Creation of this signature could not be completed size limit error unsupported public key algorithm

SimonDubitsky	#1 Оставлено : 6 октября 2016 г. 15:25:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.10.2016(UTC) Сообщений: 1 Откуда: СПб	Добрый день! Только сегодня получил сертификат ЭЦП, учусь пользоваться. Попытался подписать файл PDF — позже это понадобится для сайта Госуслуг. Версии: Adobe Reader DC 2015.017.20053 КриптоПро CSP 3.6.6872 (версия ядра СЗКИ 3.6.5359 КС1) КриптоПро PDF 1.6.0547 Нажимаю кнопку Подписать, получаю сообщение: Creation of this signature could not be completed. Size limit error Unsupported public key algorithm Помогите, пожалуйста! С уважением, Семен Дубицкий

basid	#2 Оставлено : 7 октября 2016 г. 6:50:15(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 935 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Автор: SimonDubitsky КриптоПро CSP 3.6.6872 Как минимум, подчёркнутое должно быть 3.6.7777 (aka 3.6.1 или 3.6R4). Обновление CSP до актуальной версии может и не помочь, но начать надо именно с этого.

TatyanaMal	#3 Оставлено : 7 октября 2016 г. 8:58:23(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 08.11.2013(UTC) Сообщений: 56 Сказал(а) «Спасибо»: 1 раз Поблагодарили: 7 раз в 6 постах	Автор: SimonDubitsky Нажимаю кнопку Подписать, получаю сообщение: Creation of this signature could not be completed. Size limit error Unsupported public key algorithm Нужно выбрать «КриптоПро PDF» в качестве метода подписи по умолчанию. Более подробно об этом написано в документации.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

✅ Всем привет! Вчера мне на почту написала одна из моих читательниц блога и попросила ей помочь с ошибкой которая у нее возникает при подписи документа, она делала все по моей инструкции, где я рассказывал как надо подписывать PDF документы, но у нее ни чего не получалось, а вылетала следующая ошибка:🔥

✅ После нескольких попыток решить все по почте, девушка на той стороне дала мне доступ по teamviewer к своему компьютеру и я начал разбираться в чем проблема.

Скажу сразу, что решения данного вопроса состоит из двух вариантов пробуйте один из них и если не получилось, второй вариант, вам точно поможет! ⛔️

Вариант 1

✅ Для того что бы исправить ошибку при подписи документа PDF –  Не удалось закончить создание этой подписи. Ошибка превышения размера. Неподдерживаемый алгоритм открытых ключей. ⛔️ Самый простой и наглядный вариант будет исправить на то, что ему не нравится, а в данном контексте ему не нравится алгоритм шифрования.

Поэтому приступим к инструкции

Инструкция

1. Открываем наш документ в Adobe Reader или Adobe Acrobat
2. Заходим в меню Редактирование и выбираем подменю Установки
   
3. Далее в открывшемся окне в левой колонке выбираем меню Подписи, а с правой в блоке Создание и оформление нажимаем на кнопку Подробнее
   
4. Меняем формат подписи по умолчанию на Эквивалент CaDES (+убедитесь что в методе подписания по умолчанию у вас стоит КриптоПро PDF)
   
5. После этого нажимаем ОК и закрываем документ и Adobe
6. Открываем заново и пробуем подписать
7. с вероятностью 99% у вас при подписи должна быть такая табличка ))
   

Вариант 2

В моем случае мне еще не понравилось, что все было установлено давным давно и я решил обновить главный модуль который как раз и подписывает документы КриптоПро PDF

Инструкция

1. Для обновления КриптоПро PDF достаточно зайти на официальный сайт и скачать КриптПро ПДФ
2. перезагружаем комп и пробуем подписать документ

Не могу подписать сертификат с помощью OpenSSL

Сообщений 6

#1 Тема от socketpair 2020-07-28 07:25:22

• socketpair
• Посетитель
• Неактивен

Не могу подписать сертификат с помощью OpenSSL

У меня используется Рутокен ЭЦП 2.0 на котором записан сертификат с неизвлекаемым приватным ключом.

#2 Ответ от Павел Анфимов 2020-07-28 11:54:32

• Павел Анфимов
• Администратор
• Неактивен

Re: Не могу подписать сертификат с помощью OpenSSL

Энжин из OpenSC -/usr/lib64/engines-1.1/pkcs11.so — не умеет работать с ГОСТ-алгоритмами.

#3 Ответ от socketpair 2020-07-28 13:27:23

• socketpair
• Посетитель
• Неактивен

Re: Не могу подписать сертификат с помощью OpenSSL

Спасибо, почитаю и разберусь.

А через Крипто-ПРО такую подпись можно осуществить ? думаю, да. Буду благодарен если подскажете как. Предположу что нужно чтобы все компоненты (сама команда опенссл и энджин) были из набора КриптоПРО. Верно ?

#4 Ответ от socketpair 2020-07-28 16:38:33 (2020-07-28 16:39:07 отредактировано socketpair)

• socketpair
• Посетитель
• Неактивен

Re: Не могу подписать сертификат с помощью OpenSSL

окей, подключил rtengine. теперь такое:

Раньше хоть пин-код спрашивало. Теперь даже не спрашивает. 🙁

#5 Ответ от socketpair 2020-07-28 16:41:45

• socketpair
• Посетитель
• Неактивен

Re: Не могу подписать сертификат с помощью OpenSSL

может вот это? https://forum.rutoken.ru/topic/3219/ у меня ключи тоже неизвлекаемые и созданы с помощью Крипто-ПРО (через браузерный плагин СКБ-Контура)

#6 Ответ от Павел Анфимов 2020-07-28 20:07:44

• Павел Анфимов
• Администратор
• Неактивен

Re: Не могу подписать сертификат с помощью OpenSSL

А через Крипто-ПРО такую подпись можно осуществить ? думаю, да. Буду благодарен если подскажете как. Предположу что нужно чтобы все компоненты (сама команда опенссл и энджин) были из набора КриптоПРО. Верно ?

Верно, точнее описано в их документации. Мы не уверены, что с помощью их энжина получится работать с неизвлекаемыми ключами.

Вы снова указываете вместо rtengine — энжин из OpenSC

Источник

Поддержка Рутокен ЭЦП в OpenSSL (Страница 5 из 17)

Страницы Назад 1 2 3 4 5 6 7 … 17 Далее

Сообщений с 61 по 75 из 250

#61 Ответ от safarov 2012-11-12 20:09:25

• safarov
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

Инициализировал я токен, пытаюсь сгенерировать закрытый ключ получаю:

При этом система поставлена пять минут назад

Далее генерим закрытый ключи пользователя и СА на Fedora 17

Переходим в Ubuntu 11.10

Скажите почему на Ubuntu 11.10 openssl отказался генерировать закрытые ключи?

#62 Ответ от Виктор Ткаченко 2012-11-13 13:08:46

• Виктор Ткаченко
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

А как вы инициализировали токен? Его нжуно инициализировать через Панель управления (которая входит в виндовые драйвера), а не через OpenSC. С Убунтой 11.10 могут быть проблемы такого рода https://forum.rutoken.ru/post/4426/#p4426.

#63 Ответ от Виктор Ткаченко 2012-11-13 13:21:03

• Виктор Ткаченко
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

На базе OpenSSL сделан мультиплатформенный и мультибраузерный плагин, который поддерживает работу с сертификатами X.509, подписанные сообщения CMS, запросы на сертификаты PKCS#10 — с использованием российских криптоалгоритмов.

Демо-площадку решения можно посмотреть по ссылке http://pki.rutokenweb.ru

#64 Ответ от safarov 2012-11-13 13:57:29

• safarov
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

А как вы инициализировали токен?

Его нужно инициализировать через Панель управления (которая входит в виндовые драйвера)

То есть для того чтобы мне пользоваться rutoken под Linux нужно еще купить лицензию на Windows?

С Убунтой 11.10 могут быть проблемы такого рода https://forum.rutoken.ru/post/4426/#p4426. Внизу дан рецепт их решения.

У меня этих сложностей не возникло.
Кстате может возможно будет подготовить эталонное решение (эталонную инструкцию) которое будет стабильно работать? А то получается здесь хочу работать, а здесь не хочу.

#65 Ответ от Виктор Ткаченко 2012-11-13 14:04:20

• Виктор Ткаченко
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

То есть для того чтобы мне пользоваться rutoken под Linux нужно еще купить лицензию на Windows?

Пока так. Делаем утилиту инициализации под другие платформы.

С Убунтой 11.10 могут быть проблемы такого рода https://forum.rutoken.ru/post/4426/#p4426. Внизу дан рецепт их решения.

У меня этих сложностей не возникло.

Очень похоже как раз на проблему с libusb. В Убунту 11.10 входит глючная версия libusb, лаги которой как раз и могут вызывать нестабильность работы с токеном. Лучшее ее обновить.

Кстате может возможно будет подготовить эталонное решение (эталонную инструкцию) которое будет стабильно работать? А то
получается здесь хочу работать, а здесь не хочу.

На разных линухах — разные грабли 🙂 По мере хождения по ним — обновляем информацию.

#66 Ответ от safarov 2012-11-13 14:21:00 (2012-11-13 14:27:37 отредактировано safarov)

• safarov
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

На базе OpenSSL сделан мультиплатформенный и мультибраузерный плагин, который поддерживает работу с сертификатами X.509, подписанные сообщения CMS, запросы на сертификаты PKCS#10 — с использованием российских криптоалгоритмов.

Демо-площадку решения можно посмотреть по ссылке http://pki.rutokenweb.ru

Только что проверил работу на тестовой площадке с комьютера под управлением MacOS 10.8.2, браузер Google Chrome версии 23.0.1271.64, Rutoken ECP Flash 4G. Rutoken форматировал под Fedora 17 командами выше. На нем же также находятся сгенирированные вчера сертификаты и ключи.
Результат успешно получил сертификат.
Запрос

Информация о текущей структуре pkcs15 ниже:

В работе я пользуюсь информацией с этой страницы.

Источник

userauth_pubkey: unsupported public key algorithm: rsa-sha2-512

Details

Description

Server OS : CentOS release 6.9 (Final)

I am using Client protocol version 2.0; client software version APACHE- SSHD-2 .6.0

I am trying to ssh my server(RHEL6) using APACHE- SSHD-2 .6.0 using below code snippet.

This is working fine with RHEL8, Ubuntu14, Ubuntu16, Ubuntu18 but not working with RHEL6 and RHEL7, getting below exception.

unsupported public key algorithm: rsa-sha2-512 in sshd log

I found 2 solutions.

I upgraded ssh on RHEL6 , it’s working fine now.

Before upgrade ssh version:

After upgrade ssh version:

I changed the order of SignatureFactoriesNameList, it’s working fine now.

Changed order of rsa-sha2-512, rsa-sha2-256, ssh-rsa

Solution 1 is good but not acceptable in my case, we can’t ask our customers to upgrade server/system packages to make compatible with Java SSH client.

Please let me know the solution 2 is better approach or not, If not why and what are issues I am going to face it with this change.

Attachments

Issue Links

• Resolved
  A resolution has been taken, and it is awaiting verification by reporter. From here issues are either reopened, or are closed. «>Resolved

SSHD-1105 Use all possible signatures for a public key type in public key authentication

• Closed
  The issue is considered finished, the resolution is correct. Issues which are not closed can be reopened. «>Closed

Источник

Установка ключа ГОСТ 2012 #31

Добрый день!
Подскажите пожалуйста, не могу подключить ключ для модуля авторизации.
До этого использовали сертификат RSA, с недавнего времени он перестал работать и нам было необходимо выполнить переход на ГОСТ 2012. Обновили Ваш модуль до последней версии.
Но возникла проблема с подключением нового ключа.
Когда был сертификат RSA использовали в конфиге:
‘@certPath’ => ‘C. cert.cer’,
‘@privateKeyPath’ => ‘C. key ‘
cert.cer содержал ——BEGIN/END CERTIFICATE——
А key содержал ——BEGIN/END ENCRYPTED PRIVATE KEY——
Сейчас мы с помощью «OpenSSL 1.1.1g + gost engine + get-cpcert» из нашего сертификата ГОСТ 2012 получили файл «.PEM»:
из него мы извлекли «.CER» содержащий ——BEGIN/END CERTIFICATE——
и незашифрованный закрытый ключ содержащий ——BEGIN/END PRIVATE KEY——.
Собственно вопрос, каким образом нам подключить наш private key или каким алгоритмом его необходимо зашифровать, чтобы он соответствовал требованиям Вашего модуля авторизации?
Спасибо.

The text was updated successfully, but these errors were encountered:

Какую версию используете? Если 2.2.0, то попробуйте 2.1.1.

Только что сменили версию на 2.1.1. Ошибка осталась.

openssl_error_string() вернула следующее:
«error:0606F076:digital envelope routines:EVP_PKCS82PKEY:unsupported private key algorithm»

Попробуйте воспользоваться EsiaSignerCliSignerPKCS7 вместо EsiaSignerSignerPKCS7 и подписывать через CLI.

Спасибо!
Мы попробовали вначале обновить версию openssl и теперь выдало ошибку:
OpenSSL failure on encryption: error:0907B00D:PEM routines:PEM_read_bio_PrivateKey:ASN1 lib

Источник

Unsupported private_key algorithm #3304

The day I installed the bisq connected normally and I sent some btc to the wallet and made a sale offer. The next day started to give this problem, already rotated the internet from my mobile and still without connecting. On my work computer I have another wallet that works normally on fedora 30. On another windows xp computer i use bisq and it works normally.
Here in my house is windows 10, Brazil.
I already uninstalled, deleted the backup and reinstalled, but nothing worked.

«Connection to p2p network failed ( Bug reported: Unsupported private_key algorithm. Did Tor get a new key type for hidden services? Please check your internet connection or try restarting the program.»
I installed the latest version of bisq.
I don’t know where the error log is.

The text was updated successfully, but these errors were encountered:

there will be a more verbose error message at the next tor update.

windows 10 you say?

Here are some of the reasons we found to cause such an issue:

• antivirus locks/deletes tor files
• windows locks tor files

@HarryMacfinned can you share the info where one can find the logs?

Having same issue after exactly the same scenario (1 day no problems, sell btc, close client, next day having this error).

Do you use Windows and AV software? If so use a better AV software or better change to Linux or OSX. Some AV software cause problems with Tor and/or the app.

@onlymarcus Is it stll not working for you? If yes, please re-open this issue.

Just want to comment that I encountered this issue.

1. Start Bisq v1.2.5 (release build) with a new data directory.
2. Wait for it to finish fully starting up, sync blockchain, etc.
3. Close Bisq, and it exits gracefully.
4. Open it again after about 30 seconds.
5. Get the error. ( Feb-07 12:03:44.430 [NetworkNode-9999] ERROR b.n.p.n.TorNetworkNode: Could not connect to running Tor: Unsupported private_key algorithm. Did Tor get a new key type for hidden services? )
6. Close gracefully.
7. Start again, fails with same error, so delete outdated Tor files and shut down gracefully.
8. Open again, fails again with same error.
9. Close gracefully.
10. Delete hiddenservices folder.
11. Open, and it starts fine.

When I say it shuts down «gracefully» I mean it doesn’t hang indefinitely with the «Shutting down application can take a few seconds» message, like it sometimes does, requiring me to kill it manually. I’m not on Windows.

I couldn’t reproduce the issue (made a second new data directory, followed steps 1-4, and didn’t encounter 5) but it’s an issue that is still present in some form.

Источник

CURL и ГОСТ под Windows

Mishall

Новичок

Не удается заставить работат CURL с ГОСТ-алгоритмом под Windows.
Похожая проблема описывается в соседней теме от 2013 под Nix.

Возникающая ошибка:
error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned

PHP 5.5.27 NTS VC11
CURL 7.42.1
OpenSSL 1.0.1p

Пробовал брать бинарники с CURL 7.43.0 подменой php_curl.dll на libcurl.dll в php.ini и заменой файлов libeay32.dll и ssleay32.dll, но php отказывается распознавать curl-функции — PHP Fatal error: Call to undefined function curl_init()

Судя по тексту исходников 7.43.0 проблема (отказ чтения файла конфигурации openssl.cfg с подключением ГОСТ-алгоритмов) не должна проявляться (libvtlsopenssl.c), судя по присутствию вызова функции CONF_modules_load_file(NULL, NULL .

grigori

( ͡° ͜ʖ ͡°)

почему под windows, а не в виртуалке?
пробовал сборку под cygwin?

cipher-ы, алгоритмы, реализует не curl, а ssl-библиотека, обычно openssl, и под win может не быть реализации этого cipher-а. Можно поразбираться с openssl, но без обоснования считаю что нет смысла скрещивать openssl с windows.

fixxxer

AnrDaemon

Продвинутый новичок

Mishall

Новичок

2 grigori
PHP трудится под IIS 7,
виртуалку под Hyper-V c CentOs стал настраивать параллельно, но столкнулся с проблемами идентификации в сети.

2 fixxxer
для бинарного openssl.exe все работает и gost в списке выводится (на требуемом файле конфигурации *.cnf), требуется найти php_curl.dll или собрать ее самостоятельно из исходников
об ошибках подмены curl (libcurl.dll) уже писал выше

2 AnrDaemon
тесты проводятся пока на локальном сайте

нашел пример компиляции php_curl под Win, но не удалось связаться с автором по вопросам

AnrDaemon

Продвинутый новичок

fixxxer

ну, не знаю, собери сам попробуй

grigori

( ͡° ͜ʖ ͡°)

Mishall

Новичок

2 AnrDaemon
не удалось найти тех же версий указанные файлы
найденный curl-7.42.1-win32.7z указывает на версии продукта 1.0.2а и версию файла 1.0.2.1, против ранее стоявщих 1.0.1p и 1.0.1.16
на офф.сайте curl под Win присутствуют сборки только 7.40, 7.43 в которых совершенно другие версии указанных файлов

при этом в секции openssl оражается через phpinfo()

OpenSSL support enabled
OpenSSL Library Version OpenSSL 1.0.2a 19 Mar 2015
OpenSSL Header Version OpenSSL 1.0.1p 9 Jul 2015

после замены libeay32.dll и ssleay32.dll версии 1.0.2а возникла ошибка:
error:0609E09C:digital envelope routinesKEY_SET_TYPE:unsupported algorithm

содержимое файла openssl.cfg успешно отрабатывает при запуске файла openssl.exe с последующим ciphers и найденной строкой gost в перечне

вероятно найденнная сборка curl-openssl так и не читает файл конфигурации при запуске через php_curl.
Догадку подтверждат намеренное внесение ошибок в openssl.cfg, о чем сразу сообщает openssl.exe, а php по-прежнему error:0609E09C:digital.

Подключение расширения php_openssl.dll и вывод списка алгоритмов через php-функции openssl_get_cipher_methods и openssl_get_md_methods() подтверждают отсутствие gost-алгоритма.

Полный набор ошибок OpenSSL, а не только последняя:
error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm
error:0B06E06C:x509 certificate routines:X509_get_pubkey_parameters:unable to get certs public key
error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed

2 grigori
под IIS все устраивает + там еще масса других проектов под Net крутится,
с учетом сложностей в решении проблем под Win для это проекта параллельно равернул вирт.машину CentOS 6.6 с предустановленным LAMP

Источник

Ошибка ЭЦП — Не удалось закончить создание этой подписи

✅ Всем привет! Вчера мне на почту написала одна из моих читательниц блога и попросила ей помочь с ошибкой которая у нее возникает при подписи документа, она делала все по моей инструкции, где я рассказывал как надо подписывать PDF документы, но у нее ни чего не получалось, а вылетала следующая ошибка:🔥

рис.1 ⛔️ Не удалось закончить создание этой подписи. Ошибка превышения размера. Неподдерживаемый алгоритм открытых ключей 🔥

✅ После нескольких попыток решить все по почте, девушка на той стороне дала мне доступ по teamviewer к своему компьютеру и я начал разбираться в чем проблема.

Скажу сразу, что решения данного вопроса состоит из двух вариантов пробуйте один из них и если не получилось, второй вариант, вам точно поможет! ⛔️

Вариант 1

✅ Для того что бы исправить ошибку при подписи документа PDF — Не удалось закончить создание этой подписи. Ошибка превышения размера. Неподдерживаемый алгоритм открытых ключей. ⛔️ Самый простой и наглядный вариант будет исправить на то, что ему не нравится, а в данном контексте ему не нравится алгоритм шифрования.

Поэтому приступим к инструкции

Инструкция

1. Открываем наш документ в Adobe Reader или Adobe Acrobat
2. Заходим в меню Редактирование и выбираем подменю Установки
   
3. Далее в открывшемся окне в левой колонке выбираем меню Подписи, а с правой в блоке Создание и оформление нажимаем на кнопку Подробнее
   
4. Меняем формат подписи по умолчанию на Эквивалент CaDES (+убедитесь что в методе подписания по умолчанию у вас стоит КриптоПро PDF)
   
5. После этого нажимаем ОК и закрываем документ и Adobe
6. Открываем заново и пробуем подписать
7. с вероятностью 99% у вас при подписи должна быть такая табличка ))
   

Вариант 2

В моем случае мне еще не понравилось, что все было установлено давным давно и я решил обновить главный модуль который как раз и подписывает документы КриптоПро PDF

Инструкция

1. Для обновления КриптоПро PDF достаточно зайти на официальный сайт и скачать КриптПро ПДФ
2. перезагружаем комп и пробуем подписать документ

Источник

Поддержка Рутокен ЭЦП в OpenSSL (Страница 5 из 17)

Страницы Назад 1 2 3 4 5 6 7 … 17 Далее

Сообщений с 61 по 75 из 250

#61 Ответ от safarov 2012-11-12 20:09:25

• safarov
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

Инициализировал я токен, пытаюсь сгенерировать закрытый ключ получаю:

При этом система поставлена пять минут назад

Далее генерим закрытый ключи пользователя и СА на Fedora 17

Переходим в Ubuntu 11.10

Скажите почему на Ubuntu 11.10 openssl отказался генерировать закрытые ключи?

#62 Ответ от Виктор Ткаченко 2012-11-13 13:08:46

• Виктор Ткаченко
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

А как вы инициализировали токен? Его нжуно инициализировать через Панель управления (которая входит в виндовые драйвера), а не через OpenSC. С Убунтой 11.10 могут быть проблемы такого рода https://forum.rutoken.ru/post/4426/#p4426.

#63 Ответ от Виктор Ткаченко 2012-11-13 13:21:03

• Виктор Ткаченко
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

На базе OpenSSL сделан мультиплатформенный и мультибраузерный плагин, который поддерживает работу с сертификатами X.509, подписанные сообщения CMS, запросы на сертификаты PKCS#10 — с использованием российских криптоалгоритмов.

Демо-площадку решения можно посмотреть по ссылке http://pki.rutokenweb.ru

#64 Ответ от safarov 2012-11-13 13:57:29

• safarov
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

А как вы инициализировали токен?

Его нужно инициализировать через Панель управления (которая входит в виндовые драйвера)

То есть для того чтобы мне пользоваться rutoken под Linux нужно еще купить лицензию на Windows?

С Убунтой 11.10 могут быть проблемы такого рода https://forum.rutoken.ru/post/4426/#p4426. Внизу дан рецепт их решения.

У меня этих сложностей не возникло.
Кстате может возможно будет подготовить эталонное решение (эталонную инструкцию) которое будет стабильно работать? А то получается здесь хочу работать, а здесь не хочу.

#65 Ответ от Виктор Ткаченко 2012-11-13 14:04:20

• Виктор Ткаченко
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

То есть для того чтобы мне пользоваться rutoken под Linux нужно еще купить лицензию на Windows?

Пока так. Делаем утилиту инициализации под другие платформы.

С Убунтой 11.10 могут быть проблемы такого рода https://forum.rutoken.ru/post/4426/#p4426. Внизу дан рецепт их решения.

У меня этих сложностей не возникло.

Очень похоже как раз на проблему с libusb. В Убунту 11.10 входит глючная версия libusb, лаги которой как раз и могут вызывать нестабильность работы с токеном. Лучшее ее обновить.

Кстате может возможно будет подготовить эталонное решение (эталонную инструкцию) которое будет стабильно работать? А то
получается здесь хочу работать, а здесь не хочу.

На разных линухах — разные грабли 🙂 По мере хождения по ним — обновляем информацию.

#66 Ответ от safarov 2012-11-13 14:21:00 (2012-11-13 14:27:37 отредактировано safarov)

• safarov
• Посетитель
• Неактивен

Re: Поддержка Рутокен ЭЦП в OpenSSL

На базе OpenSSL сделан мультиплатформенный и мультибраузерный плагин, который поддерживает работу с сертификатами X.509, подписанные сообщения CMS, запросы на сертификаты PKCS#10 — с использованием российских криптоалгоритмов.

Демо-площадку решения можно посмотреть по ссылке http://pki.rutokenweb.ru

Только что проверил работу на тестовой площадке с комьютера под управлением MacOS 10.8.2, браузер Google Chrome версии 23.0.1271.64, Rutoken ECP Flash 4G. Rutoken форматировал под Fedora 17 командами выше. На нем же также находятся сгенирированные вчера сертификаты и ключи.
Результат успешно получил сертификат.
Запрос

Информация о текущей структуре pkcs15 ниже:

В работе я пользуюсь информацией с этой страницы.

Источник

CURL и ГОСТ под Windows

Mishall

Новичок

Не удается заставить работат CURL с ГОСТ-алгоритмом под Windows.
Похожая проблема описывается в соседней теме от 2013 под Nix.

Возникающая ошибка:
error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned

PHP 5.5.27 NTS VC11
CURL 7.42.1
OpenSSL 1.0.1p

Пробовал брать бинарники с CURL 7.43.0 подменой php_curl.dll на libcurl.dll в php.ini и заменой файлов libeay32.dll и ssleay32.dll, но php отказывается распознавать curl-функции — PHP Fatal error: Call to undefined function curl_init()

Судя по тексту исходников 7.43.0 проблема (отказ чтения файла конфигурации openssl.cfg с подключением ГОСТ-алгоритмов) не должна проявляться (libvtlsopenssl.c), судя по присутствию вызова функции CONF_modules_load_file(NULL, NULL .

grigori

( ͡° ͜ʖ ͡°)

почему под windows, а не в виртуалке?
пробовал сборку под cygwin?

cipher-ы, алгоритмы, реализует не curl, а ssl-библиотека, обычно openssl, и под win может не быть реализации этого cipher-а. Можно поразбираться с openssl, но без обоснования считаю что нет смысла скрещивать openssl с windows.

fixxxer

AnrDaemon

Продвинутый новичок

Mishall

Новичок

2 grigori
PHP трудится под IIS 7,
виртуалку под Hyper-V c CentOs стал настраивать параллельно, но столкнулся с проблемами идентификации в сети.

2 fixxxer
для бинарного openssl.exe все работает и gost в списке выводится (на требуемом файле конфигурации *.cnf), требуется найти php_curl.dll или собрать ее самостоятельно из исходников
об ошибках подмены curl (libcurl.dll) уже писал выше

2 AnrDaemon
тесты проводятся пока на локальном сайте

нашел пример компиляции php_curl под Win, но не удалось связаться с автором по вопросам

AnrDaemon

Продвинутый новичок

fixxxer

ну, не знаю, собери сам попробуй

grigori

( ͡° ͜ʖ ͡°)

Mishall

Новичок

2 AnrDaemon
не удалось найти тех же версий указанные файлы
найденный curl-7.42.1-win32.7z указывает на версии продукта 1.0.2а и версию файла 1.0.2.1, против ранее стоявщих 1.0.1p и 1.0.1.16
на офф.сайте curl под Win присутствуют сборки только 7.40, 7.43 в которых совершенно другие версии указанных файлов

при этом в секции openssl оражается через phpinfo()

OpenSSL support enabled
OpenSSL Library Version OpenSSL 1.0.2a 19 Mar 2015
OpenSSL Header Version OpenSSL 1.0.1p 9 Jul 2015

после замены libeay32.dll и ssleay32.dll версии 1.0.2а возникла ошибка:
error:0609E09C:digital envelope routinesKEY_SET_TYPE:unsupported algorithm

содержимое файла openssl.cfg успешно отрабатывает при запуске файла openssl.exe с последующим ciphers и найденной строкой gost в перечне

вероятно найденнная сборка curl-openssl так и не читает файл конфигурации при запуске через php_curl.
Догадку подтверждат намеренное внесение ошибок в openssl.cfg, о чем сразу сообщает openssl.exe, а php по-прежнему error:0609E09C:digital.

Подключение расширения php_openssl.dll и вывод списка алгоритмов через php-функции openssl_get_cipher_methods и openssl_get_md_methods() подтверждают отсутствие gost-алгоритма.

Полный набор ошибок OpenSSL, а не только последняя:
error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm
error:0B06E06C:x509 certificate routines:X509_get_pubkey_parameters:unable to get certs public key
error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed

2 grigori
под IIS все устраивает + там еще масса других проектов под Net крутится,
с учетом сложностей в решении проблем под Win для это проекта параллельно равернул вирт.машину CentOS 6.6 с предустановленным LAMP

Источник

Кошмар. Неужели все еще в инете встречаются моменты, когда гугл не выдает решение для подобных проблем? Зато есть куча жуликов которые советуют скачать инструкции, подписавшись на десяток другой вирусов. Итак, вам нужно подписать документ ЭЦП (ЭП) в программе Adobe Acrobat Reader.

Для этого, вы проверили что версия ридера у вас выше чем 11.0.07 (я парился с 11.0.08 рус), скачали и установили КриптоПро PDF, проверили что подпись видно в системе и страшно расстроили получив ошибку «не удалось закончить создание этой подписи ошибка превышения размера». Не беда. Я поборол это аж на windows xp. Чтобы побороть эту проблему, запустив Reader идем в настройки (установки) самой программы. Не перепутайте только их со свойствами файла. Установки вызываются по ctrl+K. Дальше пункт «подписи». В подписях, меняем Метод подписания по умолчанию — на крипту, а еще я сменил Формат подписания по умолчания с PKCS#7 отключен, на Эквивалент CaDES. Все. Применили настройки, для верного, перезапустили программу. Вуаля, проблемы нет, все починили, пофиксили. Пользуйтесь на здоровье.

Environment details:

Server OS : CentOS release 6.9 (Final)

$ ssh -V

OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

$ sshd -T

port 22
protocol 2
addressfamily any
listenaddress 0.0.0.0:22
listenaddress [::]:22
usepam yes
serverkeybits 1024
logingracetime 120
keyregenerationinterval 3600
x11displayoffset 10
maxauthtries 6
maxsessions 10
clientaliveinterval 0
clientalivecountmax 3
permitrootlogin yes
ignorerhosts yes
ignoreuserknownhosts no
rhostsrsaauthentication no
hostbasedauthentication no
hostbasedusesnamefrompacketonly no
rsaauthentication yes
pubkeyauthentication yes
kerberosauthentication no
kerberosorlocalpasswd yes
kerberosticketcleanup yes
gssapiauthentication yes
gssapikeyexchange no
gssapicleanupcredentials yes
gssapistrictacceptorcheck yes
gssapistorecredentialsonrekey no
gssapikexalgorithms gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-
passwordauthentication yes
kbdinteractiveauthentication no
challengeresponseauthentication no
printmotd yes
printlastlog yes
x11forwarding yes
x11uselocalhost yes
strictmodes yes
tcpkeepalive yes
permitemptypasswords no
permituserenvironment no
uselogin no
compression delayed
gatewayports no
showpatchlevel no
usedns yes
allowtcpforwarding yes
allowagentforwarding yes
useprivilegeseparation yes
kerberosusekuserok yes
pidfile /var/run/sshd.pid
xauthlocation /usr/bin/xauth
ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
macs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
kexalgorithms diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
banner none
authorizedkeysfile .ssh/authorized_keys
authorizedkeysfile2 .ssh/authorized_keys2
loglevel DEBUG
syslogfacility AUTHPRIV
hostkey /etc/ssh/ssh_host_rsa_key
hostkey /etc/ssh/ssh_host_dsa_key
acceptenv LANG
acceptenv LC_CTYPE
acceptenv LC_NUMERIC
acceptenv LC_TIME
acceptenv LC_COLLATE
acceptenv LC_MONETARY
acceptenv LC_MESSAGES
acceptenv LC_PAPER
acceptenv LC_NAME
acceptenv LC_ADDRESS
acceptenv LC_TELEPHONE
acceptenv LC_MEASUREMENT
acceptenv LC_IDENTIFICATION
acceptenv LC_ALL
acceptenv LANGUAGE
acceptenv XMODIFIERS
subsystem sftp /usr/libexec/openssh/sftp-server
maxstartups 10:30:100
permittunnel no
permitopen any

sshd-common : 2.6.0

sshd-core : 2.6.0

I am using Client protocol version 2.0; client software version APACHE-SSHD-2.6.0

I am trying to ssh my server(RHEL6) using APACHE-SSHD-2.6.0 using below code snippet.

 String send = "HOST:" + host + " " + command;
                InputStream inputStream = new ByteArrayInputStream(send.getBytes());
                SshClient client = SshClient.setUpDefaultClient();
                client.start();
                ConnectFuture cf = client.connect(username, host, port);
                try (ClientSession session = cf.verify().getSession();) {
                        session.addPublicKeyIdentity(loadKeypair(privateKey.getAbsolutePath()));
                        session.auth().verify(defaultTimeoutSeconds, TimeUnit.SECONDS);

This is working fine with RHEL8, Ubuntu14, Ubuntu16, Ubuntu18 but not working with RHEL6 and RHEL7, getting below exception. 

unsupported public key algorithm: rsa-sha2-512 in sshd log

Caused by: org.apache.sshd.common.SshException: No more authentication methods available
        at org.apache.sshd.common.future.AbstractSshFuture.verifyResult(AbstractSshFuture.java:126)
        at org.apache.sshd.client.future.DefaultAuthFuture.verify(DefaultAuthFuture.java:39)
        at org.apache.sshd.client.future.DefaultAuthFuture.verify(DefaultAuthFuture.java:32)
        at org.apache.sshd.common.future.VerifiableFuture.verify(VerifiableFuture.java:56)
        at com.zimbra.cs.rmgmt.RemoteManager.executeRemoteCommand(RemoteManager.java:170)
        at com.zimbra.cs.rmgmt.RemoteManager.execute(RemoteManager.java:147)
        ... 70 more
Caused by: org.apache.sshd.common.SshException: No more authentication methods available
        at org.apache.sshd.client.session.ClientUserAuthService.tryNext(ClientUserAuthService.java:342)
        at org.apache.sshd.client.session.ClientUserAuthService.processUserAuth(ClientUserAuthService.java:277)
        at org.apache.sshd.client.session.ClientUserAuthService.process(ClientUserAuthService.java:224)
        at org.apache.sshd.common.session.helpers.AbstractSession.doHandleMessage(AbstractSession.java:502)
        at org.apache.sshd.common.session.helpers.AbstractSession.handleMessage(AbstractSession.java:428)
        at org.apache.sshd.common.session.helpers.AbstractSession.decode(AbstractSession.java:1463)
        at org.apache.sshd.common.session.helpers.AbstractSession.messageReceived(AbstractSession.java:388)
        at org.apache.sshd.common.session.helpers.AbstractSessionIoHandler.messageReceived(AbstractSessionIoHandler.java:64)
        at org.apache.sshd.common.io.nio2.Nio2Session.handleReadCycleCompletion(Nio2Session.java:358)
        at org.apache.sshd.common.io.nio2.Nio2Session$1.onCompleted(Nio2Session.java:335)
        at org.apache.sshd.common.io.nio2.Nio2Session$1.onCompleted(Nio2Session.java:332)
        at org.apache.sshd.common.io.nio2.Nio2CompletionHandler.lambda$completed$0(Nio2CompletionHandler.java:38)
        at java.base/java.security.AccessController.doPrivileged(AccessController.java:312)
        at org.apache.sshd.common.io.nio2.Nio2CompletionHandler.completed(Nio2CompletionHandler.java:37)
        at java.base/sun.nio.ch.Invoker.invokeUnchecked(Invoker.java:127)
        at java.base/sun.nio.ch.Invoker$2.run(Invoker.java:219)
        at java.base/sun.nio.ch.AsynchronousChannelGroupImpl$1.run(AsynchronousChannelGroupImpl.java:112)
        at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1128)
        at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:628)

broken-relay2:# /usr/sbin/sshd -d
debug1: sshd version OpenSSH_5.3p1
debug1: read PEM private key done: type RSA
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-d'
Set /proc/self/oom_score_adj from 0 to -1000
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
debug1: Bind to port 22 on ::.
Server listening on :: port 22.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: inetd sockets after dupping: 3, 3
Connection from X.X.X.X port 55874
debug1: Client protocol version 2.0; client software version APACHE-SSHD-2.6.0
debug1: no match: APACHE-SSHD-2.6.0
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: permanently_set_uid: 74/74
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-ctr hmac-sha2-256 none
debug1: kex: server->client aes128-ctr hmac-sha2-256 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user zimbra service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "zimbra"
debug1: PAM: setting PAM_RHOST to "mail.example.com"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: userauth-request for user zimbra service ssh-connection method publickey
debug1: attempt 1 failures 0
userauth_pubkey: unsupported public key algorithm: rsa-sha2-512
Connection closed by X.X.X.X
debug1: do_cleanup
debug1: do_cleanup
debug1: PAM: cleanup

I found 2 solutions.

Solution 1:

I upgraded ssh on RHEL6 , it’s working fine now.

Before upgrade ssh version:

$ ssh -V

OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

After upgrade ssh version:

$ ssh -V

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017

Solution 2:

I changed the order of SignatureFactoriesNameList, it’s working fine now.

Changed order of rsa-sha2-512, rsa-sha2-256, ssh-rsa

Actual order: 

ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa

Changed order:

ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,ssh-rsa,rsa-sha2-512,rsa-sha2-256

SshClient client = SshClient.setUpDefaultClient();
client.setSignatureFactoriesNameList("ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,ssh-rsa,rsa-sha2-512,rsa-sha2-256");
	

Solution 1 is good but not acceptable in my case, we can’t ask our customers to upgrade server/system packages to make compatible with Java SSH client.  

Please let me know the solution 2 is better approach or not, If not why and what are issues I am going to face it with this change. 

I have a Python 3 application running on CentOS Linux 7.7 executing SSH commands against remote hosts. It works properly but today I encountered an odd error executing a command against a «new» remote server (server based on RHEL 6.10):

encountered RSA key, expected OPENSSH key

Executing the same command from the system shell (using the same private key of course) works perfectly fine.

On the remote server I discovered in /var/log/secure that when SSH connection and commands are issued from the source server with Python (using Paramiko) sshd complains about unsupported public key algorithm:

userauth_pubkey: unsupported public key algorithm: rsa-sha2-512

Note that target servers with higher RHEL/CentOS like 7.x don’t encounter the issue.

It seems like Paramiko picks/offers the wrong algorithm when negotiating with the remote server when on the contrary SSH shell performs the negotiation properly in the context of this «old» target server. How to get the Python program to work as expected?

Python code

import paramiko
import logging

ssh_user = "my_user"
ssh_keypath = "/path/to/.ssh/my_key.rsa"
server = "server.tld"

ssh_client = paramiko.SSHClient()
ssh_client.set_missing_host_key_policy(paramiko.AutoAddPolicy()) 
ssh_client.connect(server,port=22,username=ssh_user, key_filename=ssh_keypath)  

# SSH command
cmd = "echo TEST : $(hostname)"

stdin, stdout, stderr = ssh_client.exec_command(cmd, get_pty=True)
exit_code = stdout.channel.recv_exit_status() 

cmd_raw_output = stdout.readlines()
out = "".join(cmd_raw_output)
out_msg = out.strip()  

# Ouput (logger code omitted)
logger.debug(out_msg)

if ssh_client is not None:
    ssh_client.close()

Shell command equivalent

ssh -i /path/to/.ssh/my_key.rsa my_user@server.tld "echo TEST : $(hostname)"   

Paramiko logs (DEBUG)

DEB [YYYYmmdd-HH:MM:30.475] thr=1   paramiko.transport: starting thread (client mode): 0xf6054ac8
DEB [YYYYmmdd-HH:MM:30.476] thr=1   paramiko.transport: Local version/idstring: SSH-2.0-paramiko_2.9.1
DEB [YYYYmmdd-HH:MM:30.490] thr=1   paramiko.transport: Remote version/idstring: SSH-2.0-OpenSSH_5.3
INF [YYYYmmdd-HH:MM:30.490] thr=1   paramiko.transport: Connected (version 2.0, client OpenSSH_5.3)
DEB [YYYYmmdd-HH:MM:30.498] thr=1   paramiko.transport: === Key exchange possibilities ===
DEB [YYYYmmdd-HH:MM:30.498] thr=1   paramiko.transport: kex algos: diffie-hellman-group-exchange-sha256, diffie-hellman-group-exchange-sha1, diffie-hellman-group14-sha1, diffie-hellman-group1-sha1
DEB [YYYYmmdd-HH:MM:30.498] thr=1   paramiko.transport: server key: ssh-rsa, ssh-dss
DEB [YYYYmmdd-HH:MM:30.498] thr=1   paramiko.transport: client encrypt: aes128-ctr, aes192-ctr, aes256-ctr, arcfour256, arcfour128, aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, aes192-cbc, aes256-cbc, arcfour, rijndael-cbc@lysator.liu.se
DEB [YYYYmmdd-HH:MM:30.498] thr=1   paramiko.transport: server encrypt: aes128-ctr, aes192-ctr, aes256-ctr, arcfour256, arcfour128, aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, aes192-cbc, aes256-cbc, arcfour, rijndael-cbc@lysator.liu.se
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: client mac: hmac-md5, hmac-sha1, umac-64@openssh.com, hmac-sha2-256, hmac-sha2-512, hmac-ripemd160, hmac-ripemd160@openssh.com, hmac-sha1-96, hmac-md5-96
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: server mac: hmac-md5, hmac-sha1, umac-64@openssh.com, hmac-sha2-256, hmac-sha2-512, hmac-ripemd160, hmac-ripemd160@openssh.com, hmac-sha1-96, hmac-md5-96
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: client compress: none, zlib@openssh.com
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: server compress: none, zlib@openssh.com
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: client lang: <none>
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: server lang: <none>.
DEB [YYYYmmdd-HH:MM:30.499] thr=1   paramiko.transport: kex follows: False
DEB [YYYYmmdd-HH:MM:30.500] thr=1   paramiko.transport: === Key exchange agreements ===
DEB [YYYYmmdd-HH:MM:30.500] thr=1   paramiko.transport: Kex: diffie-hellman-group-exchange-sha256
DEB [YYYYmmdd-HH:MM:30.500] thr=1   paramiko.transport: HostKey: ssh-rsa
DEB [YYYYmmdd-HH:MM:30.500] thr=1   paramiko.transport: Cipher: aes128-ctr
DEB [YYYYmmdd-HH:MM:30.500] thr=1   paramiko.transport: MAC: hmac-sha2-256
DEB [YYYYmmdd-HH:MM:30.501] thr=1   paramiko.transport: Compression: none
DEB [YYYYmmdd-HH:MM:30.501] thr=1   paramiko.transport: === End of kex handshake ===
DEB [YYYYmmdd-HH:MM:30.548] thr=1   paramiko.transport: Got server p (2048 bits)
DEB [YYYYmmdd-HH:MM:30.666] thr=1   paramiko.transport: kex engine KexGexSHA256 specified hash_algo <built-in function openssl_sha256>
DEB [YYYYmmdd-HH:MM:30.667] thr=1   paramiko.transport: Switch to new keys ...
DEB [YYYYmmdd-HH:MM:30.669] thr=2   paramiko.transport: Adding ssh-rsa host key for server.tld: b'caea********************.'
DEB [YYYYmmdd-HH:MM:30.674] thr=2   paramiko.transport: Trying discovered key b'b49c********************' in /path/to/.ssh/my_key.rsa
DEB [YYYYmmdd-HH:MM:30.722] thr=1   paramiko.transport: userauth is OK
DEB [YYYYmmdd-HH:MM:30.722] thr=1   paramiko.transport: Finalizing pubkey algorithm for key of type 'ssh-rsa'
DEB [YYYYmmdd-HH:MM:30.722] thr=1   paramiko.transport: Our pubkey algorithm list: ['rsa-sha2-512', 'rsa-sha2-256', 'ssh-rsa']
DEB [YYYYmmdd-HH:MM:30.723] thr=1   paramiko.transport: Server-side algorithm list: ['']
DEB [YYYYmmdd-HH:MM:30.723] thr=1   paramiko.transport: Agreed upon 'rsa-sha2-512' pubkey algorithm
INF [YYYYmmdd-HH:MM:30.735] thr=1   paramiko.transport: Authentication (publickey) failed.
DEB [YYYYmmdd-HH:MM:30.739] thr=2   paramiko.transport: Trying SSH agent key b'9d37********************'
DEB [YYYYmmdd-HH:MM:30.747] thr=1   paramiko.transport: userauth is OK.
DEB [YYYYmmdd-HH:MM:30.748] thr=1   paramiko.transport: Finalizing pubkey algorithm for key of type 'ssh-rsa'
DEB [YYYYmmdd-HH:MM:30.748] thr=1   paramiko.transport: Our pubkey algorithm list: ['rsa-sha2-512', 'rsa-sha2-256', 'ssh-rsa']
DEB [YYYYmmdd-HH:MM:30.748] thr=1   paramiko.transport: Server-side algorithm list: ['']
DEB [YYYYmmdd-HH:MM:30.748] thr=1   paramiko.transport: Agreed upon 'rsa-sha2-512' pubkey algorithm
INF [YYYYmmdd-HH:MM:30.868] thr=1   paramiko.transport: Authentication (publickey) failed...

Shell command logs

OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 58: Applying options for *
debug2: resolving "server.tld" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to server.tld [server.tld] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: key_load_public: No such file or directory
debug1: identity file /path/to/.ssh/my_key.rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /path/to/.ssh/my_key.rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.4
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5* compat 0x0c000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to server.tld:22 as 'my_user'
debug3: hostkeys_foreach: reading file "/path/to/.ssh/known_hosts"
debug3: record_hostkey: found key type RSA in file /path/to/.ssh/known_hosts:82
debug3: load_hostkeys: loaded 1 keys from server.tld
debug3: order_hostkeyalgs: prefer hostkeyalgs: ssh-rsa-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,ext-info-c
debug2: host key algorithms: ssh-rsa-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,ssh-dss
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,aes256-cbc
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,aes256-cbc
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: host key algorithms: ssh-rsa,ssh-dss
debug2: ciphers ctos: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: ciphers stoc: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: MACs ctos: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: MACs stoc: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug1: kex: algorithm: diffie-hellman-group-exchange-sha256
debug1: kex: host key algorithm: ssh-rsa
debug1: kex: server->client cipher: aes128-ctr MAC: umac-64@openssh.com compression: none
debug1: kex: client->server cipher: aes128-ctr MAC: umac-64@openssh.com compression: none
debug1: kex: diffie-hellman-group-exchange-sha256 need=16 dh_need=16
debug1: kex: diffie-hellman-group-exchange-sha256 need=16 dh_need=16
debug3: send packet: type 34
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<3072<8192) sent
debug3: receive packet: type 31
debug1: got SSH2_MSG_KEX_DH_GEX_GROUP
debug2: bits set: 1502/3072
debug3: send packet: type 32
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug3: receive packet: type 33
debug1: got SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: ssh-.:**************************************************
debug3: hostkeys_foreach: reading file "/path/to/.ssh/known_hosts"
debug3: record_hostkey: found key type RSA in file /path/to/.ssh/known_hosts:8..2
debug3: load_hostkeys: loaded 1 keys from server.tld
debug1: Host 'server.tld' is known and matches the RSA host key.
debug1: Found key in /path/to/.ssh/known_hosts:82
debug2: bits set: 1562/3072
debug3: send packet: type 21
debug2: set_newkeys: mode 1
debug1: rekey after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: SSH2_MSG_NEWKEYS received
debug2: set_newkeys: mode 0
debug1: rekey after 4294967296 blocks
debug2: key: <foo> (0x55bcf6d1d320), agent
debug2: key: /path/to/.ssh/my_key.rsa ((nil)), explicit
debug3: send packet: type 5
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup gssapi-keyex
debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-keyex
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug2: we did not send a packet, disable method
debug3: authmethod_lookup gssapi-with-mic
debug3: remaining preferred: publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available (default cache: KEYRING:persistent:0)

debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available (default cache: KEYRING:persistent:0)

debug2: we did not send a packet, disable method
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: <foo>
debug3: send_pubkey_test
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Trying private key: /path/to/.ssh/my_key.rsa
debug3: sign_and_send_pubkey: RSA SHA256:**********************************
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 52
debug1: Authentication succeeded (publickey).
Authenticated to server.tld ([server.tld]:22).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug3: send packet: type 90
debug1: Requesting no-more-sessions@openssh.com
debug3: send packet: type 80
debug1: Entering interactive session.
debug1: pledge: network
debug3: receive packet: type 91
debug2: callback start
debug2: fd 3 setting TCP_NODELAY
debug3: ssh_packet_set_tos: set IP_TOS 0x08
debug2: client_session2_setup: id 0
debug1: Sending environment.
debug3: Ignored env XDG_SESSION_ID
debug3: Ignored env HOSTNAME
debug3: Ignored env SELINUX_ROLE_REQUESTED
debug3: Ignored env TERM
debug3: Ignored env SHELL
debug3: Ignored env HISTSIZE
debug3: Ignored env SSH_CLIENT
debug3: Ignored env SELINUX_USE_CURRENT_RANGE
debug3: Ignored env SSH_TTY
debug3: Ignored env CDPATH
debug3: Ignored env USER
debug3: Ignored env LS_COLORS
debug3: Ignored env SSH_AUTH_SOCK
debug3: Ignored env MAIL
debug3: Ignored env PATH
debug3: Ignored env PWD
debug1: Sending env LANG = xx_XX.UTF-8
debug2: channel 0: request env confirm 0
debug3: send packet: type 98
debug3: Ignored env SELINUX_LEVEL_REQUESTED
debug3: Ignored env HISTCONTROL
debug3: Ignored env SHLVL
debug3: Ignored env HOME
debug3: Ignored env LOGNAME
debug3: Ignored env SSH_CONNECTION
debug3: Ignored env LESSOPEN
debug3: Ignored env XDG_RUNTIME_DIR
debug3: Ignored env _
debug1: Sending command: echo TEST : $(hostname)
debug2: channel 0: request exec confirm 1
debug3: send packet: type 98
debug2: callback done
debug2: channel 0: open confirm rwindow 0 rmax 32768
debug2: channel 0: rcvd adjust 2097152
debug3: receive packet: type 99
debug2: channel_input_status_confirm: type 99 id 0
debug2: exec request accepted on channel 0
TEST : server.tld
debug3: receive packet: type 96
debug2: channel 0: rcvd eof
debug2: channel 0: output open -> drain
debug2: channel 0: obuf empty
debug2: channel 0: close_write
debug2: channel 0: output drain -> closed
debug3: receive packet: type 98
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
debug3: receive packet: type 98
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
debug2: channel 0: rcvd eow
debug2: channel 0: close_read
debug2: channel 0: input open -> closed
debug3: receive packet: type 97
debug2: channel 0: rcvd close
debug3: channel 0: will not send data after close
debug2: channel 0: almost dead
debug2: channel 0: gc: notify user
debug2: channel 0: gc: user detached
debug2: channel 0: send close
debug3: send packet: type 97
debug2: channel 0: is dead
debug2: channel 0: garbage collecting
debug1: channel 0: free: client-session, nchannels 1
debug3: channel 0: status: The following connections are open:
  #0 client-session (t4 r0 i3/0 o3/0 fd -1/-1 cc -1)

debug3: send packet: type 1
Transferred: sent 3264, received 2656 bytes, in 0.0 seconds.
Bytes per second: sent 92349.8, received 75147.4
debug1: Exit status 0
.