Комментарии 16
Исходный код PyGOST имеет различные тестовые примеры, масса которых взята из ТК26 документов. Среди них есть и PFX-контейнер, полностью разбираемый и дешифруемый: http://www.git.cypherpunks.ru/?p=pygost.git;a=blob;f=pygost/test_pfx.py
Для работы с ASN.1 использует куда более лучшую (по моему) библиотеку PyDERASN (https://habr.com/ru/post/444272/), которая и проще в использовании и в PyGOST многие схемы (пускай и не полные, но достаточные для обработки тестовых примеров ТК26) для неё приложены.
Очень приятно видеть автора PyGost и PyDERASN. Данная версия моего кода это скорее образец чем готовая программа, и понятное дело я буду улучшать. Посмотрел ваши примеры, там не совсем то что у меня (по моему мнению), насчет PyDERASN - скорее всего буду использовать её, когда буду переписывать код :)
В свое время воспользовался https://github.com/garex/nodejs-gost-crypto. Не уверен, что сейчас это работает.
4D414731 - признак ГОСТ 28147-89
MAG1 (он же "Магма")
Не экспортируется сертификат ни в pfx, ни копируется никуда. Уже давно. Ключи не экспортируемые выдают
Вы так уверены? Я получал ключ в сентябре, в УЦ Такском, все спокойно экспортируется. Если вы про ФКН то там да.
Сертификаты руководителям начали выдавать только в ФНС. Не знаю, что такое ФКН. так вот эти сертификаты неэкспортируемые. Видимо были преценденты распространения. Поэтому PFX потерял смысл, либо ваш сценарий предполагает какие то другие сертификаты, смысл которых мне не понятен (не авторизация на вебпорталах, подписывание документов)
Есть ФКН токены, с криптографией на борту - из них нельзя извлечь. А есть более дешевые, которые представляют из себя как бы флешку с пин-кодом, из них можно извлечь всегда, если знать пин-код.
Подробнее см, например, здесь - https://habr.com/ru/post/306034/
А есть еще "токены" которые представляют собой набор файлов .key расшифрование которых описано в вашей статье)
погодите. Вот у меня в домене центр сертификации, и я экспортирую сентификат. Там есть галки, экспортировать дополнительные свойства и в т.ч. - Сделать ключ неэкспортируемым. Т.е. ни на жесткий диск, ни в реестр я такой сертификат в рутокена не смогу копировать. Да, я конечно знаю пин пользовательский. Вы хотите сказать, что есть методика все таки экспортировать такой сертификат ?
я прочитал по ссылке. Получается, что МОЕ ПО, кроме того, что отсутствует, так еще и однозначно требуется для работы криптопро. Те я его не скопирую никак. Средствами купленного криптопро арм + я так понимаю тоже
Мое решение создано под конкретную задачу - чтение уже экспортированного PFX, также как например у@shukanчтение контейнера который на флешке
Да, есть варианты. Защита от экспорта (как понял) софтовая. На Хабре была статья, которую оперативно выпилили, как экспортировать неэкспортируемые эцп.
Пожалуйста не путайте понятие "неэкспортируемый" и "неизвлекаемый", если ключ неизвлекаемый то это как раз механизм ФКН т.е ключ не загружается в память ПК и все операции вплоть до вычисления хэшей выполняются на апплете токена. Понятие неэкспортируемого ключа придумали КриптоПро и по факту это просто софтовое ограничение, т.е "насильно" ключ достать можно
@li0ardчто-то не выходит фокусTraceback (most recent call last):
File "cpfx.py", line 91, in
result = CPBlob().decode(result)[0]
File "/home/timur/.local/lib/python3.7/site-packages/pyderasn.py", line 1930, in decode
_evgen_mode=False,
File "/home/timur/.local/lib/python3.7/site-packages/pyderasn.py", line 1972, in decode_evgen
evgen_mode=_evgen_mode,
File "/home/timur/.local/lib/python3.7/site-packages/pyderasn.py", line 6443, in _decode
offset=offset,
pyderasn.TagMismatch: CPBlob
Читаем ключевой контейнер КриптоПро