Насколько я понимаю, программа автора и есть полный аналог и реимплементация xca.

Импорт ключа есть везде.

Вы заблуждаетесь. Попробуйте импортировать ключ (приватный) на Рутокен ЭЦП 2.0 и увидите, что это не возможно. Рутокен эцп, который поддерживает только ГОСТ Р 34.10-2001 позволяет. На программные и облачные токены можно импортировать.

Вот для этого достаточно OpenSSL.

И не только. Еще есть libgrypt с полной поддержкой ГОСТ-ов:

https://habr.com/ru/post/415611/

Наверное, под ст. 282 можно подтянуть

Это нельзя по определению.

Если нельзя, но очень хочется, то, иногда, бывает можно.

Создавать ключ

Это не годится. Увы, ключ приходится покупать.

Есть проект XCA, например, который спокойно позволяет экспортировать закрытые ключи с токенов/смарткарт PKCS#11

А вот это интересно, спасибо. Буду посмотреть.

Создавать ключ

Это не годится. Увы, ключ приходится покупать.

Хотя... Надо пообщаться, может я просто не знаю, что можно свой запрос отдать, а не бежать с токеном.

Увы, ключ приходится покупать.

Это далеко не так. Приходите в УЦ за сертификатом с готовым запросом на сертификат в формате PKCS10. Ключ вы сгенерируете сами (дома) и сделаете запрос на том же XCA или вот еще утилита . Сведения о вашем публичном ключе будут в запросе. В УЦ обязаны принять ваш электронный запрос, а разговоры о том, что мы сами сгенерируем ключ, создадим запрос - это разговоры для ФАС и прокуруторы. Идет навязывание услуг и впаривание вам ненужных ключиков. У вас openssl. Боритесь за свои права.

у меня рутокен ecp, который поддерживает rsa. Прекрасно он имортирует ключи и сертификаты.

Тогда нельзя.

Копируется только контейнер криптопро целиком. И то, если разрешат.

у меня рутокен ecp, который поддерживает rsa. Прекрасно он имортирует ключи и сертификаты.

Первое, у вас просто rutoken ecp, а есть еще rutoken ecp-2.0. Во-вторых, речь шла не про RSA, а про ГОСТ!. В-третьих, сертификаты как публичные объекты импортируются и экспортируются всегда.

Они выдаются в удостоверяющих центрах на отторгаемых носителях.

И, конечно, за лаве. И, конечно, не дольше чем на год. Потом опять плати.

Логично, процедура покупки именно такова. Мы заказывали ключи для торговых площадок и казначейства - везде по запросу их делают.

Только банки впаривают свои токены и ключи.

Первое, у вас просто rutoken ecp, а есть еще rutoken ecp-2.0.

Это да, давно уже не покупали токены, как взяли пару десятков так и пользуемся.

Про rsa написал, потому что прочитал

«Рутокен эцп, который поддерживает только ГОСТ Р 34.10-2001 позволяет.» и не обратил внимание на версию госта.

Однако на мой взгляд учитывая, что 99% работают с контейнерами криптопро, достаточно иметь возможность импортировать ключ в контейнер криптопро на токене. Необязательно это делать напрямую.

А ты работаешь бесплатно? Или тебе каждый месяц плати?

Зачем все сваливать в одну кучу?

Ты просто не активный.

Для работы с ЭЦП все равно нужно что-то типа КриптоПРО

Нет. Вот для этого достаточно OpenSSL

И как мне работать через OpenSSL на Сбербанк-АСТ?

Криптопро создает свой контейнер и в нем создает сертификаты и ключи.

Так не используйте этот не стандартный провайдер. Про этот CSP ТК-26 ничего не говорит и не упоминает в своих документах. Используйте стандарт PKCS#11 или стандарт де факто OpenSSL. Хотя почему де-факто? Если он поддерживает PKCS8 и PKCS12 и PKCS7 от ТК-26, то он для ГОСТ- стандарт.

И как мне работать через OpenSSL на Сбербанк-АСТ?

Пусть откроют протокол общения с Сбербанк-АСТ (а это нормальное требование ФАС) а остальное дело техники. Обращайтеся

И как мне работать через OpenSSL на Сбербанк-АСТ?

Это тебе КриптоПРО надо для работы со Сбербанк-АСТ, а не вообще с ЭЦП. Мне Сбербанк-АСТ никуда не стучал, мне достаточно OpenSSL.

ГОСТ

кому вообще нужна бекдореная гост-криптография?

Нормальный, человеческий look'n'feel

qt

а ты шутник.

Ну не шлангуй, ты же прекрасно понимаешь что речь тут о российской гостовской ЭЦП, а не о ЭЦП вообще.

Так дело не в провайдере. С токенов в общем случае в принципе нельзя вытащить ключ. В этом смысл токена, что ключ его не покидает.

И что толку мне с openssl если банк требует провайдера криптопро? И ключ присылает в виде токена с его контейнером?

Криптопро наоборот, дает хоть какую то свободу. Так, создав ключ на токене, черта сдва ты потом скопируешь его на другой токен. А криптопрошный контейнер скопировать как два пальца, причем на любой токен, например, с джакарты на рутокен.

ты же прекрасно понимаешь что речь тут о российской гостовской ЭЦП, а не о ЭЦП вообще.

Я вполне себе про российскую ЭЦП. Иначе зачем мне куда-то бегать с токеном? AVL2, да, оказалось, что согласны на запрос. Что я раньше не подумал... Хотя бегал-то не я.

Возможно я ошибаюсь, но мне в ваших словах слышится утверждение о злокозненности государства. А мне кажется, что проблема в узости взгляда и недостатке времени и средств. Обратите внимание: сайт не только «капризничает» по поводу ОС и браузера, но и предоставляет руководящие материалы и обещает тех.поддержку. Очевидно, что если добавить зоопарк дистрибутивов и зоопарк доступных браузеров, то поддержка просто повесится.

Достаточно предложить поддержку одной из ОС из реестра отечественного ПО.

Я продолжаю настаивать, что авторам сайта просто пофиг. «Вы выбрали linux - вот сами с ним и трахайтесь».

Он даже не пускает потыкать. Говорит «ваша ОС не подходит», и не даёт возможности проверить. Этот шаг, возможно, можно обойти подменой юзер-агента, но факт того, что поддержка linux отсутствует умышленно, налицо.

Он даже не пускает потыкать. Говорит «ваша ОС не подходит»

А о чём речь вообще? Какая-то часть nalog.ru не работает, или вообще всё? Потому как если последнее, то это не так, личный кабинет физлица там работает. Вот прямо сейчас зашёл, FF 63.0.3, никаких коррекция юзерагента.

Личный кабинет для юр.лица не работает.

Говорит «ваша ОС не подходит», и не даёт возможности проверить.

Я хожу на Госуслуги и ФНС только с Linux, которого нет в из реестре отечественного ПО (у меня Mageia и нет никакого КриптПро CSP), плачу налоги и т.п. Если у кого-то не получается почитайте пару статей:

1. Есть ли альтернатива MS Windows, IE и CSP при доступе в личные кабинеты порталов Госзакупок, ФНС России и Госуслуг

https://habr.com/ru/post/334162/

2. Импортозамещение при доступе в личный кабинет на портале Госуслуг

Я хожу на Госуслуги и ФНС только с Linux,

На госуслугах когда-то поддерживался linux при использовании ЭЦП. На nalog.ru же никогда не поддерживался. Если ты заходишь, значит используешь только логин и пароль, что доступно только для физлиц.

только логин и пароль, что доступно только для физлиц.

Нет вы не правы. Попробуйте сами. А логин и пароль я принципиально не использую. И токен использую, как правило, облачный:

Положил личный сертификат в облачный токен, подключил его к плагину госуслуг и оплатил налоговую задолжность через портал

Доступ в личный кабинет налогоплательщика ФНС с помощью браузера Mozilla Firefox с поддержкой российской криптографии

Криптопро создает свой контейнер и в нем создает сертификаты и ключи.

Интересная дискуссия сейчас идет по этому же поводу вокруг статьи: Работа с СКЗИ и аппаратными ключевыми носителями в Linux

в духе наших комментариев.

ссылки на швабр это дурной тон, коллега.

Что ж оно страшное всё такое?

Потому что афтар забыл раскрасить и фоточку вставить:
https://sohabr.net/habr/post/352790/
:)

Тю, у меня где-то такая прога на Qt валялась... писал для администрирования токенов - инициализация, генерация ключей, чтение/запись сертификатов, смена пин-кодов...

А вообще, из консольки все это может openssl.

А логин и пароль я принципиально не использую.

Интересные у вас принципы...

Затем, что создание ключа стоит примерно ничего.

Требовать за это платить тысячи - явный грабёж.

а как он её «требует»? вообще, сайту какая баня, какая у клиента система?

Так там используется плагин от вроде КриптоПро для работы с ЭЦП. Перед попыткой воспользоваться им проверяет по юзер-агенту и говорит «У вас неподдерживаемая система».

вписать нужный юзерагент, не?

А я не знаю, что дальше будет. У меня нет соответствующего ключа ЭЦП. Не факт, что это под linux работает.

Не факт, что это под linux работает.

Факт в том, что под Linux РАБОТАЕТ!

Почему тогда сайт не пускает с линуксового user-агента?

сайт не пускает с линуксового user-агента?

Какой сайт с какого агента? Пришлите как вы обращаетесь.

Так и выписывай ключи всем бесплатно! Зачем ты за них решаешь, насколько это трудоемко? Просто накажи, лиши их рынка нетрудовых доходов.

Это называется «троллинг», да?

Не надо называть троллингом любую критику, на которую ты не знаешь, что ответить.

Решать за других, сколько стоят их услуги, их работа, это идиотизм. Так быть в принципе не должно. Это стыдно, непроходимо тупиково и поэтому подобное должно караться перевоспитанием в гулаге.

Ну то есть, сидеть монополистом за взятки чинушам - нормально, караться не должно?

И кто там монополист? Ты вообще в курсе, сколько у нас УЦ?

https://iecp.ru/ep/uc-list

И кто там монополист? Ты вообще в курсе, сколько у нас УЦ?

И как это влияет на монополию в области СКЗИ да еще не раскрытым интерфейсом к контейнеру?

Так что вопрос

Ну то есть, сидеть монополистом за взятки чинушам - нормально, караться не должно?

остается открытым