Error r s a c s c cryptoprivatkeyvalidator error on test signature

Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.

Какие бывают ошибки

Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:

• Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
• Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
• Проблема при авторизации на торговых площадках.

Рассмотрим неполадки подробнее и разберёмся, как их решать.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».

У подобных ошибок могут быть следующие причины:

1. На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
2. На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
3. Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Для установки списка отозванных сертификатов:

• Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».



• Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
• В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.



• Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
• Следуйте указаниям «Мастера импорта сертификатов».

Не виден сертификат на носителе

Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.

К наиболее распространённым причинам такой проблемы относятся следующие случаи:

1. Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
2. Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
3. Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
4. Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.

ЭП не подписывает документ

Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:

1. Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
2. Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
3. Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
4. Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
5. Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.

В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».

В этой ситуации помогает установка и регистрация библиотеки Capicom:

1. Скачайте файл архива.
2. Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
3. Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.



4. Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.

Выбранная подпись не авторизована

Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».

Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.

Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.

Часто задаваемые вопросы

Почему компьютер не видит ЭЦП?

Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.

О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.

Почему КриптоПро не отображает ЭЦП?

Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.

Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.

Где на компьютере искать сертификаты ЭЦП?

Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:

C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.

Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.

Вся основная статусная информация, касающаяся Адаптера, его процессов и взаимодействия с Единой Системой СМЭВ, записывается в лог файлы ИУА. Данные записи размещаются в папке установки Адаптера, обычно по пути C:Program FilesSmevAdapterlogs для Windows и  /opt/adapter/logs для Linux. Для каждого дня работы формируется отдельный лог файл (Рисунок 1).

Рисунок 1 – Каталог лог файлов для ИУА в Windows.

Поэтому для получения сведений о конкретной дате нужно открыть соответствующий этой дате файл. Для получения сведений за текущий день смотреть файл с именем smev-adapter.log. В файле storage-tool.log фигурирует результат развертывания объектов для базы данных. Он может быть полезен при получении дополнительных сведений после установки или обновлении Адаптера. Во всех остальных случаях пользуемся smev-adapter файлами.

Записи в логах состоят из даты, времени фиксации события, наименования потока (например, [smevTaskExecutorInbound-1]), типа записи (например, INFO), наименования внутреннего компонента (например, r.r.s.a.c.d.DeliveryServiceImpl ) и самого события.
По наименованию потока можно определить, связаны ли логически соседние строчки логов или нет. Например, здесь записи логически связаны – поток один:

А здесь второе событие не связано с первым:

28-04-2022 10:10:13.573 [smevTaskExecutorOutbound-6] INFO  r.r.s.a.i.a.IntegrationAmqpRequestGenerator — checkAvailability=true

28-04-2022 10:10:13.572 [task-scheduler-2] INFO  r.r.s.a.c.c.s.ConfigurationManagerImpl — reload adapter config!

Таким образом, можно делить события по потокам.

Возвращаясь к типам записей, они бывают:

• INFO – информационные записи;

• WARN – предупреждающие записи;

• ERROR – записи, содержащие ошибку.

Но важно помнить, что записи с типом INFO будут присутствовать только в том случае, если используется уровень логирования по умолчанию – INFO – п. 1.5 Общих настроек конфигурации Адаптера (Рисунок 2). Если используется уровень WARN, то будут доступны только типы записей WARN и ERROR.

Рисунок 2 – Варианты использования уровней логирования.

Стоит также отметить, что при необходимости можно включить логирование полных конвертов запросов и ответов в лог файлы – базово они не записываются туда, а хранятся в БД и в виде xml файлов в папке, заданной при установке ИУА.
Но если все же необходимость во включении логирования есть, нужно перейти в Настройки конфигурации адаптера, проставить галочки в пунктах 2.7 и 2.8 (Рисунок 3).

Рисунок 3 – Настройки включения логирования входных и выходных данных.

Под входными данными понимают ответы и статусные сообщения от СМЭВ для потребителя и запросы и статусные сообщения для поставщика. Под выходными – сообщения, отправляемые ИС участника, в том числе методом GetRequestRequest (опрос очереди ИС) и AckRequest (подтверждение о получении сообщения системой).

Независимо от того, включено логирование входных и выходных данных или нет, в логах будут присутствовать записи, сообщающие об осуществлении отправки и получения сообщений (тип INFO).

При выключенном логировании входных и выходных данных и используемом уровне по умолчанию INFO необходимо ориентироваться на записи следующего формата:

INFO r.r.s.a.l.s.SingleLoggingRequestSender — LogEventMessage{timestamp=время в формате timestamp, moduleId=’single-adapter’, clientId=’идентификатор сообщения, сгенерированный УВ’, messageId=’идентификатор сообщения, присвоенный СМЭВ’, informationSystemCode=’Мнемоника ИС’, eventType=MESSAGE_SENT_TO_SMEV, message=’Message sent to SMEV: …

где   eventType – тип события;

        message – сообщение, описывающее событие.

Также EventType бывают:

• MODULE_STARTUP – событие запуска службы ИУА;

• CONFIGURING_EVENT – изменения конфигурации ИУА;

• MESSAGE_SENT_TO_SMEV – успешно отправлено в СМЭВ, содержит бизнес-сведения запроса (MessagePrimaryContent) в поле messageContent;

• MESSAGE_SENT_TO_IS – получено сообщение для ИС, содержит бизнес-сведения ответа (MessagePrimaryContent) в поле messageContent;

• PROCESSING_ERROR – ошибка ИУА в ходе отправки сообщения;

• FS_METADATA_SENDING_ERROR – ошибка в ходе отправки вложения в ФХ.

Это список наиболее часто встречающихся типов событий. Каждый из них сопровождается сообщением, описывающем событие (message) — как в последнем примере.

Также при формировании конвертов ИУА и сохранении их в заданную директорию будут зафиксированы записи, подтверждающие данную операцию. Например:

INFO  r.v.s.c.a.t.impl.v1_3.WSTemplateImpl — save SendRequestRequest to C:UsersUserXMLStoragemessagesTest123{accbd9f6-c70b-11ec-a518-9eb6d0fdc8a9}-{SendRequestRequest}-{SUCCESS}.xml

При включенном логировании входных и выходных данных будут фигурировать все записи, касающиеся отправленных и полученных сообщений, в том числе записи опроса очереди и подтверждения получения сообщения (Таблица 1).

Таблица 1. Примеры логов используемых методов отправки сообщений в СМЭВ при включенном логировании входных и выходных данных.

В случае возникновения проблем в ходе отправки сообщения (напр., недоступности адреса) ИУА будет продолжать попытки отправить конверт. О чем будут свидетельствовать следующие записи:

INFO  r.r.s.a.c.d.DeliveryServiceImpl — called getRetryDeliveryLogRecords: maxRetryCount=4, retryIntervalSec=5

где maxRetryCount и retryIntervalSec — значения, задаваемые в пунктах 6.2 и 6.3 соответственно настроек Гарантированной доставки в Конфигурации адаптера. По умолчанию гарантированная доставка включена. Если ее выключить, ИУА перестанет проверять неотправленные сообщения, и выше указанные записи будут отсутствовать.

Также в случае использования вложений могут быть полезны следующие записи:

В случае возникновения ошибок в ходе работы ИУА они будут зафиксированы с категорией ERROR. Примеры наиболее распространённых ошибок с их описанием представлено в таблице 2.

Таблица 2. Примеры основных ошибок в логах ИУА.

Доброе время суток, уже близок к усуществению отсоединённой подписи, присоединённая уже получается и проходит проверку на сайте Сервер электронной подписи КриптоПро DSS.
Возможно Вы сможете помочь с решением вопроса: «Отсоединённой подпись не проходит проверку, а присоединённая подпись проходит»

Вот этим кодом я делаю подпись:

function SignCreate(thumbprint, dataToSign) {

    let oCertificate;
    let oSigner;
    let oSignedData;
    let sSignedMessage;

    let oStore = cadesplugin.CreateObject("CAPICOM.Store");
    oStore.Open(CAPICOM_CURRENT_USER_STORE, CAPICOM_MY_STORE, CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED);

    let oCertificates = oStore.Certificates.Find(CAPICOM_CERTIFICATE_FIND_SHA1_HASH, thumbprint);

    if (oCertificates.Count == 0) {
        return "Certificate not found: " + thumbprint;
    }

    oCertificate = oCertificates.Item(1);
    oSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner");
    oSigner.Certificate = oCertificate;
    oSigner.TSAAddress = "http://testca.cryptopro.ru/tsp/tsp.srf";

    oSignedData = cadesplugin.CreateObject("CAdESCOM.CadesSignedData");
    oSignedData.ContentEncoding = CADESCOM_BASE64_TO_BINARY;
    oSignedData.Content = dataToSign.replace('data:application/pdf;base64,', '');

    try {
        sSignedMessage = oSignedData.SignCades(oSigner, CADESCOM_CADES_X_LONG_TYPE_1, true);
    } catch (err) {
        return "Failed to create signature. Error: " + GetErrorMessage(err);
    }

    try {
        oSignedData.VerifyCades(sSignedMessage, CADESCOM_CADES_X_LONG_TYPE_1, true);
    } catch (err) {
        alert("Failed to verify signature. Error: " + cadesplugin.getLastError(err));
        return false;
    }

    oStore.Close();
    return sSignedMessage;
}

Пробую два варианта:
Вариант отсоединённой подписи не проходит проверку ЭП в КриптоПро DSS:
Код:
sSignedMessage = oSignedData.SignCades(oSigner, CADESCOM_CADES_X_LONG_TYPE_1, true);

Цитата:
Результат проверки
Название документа spravka_soc_viplaty_09.08.2017.pdfОП.p7s
Подпись 1
Результат проверки
Подпись не действительна
Дополнительная информация
Не удалось проверить подпись CAdES-XLT1. Ошибка: [Неправильное значение хеша]. Код: [0x80091007].Сообщение содержит неверную подпись.
Дополнительная информация о подписи
Формат подписи CAdES
Подпись в формате XLT1
Время подписи, полученное из штампа
9/8/2017 8:20:37 AM
Время подписи
9/8/2017 8:20:21 AM
Информация о сертификате
Субъект
C=RU, S=Нижегородская Область, L=Нижний Новгород, O=»ООО «»КазАУП»»», OU=Отдел разработки, CN=Stanislav, E=pavenko_sv@mail.ru
Издатель
CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, E=support@cryptopro.ru
Срок действия
07.09.2017 09:43:43 — 07.12.2017 09:53:43

Вариант присоединённой подписи проверку проходит:
Код:
sSignedMessage = oSignedData.SignCades(oSigner, CADESCOM_CADES_X_LONG_TYPE_1, false);

Цитата:

Сервер электронной подписи КриптоПро DSS
Результат проверки
Название документа spravka_soc_viplaty_09.08.2017.pdfПП.p7s
Подпись 1
Результат проверки
Подпись действительна
Дополнительная информация
Отсутствует
Дополнительная информация о подписи
Формат подписи CAdES
Подпись в формате XLT1
Время подписи, полученное из штампа
9/8/2017 8:39:21 AM
Время подписи
9/8/2017 8:39:00 AM
Информация о сертификате
Субъект
C=RU, S=Нижегородская Область, L=Нижний Новгород, O=»ООО «»КазАУП»»», OU=Отдел разработки, CN=Stanislav, E=pavenko_sv@mail.ru
Издатель
CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, E=support@cryptopro.ru
Срок действия
07.09.2017 09:43:43 — 07.12.2017 09:53:43

Оба варианта отрабатывают без ошибок и возвращают на выходе файл
Во вложении оба варианта рассмотрены
sign.zip

Использование ЭЦП открывает для владельца подписи дополнительные возможности. Но вместе с этим, иногда сопровождается небольшими техническими проблемами, связанными с необходимостью чёткого выполнения действий, связанных с загрузкой сертификатов, авторизацией, установкой необходимого программного обеспечения, а также системных требований к компьютеру.

Важно отметить, что большинство ошибок при работе с ЭЦП можно устранить в домашних условиях, без необходимости привлечения специалистов со стороны.

Какие виды ошибок ЭЦП бывают

Среди наиболее часто встречающихся ошибок в процессе подписания электронных документов электронной подписью выделяют три ключевых блока:

Проблема с подписанием ЭПЦ

Причины, вызывающие подобную ошибку весьма разнообразны. Тут можно выделить такие основные направления:

Как проявляется данная ошибка и что сделать, чтобы исправить

Ошибка исполнения функции с информированием о невозможности подписать документ ЭЦП обычно появляется в момент подписания документа.

Система сразу выводит на экран уведомление о непредвиденной ошибке с кратким указанием причины ее возникновения.

Обычно для ее исправления требуются такие действия:

Важно. Причина, из-за которой владелец ЭЦП не может нею воспользоваться, может быть комплексной. Поэтому, если не сработал один из предложенных вариантов, проверьте по другим направлениям.

Проблема с сертификатом

Распространенным явлением во время подписания электронных документов ЭЦП является получение уведомления, что системе не удалось получить доступ к сертификатам, пригодным для формирования подписи.

Здесь причины возникновения неисправности могут быть такими:

1. Пользователь не установил на свой ПК корневые сертификаты УЦ, осуществлявшего формирование и выдачу ЭЦП. Для устранения – скачать и установить на компьютер такой сертификат, либо прописать доступ к нему.
2. Система не видит личных сертификатов владельца ЭЦП. Выдаются одновременно с оформлением ЭП. Их необходимо загрузить на ваш ПК, и подтянуть в криптопровайдер. В дальнейшем можно загрузить через сайт УЦ. Устанавливаются и прописываются на рабочем месте, предназначенном для работы с ЭЦП. С незарегистрированным сертификатом вы не сможете осуществлять подписание электронных документов.
3. Информирование о невалидности сертификатов. Обычно такое возможно в случае, когда заканчивается срок действия сертификата, либо их отзывают. Потребуется обращаться в УЦ, выдавший ЭЦП, для уточнения статуса сертификатов подписи. В некоторых случаях помогает обновление сертификатов на компьютере пользователя. Сделать это можно вручную.

Что делать если не найден сертификат или не верен

Когда сертификат отсутствует в списке «Ваши Сертификаты», проблема может оказаться в отсутствии коренного сертификата УЦ.

Для устранения этой проблемы необходимо:

• проверить наличие такого сертификата на вашем ПК по пути: «Пуск» — дальше «Все программы» — после этого плагин «КриптоПро» — а уже там «Сертификаты»;
• дальше находим вкладку «Личное», выбираем «Сертификаты»;

• потребуется открыть не отображенный во вкладке сертификат и просмотреть его «Путь сертификации»;
• тут отображаются все цепочки сертификатов в порядке ранжирования. Важно чтобы напротив какого-то из них не стоял желтый, либо красный значок предупреждения. Если подобное присутствует – нажмите на сам сертификат и ознакомьтесь с ошибкой, что выдаст система;
• в зависимости от причины (обычно это окончание действия сертификата, либо не верифицирован) выполните ее устранение.

Чтобы устранить ошибку и перезагрузить отозванный сертификат потребуется выполнить несколько не сложных действий:

• в окне «Свойства браузера» откройте личный сертификат. Попасть туда можно через «Поиск» меню «Пуск». В открытом окошке ищите вкладку «Содержание», дальше вкладку «Сертификаты»;
• после этого во вкладке «Состав» потребуется выбрать позицию «Точки распространения списков отзывов»;
• в следующем блоке под названием «Имя точки распространения» необходимо выполнить копирование ссылки загрузки файла списка отзывов;
• переходя по указанной ссылке необходимо скачать и установить файл списка отзывов (CRL);
• дальше переходим по подсказкам «Мастера импорта сертификатов».

Следующей распространенной проблемой, когда компьютер не видит сертификат на носителе, является сбой в работе программных продуктов компьютера либо Токена (флешки). Обычно помогает простая перезагрузка ПК. Среди прочих популярных проблем этого направления можно выделить такие:

1. На носителе отсутствует драйвер, либо он установлен не корректно. Необходимо скачать последнюю версию драйвера с официального источника и установите его. Можно проверить работоспособность съемного носителя на другом ПК. В этом случае, если другой ПК нормально работает с носителем ЭЦП, переустановите драйверы на первом компьютере.
2. Система долго распознает носитель ЭЦП. Тут проблема в операционной системе. Ее потребуется обновить до минимального уровня, требуемого для работы с ЭЦП.
3. USB-порт работает не корректно. Попробуйте подсоединить Токен (флешку) через другой порт, либо на другом ПК, чтобы убедиться, что проблема не в носителе. Выполните перезагрузку компьютера.
4. Если Токин (флешка) не открывается ни на одном компьютере, значит проблема в носителе. Когда ключ был записан в единственном экземпляре на этот носитель – потребуется обращаться в УЦ для перевыпуска ЭЦП.

Важно. Перед вынесением «окончательного вердикта» касательно работоспособности носителя и сертификата, не поленитесь выполнить их проверку через несколько различных источников.

Проблемы при авторизации

Часто с подобными неприятностями сталкиваются владельцы ЭЦП, пытающиеся пройти регистрацию, либо авторизацию на различных электронных торговых площадках. Пользователю появляется уведомление, что его подпись не авторизирована.

Обычно проблема кроется:

1. Отсутствие регистрации. Потребуется попросту зарегистрироваться на избранном вами ресурсе.
2. Не зарегистрирован сертификат. Возникает после обновления ключа ЭЦП. Устраняется путем регистрации нового сертификата ключа ЭЦП.

В дальнейшем, при работе на самой электронной площадке и попытке подписать электронные документы, могут возникать дополнительные трудности, связанные с такими моментами:

1. Необходимости присоединиться к регламенту. Система не даст возможность полноценно работать, если вы не согласитесь с ее условиями.
2. Невозможность загрузить файл (файлы). Обычно это ошибка превышения размера информации, что допустима для загрузки. Просто смените формат разрешения файла, чтобы уменьшить его размер.
3. Требование использовать определенный браузер (определенную версию браузера). Это системные требования владельца площадки, которые необходимо соблюдать.
4. Проблемы со считыванием сертификатов. Потребуется проверить не просрочены ли ваши сертификаты, а также все ли они установлены на ПК.

Время прочтения
5 мин

Просмотры 15K

Продолжая разговор на тему электронных подписей (далее ЭП), надо сказать о проверке. В предыдущей стать я разбирал более сложную часть задачи — создание подписи. В этой статье всё несколько проще. Большая часть кода это адаптация примеров из КРИПТО ПРО .NET SDK. Проверять будем в первую очередь подписи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, для этого нам и нужен КРИПТО ПРО.

Задача для нас разбивается на 3 части: отделённая подпись, подпись в PDF и подпись в MS Word.

Проверка отделённой подписи:

            //dataFileRawBytes - массив байт подписанного файла
            ContentInfo contentInfo = new ContentInfo(dataFileRawBytes);
            SignedCms signedCms = new SignedCms(contentInfo, true);
            //signatureFileRawBytes - массив байт подписи
            signedCms.Decode(signatureFileRawBytes);

            if (signedCms.SignerInfos.Count == 0)
            {
                //обработка в случае отсутствия подписей
            }

            foreach (SignerInfo signerInfo in signedCms.SignerInfos)
            {
                //получаем дату подписания
                DateTime? signDate =
                    (signerInfo.SignedAttributes
                            .Cast<CryptographicAttributeObject>()
                            .FirstOrDefault(x => x.Oid.Value == "1.2.840.113549.1.9.5")
                            ?.Values[0]
                        as Pkcs9SigningTime)?.SigningTime;
                bool valid;
                try
                {
                    signerInfo.CheckSignature(true);
                    valid = true;
                }
                catch (CryptographicException exc)
                {
                    valid = false;
                }

                //получаем сертификат для проверки. Пригодится при проверке сертификата
                X509Certificate2 certificate = signerInfo.Certificate;

Комментарии все в коде, обращу только ваше внимание на получение сертификата, он нам понадобиться далее, т.к. сертификат мы будем проверять отдельно.

Ну и не забываем оборачивать всё в try-catch и прочие using. В примере я этого намеренно не делаю, что бы сократить объём

Валидация подписи в PDF. Тут нам понадобиться iTextSharp (актуальная версия на момент написания 5.5.13):

            using (MemoryStream fileStream = new MemoryStream(dataFileRawBytes))
            using (PdfReader pdfReader = new PdfReader(fileStream))
            {
                AcroFields acroFields = pdfReader.AcroFields;
                //получаем названия контейнеров подписей
                List<string> signatureNames = acroFields.GetSignatureNames();
                if (!signatureNames.Any())
                {
                    //обработка отсутствия ЭП
                }

                foreach (string signatureName in signatureNames)
                {
                    //далее следует магия получения подписи из контейнера
                    PdfDictionary singleSignature = acroFields.GetSignatureDictionary(signatureName);
                    PdfString asString1 = singleSignature.GetAsString(PdfName.CONTENTS);
                    byte[] signatureBytes = asString1.GetOriginalBytes();

                    RandomAccessFileOrArray safeFile = pdfReader.SafeFile;

                    PdfArray asArray = singleSignature.GetAsArray(PdfName.BYTERANGE);
                    using (
                        Stream stream =
                            new RASInputStream(
                                new RandomAccessSourceFactory().CreateRanged(
                                    safeFile.CreateSourceView(),
                                    asArray.AsLongArray())))
                    {
                        using (MemoryStream ms = new MemoryStream((int)stream.Length))
                        {
                            stream.CopyTo(ms);
                            byte[] data = ms.GetBuffer();
                            ContentInfo contentInfo = new ContentInfo(data);
                            SignedCms signedCms = new SignedCms(contentInfo, true);
                            signedCms.Decode(signatureBytes);
                            bool checkResult;
                            //получили подпись и проверяем её, без проверки сертификата
                            try
                            {
                                signedCms.CheckSignature(true);
                                checkResult = true;
                            }
                            catch (Exception)
                            {
                                checkResult = false;
                            }

                            foreach (SignerInfo signerInfo in signedCms.SignerInfos)
                            {
                                //получаем дату подписания
                                DateTime? signDate = (signerInfo.SignedAttributes
                                        .Cast<CryptographicAttributeObject>()
                                        .FirstOrDefault(x =>
                                            x.Oid.Value == "1.2.840.113549.1.9.5")
                                        ?.Values[0]
                                    as Pkcs9SigningTime)?.SigningTime;
                                //получаем сертификат
                                X509Certificate2 certificate = signerInfo.Certificate;
                            }
                        }
                    }
                }
            }

Комментировать опять же особенно нечего. Разве что надо сказать о Oid «1.2.840.113549.1.9.5» — это Oid даты подписания.

И последний в нашем списке это docx, пожалуй самый простой вариант:

            using (MemoryStream fileStream = new MemoryStream(dataFileRawBytes))
            using (Package filePackage = Package.Open(fileStream))
            {
                PackageDigitalSignatureManager digitalSignatureManager =
                    new PackageDigitalSignatureManager(filePackage);
                if (!digitalSignatureManager.IsSigned)
                {
                    //обрабатываем ситуацию отсутствия подписей
                }

                foreach (PackageDigitalSignature signature in
                    digitalSignatureManager.Signatures)
                {
                    DateTime? signDate = signature.SigningTime;
                    bool checkResult = signature.Verify() == VerifyResult.Success;
                    //обратите внимание на способ получения сертификата
                    X509Certificate2 certificate =
                        new X509Certificate2(signature.Signer);
                }
            }

Теперь будем разбирать сертификат и валидировать всю цепочку сертификатов. Поэтому сборка должна работать из под пользователя, у которого есть доступ в сеть.

И тут начинается ад, т.к. я не знаю как получить информацию о владельце сертификата через Oid, поэтому буду парсить строку. Смейтесь громче: цирк начинается.

А если серьёзно, то милости прошу в комменты тех, кто знает как сделать это через Oid-ы:

        private static void FillElectronicSignature(X509Certificate2 certificate)
        {
            foreach (KeyValuePair<string, string> item in ParseCertificatesSubject(certificate.Subject))
            {
                switch (item.Key)
                {
                    case "C":
                        string certificatesCountryName =
                            item.Value;
                        break;
                    case "S":
                        string certificatesState =
                            item.Value;
                        break;
                    case "L":
                        string certificatesLocality =
                            item.Value;
                        break;
                    case "O":
                        string certificatesOrganizationName =
                            item.Value;
                        break;
                    case "OU":
                        string certificatesOrganizationalUnitName =
                            item.Value;
                        break;
                    case "CN":
                        string certificatesCommonName =
                            item.Value;
                        break;
                    case "E":
                        string certificatesEmail =
                            item.Value;
                        break;
                    case "STREET":
                        string certificatesStreet =
                            item.Value;
                        break;
                    //тут интересный момент, если Window русскоязычный, то КРИПТО ПРО вернёт ИНН, а если англоязычный, то INN
                    //именно тут начиналась не пойми что после deploy на тестовый стенд
                    //локально работает, на тестовом - нет
                    case "ИНН":
                    case "INN":
                    case "1.2.643.3.131.1.1":
                        string certificatesInn =
                            item.Value;
                        break;
                    //аналогично предыдущему
                    case "ОГРН":
                    case "OGRN":
                    case "1.2.643.100.1":
                        string certificatesOgrn =
                            item.Value;
                        break;
                    //аналогично предыдущему
                    case "СНИЛС":
                    case "SNILS":
                    case "1.2.643.100.3":
                        string certificatesSnils =
                            item.Value;
                        break;
                    case "SN":
                        string certificatesOwnerLastName =
                            item.Value;
                        break;
                    case "G":
                        string certificatesOwnerFirstName =
                            item.Value;
                        break;
                    //тут рекомендую добавить блок default и всё что не удалось определить ранее писать в лог
                }
            }
            DateTime certificateNotBefore =
                certificate.NotBefore;
            DateTime certificateNotAfter =
                certificate.NotAfter;
            string certificatesSerialNumber =
                certificate.SerialNumber;

            
            if (!certificate.Verify())
            {
                //строим цепочку сертификатов
                using (X509Chain x509Chain = new X509Chain())
                {
                    x509Chain.Build(certificate);
                    //получаем все ошибки цепочки
                    X509ChainStatus[] statuses = x509Chain.ChainStatus;
                    //собираем все флаги ошибок в один int, так проще хранить
                    int certificatesErrorCode =
                        statuses.Aggregate(X509ChainStatusFlags.NoError,
                            (acc, chainStatus) => acc | chainStatus.Status, result => (int)result);
                }
            }
        }

        /// <summary>
        /// Разобрать строку с данными о владельце сертификата
        /// </summary>
        private static Dictionary<string, string> ParseCertificatesSubject(string subject)
        {
            Dictionary<string, string> result = new Dictionary<string, string>();

            //количество двойных кавычек, для определения конца значения
            int quotationMarksCount = 0;
            //признак что сейчас обрабатывается "ключ или значение"
            bool isKey = true;
            //переменная для сбора ключа
            string key = string.Empty;
            //Переменная для сбора значения
            string value = string.Empty;

            for (int i = 0; i < subject.Length; i++)
            {
                char c = subject[i];
                if (isKey && c == '=')
                {
                    isKey = false;

                    continue;
                }
                if (isKey)
                    key += c;
                else
                {
                    if (c == '"')
                        quotationMarksCount++;

                    bool isItemEnd = (c == ',' && subject.Length >= i + 1 && subject[i + 1] == ' ');
                    bool isLastChar = subject.Length == i + 1;

                    if ((isItemEnd && quotationMarksCount % 2 == 0) || isLastChar)
                    {
                        if (isItemEnd)
                            i++;
                        if (isLastChar)
                            value += c;
                        isKey = true;
                        if (value.StartsWith(""") && value.EndsWith("""))
                            value = value.Substring(1, value.Length - 2);
                        value = value.Replace("""", """);
                        result.Add(key, value);
                        key = string.Empty;
                        value = string.Empty;
                        quotationMarksCount = 0;

                        continue;
                    }
                    value += c;
                }
            }

            return result;
        }

Код максимально сокращён, для лучшего понимания сути.

В общем это всё, жду комментариев по получению Oid-ов из сертификата и любой аргументированной критики.

Перейти к содержимому раздела

Валидата

Форум компании

Ошибка проверки ЭП ПСП.

Сообщений 9

Q

Why I am getting the «wrong signature length» error when
running the OpenSSL «req -verify» command?

A

If you are getting the «wrong signature length» error when
running the OpenSSL «req -verify» command,
the CSR you are trying to verify has invalid digital signature.

There 2 main possibilities for a CSR to have invalid digital signature:

• The CSR has been modified by someone.
• The CSR has been signed by the wrong private key.

The first case is unlikely to happen, if the CSR is generated by you.
Unless someone hacked your computer.

The second case may happen, if you convert a certificate to CSR and
sign it with the wrong private key.

For example, you find that your server certificate is about to expire.
So you download it and use the «x509 -x509toreq» command to convert it
to a new CSR. This ensures that the new CSR has exactly the same
DN (Distinguished Name) fields as the existing certificate.

But if you are not able to find the private key that matches the public
key in the certificate, and use another private key with the «x509 -x509toreq»,
you will end up with an invalid CSR of case 2 listed above.

In the test below, we are going to download linkedin.com certificate
and convert it to a new CSR using my own private to sign.
Of course, the new CSR will be no good.

C:Usersfyicenter>localOpenSSLopenssl s_client -connect twitter.com:443 
   > twitter.crt

C:Usersfyicenter>localOpenSSLopenssl

OpenSSL> x509 -x509toreq -in twitter.crt -signkey my_ca.key -out twitter.csr
Getting request Private Key
Enter pass phrase for my_ca.key:fyicenter
Generating certificate request

OpenSSL> req -verify -in twitter.csr -noout
verify failure
6164:error:04091077:rsa routines:INT_RSA_VERIFY:wrong signature length:
   .cryptorsarsa_sign.c:186:
6164:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:
   .cryptoasn1a_verify.c:218:

The error message in the «req -verify» command output
confirms that twitter.csr is generated by the «x509 -x509toreq» command is invalid.
Signing someone else’s public key in the CSR with your private key is not acceptable.

⇒ OpenSSL «x509 -req» — Quick Way to Sign CSR

⇐ OpenSSL «x509 -x509toreq» — Conver Certificate to CSR

⇑ OpenSSL «x509» Command

⇑⇑ OpenSSL Tutorials