Роса Кобальт 7.9 и авторизация в ЕСИА с помощью ЭП

hizhnyack · Сообщение **hizhnyack** » 27 июн 2022, 16:17

Товарищи, прошу помощи.

Линукс РосаКобальт 7.9, ядро 5.15.10, КриптоПро 5.0.12000 - не взлетает IFCplugin 3.1.1 госуслуг (который актуальный, качается с сайта). Не работает напрочь, даже лог не создаёт в /var/log/ifc/engine_logs.

Если раздобыть старую версию IFCplugin 3.0.6 (например https://disk.yandex.ru/d/abs1xq81_RExjA), он начинает писать лог, определяет подписи, но после ввода пароля ЭП - процесс останавливается. В логе последнее сообщение:

WEBLIB:process_request:Response string(length = 16) = "{"error_code":1}"

При этом CADESplugin КриптоПро работает исправно, подписи работают всюду, где дело не касается ЕСИА.

Проблема наблюдается ТОЛЬКО в РосаКобальт - RosaFresh, Ubuntu, Mint, РедОС, АльтЛинукс, Астра - перепробовал много где, и всюду IFCplugin 3.1.1 отрабатывает корректно, подписи видит, в ЕСИА ходит, логи пишет.

Месяц общения с техподдержкой (helpdesk@rosalinux.ru, заявка №20220425001533) ни к чему не привёл, "всё работает".
Может хоть сообщество что толковое скажет - ну неужели и правда у всех в РосеКобальт работают ЭП в ЕСИА , и только у меня нет?

va9(2) · Сообщение **va9(2)** » 27 июн 2022, 17:20

hizhnyack писал(а): 27 июн 2022, 16:17 неужели и правда у всех в РосеКобальт работают ЭП в ЕСИА , и только у меня нет?

Такое действительно иногда бывает.

Пробовали "пинать" разрабов IFCplugin?

hizhnyack · Сообщение **hizhnyack** » 27 июн 2022, 18:00

va9(2) писал(а): 27 июн 2022, 17:20
hizhnyack писал(а): 27 июн 2022, 16:17 неужели и правда у всех в РосеКобальт работают ЭП в ЕСИА , и только у меня нет?
Такое действительно иногда бывает.

Пробовали "пинать" разрабов IFCplugin?

Пробовал, сначала сослались на рабразбов КриптоПро, потом "приняли к сведению" и тишина.

nickm · Сообщение **nickm** » 27 июн 2022, 19:27

hizhnyack писал(а): 27 июн 2022, 16:17 Может хоть сообщество что толковое скажет

Сам плагин устанавливали в соответствии с инструкцией от "КриптоПро"?
В частности конфигурационный файл ifc.cfg подменяете?

И почему у Вас такая "древняя" версия плагина?
Сейчас "3.1.1" на портале раздаётся.
Аа, у Вас несовместимость библиотек.

Ну, тут уж ничего не сделать, использовать древние версии софта, это как выстрел в ногу - может заработает, а может и не заработает.
Для того новые версии и выпускаются - одна из причин исправление ошибок.

Как вариант поискать в сети версии выше 3.0.6 и ниже 3.1.1, может что и выгорит.

nickm · Сообщение **nickm** » 29 июн 2022, 06:23

hizhnyack писал(а): 27 июн 2022, 16:17 Если раздобыть старую версию IFCplugin 3.0.6

hizhnyack писал(а): 27 июн 2022, 16:17 WEBLIB:process_request:Response string(length = 16) = "{"error_code":1}"

Знаете, Я вот припоминаю, вроде как эта версия ещё не умела работать с контейнерами без ПИН'а?
Т.е. на форме плагина не было заветной кнопки-ссылки "Продолжить без пин-кода".

Хотя Вы пишите, что ПИН вводите:

hizhnyack писал(а): 27 июн 2022, 16:17 но после ввода пароля ЭП - процесс останавливается.

hizhnyack писал(а): 27 июн 2022, 16:17 КриптоПро 5.0.12000

А для Вас эта версия критична, хотите полноценный функционал pkcs11?

В любом случае у Меня получилось так:

Код: Выделить всё

$ cat /etc/os-release 
NAME="ROSA Enterprise Linux Desktop"
VERSION="7.9 (Cobalt)"
ID="reld"
ID_LIKE="rhel fedora"
VERSION_ID="7.9"
PRETTY_NAME="ROSA Enterprise Linux Desktop 7.9 (Cobalt)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:rosa:enterprise_linux:7.9:GA:desktop"
HOME_URL="http://www.rosalab.ru/"
BUG_REPORT_URL="https://bugzilla.rosalinux.ru/"

ROSA_BUGZILLA_PRODUCT="ROSA Enterprise Linux 7"
ROSA_BUGZILLA_PRODUCT_VERSION=7.9
ROSA_SUPPORT_PRODUCT="ROSA Enterprise Linux"
ROSA_SUPPORT_PRODUCT_VERSION="7.9"

Код: Выделить всё

$ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (AESNI; ).
CryptAcquireContext succeeded.HCRYPTPROV: 20370275
GetProvParam(...PP_ENUMREADERS...) until it returns false
Flags: 0x20
  Len    Byte  NickName/Name/Media
___________________________________
 0x012a  0x48  CLOUD
               Облачный токен
               NO_UNIQUE
 0x012a  0x01  FLASH
               FLASH
               NO_MEDIA
 0x012a  0x00  HDIMAGE
               HDD key storage
               NO_UNIQUE
Cycle exit when getting data. 3 items found. Level completed without problems.
Total: SYS: 0,030 sec USR: 0,150 sec UTC: 0,230 sec
[ErrorCode: 0x00000000]

Код: Выделить всё

$ rpm -q ifcplugin
ifcplugin-3.0.6-1.x86_64

nickm · Сообщение **nickm** » 29 июн 2022, 12:59

hizhnyack писал(а): 27 июн 2022, 16:17 Может хоть сообщество что толковое скажет - ну неужели и правда у всех в РосеКобальт работают ЭП в ЕСИА , и только у меня нет?

Хмм, вроде работает:

Код: Выделить всё

$ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. DISABLED:MGM_Auth;GHASH;AESNI;RSA;
CryptAcquireContext succeeded.HCRYPTPROV: 17979027
GetProvParam(...PP_ENUMREADERS...) until it returns false
Flags: 0x20
  Len    Byte  NickName/Name/Media
___________________________________
 0x012a  0x00  HDIMAGE
               HDD key storage
               NO_UNIQUE
 0x012a  0x02  CLOUD
               Облачный токен
               NO_MEDIA
Cycle exit when getting data. 2 items found. Level completed without problems.
Total: SYS: 0,010 sec USR: 0,120 sec UTC: 0,160 sec
[ErrorCode: 0x00000000]

hizhnyack, может у Вас какой носитель особенный или контейнер ключа?
В Моих тестах ключ находится в хранилище "HDIMAGE".

hizhnyack · Сообщение **hizhnyack** » 30 июн 2022, 08:57

nickm писал(а): 29 июн 2022, 06:23
В любом случае у Меня получилось так:

Код: Выделить всё

$ /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (AESNI; ).
CryptAcquireContext succeeded.HCRYPTPROV: 20370275
GetProvParam(...PP_ENUMREADERS...) until it returns false
Flags: 0x20
  Len    Byte  NickName/Name/Media
___________________________________
 0x012a  0x48  CLOUD
               Облачный токен
               NO_UNIQUE
 0x012a  0x01  FLASH
               FLASH
               NO_MEDIA
 0x012a  0x00  HDIMAGE
               HDD key storage
               NO_UNIQUE
Cycle exit when getting data. 3 items found. Level completed without problems.
Total: SYS: 0,030 sec USR: 0,150 sec UTC: 0,230 sec
[ErrorCode: 0x00000000]

Код: Выделить всё

$ rpm -q ifcplugin
ifcplugin-3.0.6-1.x86_64

ДА!

Сменил КриптоПро на 5.0.11455, и всё завертелось!
В итоге связка должна быть именно такой, как Вы показали - CSP 5.0.11455 и IFCplugin 3.0.6.
Работает.
Огромная благодарность за совет

nickm · Сообщение **nickm** » 30 июн 2022, 09:28

hizhnyack писал(а): 30 июн 2022, 08:57 В итоге связка должна быть именно такой, как Вы показали - CSP 5.0.11455 и IFCplugin 3.0.6.

А теперь попробуйте переустановить СКЗИ на:

nickm писал(а): 29 июн 2022, 12:595.0.12000

hizhnyack · Сообщение **hizhnyack** » 30 июн 2022, 09:42

nickm писал(а): 30 июн 2022, 09:28 А теперь попробуйте переустановить СКЗИ на:
nickm писал(а): 29 июн 2022, 12:595.0.12000

Офигеть, тоже работает!

А если потом поменять IFCplugin на 3.1.1 то не работает)

nickm · Сообщение **nickm** » 30 июн 2022, 10:00

hizhnyack писал(а): 30 июн 2022, 09:42 А если потом поменять IFCplugin на 3.1.1 то не работает)

Да, версии системных библиотек - libc/ libstd++ для него не подходят.

Можно попробовать, как и предлагал Выше, поискать другие версии:

nickm писал(а): 27 июн 2022, 19:27 поискать в сети версии выше 3.0.6 и ниже 3.1.1

а тем более, раз у Вас уже установлен "коннект" с Ростелекомом, попробуйте у Них попросить эти версии плагина, а вдруг поделятся?

hizhnyack писал(а): 30 июн 2022, 08:57 Огромная благодарность за совет

Ну вот, не зря на форум заглянули