Можно ли при работе с сертификатом с закрытым ключом(etoken) обойтись без установки криптопровайдера(CryptoPro CSP) на сервер?

Question

[critica1err0r]

Вопрос заключается в следующем, можно ли при работе с сертификатом с закрытым ключом(etoken) обойтись без установки криптопровайдера(CryptoPro CSP) на сервер?

Для выполнения этой задачи был сделан экспорт сертификата с закрытым ключом через CryptoPRO CSP, в результате получился контейнер формата .pfx. Далее сертификат из созданного контейнера был установлен в хранилище.

Но при обращении к этому сертификату

X509Store store = new X509Store( "MY",StoreLocation.CurrentUser);
store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
X509Certificate2Collection found = store.Certificates
    .Find(X509FindType.FindBySerialNumber, "XXX", false);
X509Certificate2 certificate = found[0];

свойство certificate.PrivateKey == null.

Answer 1

[Ai Lab]

Вероятно проблема с сертификатом, т.к. вот пример из msdn:
// Find the certificate we’ll use to sign
RSACryptoServiceProvider csp = null;
foreach (X509Certificate2 cert in my.Certificates)
{
if (cert.Subject.Contains(certSubject))
{
// We found it.
// Get its associated CSP and private key
csp = (RSACryptoServiceProvider)cert.PrivateKey;
}
}
if (csp == null)
{
throw new Exception(“No valid cert was found”);
}
И null в PrivateKey говорит только об отсутствии этого ключа, не больше ни меньше
Уже писал подобное, алгоритм ГОСТ есть у .net из коробки и внешние библиотеки использовать не обязательно, криптопро использовать тоже не обязательно, .net пользуется api windows для поиска ключей и прочей работы, то есть если нет криптопро появятся стандартные виндозные запросы. Могу поискать исходники если нужно, думаю они еще живые.

Comments

[critica1err0r]

Проблема заключается в том, что перед тем как обратиться к сертификату средствами .Net - его нужно установить в хранилище. И при экспорте сертификата через криптоПРО и последующей установки полученного в хранилище - возникает эта ошибка с PrivateKey. Если вы знаете как обратиться к сертификату, который находится на вставленном в компьютер tokene, и поделитесь этой информацией - буду очень вам признателен.

[Denis Bubnov]

если есть исходники, то они бы очень помогли

[Ai Lab]

critica1err0r: по идее все должно быть по этой инструкции, но сам никогда это не делал www.kontur-extern.ru/support/faq/34/61 себе же создавал сертификаты сам, поэтому проблем с закрытым ключем не было

[Ai Lab]

Denis Bubnov: для начала можно попробовать примитивный вариант neurowareblog.blogspot.ru/2015/06/c-byte.html, если будет работать скину исходники в котором все шаги более подробно прописаны

Answer 2

[Ref]

Нет. Отсутсвие криптопровайдера == отсутсвие алгоритма шифрования.

Comments

[critica1err0r]

Если я правильно понимаю, то при подписании документа происходит шифрование на закрытом ключе сертификата с помощью определенного алгоритма шифрования. Таким образом отсутствие алгоритма никак не должно влиять на наличие закрытого ключа. Или я ошибаюсь? Сейчас задача сводится к тому, чтобы хоть как-нибудь подписать файл не используя криптопровайдер CryptoPRO. Т.е. использовать например RSA или любой другой открыто досутпный ГОСТовский алгоритм шифрования.

[Ref]

Если в системе отсутствует библиотека Гостового шифрования, как Вы её собираетесь реализовать? РСА это как раз и есть алгоритм шифрования. КриптоПро это библиотека, для реализации шифрования по алгоритму ГОСТХХХХХХХ.

[critica1err0r]

Хорошо, допустим, я хочу использовать RSA в качестве криптопровайдера, но для этого мне нужен закрытый ключ в сертификате.
P.S. КриптоПРО CSP - это ПО, которое выполняет функции криптопровайдера. Но для того чтобы работать в программное среде, в данном случае .Net, мне нужно использовать КриптоПро .Net, которая и является по сути dll библиотекой.

[Ref]

так точно

[Ref]

сдк на криптопро.ру

[Denis Bubnov]

Ref: мне кажется, что вопрос был в другом. Чтобы не тратить деньги на приобретение платного ПО, а воспользоваться бесплатными возможностями... Ведь и КриптоПРО CSP и КриптоПро .Net - платные.

[Maycal]

окей, а если токен содержит криптоядро и на аппаратном уровне поддерживает алгоритмы ГОСТ и RSA? В видео: https://www.youtube.com/watch?v=NFBfppsAEbI утверждается, что в этом случае криптопровайдер не нужен, так как все операции производит сам токен.

Answer 3

[Александр Евсеев]

Насколько я помню своё общение с CryptoPro, то без его установки не выйдет. Если вы попробуете посмотреть установленный сертификат через certmgr, то увидите, что он не валидный. Это происходит из-за того, что сертификаты CryptoPro подписываются ГОСТ-овскими алгоритмами, которых нет по умолчанию в Windows. В этом и суть крипто-провайдера. Он предоставляет новый алгоритм шифрования в систему (стандартными средствами). Так что только после его установки сама Windows сможет определить алгоритм используемый для подписи и показать сертификат как валидный. Соответственно и ваш код должен бы заработать после.