Рутокен pkcs11 код ошибки 0x6

Сообщений 10

Ошибки Рутокен

Из нашей статьи вы узнаете:

После установки драйверов и во время использования цифровой подписи потенциально могут возникнуть ошибки. Причины часто кроются в программных ошибках, неправильных действиях пользователя. На практике большинство проблем можно решить самостоятельно, без обращения за помощью в удостоверяющий центр или к специалистам по обслуживанию компьютерной техники. Рассмотрим основные ошибки, с которыми приходится сталкиваться пользователям и которые реально решить своими силами.

Ошибка: Сертификат ненадежен/Не удалось проверить статус отзыва

Ошибку можно заметить на вкладке «Сертификаты» непосредственно в панели управления Рутокен. Проблема возникает во время установки ЭЦП и связана с неполной настройкой. Речь про отсутствие специального корневого доверенного сертификата, который выдает удостоверяющий центр.

Первым шагом к устранению ошибки остается обновление комплекта драйверов. Если проблема не исчезла или последние у вас имеют актуальную версию, выполните действия по следующему алгоритму:

Если в открывшемся дереве вы видите лишь ваш личный сертификат, то надо установить еще один, который был выдан в удостоверяющем центре, и сделать доверенным.

Ошибка: Rutoken перестает определяться (Windows 10)

Потенциально могут возникать периодические ошибки из-за недоступности сертификатов, невозможности запустить панель управления. Одновременно светодиод на токене горит, а сам Рутокен имеется в Диспетчере устройств. Подобная ситуация может быть связана со спецификой работы материнской платы компьютера, когда при переходе из энергосберегающего режима в штатный не происходит «пробуждения» токена. Выходом здесь станет его отключение либо повторное подключение Рутокена (для этого достаточно достать USB-токен из разъема и подключить опять).

В случае если ошибка не исчезла, обратитесь за консультацией в удостоверяющий центр, где вы оформили ЭЦП и приобрели Рутокен.

Ошибка: Панель управления не видит Рутокен ЭЦП 2.0

Для решения проблемы выполните следующие действия:

Если ничего не помогло и ошибка осталась, обращайтесь в удостоверяющий центр «Астрал». Мы предлагаем услуги по генерации ЭЦП любых типов на выгодных условиях, а также комплексное техническое сопровождение. Для решения проблем мы готовы проконсультировать по телефону либо найти выход с помощью удаленного подключения к вашему компьютеру. Получить дополнительную информацию можно по телефону либо оставив заявку на сайте. Мы оперативно ответим и предоставим консультацию.

Источник

Почему компьютер не видит носитель рутокен

Рутокен при подключении к компьютеру не отображается в Панели управления Рутокен, кнопка «Ввести PIN-код» неактивна.

Если используется Подключение к удаленному рабочему столу, подробную информацию можно прочитать в этой статье.

Определите модель Рутокен по маркировке на самом ключе, воспользовавшись этой инструкцией.

Возможно, не хватает питания для Рутокена. Попробуйте подключить Рутокен в другой USB-порт.

Если используется удлинитель, подключите Рутокен напрямую.

Проверьте работают ли флешки, другие токены или смарт-карты.

Модель Рутокен S должна отображаться в разделе Контроллеры USB.

Модели Рутокен ЭЦП 2.0, Рутокен Lite должны отображаться в разделе Устройства чтения смарт-карт.

*Иногда могут отображаться как «USB Smart Card reader», «Rutoken ECP» или «Rutoken Lite»

Откройте Панель управления Рутокен и перейдите на вкладку Настройки.

Проверьте значение в раскрывающемся списке Количество считывателей Рутокен S. Если установлен «0», то увеличьте это значение до 1 и примените изменения

Если на другом компьютере Рутокен так же не определяется, скорее всего, он вышел из строя. Обратитесь в компанию, где приобретался Рутокен для его замены.

Источник

Первичная диагностика неисправности Рутокен

В соответствии с правилами эксплуатации и хранения электронных идентификаторов Рутокен, пользователь имеет право бесплатно заменить неисправный носитель Рутокен в течение срока гарантийного обслуживания, если, в ходе проведения экспертизы, случай будет признан гарантийным.

Отправка токена на экспертизу производится через ту компанию, с которой у компании «Актив» имеются договорные отношения.

Таким образом, если вы приобретали Рутокен у одного из наших партнеров, вам нужно передать Рутокен партнеру. Если договор между вашей организацией и компанией «Актив» напрямую не заключался, и вы направите Рутокен нам, мы не сможем принять его на экспертизу.

Узнать срок гарантии на устройство Рутокен можно в той компании, в которой он приобретался.

В случае обнаружения пользователем неисправности Рутокена, советуем провести первичную диагностику носителя, прежде чем обратиться в компанию, где приобретался носитель Рутокен.

Самые частые ошибки мы собрали в этой статье.

Первичная диагностика состоит из 3 этапов:

При первичном осмотре Рутокена выявляются механические повреждения, при которых носитель не подлежит замене.

Можно выделить следующие виды механических повреждений:

1. Повреждение/разлом корпуса или USB-разъема Рутокена

3. Рутокен со следами оплавления и/или почернения корпуса изнутри носителя, отпаявшаяся микросхема или вспученная поверхность микросхемы

Рутокен со следами оплавления и/или почернения можно направить на дополнительную экспертизу. Если в ходе экспертизы будет выявлено умышленное повреждение или превышение допустимого напряжения, подаваемого в USB-порт, гарантийная замена Рутокена на новый произведена не будет.

Если при визуальном осмотре Рутокена никаких видимых повреждений не выявлено, необходимо проверить Рутокен на компьютере.

Подключите Рутокен к компьютеру и запустите «Панель управления Рутокен».

Запуск панели управления Рутокен выполняется через меню Пуск / Панель управления / Панель управления Рутокен.

Если Рутокен определяется в «Панели управления Рутокен», активна кнопка «Ввести PIN-код…»

Нажмите на кнопку «Информация» на вкладке «Администрирование». Ошибок возникать не должно.

Попробуйте авторизоваться с PIN-кодом пользователя и/или администратора.

Если при нажатии на кнопку «Информация» ошибок не возникает, а авторизация выполняется успешно, следует перейти к третьему этапу диагностики носителя Рутокен

(Рутокен работает корректно, необходимо проверить целостность ключевой информации на Рутокене).

После подключения Рутокена к компьютеру возможны следующие ошибки в Панели управления Рутокен:

1. Рутокен не определяется в «Панели управления Рутокен»

Рутокен не определяется в «Панели управления Рутокен» (список «Подключенные Рутокен» пустой) и, как следствие, неактивны кнопки «Ввести PIN-код…» и «Информация…». В данном случае необходимо воспользоваться инструкцией.

2. Рутокен определяется панелью управления, кнопка «Ввести PIN-код…» активна, но авторизация с PIN-кодом пользователя/администратора выполняется с ошибкой. Дальнейшие действия зависят от формулировки возникающей ошибки:

2.1 Ошибка “Не удалось получить всю информацию о токене Код ошибки: 0x6a82 Описание ошибки: Файл/ RSF не найден”

Подключите Рутокен к другому USB порту. Повторите попытку ввода PIN-кода. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.

Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.

2.2 Ошибка “Не удалось получить всю информацию о токене код ошибки: 0х6400 Описание ошибки: Состояние памяти Rutoken не изменилось”

Подключите Рутокен к другому USB порту. Повторите попытку ввести PIN-код. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.

Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.

2.3 Ошибка “Не удалось получить всю информацию о токене Код ошибки 0xF003 Описание ошибки Неверное значение”

Подключите Рутокен к другому USB порту. Повторите попытку ввести PIN-код. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.

Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.

2.4 Ошибка «Обнаружено повреждение системной области памяти (ошибка CRC)» код ошибки 0x6F20

Ошибка означает, что память на носителя Рутокен была повреждена. Форматирование Рутокена не поможет. Рутокен необходимо передать в ту компанию, в которой приобретался данный носитель для отправки на экспертизу в компанию Актив.

2.5 Референсные данные не найдены

Подключите Рутокен к другому USB порту. Повторите попытку ввести PIN-код. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.

Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.

Более подробная информация об ошибке есть в статье нашей Базы Знаний.

2.6 «PIN-код заблокирован»

Ошибка «PIN-код заблокирован» означает, что Рутокен был заблокирован в результате превышения количества попыток ввода PIN-кода.

Если заблокирован PIN-код пользователя, воспользуйтесь инструкцией.

Если заблокирован PIN-код Администратора, воспользуйтесь инструкцией.

На третьем этапе проверяется целостность ключевой информации, которая содержится на Рутокене.

Определите модель Рутокена по инструкции.

Если используется носитель из семейства Рутокен ЭЦП, проверьте формат ключей по инструкции.

1. Проверка целостности контейнера с сертификатом “КриптоПро CSP” или “VipNet CSP”

Выполнить такую проверку можно через программу криптопровайдера, с помощью которой была сгенерирована электронная подпись пользователя, например программа «КриптоПро CSP» или «VipNet CSP»

Тестирование целостности контейнера через «КриптоПро CSP» необходимо проводить по инструкции.

Тестирование целостности контейнера через «VipNet CSP» необходимо проводить по инструкции.

Если операция по проверке ключевого контейнера выполняется без ошибок, значит ключевая информация на носителе Рутокен не повреждена.

2. Проверка целостности сертификата с неизвлекаемыми ключами

Тестирование носителей Рутокен ЭЦП 2.0 с записанными на него неизвлекаемыми ключами ЭП (PKCS#11) пользователями самостоятельно не производится. Удаленная диагностика выполняется сотрудниками технической поддержки компании Актив.

Источник

Почему компьютер не видит носитель рутокен

После прохождения проверки условий подключения по сертификату ключа проверки ЭЦП и выбора сертификата в личном кабинете юридического лица на сайте nalog.ru через Yandex браузер возникает одно из двух сообщений:

«Не удается обнаружить токен или смарт-карту. Подключите Рутокен в любой USB-порт компьютера или к картридеру» или «На Рутокене нет сертификатов. Для доступа к сайту запишите на Рутокен сертификат«.

Эти ошибки возникают в приложении Рутокен Коннект, установленном на компьютер, если не выполняются условия для успешного входа или выбран неверный вариант входа.

Необходимо определить нужно ли расширение Рутокен Коннект и какой вариант входа нужно использовать.

Расширение Рутокен Коннект должно использоваться для входа на сайт nalog.ru только если используется модель Рутокен ЭЦП 2.0 с записанным на него сертификатом формата PKCS#11 (как для ЕГАИС).

Проверка условий подключения должна завершиться успешно.

2. Если используется другая модель Рутокен и/или на Рутокене содержится сертификат формата «КриптоПро CSP», то выбран правильный вариант:

нужно выполнить одно из трех действий:

a) Удалите адрес lkul.nalog.ru:443 из настроек Рутокен Коннект

b) Или удалите Адаптер Рутокен Коннект

с) Или удалите приложение Рутокен Коннект

После выполнения одного из трех действий повторите Проверку условий подключения по сертификату ЭЦП.

Источник

Почему компьютер не видит рутокен

1. Возможно, на токене перегорел светодиод (лампочка). Для проверки следует:

2. Подключить Rutoken к другому USB-порту.

3. Запустить / перезапустить службу «Смарт-карта». Для этого:

4. Переустановить драйвер Rutoken, предварительно отключив носитель от компьютера.
Для этого открыть меню «Пуск» > «Панель управления» > «Установка и удаление программ» (для ОС Windows Vista Windows Seven меню «Пуск» > «Панель управления» > «Программы и компоненты»). В списке найти пункт «Rutoken Drivers» и выбрать «Удалить». После удаления необходимо перезагрузить компьютер и установить драйвер Rutoken заново.

5. В случае, если переустановка драйвера не помогла решить ошибку, необходимо установить драйвер с помощью меню «Диспетчер устройств». Порядок установки зависит от используемой операционной системы. Ниже приведены настройки для:

Установка драйвера для Windows Vista Windows Seven

1. Кликнуть по значку «Мой компьютер» правой кнопкой мыши и выбрать элемент «Свойства».

2. В открывшемся меню выбрать «Диспетчер устройств».

3. В открывшемся окне проверить, нет ли в списке элемента «Другие устройства», обозначенного желтым значком.

4. Необходимо выделить строку «ruToken» и выбрать «Обновить драйверы».

5. Далее выбрать «Выполнить поиск драйверов на этом компьютере».

6. Нажать на кнопку «Обзор», указать каталог C:WindowsSystem32Aktiv Co и нажать на кнопку «Далее». Указанный каталог может быть скрытым. В таком случае необходимо выбрать меню «Сервис» > «Параметры папок» > «Вид», установить переключатель «Показывать скрытые файлы, папки и диски» и повторить выбор каталога.

7. Дождаться окончания установки и нажать на кнопку «Закрыть».

8. После установки драйвера устройство будет отображаться в разделе «Контроллеры USB». На токене также должен загореться диод.

Установка драйвера для Windows XP

1. Кликнуть по значку «Мой компьютер» правой кнопкой мыши и выбрать элемент «Свойства».

2. В окне «Свойства системы» перейти на вкладку «Оборудование» и нажать на кнопку «Диспетчер устройств».

3. В открывшемся окне проверить, нет ли в списке элемента «ruToken» (либо «Неизвестное устройство»), обозначенного желтым значком. Необходимо кликнуть по нему правой кнопкой мыши и выбрать «Обновить драйвер».

4. В окне «Мастер обновления оборудования» установить переключатель «Установка из указанного места».

5. В открывшемся окне нажать на кнопку «Обзор», указать путь к каталогу C:Windowssystem32Aktiv Co
t USB и нажать на кнопку «Далее». Указанный каталог может быть скрытым. В таком случае необходимо выбрать меню «Сервис» > «Параметры папок» > «Вид», установить переключатель «Показывать скрытые файлы, папки и диски» и повторить выбор каталога

6. Дождаться окончания установки и нажать на кнопку «Готово».

7. По завершении установки драйвера устройство будет отображаться в разделе «Контроллеры универсальной последовательной шины USB». На токене также должен загореться диод.

6. В случае если выполнение инструкций не помогло исправить ошибку, токен, скорее всего, неисправен. Чтобы в этом убедиться, следует присоединить Rutoken к компьютеру, на котором никогда не устанавливался драйвер. Если носитель работает корректно, то должен запуститься «Мастер установки нового оборудования». Если при присоединении рутокена ничего не происходит, то носитель, вероятнее всего, неисправен, и его необходимо сменить.

Если сохранилась копия сертификата, следует использовать ее для работы в системе Контур.Экстерн, предварительно установив сертификат. Если копий не сохранилось, необходимо обратиться в сервисный центр для незапланированной замены ключа.

Подготовка

Установка драйверов и модулей ruToken

Для установки драйверов необходимо:

Настройка считывателя в КриптоПро

Откроется окно со списком установленных считывателей. Если в списке нет считывателя Все считыватели смарт-карт, нажмите кнопку «Добавить»

Если кнопка «Добавить» не активна, то нужно перейти на вкладку «Общие» и нажать на ссылку «Запустить с правами администратора».

Для продолжения установки считывателя нажмите кнопку «Далее»

В следующем окне выберите считыватель Все считыватели смарт-карт и нажмите кнопку «Далее»

Для продолжения установки нажмите кнопку «Далее»

Установка сертификатов

Для того, чтобы система стала запрашивать ruToken при входе, с него нужно установить сертификат. Чтобы узнать, как это сделать, перейдите по данной ссылке (нажмите здесь чтобы перейти).

Иногда при работе с электронной цифровой подписью (ЭЦП) выходит ошибка о том, что ПК не видит сертификат подписи на носителе или о том, что при создании подписи была допущена ошибка. Причина может быть в неустановленном или переставшем работать драйвере, в неисправности токена или в неисправности программной части компьютера.

Почему не виден сертификат ЭЦП на носителе

Обычно проблема решается простой перезагрузкой компьютера и объясняется сбоем в работе программных компонентов. Но иногда для исправления ошибки нужно переустановить драйвера или обратиться в службу технической поддержки пользователей.

Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком

Если на носителе Рутокен ЭЦП не найдено ни одного сертификата, а в диспетчере устройств носитель отображается с восклицательным знаком, то проблема кроется в драйвере.

Для исправления ситуации нужно извлечь носитель ЭЦП из компьютера и скачать последнюю версию драйвера. Скачивание нужно производить только с официальных ресурсов:

После установки драйвера нужно снова подключить носитель. Если ошибка повторяется, проверьте корректность работы токена. Для этого подключите его к другому ПК. Если носитель определился системой, то на неисправном компьютере удалите драйвер и установите его заново.

Причина 2: долгое опознание носителя на Windows 7

При работе в ОС Windows 7 драйверы могут долго назначаться. Решение проблемы — дождитесь окончания процесса или обновите версию ОС.

Причина 3: USB-порт работает некорректно

Убедитесь, что проблема в USB-порте, а не в носителе ЭЦП, для этого переключите токен к другому порту. Если носитель определился системой, то перезагрузите ПК. Обычно это помогает справиться с проблемой и запустить работу всех USB-портов. Если перезагрузка не помогла, то желательно обратиться в техническую поддержку для устранения неисправности.

Причина 4: носитель неисправен

Если при переключении носителя к другому ПК или USB-порту флешку компьютер не видит, то проблема в носителе. Чтобы устранить неисправность, обратитесь в сервисный центр для выпуска нового токена.

Почему выходит ошибка при создании подписи

Ошибка создания подписи обычно имеет в расшифровке два значения:

Неисправность работы подписи связана с некорректной работой криптопровайдера, неустановленными или необновленными сертификатами.

Решение проблемы зависит от типа ошибки и обычно не требует обращения в техническую поддержку.

Устранение ошибки ненайденного элемента ЭЦП

Переустановите криптопровайдер на неисправном ПК с официального портала КриптоПро (https://www.cryptopro.ru/downloads). После этого очистите кэш и временные файлы в используемом браузере, а также кэш Java. Затем удалите личные сертификаты и сертификаты главного удостоверяющего центра. Используйте КриптоПро и заново установите новые в соответствии с именем контейнера. После установки корневых сертификатов:

Если после проделанной работы ошибка сохраняется, то нужно обратиться в сервисный центр.

Устранение ошибки с построением цепочки сертификатов

Обычно ошибку вызывает отсутствие сертификатов доверенных корневых центров. Чтобы устранить неисправность, нужно открыть список сертификатов и найти проблемный. Он будет иметь отметку о проблеме в проверке отношений:

Затем пользователь скачивает с официальной страницы сертификат Минкомсвязи РФ и сертификат удостоверяющего центра, имеющего проблемы в работе. Устанавливают их в раздел «‎Корневые сертификаты»‎, а пошаговый процесс выглядит так:

В нужном сертификате нажать «‎Установить».

В мастере импорта сертификатов нажать «‎Далее» и в новом окне поставить галочку напротив «‎Поместить все сертификаты в следующем хранилище». Нажать «‎Обзор».

В открывшемся списке выбрать «‎Доверенные корневые центры» и нажать последовательно «‎ОК» и «‎Далее».

Нажать «‎Готово», а затем подтвердить установку.

Дождаться установки и перезагрузить ПК. Если после этого подписание сопровождается ошибкой, то необходимо обратиться за помощью в техническую поддержку.

Ошибки в работе носителя электронной подписи могут быть вызваны как неисправностью самого носителя, так и неисправностями в программном обеспечении. Перезагрузите ПК и переключите токен в другой порт, чтобы убедиться в его исправности. Если проблема вызвана тем, что токен поврежден, то необходимо обратиться в сервисный центр компании, выпустившей USB. При ошибке, возникающей во время подписания документа, нужно убедиться в корректной работе всех сертификатов и криптопровайдера и при необходимости провести их полную переустановку.

Источник

Версию программы и срок действия лицензии на использование «КриптоПро» можно посмотреть в «КриптоПро CSP» («Пуск» — «Панель управления» — «КриптоПро CSP» или «Пуск» — «Все программы» — «КриптоПро» — «КриптоПро CSP») на вкладке «Общие».
«КриптоПро CSP» можно загрузить с сайта разработчика («Скачать» — «КриптоПро CSP» — выберите и загрузите дистрибутив из блока «Сертифицированные версии»). Для загрузки программы с сайта требуется зарегистрироваться на нем и принять лицензионное соглашение. Установить «КриптоПро» можно по инструкции.

Возникло сообщение «В контейнере закрытого ключа отсутствуют сертификаты»

Необходимо установить сертификат согласно статье.

Контейнер находится на флеш-накопителе или жестком диске

Убедитесь, что папка с контейнером находится в корневой папке.
Контейнер должен иметь вид Имя контейнера.XXX, где XXX – произвольный номер из трех цифр.

Контейнер можно разместить на любом жестком диске, кроме диска С, на котором хранятся файлы системы.

Пользовательский Интерфейс — Виды и Проекции в Панели Вкладок

1. Для представления отчетности, действуйте согласно статье.
2. Для ЭТ, вам нужно приобрести новый сертификат.

Контейнер находится на токене

1. Убедиться, что носитель подключен к компьютеру;
2. Переустановите драйвера для токена:
3. RuToken
   Драйвер можно загрузить из «Личного кабинета» («Управление услугами» — «АРМ» — «Дистрибутивы программ» — Rutoken) или с сайта производителя в разделе «Центр загрузок».
4. JaCarta SE 2.0
   Необходимо установить:
5. «Единый клиент JaCarta»;
6. Конфигурационную утилиту JaCarta (ЕГАИС).
   Загрузить файлы можно с сайта производителя.
   На всех этапах установки необходимо нажимать «Далее»

Контейнер записан в реестр

1. Запустите редактор реестра («Пуск» – «Выполнить» – regedit);
   Перед редактированием реестра необходимо создать его резервную копию:
2. Нажать «Файл» — «Экспорт»;
3. Ввести название резервной копии в поле «Имя файла»;
4. Указать путь для сохранения файла с расширением .reg;
5. Выбрать «Весь реестр»;
6. Нажать «Сохранить».
7. Экспортируйте ветки реестра в произвольный каталог:
8. HKEY_CURRENT_USERSoftwareClassesVirtualStoreMACHINESOFTWAREWow6432NodeCrypto ProSettingsUsersS-1-5…( сид пользователя)Keys (для x64 систем);
9. HKEY_CURRENT_USERSoftwareClassesVirtualStoreMACHINESOFTWARECrypto ProSettingsUsersS-1-5…( сид пользователя)Keys (для 32-битных систем);
10. Откройте выгруженный файл реестра с помощью «Блокнота»;
11. Измените пути к ветке реестра на:
12. HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS S-1-5…( сид пользователя)Keys (для x64 систем);
13. HKEY_LOCAL_MACHINESOFTWARE Crypto ProSettingsUSERS S-1-5…( сид пользователя)Keys (для 32-битных систем);
14. Сохраните изменения;
15. Запустите файл реестра;
16. Согласитесь с внесением изменений в реестр.
    Важно! Сертификат ЕГАИС и «Ключ для маркировки 2.0» не отображаются в «КриптоПро».

Установка и настройка политик безопасности Рутокен / Настройка рутокен /двухфакторная аутентификация

У вас сертификат ЕГАИС или «Ключ для маркировки 2.0»

• JaCarta SE, необходимо:
• Запустить «Единый клиент JaCarta»;
• Перейти на вкладку «ГОСТ».
  Чтобы посмотреть информацию:

• об открытой части сертификата, перейти в раздел «Ключи и сертификаты»;
• о закрытой части сертификата, нажать «Ввести PIN-код» в правом нижнем углу и ввести PIN-код от ГОСТ части токена (по умолчанию 1234567890).

1. Запустить «Панель управления Рутокен»;
2. Перейти на вкладку «Сертификаты».
   Чтобы посмотреть информацию:
3. об открытой части сертификата, перейти в раздел «Личные сертификаты»;
4. о закрытой части сертификата, нажать «Ввести PIN-код» в правом верхнем углу и ввести PIN-код пользователя (по умолчанию 12345678).

1. Проверить, установлена ли на вашем рабочем месте «КриптоПро CSP» 5.0.
   Если нет, ее можно загрузить с сайта разработчика («Скачать» — «КриптоПро») и установить.
2. Открыть «Панель управления Рутокен» — «Сертификаты».
3. Выбрать нужный сертификат и поставить галку в столбце «Зарегистрирован».
   Если снять галку в столбце «Зарегистрирован», сертификат будет удален из хранилища «Личные».

*Контейнер (ключевой контейнер) – способ хранения закрытых ключей, реализованный продуктом «КриптоПро». Представляет из себя 6 файлов с расширением .key.

Источник: taxcom.ru

Ошибка при удалении RSA-ключа

Не работает УТМ, в логах зафиксирована ошибка задвоения RSA. При попытке удалить RSA-ключ возникает ошибка «Недоступно Код ошибки: 0x6».

Причина

При получении нового RSA-ключа не удалился старый, произошло задвоение ключей.

Решение

1. Убедитесь, что в компьютере не установлено других носителей Рутокен.
2. Скачайте последнюю версию утилиты удаления RSA-ключей на сайте производителя либо с зеркала 1 или зеркала 2.
3. Разархивируйте содержимое.
4. Убедитесь, что на компьютере не установлен криптопровайдер Валидата CSP и запустите DeleteRSA.exe — утилита удалит все RSA-ключи. Если есть СКЗИ Валидата CSP, удалите его и после запустите утилиту DeleteRSA.exe либо выполните действия на другом компьютере. Другого ПК нет — экспортируйте открытую часть ключа ГОСТ с помощью панели управления Рутокен, запустите утилиту, а после завершения ее работы — импортируйте обратно.
5. Переустановите «Панель управления Рутокен».
6. Сгенерируйте новый RSA-ключ.

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

Источник: sbis.ru

Панель управления рутокен источник ошибки pkcs11 код ошибки 0x6

Панель управления рутокен источник ошибки pkcs11 код ошибки 0x6

Помогла ли замена библиотеки libtranscrypt. dll решить мне проблему, связанную с ошибкой CKR_FUNCTION_FAILED? В заметке поделюсь личным опытом на данную тему.

Недавно столкнулся с ситуацией, когда УТМ блокирует продажу маркированной продукции (в момент считывания акцизных марок). На экране РМК появляется информационное окно с сообщением вида «УТМ заблокирован — Подпись предыдущего чека не завершена». Если открыть домашнюю страницу универсального транспортного модуля, то можно увидеть на ней ошибку CKR_FUNCTION_FAILED.

Быстрый выход из этой ситуации — перезагрузка ПК, на котором работают УТМ и Единый Клиент JaCarta. Но, конечно, это не выход из положения, ведь перезагрузки с периодичностью раз в день, в час и т. д. — плохая затея.

На сайте ЦентрИнформ ошибку CKR_FUNCTION_FAILED предлагают решить путем использования библиотеки libtranscrypt. dll, тем самым восстановить работоспособность ключа криптозащиты (https://egais. center-inform. ru/tehpod/faq/Ошибка:+CKR_FUNCTION_FAILED/).

Манипуляции по указанной инструкции обеспечили мне три дня спокойной работы торговой точки, после чего проблема с подписью предыдущего чека снова стала проявляться, правда на этот раз ошибка CKR_FUNCTION_FAILED в УТМ, действительно, отсутствовала.

Я не стал долго испытывать судьбу и, чтобы исключить проблемы, связанные с ПО, решил все перенастроить заново (переустановил операционную систему, Единый Клиент, УТМ и все компоненты, необходимые для работы этого модуля). И вот оно чудо! Проблема ушла. Но, как известно, беда не приходит одна.

УТМ сначала с периодичностью раз в неделю, потом чаще, стал выводить информационное сообщение «Проблемы с RSA PKCS11 — УТМ не может установить соединение с сервером ЕГАИС из-за проблем с хранилищем RSA ключей», свидетельствующее о недоступности сертификата ГОСТ на токене:

Иными словами что-то происходило с JaCarta, УТМ терял сертификат и переставал нормально работать:

Анализ лог-файлов УТМ указал на ошибку CKR_OBJECT_HANDLE_INVALID. Цитата с сайта ЦентрИнформ: «Ошибка связана с некорректной работой аппаратного крипто-ключа. Рекомендуем по работоспособности вашего аппаратного крипто-ключа обратится в тот удостоверяющий центр, в котором вы его приобрели» (пункт 9, https://egais. center-inform. ru/tehpod/faq/Ошибки УТМ/). Я так и сделал.

В УЦ провели удаленную диагностику JaCarta и признали неполадки с токеном. Правда диагностика показала, что проблемы не с контейнером ГОСТ, а с PKI. Коллеги провели инициализацию компонента PKI с последующей перезаписью ключа в личном кабинете ЕГАИС и вновь провели диагностику.

Jacarta Ошибка получения PKCS11

Ошибки никуда не делись, поэтому usb-токен пришлось заменить на новый, только теперь уже на Rutoken 2.0 ЭЦП, о работе которого расскажу в следующих статьях.

Вот такой трехнедельный личный опыт, друзья, с «танцами и бубном» около ошибки CKR_FUNCTION_FAILED и библиотеки libtranscrypt. dll, который в итоге закончился заменой той самой «зелененькой» JaCarta, про которую так много уже сказано в интернете.

Сталкивались ли с чем-то аналогичным Вы и как с этим справлялись, предлагаю обсудить ниже в комментариях к заметке.

Запись опубликована автором archisp в рубрике с метками CKR_FUNCTION_FAILED, JaCarta, libtranscrypt. dll, PKCS11, Rutoken, ошибка, УТМ. Добавьте в закладки постоянную ссылку.

О Компании

ООО ВАЛИДАТА была образована в 1999 году.
Контактная информация

Основное направление деятельности компании — проектирование и производство защищенных корпоративных информационно-телекоммуникационных систем с использованием средств криптографической защиты информации. Разработанные компанией совместно с ее партнерами продукты и решения широко используются в деловом электронном документообороте, в финансовой и денежно-кредитной сфере, в том числе в Банке России, ММВБ, НДЦ, Внешторгбанке и Почте России.

Управление безопасностью от профессионалов

Количество приложений, использующих системы криптографической защиты с открытыми ключами, во всем мире быстро увеличивается. Используется ли электронная почта или электронная коммерция приходит на смену устоявшимся системам бизнеса, системные интеграторы и пользователи могут вскоре оказаться один на один с секретными ключами и электронными сертификатами.

Задача определения уровня доверия для сетевых экранов, серверов доступа, WWW серверов, электронной почты и других приложений, становится критичной при правильном проектировании, разработке и сопровождении этих продуктов.

Для решений этих задач системные интеграторы и пользователи нуждаются в системах, которые позволят централизовать и уменьшить затраты на администрирование электронных сертификатов и обеспечение защиты передаваемой информации.

Ранее выданные лицензии:

Ошибка: CKR_FUNCTION_FAILED и библиотека libtranscrypt. dll — проблема решена?

ФСБ России выдала компании «Валидата» сертификаты соответствия на следующие продукты:

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Источник: kodyoshibok03.ru

Ошибки Рутокен

После установки драйверов и во время использования цифровой подписи потенциально могут возникнуть ошибки. Причины часто кроются в программных ошибках, неправильных действиях пользователя. На практике большинство проблем можно решить самостоятельно, без обращения за помощью в удостоверяющий центр или к специалистам по обслуживанию компьютерной техники. Рассмотрим основные ошибки, с которыми приходится сталкиваться пользователям и которые реально решить своими силами.

Ошибка: Сертификат ненадежен/Не удалось проверить статус отзыва

Ошибку можно заметить на вкладке «Сертификаты» непосредственно в панели управления Рутокен. Проблема возникает во время установки ЭЦП и связана с неполной настройкой. Речь про отсутствие специального корневого доверенного сертификата, который выдает удостоверяющий центр.

Первым шагом к устранению ошибки остается обновление комплекта драйверов. Если проблема не исчезла или последние у вас имеют актуальную версию, выполните действия по следующему алгоритму:

• выберите ваш сертификат в панели управления;
• нажмите кнопку «Свойства»;
• выберите вкладку «Путь сертификации».

Если в открывшемся дереве вы видите лишь ваш личный сертификат, то надо установить еще один, который был выдан в удостоверяющем центре, и сделать доверенным.

Ошибка: Rutoken перестает определяться (Windows 10)

Потенциально могут возникать периодические ошибки из-за недоступности сертификатов, невозможности запустить панель управления. Одновременно светодиод на токене горит, а сам Рутокен имеется в Диспетчере устройств. Подобная ситуация может быть связана со спецификой работы материнской платы компьютера, когда при переходе из энергосберегающего режима в штатный не происходит «пробуждения» токена. Выходом здесь станет его отключение либо повторное подключение Рутокена (для этого достаточно достать USB-токен из разъема и подключить опять).

В случае если ошибка не исчезла, обратитесь за консультацией в удостоверяющий центр, где вы оформили ЭЦП и приобрели Рутокен.

Ошибка: Рутокен плагин недоступен

Если у вас появляется ошибка «Плагин недоступен» при входе в личный кабинет сервиса Честный Знак, то это значит, что на компьютере не установлены криптографический плагин Рутокен Плагин или КриптоПро ЭЦП Browser plug-in.

Чтобы исправить данную ошибку вы можете воспользоваться нашей инструкцией по установке плагина RuToken.

Ошибка: Панель управления не видит Рутокен ЭЦП 2.0

Для решения проблемы выполните следующие действия:

• подключите токен к другому USB-разъему или компьютеру для оценки работоспособности;
• определите наличие устройства через «Диспетчер устройств» в разделе «Контроллеры USB»;
• проконтролируйте наличие доступа к веткам реестра

• HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais и
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders у текущего пользователя и Local Service (если необходимо, то добавьте), также убедитесь, что Служба «Смарт-карта» запущена от имени NT AUTHORITYLocalService («Пуск» — «Панель управления» — «Администрирование» — «Службы»).;

Если ничего не помогло и ошибка осталась, обращайтесь в удостоверяющий центр «Астрал». Мы предлагаем услуги по генерации ЭЦП любых типов на выгодных условиях, а также комплексное техническое сопровождение. Для решения проблем мы готовы проконсультировать по телефону либо найти выход с помощью удаленного подключения к вашему компьютеру. Получить дополнительную информацию можно по телефону либо оставив заявку на сайте. Мы оперативно ответим и предоставим консультацию.

Источник: astral.ru

Исправление типичных ошибок при генерации RSA ключа ЕГАИС

При генерации RSA ключа в личном кабинете ЕГАИС могут возникать ошибки.

Попробуем разобрать типовые ошибки, которые возникают при генерации для ЕГАИС.

Почему возникает ошибка при генерации ключа ЕГАИС?

Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок на сайте ЕГАИС. Но это происходит крайне редко.

В основном неполадки связаны с некорректными настройками компьютера.

Общие рекомендации для успешной генерации транспортного RSA ключа ЕГАИС

Необходимые требования и рекомендации:

• Для корректной работы в личном кабинете рекомендуется отключить все защитники и антивирусные программы на компьютере
• Операционная система должна быть MS Windows и свежее чем XP (подойдет Vista/7/8/8/1/10, серверные ОС тоже поддерживаются, начиная с 2008). Крайне желательно наличие установленных актуальных обновлений.
• Браузер Internet Explorer версии не ниже, чем 9.
• Установлена актуальная версия крипто плагина ФСРАР Крипто (версия не ниже чем 2.00). 
• Установлены и настроены драйвера носителя для ЕГАИС.
• Во время работы в личном кабинете и при работе УТМ ЕГАИС должен быть вставлен только один ключ для ЕГАИС.

Ошибка при генерации RSA ключа «Выберете устройство чтения смарт карт…»

Если при генерации вместо окна запроса пин-кода Вы увидели окно «Выберете устройство чтения смарт карт» или «Обнаружена смарт-карта, но она не может использоваться для текущей операции…» или «Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты», значит нужно скорректировать настройки компьютера.

Данная ошибка возникает в результате некорректных настроек на ПК, запрещающие формировать ключ.

Если Вы используете носитель Рутокен ЭЦП 0, то вам необходимо выполнить следующие операции:

Выберите пункт Панель управления Рутокен (можно запустить через ярлык на рабочем столе, меню Пуск — Программы (или Все программы) — Рутокен — Панель управления Рутокен).

Перейдите на вкладку «Настройки» и выберите пункт «Настройка…»

Установите напротив строки Рутокен ЭЦП значение Microsoft Base Smart Card Crypto Provider.

Если не получилось — сделайте перенастройку еще раз. Выберете другой криптопровайдер, нажмите ОК, и снова выберете Microsoft Base Smart Card Crypto Provider.

Если опять не получилось — обновите драйвер для Рутокен ЭЦП. Скачать драйвер можно с сайта разработчика. После обновления проверьте настройки криптопровайдера и пробуйте еще раз.

В крайне редких случаях, если генерация не проходит, помогает утилита восстановления работоспособности Рутокен (позволяет правильно определить драйвера носителя в системе).
 

Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT

В данной ошибке указано, что неверно введен пин-код. 

Проверьте правильность ввода пин-кодов, если на вашем носителе они установлены по умолчанию. Напоминаем стандартные пин коды:

• для JaCrata пин RSA — 11111111, пин ГОСТ — 0987654321
• для Рутокен пин RSA — 12345678, пин ГОСТ — 12345678

В случае, когда не проходит стандартный пин код, возможно они у вас были заменены на нестандартные пароли или скорее всего носитель заблокировался. В данной ситуации для разблокировки носителя обратиться в удостоверяющие центр.

Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID

Данная ситуаци была нами зафиксирована при использовании ключа JaCarta SE.

Для исправления необходимо инициализировать раздел PKI на носителе. Для этого откройте Единый клиент JaCarta желательно включить интерфейс Администратора (снизу слева кнопка «Переключиться в режим администрирования»).

Перейдите вверху во вкладку PKI и нажмите «Инициализировать». При запросе кода введите пин-код Администратора 00000000, пин-код Пользователя 11111111. После успешной инициализации попробуйте снова сгенерировать транспортный ключ.

Вы определились с выбором?

Перейти к оформлению заказа

Помимо открытого и закрытого ключа электронной подписи, в ЕГАИС пользователю понадобится RSA-ключ. Он защищает соединение между пользователем и информационной системой. Генерируется на сайте egais.ru. Случается, что при его создании возникает ошибка: «Вставьте смарт-карту» или «Подключите смарт-карту».

Расскажем пошагово, как убрать ошибки Рутокен: Вставьте смарт-карту или Подключите смарт-карту на примере Рутокен ЭЦП 2.0.

Описание ошибок Рутокен

Если при генерации уведомление сообщает, что смарт-карту нужно вставить, текст ошибки содержит следующее:

«Обнаружена смарт-карта, но она не может использоваться для текущей операции. Возможно, для используемой смарт-карты нет драйвера или сертификата»

Если предлагается выбрать устройство чтения смарт-карт, то в описании изложен данный текст:

«Подключите смарт-карту. Выберите устройство чтения смарт-карт. Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты».

Чтобы решить проблему, необходимо проверить настройки и выполнить определённые действия.

Решение ошибки Рутокен: Вставьте или подключите смарт-карту

Чтобы решить проблему, необходимо сделать следующее:

1. Включить поддержку ЕГАИС на Рутокен.
2. Удалить следы RSA-ключей.
3. Проверить Диспетчер устройств на наличие ошибки 28.
4. Удалить Единый клиент JaCarta.
5. Переназначить криптопровайдер.
6. Переустановить минидрайвер.

Далее подробное описание действий по каждому пункту.

Включение поддержки ЕГАИС на Рутокен

В настройках Рутокен ЭЦП 2.0 должен быть выбран и активирован криптопровайдер Microsoft Base Smart Card Crypto Provider.

Для этого необходимо:

• Открыть меню «Пуск». Перейти в «Настройки», далее «Панель управления» и «Панель управления Рутокен».
• Во вкладке «Настройки», в поле «Настройки криптопровайдера» нажать «Настроить криптопровайдер».



• В окне «Настройки криптопровайдера» напротив «Семейство Рутокен ЭЦП» выбрать «Microsoft Base Smart Card Provider».



• Нажать «ОК», чтобы сохранить изменения.

Удаление следов RSA-ключей

При предыдущей неудачной попытке генерации RSA-ключа носитель Рутокен может содержать его следы. Чтобы решить проблему, в первую очередь нужно скачать архив DeleteRSA1.0.3.1.zip.

Далее пользователь должен:

• Разархивировать содержимое.
• Убедиться, что на компьютере не установлены другие ключи Рутокен, кроме проблемного.
• Запустить утилиту DeleteRSA1.0.3.1.zip. Программа удалит все RSA-ключи. После этого она автоматически закроется.
• Выполнить новую генерацию RSA-ключа.

Проверка Диспетчера устройств на наличие ошибки 28

Чтобы установить наличие ошибки, нужно перейти в «Диспетчер устройств». В разделе «Другие устройства» проверить наличие «Смарт-карта», которая содержит ошибку «Для устройства не установлены драйверы (Код 28)».

Чтобы решить проблему, нужно назначить драйвер смарт-карте:

1. Нажать правой кнопкой мыши на «Смарт-карта».
2. Выбрать «Обновить драйверы».



3. Далее нажать «Выполнить поиск драйверов на этом компьютере (Поиск и установка драйверов вручную)».



4. Нажать на «Выбрать драйвер из списка уже установленных драйверов».



5. Выбрать «Фильтр смарт-карт» и нажать два раза «Далее», потом «Да».







6. Пользователь получит уведомление по завершению операции. Нажать «Закрыть».

После данных действий необходимо произвести попытку генерации RSA-ключа.

Удаление Единого клиента JaCarta

Установленный на ПК «Единый Клиент JaCarta» может внести изменения в настройках криптопровайдера. В связи с этим и появляется некорректная генерация RSA-сертификата для Рутокен ЭЦП 2.0. Для решения проблемы нужно удалить данный компонент. А после генерации RSA-ключа можно установить его заново.

Переназначение криптопровайдера

Переназначение криптопровайдера осуществляется в программе «Панель управления Рутокен». Требуется выполнить следующее:

• Во вкладке «Настройки», в разделе «Настройки криптопровайдера» нажать «Настройка».



• Напротив Рутокен ЭЦП (2.0 / PKI / BT) выбрать любой криптопровайдер, кроме «Microsoft Base Smart Card Crypto Provider». Например, «Aktiv ruToken CSP v1.0» или «CryptoPRO CSP».
• Нажать «Применить».



• После этого поставить обратно «Microsoft Base Smart Card Crypto Provider» и нажать «Применить».

После этого можно попробовать сгенерировать новый RSA-сертификат.

Переустановка минидрайвера

Одним из путей решения может являться переустановка минидрайвера. Для этого необходимо:

1. Открыть «Диспетчер устройств» и выбрать раздел «Смарт-карта».
2. Удалить строку «Aktiv Co. Rutoken Minidriver». Если строки с таким названием нет, она может отображаться как «Неизвестная смарт-карта».



3. Потом перейти во вкладку «Действие» и нажать «Обновить конфигурацию оборудования».

Если предложенные способы решения не помогли, следует обратиться в службу технической поддержки ЕГАИС.

Ruslan777	#1 Оставлено : 10 апреля 2019 г. 19:27:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Добрый день! Установил в Ubuntu 18 версию CryptoPro CSP4 R3, чтобы работать с вашим криптопровайдером через PKCS#11 интерфейс. В скрипте ./install_gui.sh во время установки был выбран модуль поддержки PKCS#11. После установки DEB-пакетов увидел, что в каталоге /opt/cprocsp/lib/amd64/ появились файлы: libcppkcs11.so libcppkcs11.so.4 libcppkcs11.so.4.0.4 После этого установил opensc и попробовал получить информацию о поддерживаемых CSP механизмах. Команда: Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so -M выдала обнадеживающий результат: Код: Using slot 0 with a present token (0x0) Supported mechanisms: ... GOSTR3411, digest ... GOSTR3410, keySize={32,32}, sign, verify ... GOSTR3410-WITH-GOSTR3411, keySize={64,64}, sign, verify ... GOSTR3410-KEY-PAIR-GEN, keySize={64,64}, generate_key_pair ... После этого попытался сгенерировать ключевую пару: Код: pkcs11-tool --keypairgen --module /opt/cprocsp/lib/amd64/libcppkcs11.so --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=123456 --set-id=123456 --label=123456 , но получаю ошибку: Код: Using slot 0 with a present token (0x0) error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_TEMPLATE_INCONSISTENT (0xd1) Aborting. Решил проверить, работает ли хеширование. Для этого создал файл «abc» с текстом «abc» и вызвал команду: Код: pkcs11-tool --hash --module /opt/cprocsp/lib/amd64/libcppkcs11.so --mechanism GOSTR3411 --input-file abc --output-file abc.hash Хеш успешно вычислился и сохранился в файл abc.hash. Решил проверить, нет ли у меня в вызове команд ошибки, сделав генерацию ключевой пары и создание подписи через токен JaCarta ГОСТ: Код: pkcs11-tool --init-token --init-pin --module /usr/lib64/libjcPKCS11.so.1.5.3 --so-pin=1234567890 --label='JaCarta' --new-pin=11111111 --pin=11111111 Using slot 0 with a present token (0x0) Token successfully initialized User PIN successfully initialized pkcs11-tool --keypairgen --module /usr/lib64/libjcPKCS11.so.1.5.3 --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=123456 --set-id=123456 --label=123456 Using slot 0 with a present token (0x0) Key pair generated: Private Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 label: 123456 ID: 123456 warning: PKCS11 function C_GetAttributeValue(DECRYPT) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) warning: PKCS11 function C_GetAttributeValue(DERIVE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Usage: sign warning: PKCS11 function C_GetAttributeValue(ALWAYS_AUTHENTICATE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: b3dff43e5bbacd4c34847463a57709d219074fdd451779f755a8344c37495354 451bb87d27618ea733a41aad4eb2506acc2833d13d440582bf13dfb0b8e53fa7 label: 123456 ID: 123456 warning: PKCS11 function C_GetAttributeValue(ENCRYPT) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) warning: PKCS11 function C_GetAttributeValue(WRAP) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) warning: PKCS11 function C_GetAttributeValue(DERIVE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Usage: verify error: You should specify the object type with the -y option Aborting. pkcs11-tool --sign --module /usr/lib64/libjcPKCS11.so.1.5.3 --pin=11111111 --id=123456 --label 123456 --input-file abc --output-file abc.sgn --mechanism GOSTR3410-WITH-GOSTR3411 Using slot 0 with a present token (0x0) Using signature algorithm GOSTR3410-WITH-GOSTR3411 warning: PKCS11 function C_GetAttributeValue(ALWAYS_AUTHENTICATE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Ключевая пара в токене успешно сгенерировалась и 64-байта записались в файл abc.sgn. В чем может быть проблема с генерацией ключевой пары через PKCS#11 API CryptoPro CSP 4? Нужно что-то дополнительно настроить в /opt/cprocsp/? Обновить DEB-пакеты?

Дмитрий Пичулин	#2 Оставлено : 10 апреля 2019 г. 23:29:14(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,363 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 31 раз Поблагодарили: 318 раз в 259 постах	Автор: Ruslan777 В чем может быть проблема с генерацией ключевой пары через PKCS#11 API CryptoPro CSP 4? Нужно что-то дополнительно настроить в /opt/cprocsp/? Обновить DEB-пакеты? Проблем может быть много, мы мало тестировали pkcs11-tool, особенно в части генерации ключей. Попробуйте сгенерировать ключ штатными средствами CSP, а подписывать через pkcs11-tool, ведь цель подпись? Или в чём глобальная задача? Интерфейс pkcs11 очень капризный. Мы конечно можем его подстроить под конкретное приложение, но хотелось бы понимать задачи, которые можно решить с помощью pkcs11-tool, но нельзя решить штатными средствами КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#3 Оставлено : 11 апреля 2019 г. 12:43:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Дмитрий, да, цель — подпись. У нас есть универсальный плагин для браузеров (Windows, Mac OS X, Linux), который поддерживает работу с токенами через PKCS#11 интерфейс. Плагин замечательно работает с Рутокен и JaCarta, но не работает через ваш PKCS#11 модуль «/opt/cprocsp/lib/amd64/libcppkcs11.so». Если использовать «libcppkcs11.so», то операции C_Sign или C_SignFinal всегда выполняются с результатом CKR_FUNCTION_FAILED. При этом я опробовал два подхода: 1) Механизм комбинированного хеширования и подписи CKM_GOSTR3410_WITH_GOSTR3411(0x1202) с вызовами C_SignInit, C_SignUpdate и C_SignFinal 2) Механизмы раздельного хеширования и подписи CKM_GOSTR3411(0x1210) + CKM_GOSTR3410(0x1201) с вызовами C_SignInit, C_Sign. Результат всегда одинаковый — и для C_SignFinal и для C_Sign вызов возвращает ошибку CKR_FUNCTION_FAILED. При этом другие функции (чтение списка поддерживаемых механизмов, хеширование) работают через «/opt/cprocsp/lib/amd64/libcppkcs11.so». Я сначала предположил, что проблема может быть в неправильной работе моего кода с PKCS#11 в Linux, поэтому решил обкатать сценарий выпуска PKCS#10-запроса, установки сертификата и создания ЭЦП через универсальный инструмент — pkcs11-tool. Но сейчас все мои предположения сводятся к тому, что у КриптоПро модуль PKCS#11 для Linux получился слишком сырым. Отредактировано пользователем 11 апреля 2019 г. 12:45:33(UTC)  | Причина: Не указана

Дмитрий Пичулин	#4 Оставлено : 11 апреля 2019 г. 15:12:06(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,363 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 31 раз Поблагодарили: 318 раз в 259 постах	Проверили pkcs11-tool на совместимость с нами, вариант с CKM_GOSTR3410_WITH_GOSTR3411 нормально работает. 1. Перечисляем объекты: Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --list-objects Цитата: … Private Key Object; GOSTR3410 PARAMS OID: 06072a850302022400 label: cln512e ID: 33383439344646324543383442363841 Usage: decrypt, sign, unwrap, derive … 2. Находим нужный ключ и сохраняем его ID 3. Подписываем: Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --sign --id=33383439344646324543383442363841 --input-file abc --output-file abc.sgn --mechanism GOSTR3410-WITH-GOSTR3411
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#5 Оставлено : 11 апреля 2019 г. 19:44:39(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Дмитрий, у меня почему-то не получается увидеть в списке объектов ключ после того, как был вызван метод C_GenerateKeyPair. Для генерации ключей используются шаблоны со следующими атрибутами: [Закрытый ключ] CKA_ID CKA_LABEL CKA_PRIVATE CKA_GOST_3410_PARAM CKA_GOST_3411_PARAM CKA_KEY_TYPE CKA_SIGN [Открытый ключ] CKA_ID CKA_LABEL CKA_GOST_3410_PARAM CKA_GOST_3411_PARAM CKA_KEY_TYPE CKA_VERIFY Вызов метода C_GenerateKeyPair проходит с результатом CKR_OK, но при вызове Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --list-objects я не вижу новых объектов — только следующие 9 объектов: Код: Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: 8fa5bf791023c8d691ad6431575bbe9bc58a83f43f29f72a79a9fb65c3e8a80f 5a75c42254915fc83f218ada703af9d58b0d736284dc2ee6907ea1037337a1fb label: 1CCB95BA3256A79BC401AF40D2CD41BE06A898B2 ID: 31434342393542413332353641373942433430314146343044324344343142453036413839384232 Usage: encrypt, verify, wrap, derive Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: 75392a45a7b9a2957df710fd229207ba1db65a718a7d7d58fcb146b9456157ac 1dbb48a5f94afb4819ea6a29ebfaf514987871ca47e8d3f585f636e48af7038d label: 617A71FDD5C9773D23AF010B85F339CA10182AFE ID: 36313741373146444435433937373344323341463031304238354633333943413130313832414645 Usage: encrypt, verify, wrap, derive Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: e7c9497fae11e325eb495d4b1dc6c0484da56495752ac0759b46964a32ffd365 e9987dd4f0099f21a3af0ace4ccc71cdd580e2e172bb6167ed1c127ce8e1d54f label: 6FEFB1FDD47784A78644E7A8E985A1DD360B0477 ID: 36464546423146444434373738344137383634344537413845393835413144443336304230343737 Usage: encrypt, verify, wrap, derive Certificate Object; type = X.509 cert label: 1CCB95BA3256A79BC401AF40D2CD41BE06A898B2 ID: 31434342393542413332353641373942433430314146343044324344343142453036413839384232 Certificate Object; type = X.509 cert label: 617A71FDD5C9773D23AF010B85F339CA10182AFE ID: 36313741373146444435433937373344323341463031304238354633333943413130313832414645 Certificate Object; type = X.509 cert label: 6FEFB1FDD47784A78644E7A8E985A1DD360B0477 ID: 36464546423146444434373738344137383634344537413845393835413144443336304230343737 Object 3221225475, type 3461563219 Object 3221225478, type 3461563219 Object 3221225481, type 3461563219 При этом, если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair возвращает ошибку CKR_TEMPLATE_INCONSISTENT, хотя для C_GenerateKeyPair у обычных токенов (Рутокен, JaCarta) этот атрибут никогда не вызывает ошибок. Может быть у вас есть готовый пример, как можно создать ключевую пару через PKCS#11 для CryptoPro CSP 4? Отредактировано пользователем 11 апреля 2019 г. 19:45:56(UTC)  | Причина: Не указана

Дмитрий Пичулин	#6 Оставлено : 11 апреля 2019 г. 20:36:54(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,363 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 31 раз Поблагодарили: 318 раз в 259 постах	Автор: Ruslan777 Вызов метода C_GenerateKeyPair проходит с результатом CKR_OK, но при вызове Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --list-objects я не вижу новых объектов … При этом, если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair возвращает ошибку CKR_TEMPLATE_INCONSISTENT, хотя для C_GenerateKeyPair у обычных токенов (Рутокен, JaCarta) этот атрибут никогда не вызывает ошибок. Может быть у вас есть готовый пример, как можно создать ключевую пару через PKCS#11 для CryptoPro CSP 4? Всё верно по —list-objects, временные объекты могут быть перечислены только в рамках работы сессии, в которой они созданы. Между вызовами приложения временные объекты, очевидно, не выживают. Всё верно по CKA_TOKEN, по умолчанию слот настроен в режиме только на чтение, постоянные объекты в нём не создать. Как выяснили выше, если цель — подпись, то сделать её можно и на слоте по умолчанию, ключ можно создать средствами КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#7 Оставлено : 12 апреля 2019 г. 11:42:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Цитата: Всё верно по CKA_TOKEN, по умолчанию слот настроен в режиме только на чтение, постоянные объекты в нём не создать. Может быть в этом и кроется корень всех проблем. Дмитрий, я нашел файл: /etc/opt/cprocsp/config64.ini и заполнил блок [PKCS11slot0]: Код: [PKCS11slot0] ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP" # ProvRSA = "Microsoft Strong Cryptographic Provider" # Firefox = "" reader = hdimage Сейчас у меня команда Код: pkcs11-tool --keypairgen --module /opt/cprocsp/lib/amd64/libcppkcs11.so --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=33383439344646324543383442363841 --set-id=33383439344646324543383442363841 --label=cln512e --usage-sign --usage-derive --usage-decrypt выдает такую ошибку: Код: Using slot 0 with a present token (0x0) error: PKCS11 function C_OpenSession failed: rv = CKR_TOKEN_WRITE_PROTECTED (0xe2) Aborting. Отредактировано пользователем 12 апреля 2019 г. 12:14:50(UTC)  | Причина: Не указана

Дмитрий Пичулин	#8 Оставлено : 12 апреля 2019 г. 12:22:19(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,363 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 31 раз Поблагодарили: 318 раз в 259 постах	Автор: Ruslan777 выдает такую ошибку: Код: Using slot 0 with a present token (0x0) error: PKCS11 function C_OpenSession failed: rv = CKR_TOKEN_WRITE_PROTECTED (0xe2) Aborting. Попробуйте так: Код: [PKCS11slot0] ProvGOST = "" reader = "HDIMAGE"
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#9 Оставлено : 12 апреля 2019 г. 13:24:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Не помогло. Вернулась прежняя ошибка — CKR_TEMPLATE_INCONSISTENT Код: pkcs11-tool --keypairgen --module /opt/cprocsp/lib/amd64/libcppkcs11.so --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=33383439344646324543383442363841 --set-id=33383439344646324543383442363841 --label=cln512e --usage-sign --usage-derive --usage-decrypt Using slot 0 with a present token (0x0) error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_TEMPLATE_INCONSISTENT (0xd1) Aborting. При программной генерации через PKCS#11 ключевая пара создается, но как и раньше не выводится командой pkcs11-tool —list-objects. Отредактировано пользователем 12 апреля 2019 г. 13:28:44(UTC)  | Причина: Не указана

Ruslan777	#10 Оставлено : 12 апреля 2019 г. 15:31:10(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair также возвращает ошибку CKR_TEMPLATE_INCONSISTENT.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.