ну и, по возможности, не очень дорогой, хотя это и не так важно. Покупать планирую на весь срок, а не на год. Хотя, возможно, есть смысл наоборот купить пока на год, чтобы обкатать…

Заранее признателен тем, кто поделится опытом.

Отфильтровано по параметрам

Фильтр

Цена
Версия
- 4.0
- 5.0
Срок действия
- Бессрочная
- Годовая

Содержание

Электронный документооборот
Криптопровайдер
Trusted Java
Квалифицированнаяэлектронная подпись
Мобильнаяэлектронная подпись
Облачная илидистанционная подпись
Шифрованиеэлектронных документов
Алгоритмышифрования
Шифрованиеи проверка подписи
Создание запросав УЦ и генерация ключей
Защищенныеотчуждаемые носители
Импорт сертификатовиз LDAP
Квалифицированнаяэлектронная подпись
Мобильнаяэлектронная подпись
Облачная илидистанционная подпись
Шифрованиеэлектронных документов
Алгоритмышифрования
Шифрованиеи проверка подписи
Создание запросав УЦ и генерация ключей
Защищенныеотчуждаемые носители
Импорт сертификатовиз LDAP
Или выберите удостоверяющий центр
Блог

Электронный документооборот

Криптопровайдер

Trusted Java

По популярности
По цене

Лицензия на право использования ПО «Trusted Java» на сервере

Trusted Java – криптографическая библиотека,
предназначенная для электронной подписи и шифрования данных в Java среде. Для реализации российских криптографических алгоритмов Trusted Java использ…

40 000 руб.

В коризну

К сравнению

Лицензия Trusted Java Windows Client 2.0 на одно рабочее место, бессрочная

При работе с банковскими клиент-серверными
системами, защищенными электронными торговыми площадками и другими бизнес-приложениями, написанными на Java, требуется поддержка шифрования, электронно…

1 500 руб.

В коризну

К сравнению

Все помнят цепочки сертификатов и условия соблюдения доверительных отношений. Сегодня об этом.

Сегодня прилетела одна “очень интересная задача”. Пользователям понадобился сайт: https://fgiscs.minstroyrf.ru/ – какой-то там ФГИС ЦС.

Поскольку сертификат недоверенный, то был послан Google Chrome следом за кораблём. Сертификат недоверенный, буржуйский фаервол шлёт туда же, да и отечественный Касперский не пускает.

Поехали копать сертификаты. Google Chrome последних версий показывает такую картинку:

Недоверенный сертификат в Google Chrome

В промежуточных/доверенных ЦС нет сертификата ни Russian Trusted Sub CA, ни Russian Trusted Root CA. Они выданы The Ministry of Digital Development and Communications с СОС на Ростелекоме и прочем.

Вспоминаем, что перед началом специальной экономической операции, говорили об отечественном ЦС, который будет поддерживаться отечественными браузерами.

Решено, включаем песочницу, начинаем смотреть на отечественные браузеры на “вражеских” движках.

Выбор пал на три отечественных браузера, качаем последние версии:

Sputnik версии 5.6.6280.0
Chromium GOST версии 100.0.4896.88
Yandex версии 22.3.3.852.31573

Sputnik поставляется в виде многотомного самораспаковывающегося 7zip архива с ЭЦП, выданного SPUTNIKLAB LLC. Выдан “вражеским ” Digicert.

Устанавливаем Sputnik, переходим на интересующий нас сайт.

Недоверенный сертификат в Sputnik

Смотрим сертификаты ПК. Там всё по аналогии с Google Chrome. Сертификатов нет, подключение не защищено. В настройках ничего сверх настроек Google Chrome нет.Выбросили, запускаем новый экземпляр песочницы.

Устанавливаем Chromium GOST, там всё по аналогии со Sputnik, не удивлюсь если Sputnik собирается на базе Chromium GOST. Запускаем новый экземпляр песочницы

Качаем Yandex браузер, загрузили веб инсталлятор, что-то пошло не так во время установки, предложил скачать офлайн инсталлер, скачали.

С ЭЦП инсталлятора та же история. Использовать свои ЦС для подписания ПО нельзя, т.к. в Windows им нет доверия. По-прежнему используем импортных производителей. Есть SHA-1 и SHA-256, выданные GlobalSign

Инсталлятор задаёт побольше вопросов, ставит с собой Алису (наверняка поэтому и побольше Sputnik-а весит). От неё можно и отказаться, но зачем – ставим в дефолте. Запускаем, открываем требуемый сайт. Видим закрытый замочек.

Интересно, идём в подробнее, видим интересное состояние

Т.е. мы доверяем Russian Trusted Sub CA, но про Russian Trusted Root CA ничего не понятно, смотрим подробности сертификата. Видим всё ту же картинку, что и с Google Chrome

Идём в хранилище сертификатов. Оказывается, прилетел в промежуточные ЦС Russian Trusted Sub CA, но нигде нет Russian Trusted Root CA. Странно, что Yandex позволяет доверять сайту с недоверенным RootCA и судя по описанию, доверяет данному сайту только на основании доверия к промежуточному CA. Не уверен, что это не баг/фича, но так быть не должно.

При декрипте трафика импортным фаерволом по прежнему возникают ошибки, что естественно. А вот Kaspersky в Windows Sandbox влазить не захотел, ну и пусть, пока не определена стратегия по работе с такого рода сервисами, нечего туда ходить.

Из того, что замечено в дистрибутивах данных браузеров. Настроена и включена по умолчанию поддержка сертификатов по ГОСТ Р 34.12 2015. Сделана она через КриптоПро. В Yandex и Chromium GOST ставится/снимается галочка и включена по-умолчанию. Sputnik таких вольностей не позвояет и включает её без возможности отключения (может через какие-то доппараметры и можно, но в юзер интерфейсе не видно)

Выводов не будет, обзоров кнопочек в браузерах так же. Вопрос, как работать с данными сервисами по-прежнему открыт. Доверять непонятному ЦС, который может выпустить (и скорее всего уже выпустил) сертификаты всех популярных сервисов, абсолютно не хочется. Скорее всего пойдём по пути отдельных виртуалок для работы с такими сервисами, да и наверняка стоит посмотреть на “отечественные” ОС, которые будут крутиться в отдельных сетях.

Dmitriy32546

Оставлено
:
28 октября 2021 г. 17:00:59(UTC)

Добрый день.

CryptCP 5.0 (c) “Crypto-Pro”, 2002-2021.debian 10

Установил серты тестового УЦ:/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file /home/signer/dev_cert2/rootca.cer/opt/cprocsp/bin/amd64/certmgr -inst -store uCa -file /home/signer/dev_cert2/ivanov3_test.cer/opt/cprocsp/bin/amd64/certmgr -install -pfx -file /home/signer/dev_cert2/ivanov3_test.pfx -pin test

Серты генерировал тут
https://www.cryptopro.ru/certsrv/certrqma.asp

При установке корневого сертификата получил предупреждение (ввел “o”):CPCSP: Warning: installing a root certificate with an unconfirmed thumbprint is a security risk. Do you want to install this certificate?Subject: Тестовый головной УЦ ООО “КРИПТО-ПРО” ГОСТ 2012 (УЦ 2.0)Thumbprint (sha1): 9E504E9099C79AA0883FBBFD619662739AC25420(o)OK, (c)Cancel

Информация о установленном сертификате:
signer@dev-scryptopro-service:~$ /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) “Crypto-Pro”, 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1——-
Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : [email protected], CN=Ivanov3, OU=IT, O=OOO, L=Moscow, S=Moscow, C=RU
Serial : 0x1200599C37C8A7ABD4384D8BE3000100599C37
SHA1 Thumbprint : c25ad71c6ce796033a15b747c6ed0ebbc210022d
SubjKeyID : d33bdddc5b79f9e455f4fcb79747c2e161535b30
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 13/10/2021 09:10:37 UTC
Not valid after : 13/01/2022 09:20:37 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\Ivanov3.000\0518
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro….Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro….Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента

Промежуточные:
/opt/cprocsp/bin/amd64/certmgr -list -store uCa
Certmgr 1.1 (c) “Crypto-Pro”, 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1——-
Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial : 0x37418882F539A5924AD44E3DE002EA3C
SHA1 Thumbprint : cd321b87fdabb503829f88db68d893b59a7c5dd3
SubjKeyID : 4e833e1469efec5d7a952b5f11fe37321649552b
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 27/05/2019 07:24:26 UTC
Not valid after : 26/05/2024 07:34:05 UTC
PrivateKey Link : No
2——-
Issuer : [email protected], C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : [email protected], CN=Ivanov3, OU=IT, O=OOO, L=Moscow, S=Moscow, C=RU
Serial : 0x1200599C37C8A7ABD4384D8BE3000100599C37
SHA1 Thumbprint : c25ad71c6ce796033a15b747c6ed0ebbc210022d
SubjKeyID : d33bdddc5b79f9e455f4fcb79747c2e161535b30
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 13/10/2021 09:10:37 UTC
Not valid after : 13/01/2022 09:20:37 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro….Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro….Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================

Корневые:
/opt/cprocsp/bin/amd64/certmgr -list -store uRoot
Certmgr 1.1 (c) “Crypto-Pro”, 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1——-
Issuer : C=RU, INNLE=7717107991, [email protected], OGRN=1037700085444, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O=”ООО “”КРИПТО-ПРО”””, CN=”Тестовый головной УЦ ООО “”КРИПТО-ПРО”” ГОСТ 2012 (УЦ 2.0)”
Subject : C=RU, INNLE=7717107991, [email protected], OGRN=1037700085444, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O=”ООО “”КРИПТО-ПРО”””, CN=”Тестовый головной УЦ ООО “”КРИПТО-ПРО”” ГОСТ 2012 (УЦ 2.0)”
Serial : 0x03453C7B0071ADD9AB4C5FC8A8451F97A7
SHA1 Thumbprint : 9e504e9099c79aa0883fbbfd619662739ac25420
SubjKeyID : 86967f858c1b31aa92a68d14f28cbb1f212f5c3a
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 26/07/2021 07:18:42 UTC
Not valid after : 26/07/2036 07:18:42 UTC
PrivateKey Link : No

Написан код для pycades:signer = pycades.Signer()signer.Certificate = cert.Item(1)

signer.CheckCertificate = Truesigner.KeyPin=key_pin

hashedData = pycades.HashedData()hashedData.Algorithm = pycades.CADESCOM_HASH_ALGORITHM_CP_GOST_3411_2012_256hashedData.Hash(xml_data)

signedData = pycades.SignedData()signature = signedData.SignHash(hashedData, signer, pycades.CADESCOM_CADES_BES)

При попытке выполнить подпись(signedData.SignHash) получаю ошибку:’A certificate chain processed correctly, but terminated in a root certificate which is not trusted by the trust provider (0x800B0109)’

Квалифицированнаяэлектронная подпись

Поддерживает сертификаты усиленной квалифицированной электронной подписи. Соответствует требованиям 63-ФЗ «Об электронной подписи». Используются российские алгоритмы и стандарты электронной подписи и хеширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Совместим с СКЗИ «КриптоПро CSP 4.0» и выше.

Мобильнаяэлектронная подпись

Использование электронной подписи на мобильных устройствах под управлением ОС iOS и Android. Поддержка «облачных или дистанционных» ключей ЭП. Поддержка ключей, привязанных к SIM-карте абонента. Поддержка защищенных ключевых носителей USB Type-C, Bluetooth, NFC. Возможность установки сертификатов и ключей через QR-код.

Облачная илидистанционная подпись

Возможность подключения к сервисам удостоверяющих центров и использования сертификатов, ключи которых хранятся не на устройстве владельца, а на стороне удостоверяющего центра. Такая подпись может быть неквалифицированной либо квалифицированной. Поддерживаются сервисы, построенные на базе КриптоПро DSS.

Шифрованиеэлектронных документов

Шифрование исключает возможность просмотра содержимого зашифрованного файла любыми лицами, не являющимися его получателями и не владеющими ключами для расшифрования. Шифрование данных рекомендуется применять к любым конфиденциальным данным при их передаче по незащищенным каналам сети Интернет.

Алгоритмышифрования

Поддерживаются ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», ГОСТ Р 34.12-2015 и ГОСТ Р 34.12-2018 «Информационная технология. Криптографическая защита информации. Блочные шифры» — Кузнечик и Магма.

Шифрованиеи проверка подписи

Шифрование файлов и проверка электронной подписи выполняются бесплатно, не требуют ввода лицензии на КриптоАРМ ГОСТ. Единственное условие — на рабочем месте требуется установка КриптоПро CSP, также бесплатного для шифрования данных и проверки ЭП.

Создание запросав УЦ и генерация ключей

Возможность создать запрос на получение сертификата электронной подписи по выбранному шаблону. Генерация контейнера с ключами ЭП локально в системный реестр либо на специальный носитель. Сохранение созданных запросов и отправка их в УЦ. Установка полученного в УЦ сертификата в контейнер с ключами.

Защищенныеотчуждаемые носители

Поддерживается использование защищенных отчуждаемых носителей (токенов и смарт-карт) разных брендов: Рутокен, JaCarta, eSMART и разных видов: USB, Type-C, Bluetooth, ФКН, NFC. Поддержка интерфейса PKCS#11 осуществляется через КриптоПро CSP 5.0.

Импорт сертификатовиз LDAP

Подключение внешней адресной книги из каталога LDAP. Загрузка контактов из LDAP и привязанных к ним сертификатов в локальную адресную книгу. Возможность добавления к любому контакту его сертификата электронной подписи. Использование контактов в качестве получателей при шифровании файлов при условии, что у них имеются привязанные сертификаты ЭП.

Квалифицированнаяэлектронная подпись

Читайте также: Эцп госуслуги челябинск

Мобильнаяэлектронная подпись

Облачная илидистанционная подпись

Шифрованиеэлектронных документов

Алгоритмышифрования

Шифрованиеи проверка подписи

Создание запросав УЦ и генерация ключей

Защищенныеотчуждаемые носители

Импорт сертификатовиз LDAP

Установить
КриптоАРМ ГОСТ

Установить
КриптоПро CSP

Установить
сертификат подписи

Чтобы начать подписывать, шифровать документы и обмениваться ими, рабочее место надо подготовить.Сервис диагностики рабочего места сделает это автоматически.

Любые размеры и форматы

Работайте с документами ифайлами без ограничения по формату и размеру.

Совместим с КриптоПро

КриптоПро CSP 4.0 и 5.0, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0, КриптоПро DSS 2.0

Поддержка российских ОС

КриптоАРМ ГОСТ работает на отечественных системах: Астра Линукс, РОСА, Альт, РЕД ОС.

Отечественный софт

Внесена в Единый реестр российского ПО. Номер записи5776 от 20.09.2019 г.

ver. 2.5.12 от 28.12.2021

Сейчас у нас нет доступных бета-версий КриптоАРМ ГОСТ

Для загрузки дистрибутивов, пожалуйста,

авторизуйтесь или
зарегистрируйтесь

ver. 2.5.11 от 21.03.2021г.

Сейчас у нас нет доступных бета-версий КриптоАРМ ГОСТ

Для загрузки дистрибутивов, пожалуйста,

авторизуйтесь или
зарегистрируйтесь

Или выберите удостоверяющий центр

Блог

Статьи о кейсах применения электронной подписи, изменениях законодательства в сфере электронного документооборота, переводы зарубежных экспертов в сфере информационных технологий, пресс-релизы