КриптоПро 4.0

20 нояб 2017 03:52 #6208 от Palna
Palna создал тему: КриптоПро 4.0
Здравствуйте! В Казначействе выдали новый дистрибутив КриптоПро 4.0, после установки происходит ошибка подписания в СУФД и ошибка входа в Сбербанк-АСТ. Перепробовала всё, что нашла на форумах, переустановила всё, что могла, ничего не помогло. В казначействе сказали, что с установкой новой версии ни у кого проблем не возникало. Пришлось откатываться назад на версию Крипто 3.6.
В чем может быть проблема?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 нояб 2017 04:16 - 20 нояб 2017 04:23 #6211 от Alex_04
Alex_04 ответил в теме КриптоПро 4.0

Palna пишет: Пришлось откатываться назад на версию Крипто 3.6.

А специалистов ОРСиБИ Вашего УФК не озадачивали? Если ИТ-спец теротдела не смог помочь, то безопасники управы д.б. прийти ему и Вам на помощь и попытаться как минимум разобраться в причинах. По информации из Вашего поста трудно что-либо посоветовать.
1. Начать прежде всего с полной версия ОС: случаем не Windows 10 x64 обновление 1709?
2. Как и что именно "переустанавливали всё, что могли"?
3. Подписание в СУФД в каком браузере, его полная версия?
4. Если FireFox версия боле чем 51 - установлены "КрптоПро ЭЦП браузер плагин версии 2.0" и его расширение?
5. Версия (полная) Java?
6. Какие конкретно сообщения об ошибках подписи в СУФД выходят (дословно)?
7. Когда был выдан сертификат ЭП пользователя, через ВРС (спросить в казначействе)?
8. Какие именно роли полномочий в этом сертификате?
9. Обращались в ТП "СБ-АСТ", что там ответили об ошибке ЭП на их ЭТП?
Видите сколько вопросов по Вашей проблеме только для начала возникло. Поэтому не постесняйтесь сперва обратиться все же к спецам отдела безопасности вашего УФК - не должны отказать и скорей всего быстрей помогут разобраться в причинах проблемы. Ну а нет, так здесь попробуем как-то.


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Спасибо сказали: Palna, ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 нояб 2017 17:51 #6224 от Wmffre
Wmffre ответил в теме КриптоПро 4.0

Palna пишет: В чем может быть проблема?

Ошибка подписи 0xC000000D на КриптоПро CSP 4.0.9842 + Континент-АП 3.7.5.426.

Возможны два варианта решения:
  1. Необходимо удалить две ветки реестра в случае Windows x64 (либо только одну первую, если операционная система x32):
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.2.1.3.2.1!1]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.2.1.3.2.1!1]
  2. Либо установить последнюю версию КриптоПро CSP 4.0.9929 (пока не сертифицирована) (для скачивания дистрибутива необходимо зарегистрироваться на сайте).

Оба варианта устранят ошибку при совместной работе криптопровайдеров КриптоПро CSP и SecurityCode CSP (последний устанавливается вместе с Континентом-АП).
Источник: тема на форуме www.cryptopro.ru

Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.
Спасибо сказали: Alex_04

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 нояб 2017 10:28 #6231 от Palna
Palna ответил в теме КриптоПро 4.0

Alex_04 пишет:

Palna пишет: Пришлось откатываться назад на версию Крипто 3.6.

А специалистов ОРСиБИ Вашего УФК не озадачивали? Если ИТ-спец теротдела не смог помочь, то безопасники управы д.б. прийти ему и Вам на помощь и попытаться как минимум разобраться в причинах. По информации из Вашего поста трудно что-либо посоветовать.
1. Начать прежде всего с полной версия ОС: случаем не Windows 10 x64 обновление 1709?
2. Как и что именно "переустанавливали всё, что могли"?
3. Подписание в СУФД в каком браузере, его полная версия?
4. Если FireFox версия боле чем 51 - установлены "КрптоПро ЭЦП браузер плагин версии 2.0" и его расширение?
5. Версия (полная) Java?
6. Какие конкретно сообщения об ошибках подписи в СУФД выходят (дословно)?
7. Когда был выдан сертификат ЭП пользователя, через ВРС (спросить в казначействе)?
8. Какие именно роли полномочий в этом сертификате?
9. Обращались в ТП "СБ-АСТ", что там ответили об ошибке ЭП на их ЭТП?
Видите сколько вопросов по Вашей проблеме только для начала возникло. Поэтому не постесняйтесь сперва обратиться все же к спецам отдела безопасности вашего УФК - не должны отказать и скорей всего быстрей помогут разобраться в причинах проблемы. Ну а нет, так здесь попробуем как-то.


Проблема в самой версии. Это было понятно сразу же. Т.к. на трех разных ПК была одна и та же ошибка.
Что касается казначейства... Позвонила в Управление казначейства, на мою проблему ответили следующее: "К нам с такой проблемой никто не обращался. Ничем не можем помочь. Это проблема настройки вашей АРМ. Решайте сами".
В итоге проблема решилась правкой реестра (см. сообщение Wmffre).

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 нояб 2017 15:05 - 21 нояб 2017 21:29 #6242 от Wmffre
Wmffre ответил в теме КриптоПро 4.0

Palna пишет: Что касается казначейства... Позвонила в Управление казначейства, на мою проблему ответили следующее: "К нам с такой проблемой никто не обращался. Ничем не можем помочь. Это проблема настройки вашей АРМ. Решайте сами".

  1. В казначействе работают разные специалисты, по телефону никто из них не поможет, если уже не сталкивался с такой проблемой. Alex_04 имел в виду специалиста казначейства, который сопровождает СУФД и удаленно подключается к клиентам - подключившись, такой специалист сможет сделать вывод, что все сертификаты и программы установлены и настроены корректно.
  2. Скорее всего, КриптоПро 4.0.9842 только начинает устанавливаться в Вашем казначействе, на работу с Континентом-АП разных версий он не тестировался, поэтому сотрудники казначейства (а тем более те, кто выдают ЭЦП и дистрибутивы программ) могут не знать вообще о каких-либо проблемах с ним. Поэтому наиболее осведомленным может быть только специалист, который сопровождает клиентов по СУФД и удалённо подключается к ним

Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.
Спасибо сказали: Palna

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

24 янв 2018 08:49 #6587 от Zolton
Zolton ответил в теме КриптоПро 4.0
Как получить лицензию на КриптоПРо 4.0?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

25 янв 2018 11:57 #6598 от ful
ful ответил в теме КриптоПро 4.0
Если вы клиент казначейства, то пишите письмо с просьбой выдать, шаблон можно взять в курирующем вас отделе. Но во всех областях по разному. У нас, например ,до сих пор не доведена версия 4,0 до теротделов, соответственно и клиенты крипто про 4.0 получить не могут.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

25 янв 2018 12:47 - 25 янв 2018 12:49 #6601 от Alex_04
Alex_04 ответил в теме КриптоПро 4.0

ful пишет: У нас, например, до сих пор не доведена версия 4,0 до теротделов...

А может оно даже и к лучшему: после рождения новых корневых сертификатов ГУЦ и УЦ ФК, заточенных под новый стандарт шифрования ГОСТ-2012, будет приказано до 01.01.2019 переиздать всем клиентам полностью все серты, чтоб смогли потом работать без проблем. Вот наверно ваше УФК и стремится совместить полезное с приятным: выдавать КриптоПро-4.0, "понимающую" новый ГОСТ-2012, не ранее появления самой возможности генерации сертов по нему. :) По слухам рождение новых корневых ожидается примерно в начале II квартала этого (слава Богу!) года.


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 янв 2018 05:46 #6610 от ful
ful ответил в теме КриптоПро 4.0
Да, возможно, вы правы. А новые корневые во 2 квартале - веселая история. Прощай отпуск.(((

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 янв 2018 17:54 - 26 янв 2018 18:09 #6618 от Blaze
Blaze ответил в теме КриптоПро 4.0
У нас в районной администрации есть сис. админка :cheer: :cheer: :cheer:
Ей понадобилась лицензия КриптоПро CSP 4.0, чтобы установить в типографии, так как типографию обязали закупить КриптоПро PDF (стоит 22000 рублей).
В системных требованиях КриптоПро PDF www.cryptopro.ru/products/other/pdf/downloads

Поддерживает работу с алгоритмами ГОСТ Р 34.10/11-2012 (при использовании с КриптоПро CSP 4.0 и выше).

Суть не в 2012 ГОСТ-е (у типографии сертификат с 2001 ГОСТ-ом). Сис. админка-то прорывная =)
Территориальное УФК отказало выдать ей лицензию на КриптоПро CSP 4.0, мотивируя тем, что они могут выдать лицензию на КриптоПро CSP 3.6.1

Она позвонила в областное УФК. С ее слов она попала на начальника по безопасности и объяснила ему всю ситуацию. После этого звонка в наше территориальное УФК поступило письмо с областного УФК о том, чтобы они направляли клиентов с заполненным заявлением на получение лицензий КриптоПро CSP 4.0 в областное УФК. То есть, нужно ехать в область с заявлением, и, что больше порадовало, с CD-диском для получения лицензий КриптоПро CSP 4.0.

Помню раньше не надо было ни куда ехать за лицензиями со своими болванками, территориальное УФК выдавало их у себя на распечатанной бумажке.

Alex_04 пишет: после рождения новых корневых сертификатов ГУЦ и УЦ ФК, заточенных под новый стандарт шифрования ГОСТ-2012, будет приказано до 01.01.2019 переиздать всем клиентам полностью все серты, чтоб смогли потом работать без проблем.

Это что-же получается - мы только получили сертификаты с 2001 ГОСТ-ом, которые истекут в апреле 2019 года и нам придется опять генерировать их в АРМ генерации ключей (предварительно обновив его), заполнять заново все заявки, доверенности, сканы паспортов, подписывать их, ставить печати и нести в территориальное казначейство? Еще не забываем про дополнительную установку клиентам новых корневых сертификатов ГУЦ и УЦ ФК (летом, в июле 2017, только обновляли и ШО опять 25 :blink: ). А оно нам надо :woohoo: ???

УФК как и всегда в своем репертуаре... ;)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 янв 2018 07:54 - 27 янв 2018 09:27 #6621 от Alex67
Alex67 ответил в теме КриптоПро 4.0

Blaze пишет: То есть, нужно ехать в область с заявлением, и, что больше порадовало, с CD-диском для получения лицензий КриптоПро CSP 4.0.
Помню раньше не надо было ни куда ехать за лицензиями со своими болванками, территориальное УФК выдавало их у себя на распечатанной бумажке.

Помнишь? -- Забудь! :)

Blaze пишет: нам придется опять генерировать их в АРМ генерации ключей (предварительно обновив его), заполнять заново все заявки, доверенности, сканы паспортов, подписывать их, ставить печати и нести в территориальное казначейство? Еще не забываем про дополнительную установку клиентам новых корневых сертификатов ГУЦ и УЦ ФК (летом, в июле 2017, только обновляли и ШО опять 25 :blink: ). А оно нам надо :woohoo: ???

Не надо? -- Не делай? :)
Колхоз дело добровольное (с)

А теперь серьёзно
- давно уже нет такого "территориальное УФК", (как и ОФК)
Есть Территориальный орган федерального казначейства (ТОФК) это УФК по соответствующему субъекту РФ.
(А не Отделение или тем более Отдел "на местах" как привыкли думать)
И, да, за получением СКЗИ велкам в УФК.
То, что осталось "на местах" называется "удалённый территориальный отдел № хх УФК по...", а кое где и вовсе УРМ - "удалённое рабочее место", а где то и совсем ничего не осталось.
Предвосхищая вопрос
"Зачем нужен теротдел, если в нём даже крипту получить нельзя?"
отвечаю "Не нужен", и возможно это в 2018 году исправят, посредством дальнейшей оптимизации.
Так что, и документы на новый сертификат вы понесёте не в теротдел, а в УФК, или в "единое окно", или ещё куда нибудь.

з.ы. "Внезапный" переход на "новый" ГОСТ придумало не УФК.
з.з.ы.
в районной администрации ... лицензия КриптоПро CSP 4.0, чтобы установить в типографии, так как типографию обязали закупить ....
То есть КриптоПро PDF обязали закупить, а КриптоПро CSP 4.0 спи$$ить ? Круто.
Сисадминка, конечно, прорывная, решила, что казначейство это источник халявных лицензий на четвёртую крипту...
Но если когда нибудь при проверке выяснится, что она стоит где то ещё, кроме АРМ СУФД и АРМ закупок получит люлей сама и директору типографии останется.....


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 янв 2018 16:43 #6622 от Blaze
Blaze ответил в теме КриптоПро 4.0
У нас в городе (не область) звучит как - Территориальный отдел № X Управления Федерального казначейства по XXXX области
Наше ФК с 01.01.2017 оптимизировали (народ сократили с 12 человек до 6) - оно обслуживает три района.
И от сис админки нашего ФК я слышал, что их в скором будущем их расформируют и мы подписи будем через заявки в каком-то портале получать будем.
Плюс, что-то еще (похоже бухгалтерию будем вести), кроме реестра участников и неучастников бюджетного процесса, мы (как финорган) будем делать в нашем всеми "любимом" Электронном бюджете. Правда, или не правда, не знаю. Может у Вас есть какая-то информация?

Типография является БУ учреждениеем. Для АУ/БУ учреждений, если я не ошибаюсь, казначейство выдает лицензии на КриптоПро CSP.

что она стоит где то ещё, кроме АРМ СУФД и АРМ закупок получит люлей сама и директору типографии останется.....

У них все на одном АРМ бухгалтера установлено xD

"Внезапный" переход на "новый" ГОСТ придумало не УФК.

Я не говорю, что придумали УФК. Благо дело это вынудило УФК, а то бы так и сидели на старой хрюше или максим на 7-ке.
Еще бы кто придумал новые версии Континент-АП выдавать, а еще лучше отказаться от Континент-АП в пользу другого адекватного ПО.
Далеко ходить не нужно, так как есть nginx и есть возможность настроить nginx как обратный прокси-сервер.
Проще говоря сделать авторизацию по единому, выданному сертификату по протоколу https, который подтверждает авторизацию согласно Вашего удостоверяющего центра CA. Плюс - не нужно ничего платить.

Не надо? -- Не делай? :)
Колхоз дело добровольное (с)

Отсюда у меня три вопроса :)
1) Действующие сертификаты, сгенерированные по 2001 ГОСТу, у которых срок действия заканчивается в 2019 году, придется делать заново во 2 квартале 2018?
2) Если да, то на каком основании нас (клиентов) заставят это делать?
3) Или это бремя полностью ляжет на плечи казначейства, а мы только получим новые сертификаты с контейнерами закрытого ключа?

P.S. Правдивый ролик для поднятия настроения

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 янв 2018 07:59 - 28 янв 2018 08:03 #6623 от Alex67
Alex67 ответил в теме КриптоПро 4.0

Blaze пишет: Отсюда у меня три вопроса :)

Всё зависит от того, когда у Минкомсвязи "родятся" корневые по новому ГОСТу.
Ну, не во втором квартале, так в течение 2018 года придётся сертификаты заменять.
Основание одно - прекращение действия старого ГОСТа.
Вы "со своей колокольни" рассуждаете:
Как "влом" будет по новой пакет документов собрать, чтобы бесплатно сертификат получить.
Нам тоже "влом" будет менять вам сертификаты, да всем трём районам сразу.....
Но деваться некуда - вы подготовите документы, а мы вам выдадим сертификат. :)
А уж лично, или через портал, или в "единое окно" - это как получится.....


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк
Спасибо сказали: Blaze

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

29 янв 2018 13:27 - 29 янв 2018 13:33 #6634 от Alex_04
Alex_04 ответил в теме КриптоПро 4.0

Blaze пишет: Типография является БУ учреждениеем. Для АУ/БУ учреждений, если я не ошибаюсь, казначейство выдает лицензии на КриптоПро CSP.

Если обслуживается в казначействе - ДА.

она стоит где то ещё, кроме АРМ СУФД и АРМ закупок получит люлей сама и директору типографии останется.....

У них все на одном АРМ бухгалтера установлено xD

Чаще всего так и есть - с 1 АРМ (как правило - главбуха) работают везде. Т.к. незнаком с КриптоПро PDF, то гораздо важнее знать: а для нее достаточно лички от КриптоПро-4.0, или все же нужна отдельная, "своя"?

1) Действующие сертификаты, сгенерированные по 2001 ГОСТу, у которых срок действия заканчивается в 2019 году, придется делать заново во 2 квартале 2018?

Правильней так будет: действующие серты по ГОСТ-2001 - отзывать, генерить новые по ГОСТ-2012, когда МКС и УЦ ФК родят новые корневый.

2) Если да, то на каком основании нас (клиентов) заставят это делать?

Раньше на форуме ФК один наш коллега Gvinpin приводил ссылку на документ-основание "О порядке ввода в действие новых национальных стандартов электронной цифровой подписи и функции хэширования", опубликованном на оф. сайте Технического комитета по стандартизации «Криптографическая защита информации» (TK 26): www.tc26.ru/news/detail.php?ID=247 Буквально еще до НГ документ был доступен, а сейчас уже нет. :( Если кому интересно - ссылка для его скачивания и ознакомления: yadi.sk/d/kudETlkM3RtAQZ

нам придется опять генерировать их в АРМ генерации ключей (предварительно обновив его),

Вопрос открытый - АРМ ГК устарел, НЕ ПРЕДУСМОТРЕН для генерации по ГОСТ-2012. В чем - сами ждем, что случится вперед:
1 - рождение давно обещанного портала (назовем условно "ВРС") в сети интернет;
2 - рождение новой версии старичка АРМ ГК, понимающего ГОСТ-2012;
3 - генерить в ППО СУФД (не спрашивайте меня "а как быть тем, у кого ее нет?" - это извечный и безответный вопрос...).

заполнять заново все заявки, доверенности, сканы паспортов, подписывать их, ставить печати и нести в территориальное казначейство?

Зачем весь пакет документов, если он уже есть в казначействе? Он нужен только при первом получении новым пользователем своей ЭП, или часть из них при смене, например, паспорта заявителя, изменении названия организации, и т.п.

не забываем про дополнительную установку клиентам новых корневых сертификатов ГУЦ и УЦ ФК (в июле 2017 только обновляли и ШО опять 25 :blink: )

А вот это верно - ОБЯЗАТЕЛЬНО! Ну хоть не 25 - всего 2 опять (надеюсь) ... :) Но придется, раз не захотели в прошлом году головные совместить полезное с приятным - плановую смену корневых с изданием новых сразу под ГОСТ-2012. :(


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Спасибо сказали: Blaze

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 янв 2018 07:04 - 30 янв 2018 17:40 #6643 от Blaze
Blaze ответил в теме КриптоПро 4.0
+ в КриптоПро 4.0 CSP всем клиента нужно поменять версию алгоритма ГОСТ-2001 на ГОСТ-2012
Вложенный файл:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.