Ошибка подписи xml subrc 1 sign

Vladimir2008	#1 Оставлено : 6 мая 2016 г. 17:14:47(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.06.2008(UTC) Сообщений: 41 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Установлены Windows 10 (64-битная), КриптоПро CSP 3.9.8423, КриптоПро .Net 1.0.5913.0. Создаю подпись в XML-документе через примеры в C:Program Files (x86)Crypto Pro.NET SDKExamples4.0, запускаю в командной строке: Цитата: SimpleCS.exe Xml.SignDocument mycert Создается и проверяется успешно. До тех пор, пока не установлю некие обновления Windows, а именно (перечисляю под все версии Windows, на которых срабатывает также): — На Windows 7 обновления KB3135983 и KB3136000 — На Windows 8 — KB3135985 и KB3135998 (возможно, еще — KB3135994) — На Windows 10 — KB3140768 и KB3147458 — также обновление KB3135996 Если эти обновления установлены, то подпись формируется, но не проверяется — signedXml.CheckSignature() всегда выдает false (на этом месте рушится в моем программе). Если говорить о примере, указанном выше, сообщение такое: Цитата: Создан новый XML файл. XML подписан. Подпись не верна. Как только обновления деинсталлированы — опять все работает. От версии .Net Framework — не зависит — проблема и на 2.0 и 4.0. Просьба прокомментировать, как с этим бороться, поскольку обновления приходится сносить не с одного рабочего места (их (мест) относительно много). В случае, когда успешно (обновления не установлены): doc_to_sign.xml (1kb) загружен 4 раз(а). doc_signed.xml (4kb) загружен 9 раз(а). Эти файлы — когда обновления установлены (не проверяется подпись): doc_to_sign.xml (1kb) загружен 3 раз(а). doc_signed.xml (4kb) загружен 7 раз(а).

Максим Коллегин	#2 Оставлено : 6 мая 2016 г. 18:40:37(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	А если подпись сделать до обновления, а проверять после установки? И файлы вы приложили идентичные. Попробуйте убрать smev трансформ из подписи, может с ним проблема. Отредактировано пользователем 6 мая 2016 г. 18:41:55(UTC)  | Причина: Не указана
Знания в базе знаний, поддержка в техподдержке
	WWW

Vladimir2008	#3 Оставлено : 10 мая 2016 г. 10:12:56(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.06.2008(UTC) Сообщений: 41 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Да, проблема в указанном примере была именно в smev-трансформе, если его убрать, то работает, точнее работает преобразование: Цитата: XmlDsigEnvelopedSignatureTransform env = new XmlDsigEnvelopedSignatureTransform(); reference.AddTransform(env); Проблема возникает, когда хочется подписать несколькими ЭП, причем не сразу всеми, когда известно их кол-во. Если кол-во известно, то две строки кода Цитата: XmlDsigEnvelopedSignatureTransform env = new XmlDsigEnvelopedSignatureTransform(); reference.AddTransform(env); нужно прописать столько раз, сколько подписей (во всяком случае — так работает). Но если заранее неизвестно их кол-во, то писать эти две строки «с запасом» — неправильно. Проблему решал другой трансформ: Цитата: XmlDsigXPathTransform xpath = CreateXPathTransform(); reference.AddTransform(xpath); где Цитата: private static XmlDsigXPathTransform CreateXPathTransform() { XmlDocument doc = new XmlDocument(); doc.LoadXml(«<XPath xmlns:dsig=»http://www.w3.org/2000/09/xmldsig#»>» + «not(ancestor-or-self::dsig:Signature)</XPath>»); XmlElement xPathElem = (XmlElement)doc.SelectSingleNode(«/XPath»); XmlDsigXPathTransform xForm = new XmlDsigXPathTransform(); xForm.LoadInnerXml(xPathElem.SelectNodes(«.»)); return xForm; } Но с учетом указанных выше обновлений — это не работает. Подпись создается корректной, но валидацию на компе с такими обновлениями Windows не проходит. Т.е., получается КриптоПро .Net работает не 100%-но (в разных версиях Windows)? Отредактировано пользователем 10 мая 2016 г. 11:02:45(UTC)  | Причина: Не указана

Максим Коллегин	#4 Оставлено : 10 мая 2016 г. 13:10:06(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Возможно в трансформе есть неточность — посмотрим.
Знания в базе знаний, поддержка в техподдержке
	WWW

Максим Коллегин	#5 Оставлено : 11 мая 2016 г. 10:32:03(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Очень интересное вскрылось. MS ввели понятие safe transform. Увидел, рассматривая код рефлектором. Ошибку можно отследить, включив лог SignedXml, как написано тут: https://social.msdn.micr…buglog?forum=xmlandnetfx Цитата: System.Security.Cryptography.Xml.SignedXml Information: 17 : [SignedXml#01475d71, UnsafeTransformMethod] Canonicalization method «urn://smev-gov-ru/xmldsig/transform» is not on the safe list. Safe canonicalization methods are: «http://www.w3.org/TR/2001/REC-xml-c14n-20010315», «http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments», Лечится добавлением кода в проверку: Код: signedXml.SafeCanonicalizationMethods.Add("urn://smev-gov-ru/xmldsig/transform"); Отредактировано пользователем 11 мая 2016 г. 10:38:21(UTC)  | Причина: Не указана
Знания в базе знаний, поддержка в техподдержке
	WWW
1 пользователь поблагодарил Максим Коллегин за этот пост.	vadimromanov оставлено 13.12.2016(UTC)

Vladimir2008	#6 Оставлено : 11 мая 2016 г. 11:50:11(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.06.2008(UTC) Сообщений: 41 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	SafeCanonicalizationMethods — где взять аналог для Framework 4.0? И как быть с преобразованием XmlDsigXPathTransform (не smev)? Отредактировано пользователем 11 мая 2016 г. 11:56:22(UTC)  | Причина: Не указана

Максим Коллегин	#7 Оставлено : 11 мая 2016 г. 13:25:05(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Код, судя по всему, в зависимости от версии Framework ветвиться не умеет — собирайте отдельно для 4.5.1 и для более ранних. Для XmlDsigXPathTransform — добавьте в SafeCanonicalizationMethods XmlDsigXPathTransform.Algorithm
Знания в базе знаний, поддержка в техподдержке
	WWW

Vladimir2008	#8 Оставлено : 11 мая 2016 г. 13:36:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.06.2008(UTC) Сообщений: 41 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Вопрос в том и состоит — как сделать аналог SafeCanonicalizationMethods (появился только в FW 4.5.1) для FW 4.0 ?

Максим Коллегин	#9 Оставлено : 11 мая 2016 г. 14:53:16(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Он там не нужен и проблемы там быть не должно. Или есть? Нужно смотреть в код System.Security.Xml
Знания в базе знаний, поддержка в техподдержке
	WWW

Vladimir2008	#10 Оставлено : 11 мая 2016 г. 15:17:15(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.06.2008(UTC) Сообщений: 41 Откуда: Москва Сказал(а) «Спасибо»: 1 раз	Да, проблема в FW 4.0 есть: Цитата: System.Security.Cryptography.Xml.SignedXml Information: 17 : [SignedXml#02b3b1be, UnsafeTransformMethod] Метод синхронизации «http://www.w3.org/TR/1999/REC-xpath-19991116» не входит в список безопасных. Безопасны следующие методы синхронизации: «http://www.w3.org/TR/2001/REC-xml-c14n-20010315», «http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments», «http://www.w3.org/2001/10/xml-exc-c14n#», «http://www.w3.org/2001/10/xml-exc-c14n#WithComments», «http://www.w3.org/2000/09/xmldsig#enveloped-signature», «http://www.w3.org/2000/09/xmldsig#base64», «urn:mpeg:mpeg21:2003:01-REL-R-NS:licenseTransform», «http://www.w3.org/2002/07/decrypt#XML». System.Security.Cryptography.Xml.SignedXml Information: 12 : [SignedXml#02b3b1be, VerificationFailure] Проверка Ссылки не прошла. Отредактировано пользователем 11 мая 2016 г. 15:18:26(UTC)  | Причина: Не указана

Быстрый переход
 

Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.

Какие бывают ошибки

Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:

• Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
• Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
• Проблема при авторизации на торговых площадках.

Рассмотрим неполадки подробнее и разберёмся, как их решать.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».

У подобных ошибок могут быть следующие причины:

1. На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
2. На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
3. Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Для установки списка отозванных сертификатов:

• Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».



• Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
• В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.



• Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
• Следуйте указаниям «Мастера импорта сертификатов».

Не виден сертификат на носителе

Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.

К наиболее распространённым причинам такой проблемы относятся следующие случаи:

1. Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
2. Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
3. Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
4. Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.

ЭП не подписывает документ

Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:

1. Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
2. Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
3. Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
4. Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
5. Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.

В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».

В этой ситуации помогает установка и регистрация библиотеки Capicom:

1. Скачайте файл архива.
2. Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
3. Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.



4. Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.

Выбранная подпись не авторизована

Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».

Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.

Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.

Часто задаваемые вопросы

Почему компьютер не видит ЭЦП?

Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.

О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.

Почему КриптоПро не отображает ЭЦП?

Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.

Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.

Где на компьютере искать сертификаты ЭЦП?

Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:

C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.

Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.

Ошибка выглядит так:

Error: 0x08F0001C

XMLSec-error: func=xmlSecOpenSSLX509StoreVerify:file=x509vfy.c:line=404:obj=x509-store:subj=unknown:error=71:certificate verification failed:err=20;msg=unable to get local issuer certificate

XMLSec-error: func=xmlSecKeysMngrGetKey:file=keys.c:line=1370:obj=unknown:subj=xmlSecKeysMngrFindKey:error=1:xmlsec library function failed:

XMLSec-error: func=xmlSecTransformSetKey:file=transforms.c:line=1725:obj=unknown:subj=key != NULL:error=100:assertion:

XMLSec-error: func=xmlSecDSigCtxProcessKeyInfoNode:file=xmldsig.c:line=959:obj=unknown:subj=xmlSecTransformSetKey:error=1:xmlsec library function failed:transform=rsa-sha1

XMLSec-error: func=xmlSecDSigCtxProcessSignatureNode:file=xmldsig.c:line=583:obj=unknown:subj=xmlSecDSigCtxProcessKeyInfoNode:error=1:xmlsec library function failed:

XMLSec-error: func=xmlSecDSigCtxVerify:file=xmldsig.c:line=386:obj=unknown:subj=xmlSecDSigCtxSignatureProcessNode:error=1:xmlsec library function failed:

Использование ЭЦП открывает для владельца подписи дополнительные возможности. Но вместе с этим, иногда сопровождается небольшими техническими проблемами, связанными с необходимостью чёткого выполнения действий, связанных с загрузкой сертификатов, авторизацией, установкой необходимого программного обеспечения, а также системных требований к компьютеру.

Важно отметить, что большинство ошибок при работе с ЭЦП можно устранить в домашних условиях, без необходимости привлечения специалистов со стороны.

Какие виды ошибок ЭЦП бывают

Среди наиболее часто встречающихся ошибок в процессе подписания электронных документов электронной подписью выделяют три ключевых блока:

Проблема с подписанием ЭПЦ

Причины, вызывающие подобную ошибку весьма разнообразны. Тут можно выделить такие основные направления:

Как проявляется данная ошибка и что сделать, чтобы исправить

Ошибка исполнения функции с информированием о невозможности подписать документ ЭЦП обычно появляется в момент подписания документа.

Система сразу выводит на экран уведомление о непредвиденной ошибке с кратким указанием причины ее возникновения.

Обычно для ее исправления требуются такие действия:

Важно. Причина, из-за которой владелец ЭЦП не может нею воспользоваться, может быть комплексной. Поэтому, если не сработал один из предложенных вариантов, проверьте по другим направлениям.

Проблема с сертификатом

Распространенным явлением во время подписания электронных документов ЭЦП является получение уведомления, что системе не удалось получить доступ к сертификатам, пригодным для формирования подписи.

Здесь причины возникновения неисправности могут быть такими:

1. Пользователь не установил на свой ПК корневые сертификаты УЦ, осуществлявшего формирование и выдачу ЭЦП. Для устранения – скачать и установить на компьютер такой сертификат, либо прописать доступ к нему.
2. Система не видит личных сертификатов владельца ЭЦП. Выдаются одновременно с оформлением ЭП. Их необходимо загрузить на ваш ПК, и подтянуть в криптопровайдер. В дальнейшем можно загрузить через сайт УЦ. Устанавливаются и прописываются на рабочем месте, предназначенном для работы с ЭЦП. С незарегистрированным сертификатом вы не сможете осуществлять подписание электронных документов.
3. Информирование о невалидности сертификатов. Обычно такое возможно в случае, когда заканчивается срок действия сертификата, либо их отзывают. Потребуется обращаться в УЦ, выдавший ЭЦП, для уточнения статуса сертификатов подписи. В некоторых случаях помогает обновление сертификатов на компьютере пользователя. Сделать это можно вручную.

Что делать если не найден сертификат или не верен

Когда сертификат отсутствует в списке «Ваши Сертификаты», проблема может оказаться в отсутствии коренного сертификата УЦ.

Для устранения этой проблемы необходимо:

• проверить наличие такого сертификата на вашем ПК по пути: «Пуск» — дальше «Все программы» — после этого плагин «КриптоПро» — а уже там «Сертификаты»;
• дальше находим вкладку «Личное», выбираем «Сертификаты»;

• потребуется открыть не отображенный во вкладке сертификат и просмотреть его «Путь сертификации»;
• тут отображаются все цепочки сертификатов в порядке ранжирования. Важно чтобы напротив какого-то из них не стоял желтый, либо красный значок предупреждения. Если подобное присутствует – нажмите на сам сертификат и ознакомьтесь с ошибкой, что выдаст система;
• в зависимости от причины (обычно это окончание действия сертификата, либо не верифицирован) выполните ее устранение.

Чтобы устранить ошибку и перезагрузить отозванный сертификат потребуется выполнить несколько не сложных действий:

• в окне «Свойства браузера» откройте личный сертификат. Попасть туда можно через «Поиск» меню «Пуск». В открытом окошке ищите вкладку «Содержание», дальше вкладку «Сертификаты»;
• после этого во вкладке «Состав» потребуется выбрать позицию «Точки распространения списков отзывов»;
• в следующем блоке под названием «Имя точки распространения» необходимо выполнить копирование ссылки загрузки файла списка отзывов;
• переходя по указанной ссылке необходимо скачать и установить файл списка отзывов (CRL);
• дальше переходим по подсказкам «Мастера импорта сертификатов».

Следующей распространенной проблемой, когда компьютер не видит сертификат на носителе, является сбой в работе программных продуктов компьютера либо Токена (флешки). Обычно помогает простая перезагрузка ПК. Среди прочих популярных проблем этого направления можно выделить такие:

1. На носителе отсутствует драйвер, либо он установлен не корректно. Необходимо скачать последнюю версию драйвера с официального источника и установите его. Можно проверить работоспособность съемного носителя на другом ПК. В этом случае, если другой ПК нормально работает с носителем ЭЦП, переустановите драйверы на первом компьютере.
2. Система долго распознает носитель ЭЦП. Тут проблема в операционной системе. Ее потребуется обновить до минимального уровня, требуемого для работы с ЭЦП.
3. USB-порт работает не корректно. Попробуйте подсоединить Токен (флешку) через другой порт, либо на другом ПК, чтобы убедиться, что проблема не в носителе. Выполните перезагрузку компьютера.
4. Если Токин (флешка) не открывается ни на одном компьютере, значит проблема в носителе. Когда ключ был записан в единственном экземпляре на этот носитель – потребуется обращаться в УЦ для перевыпуска ЭЦП.

Важно. Перед вынесением «окончательного вердикта» касательно работоспособности носителя и сертификата, не поленитесь выполнить их проверку через несколько различных источников.

Проблемы при авторизации

Часто с подобными неприятностями сталкиваются владельцы ЭЦП, пытающиеся пройти регистрацию, либо авторизацию на различных электронных торговых площадках. Пользователю появляется уведомление, что его подпись не авторизирована.

Обычно проблема кроется:

1. Отсутствие регистрации. Потребуется попросту зарегистрироваться на избранном вами ресурсе.
2. Не зарегистрирован сертификат. Возникает после обновления ключа ЭЦП. Устраняется путем регистрации нового сертификата ключа ЭЦП.

В дальнейшем, при работе на самой электронной площадке и попытке подписать электронные документы, могут возникать дополнительные трудности, связанные с такими моментами:

1. Необходимости присоединиться к регламенту. Система не даст возможность полноценно работать, если вы не согласитесь с ее условиями.
2. Невозможность загрузить файл (файлы). Обычно это ошибка превышения размера информации, что допустима для загрузки. Просто смените формат разрешения файла, чтобы уменьшить его размер.
3. Требование использовать определенный браузер (определенную версию браузера). Это системные требования владельца площадки, которые необходимо соблюдать.
4. Проблемы со считыванием сертификатов. Потребуется проверить не просрочены ли ваши сертификаты, а также все ли они установлены на ПК.

1. Объектом подписания может служить не весь XML-документ, а только его часть, т.е. определённый узел. Согласно

OASIS Standard 200401 подписываемым объектом является тело (узел Body) SOAP-сообщения.

2. Различные части XML-документа могут быть подписаны несколькими исполнителями.

3. XML-подпись может находиться на разных уровнях по отношению к подписываемому объекту:

• в структуре подписи может находиться URI
  (унифицированный идентификатор ресурса);
• XML-подпись может находиться на одном уровне с подписываемым узлом;
• XML-подпись может находиться внутри подписываемого узла;
• подписываемый узел может находиться внутри структуры XML-подписи.

4. Для проверки действительности ЭП необходим доступ к объекту подписания.

Структура SOAP-коверта

В общем случае сообщение состоит из заголовка и тела:
Header и Body. Header содержит метаданные, а
Body данные. XML-подпись помещается в узел Header.

Криптографические алгоритмы и каноникализация.

Для решения задачи были использованы ГОСТ Р 34.11-94 — российский криптографический стандарт вычисления хеш-функции и
ГОСТ Р 34.10-2001 — стандарт электронной подписи.

В силу гибкости правил составления XML, одна и та же структура документа и одна и та же часть информации могут быть представлены различными XML-документами. Рассмотрим два документа:

С логической точки зрения они равнозначны, то есть имеют одинаковую XML-схему. Но XML-файлы этих листингов не содержат одну и ту же последовательность символов, что повлечёт разные результаты, например, при получении значения хэша.

Во избежание подобных разночтений были приняты строгие правила форматирования и требования к содержанию XML-сообщений. Процесс приведения XML-документов к унифицированному (каноническому) виду называют
каноникализацией (англ. Canonicalization). Примерами правил может быть применение определённой схемы кодирования (UTF-8), нормализация значений атрибутов, использование двойдых кавычек для значений атрибутов, определённый порядок атрибутов
и объявлений пространств имён, и др. Каноникализация XML бывает нескольких видов, которые отличаются составом правил. Побробнее о процессе каноникализации можно прочитать в официальной
спецификации W3C (русскоязычные статьи на эту тему можно найти
здесь и
здесь)

Библиотека SIRCrypt

Для реализации подписания XML в DIRECTUM была написана COM-библиотека, внутри которорй описаны 3 класса:
Hasher, Signer и XMLCanonicalizer для получения хэша, значения ЭП и каноникализации XML-документов соответственно.

Для функционирования библиотеки требуется Crypto PRO CSP
(тестировалась на версии Crypto PRO CSP 3.6.6497 KC2) и
.NET (минимально 2.0).

Регистрация библиотеки выполняется выполнением следующей команды:

> regasm.exe «путь к dll» /codebase /tlb

Объект Hasher для вычисления хэша по ГОСТ

Содержит поля Content (тип ‘строка’) и
HashValueAsBase64 (тип ‘строка’), а также метод для вычисления значения хэш-функции
Hash(). Для вычисления необходимо означить Content, вызвать метод
Hash(), в результате которого в поле HashValueAsBase64
запишется значение хэш-функции в Base64.

Объект Signer для получения значения ЭП по ГОСТ

Содержит поля Content (тип ‘строка’),
ContainerName (тип ‘строка’), CertificateAsPEM
(тип ‘строка’), BESignatureValueAsBase64 (тип ‘строка’), метод
Sign(). После инициализации объекта необходимо означить
Content (данные для подписания), ContainerName
(имя контейнера закрытого ключа сертификата), вызвать метод Sign(). После чего в поле
CertificateAsPEM попадёт соответствующий закрытому ключу сертификат в Base64, а в поле
BESignatureValueAsBase64 значение подписи в виде Base64-строки.

Объект XMLCanonicalizer для каноникализации XML

Содержит поля XMLContent (тип ‘строка’),
CanonicalXML (тип ‘строка’), метод C14NExc(). Для получения канонической формы XML нужно означить
XMLContent, вызвать C14NExc(), получить результат из поля
CanonicalXML.

Создание подписи выглядит следующим образом: сначала формируется основа soap-пакета, узлы
Header и Body. Body заполняется данными и добавляется атрибут
wsu:ID=»Body» — идентификатор подписываемых данных.

Далее нужно подготовить структуру Security
и включить её в Header.

Заполнение структуры Security происходит в следующем порядке:

1. Берётся значение хэш-функции от узла Body в каноническом виде и помещается в узел DigestValue.
2. Узел SignedInfo приводится к каноническому виду, подписывается ЭП. Результат в формате Base64-строки попадает в узел
   SignatureValue.
3. Открытый ключ сертификата, которым было выполнено подписание помещается в узел
   BinarySecurityToken в формате строки Base64.

Для того, чтобы проверить сформированную таким образом ЭП необходимо проделать все действия в обратном порядке, а именно:

1. получить каноническую форму элемента SignedInfo.
2. С использованием резльтата предыдущего шага проверить, действительно ли значение ЭП из узла
   SignatureValue с помощью открытого ключа сертификата. На данном этапе проверяется только корректность ЭП, что не гарантирует неизменность данных.
3. Если проверка действительности ЭП пройдена успешно, сравнивается хэш из узла
   DigestValue и хэш от узла с данными. Если они неравны, то подписанные данные изменены и вся ЭП недействительна.

Пример использования

XML-документ до подписания:
SOAPEnvelope.xml (266,00 байт)

Подписанный XML-документ:
SignedSOAPEnvelope.xml (3,32 Кб)

Пакет разработки и библиотека

Примеры подписания XML на ISBL (сценарий):
dev.zip (5,95 Кб)

Для постоянного использования код, выполняющий типовое подписание готового SOAP-конверта, вынесен в функцию
SignSOAP().

Для подписания используется сертификат из личного хранилища сертификатов текущего пользователя.

Cертификат для тесподписания можно получить на
тестовом центре сертификации КриптоПРО.

Библиотека SIRCrypt:
SIRCrypt.zip (7,42 Кб)

1СникСоСтажем

14.05.22 — 18:23

NorthWind

1 — 14.05.22 — 18:29

А штамп времени там реально нужен?

NorthWind

2 — 14.05.22 — 18:33

у меня есть образец рабочего кода такой фигни, но там простая подпись CADES_BES, без штампа времени. Здесь используется штамп времени, но я что-то не уверен, что он применяется у Честного знака, во всяком случае, упоминаний об этом я не нашел. Он там применяется или нет?

1СникСоСтажем

3 — 14.05.22 — 19:04

(2) добрый день! Хороший вопрос! Кол не мой. Предлагаете штамм времени опустить? У Вас что — то аналогичное используется в реализации?

NorthWind

4 — 14.05.22 — 19:27

(3) а ключ сессии вы этим же методом подписываете?

1СникСоСтажем

5 — 14.05.22 — 20:00

(4) ну да.bDetached Ложь только.  Там в описании функции указано.

timurhv

6 — 14.05.22 — 20:10

1СникСоСтажем

7 — 14.05.22 — 21:27

1СникСоСтажем

8 — 14.05.22 — 23:02

H A D G E H O G s

9 — 14.05.22 — 23:08

Каждый раз читаю это и каждый раз благодарю судьбу, что мы отказались поддерживать ЧЗ.

H A D G E H O G s

10 — 14.05.22 — 23:11

Создателям этой жлыги можно пожелать встретить голландскую шхуну..

timurhv

11 — 14.05.22 — 23:16

(9) В БСП 1 функция вызывается. Но у автора, видимо, свой велосипед

H A D G E H O G s

12 — 14.05.22 — 23:20

(11) Да понятно, что в БСП одна функция, но что-то иногда идет не так. И это не отменяет ебаклакизм ЧЗ, которые забили на запилить приложуху на стороне клиента или хотя бы dll.

1СникСоСтажем

13 — 14.05.22 — 23:58

1СникСоСтажем

14 — 14.05.22 — 23:58

NorthWind

15 — 15.05.22 — 09:22

1СникСоСтажем

16 — 15.05.22 — 10:40

NorthWind

17 — 15.05.22 — 11:08

1СникСоСтажем

18 — 15.05.22 — 11:38

1СникСоСтажем

19 — 15.05.22 — 11:39

timurhv

20 — 15.05.22 — 13:11

1СникСоСтажем

21 — 15.05.22 — 13:45

1СникСоСтажем

22 — 15.05.22 — 18:04

1СникСоСтажем

23 — 16.05.22 — 00:40

Народ, тут до меня дошло, что нужно использовать «Новый МенеджерКриптографии» (мне же открепленная подпись нужна). Тут вопрос по параметрам? Где их взять? У кого — нибудь есть рабочий пример?

1СникСоСтажем

24 — 16.05.22 — 00:54

Тихий омут

25 — 16.05.22 — 03:37

NorthWind

26 — 16.05.22 — 08:24

(24) судя по строке ошибки, вы задаете само содержимое подписи в виде строки base64 в качестве имени файла, и пытаетесь такой файл сохранить.

<ds:Reference URI="#Id-132">...

<soapenv:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Id-132">

xmlsec1 --sign --output request-signed.xml --privkey-pem privatekey.pem raw_message.xml

1 ответ

Лучший ответ

<ds:Reference URI="#Id-132">

<soapenv:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Id-132">