この記事では、開発/テスト環境でCrypto Proの使用を停止し、Bouncy Castleに切り替える方法について説明します。
記事の冒頭で、SMEVとそのクライアントについて詳しく説明します。最後に、今すぐ開始できるように、コピーと貼り付けが完了したキーの変換について詳しく説明します。

注目を集める画像：

そしてすぐに答え：

ディスクラマー

もちろん、Crypto Proはロシアの暗号化の要塞であるため、Crypto Proから逃れることはできません。 彼は管轄当局の要件を満たし、契約および契約に登録されており、全国から信頼されている、などなど。 したがって、以下のすべては、私たちが私たち自身のマスターである開発またはテスト環境に適用されます。

最近、省庁間電子相互作用システムと連携するサービスの作成方法を理解する必要がありました。
書かれたものはすべて、行われた作業から可能な限り抽出された、わずかな調査の結果にすぎません。 そして、本当に下した決定について何かを推測することさえ不可能だと私はチェックしました。

既製のクライアントの必要性の正当化

クライアントのソースコードは技術ポータルSMEV3にありますが、問題は、それらがCryptoProに固定されていることです。 ソースに指示が添付されたWordファイルには、これが最も直接的な方法で記載されています。 とにかく、ソースキーもCryptoPro形式です。 本番環境ではこれは正常ですが、テスト環境にとっては非常に不便です。 私はそれを取り除きたいです。

サイトには、「最新」と「推奨」の2つのバージョンがあります。 なぜそうなのか、そして現在のバージョンが推奨されておらず、推奨バージョンが関連していない理由-ある種のコピーライターのジレンマ:)次に、「関連する」クライアントについて話します。

厳密に言えば、ソースアーカイブにライセンステキストがないため、使用することはできません。したがって、派生ライセンスをどのライセンスで配布するのかが明確ではありません。 ポータルに書かれたサポートの電話番号に電話をかけ、郵便局に手紙を書いて、私のアプリケーションが技術サポートレベルと実行組織の間をどのように移動するかを数週間観察しました。

タスクは完了していませんが、完了して終了しています。驚くべきことです。 まあ、彼らと地獄に...

コードで直接使用することはできませんが、これは素晴らしいテストケースです。 実際のところ、SMEVの方法論的な推奨事項は、0.5リットルなくして理解することはできません。また、既成のライブコードは理解を深めるのに非常に役立ちます。

文書化の主な主張は、事務処理とインターネット上のわずかな説明です。
段落からいくつかの単語で1つの文を作成したコピーライターについてのミームを覚えていますか？ SMEVのドキュメントの場合、これは、たとえば、ここで任意の1つのフレーズに対するリファクタリンのチェーンです。

「2.コンシューマIPはCMEAに省庁間リクエストを送信します。」
「2.コンシューマIPはMEISにリクエストを送信します。」
「2.コンシューマIPがリクエストを送信します。」
「2.消費者がリクエストを送信します。」
「2.消費者の要求;」

要するに、完成した実装を持つことは良いことです。

Crypto Pro JCPが優れている理由

• 彼は働いています
• BoncyCastleのソースから判断すると、CryptoProの仲間が開発に参加し、GOSTに従ってアルゴリズムを追加しました

Crypto Pro JCPが悪である理由

• 多くの開発者と仮想マシンがある場合、ライセンスを購入したくない
• プロプライエタリであるため、以下で説明するすべてのバグを修正することはできません。 より正確には、それは可能です（逆アセンブラはミスなしで撮影します）が、違法であり、すべての保証が失われます-オプションではありません
• OSXのJava 8では、取得できませんでした（JCPのバージョンはありません）。 ほとんどの場合、これはすぐに修正されます。 Facebookの私の投稿に代表者が返信しました
• 一般に、OSXで開始することはできませんでした。 ガイ管理者-ハーフワーカー、エラーをこぼし、グアの断片が機能しません。
• Linuxのインターフェースにもバグがあります
• むかしむかし、Windowsのインストーラーはコンソールにワニを書きました（新しいバージョンをチェックしませんでした-おそらく修正されました）
• Java配布パッチのインストール。 最後の手段では、Javaパッチ方法を使用してソフトウェアをインストールすることは悪であると認識しています。このため、人権裁判所は、ハンギングを伴う6回の銃撃を命じるべきです。
• すべてのJavaにパッチを適用できるわけではありません。真剣に自分を抑えるために必要な魔法の組み合わせを見つけるためです。 現時点では、最新バージョンのJavaで開発し、新しいバージョンのテストを行うことが重要です（記事の執筆時点-JDK9）。したがって、Javaのバージョンに対する制限はそのままです。
• 管理パネルをインストールして実行する方法-ひどいゴミ（これを見なければなりません）

テスト環境の代替として、PKCS12またはJKSコンテナーでBouncy Castleを使用することをお勧めします。 これは、オープンソースの無料および無料ソフトウェアです。
Crypto Proの開発者の功績として、彼らはその開発に参加したようです。

Crypto Proから脱出するために完成したクライアントで仕上げる必要があるもの

コードは拡張機能に対して非常にわかりやすいように記述されているため、KeyStoreWrapperJCPクラスを基礎として、KeyStoreWrapperBouncyCastlePKCS12、KeyStoreWrapperBouncyCastleJKSを同じ方法で記述することができます。

DigitalSignatureFactoryを書き換えて、ファイルシステム上の暗号コンテナーへのパスとそのパスワードを入力として受け入れ始めるようにします（CryptoProの場合、これは単に必要ありません）。 暗号化プロバイダーのタイプをチェックするスイッチがあります。BOUNCY_JKSやBOUNCY_PKCS12などの名前の場合、さらに2つのケースを追加して、適切なKeyWrapperを使用してinitXmlSecを呼び出す必要があります。

initXmlSecでは、追加する必要があります
1）cryptoproだけでなく、一般的にあらゆるプロバイダーを受け入れる機能（これは便利です）
2）Security.addProvider（新しいBouncyCastleProvider（））;
3）XMLDSIG_SIGN_METHODに切り替える：CryptoProの場合、アルゴリズムは「GOST3411withGOST3410EL」と呼ばれ、BouncyCastleアルゴリズムは「GOST3411WITHECGOST3410」と呼ばれます。

まあ、そのようなもの。 このCMEクライアントのライセンスがわかっている場合、Apache License 2の下に特定のコードを添付します。これは単なるアイデアのリストです。

SantuarioでXML署名を初期化する

そうそう、興味深い点が1つあります。 ネットワークには、SMEVに関する多くのヒントがあります。これには、XMLekの手動解析やその他のサンセットが含まれますが、これは私たちの方法ではありません（クライアントの作成者が使用する方法でもありません）

ニーディングでは、ゲストによる自己署名キーの生成が簡単です（SOへのコピーペーストは数秒で検索されます）。 しかし、署名する-いいえ、インターネット学生によると、Bouncycastleはxml-signatureをサポートしていないと言われています。 具体的には、Apache Santuarioを使用する場合、santuario-xmlsecのXMLSignatureは、xmlSignature.sign（privateKey）を呼び出すときにメソッド "xmldsig-more＃gostr34102001-gostr3411"を処理するために何を使用するかを理解しません。

別の冗談は、デバッガーのステップを間違った場所で正しいソースに投げ込むことによってxmlsecを切り離そうとすると、IntelliJ IDEAコミュニティーがバグだということです。 Ideaのすべての合理的なバージョンを試したので、Sportlotoで戦術的な手紙を書いて盲目的に動作する方法を理解する必要があります。 これはアイデアを非難するものではなく、理想的なツールはなく、問題を理解する速度に影響する要因にすぎません。

動作させるには、次のものが必要です。

1）Apache SantuarioのSignatureAlgorithmSpiの実装を実装します。 GetEngineUriで次の行を返します ： " http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411 "（またはそこにあるもの）。 これが重要な魔法です。 このクラスは、賢いことを一切してはいけません。

ライフタイムアプリケーションで1回初期化する（シングルトンSpring Beanなど）：

2）JDKにパッチを適用しないようにプロバイダーをダウンロードします。

Security.addProvider(new BouncyCastleProvider()); 

3）作成したばかりのクラスをランタイムに渡します。

 String algorithmClassName = "fully qualified name   SignatureAlgorithmSpi"; Class.forName(algorithmClassName); SignatureAlgorithm.providerInit(); SignatureAlgorithm.register("http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411", algorithmClassName); 

4）JCEアルゴリズムのマッピングに関するノック：

 String ns = "http://www.xmlsecurity.org/NS/#configuration"; Document document = DocumentBuilderFactory.newInstance().newDocumentBuilder().newDocument(); Element rootElement = document.createElementNS(ns, "JCEAlgorithmMappings"); Element algorithms = document.createElementNS(ns, "Algorithms"); 

5）メソッドをアルゴリズムにマッピングします。

 Element aElem = document.createElementNS(NameSpace, "Algorithm"); aElem.setAttribute("URI", "http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411"); aElem.setAttribute("Description", "GOST R 34102001 Digital Signature Algorithm with GOST R 3411 Digest"); aElem.setAttribute("AlgorithmClass", "Signature"); aElem.setAttribute("RequirementLevel", "OPTIONAL"); aElem.setAttribute("JCEName", "GOST3411WITHECGOST3410"); algorithms.appendChild(aElem); 

6）マッピングを適用します。

 org.apache.xml.security.Init.init(); JCEMapper.init(rootElement); 

6）利益！
その後、XMLSignatureはこのメソッドを突然理解し始め、xmlSignature.signを実行し始めます。

GOSTと連携するためのOpenSSLの準備

記事の冒頭で壁にOpenSSLがぶら下がっている場合、いつか間違いなく撮影されます。
はい、これはさらなるテキストの実装に必要な重要なポイントです。

• Crypto Proがあり、Macでは起動しないため、Windows（Windows XPでも可能）を搭載した仮想マシンとCryptがインストールされている必要があります。
• 可能な限り最新バージョンのOpenSSLをインストールします（既にGOSTがサポートされているように）。
  https://wiki.openssl.org/index.php/Binaries
  https://slproweb.com/products/Win32OpenSSL.html
• インストールされたバージョンにgost.dllファイルがあることを確認します
• インストールされたOpenSSLで、openssl.cfgファイルを見つけます
• ファイルの最初に次の行を追加します。
  

   openssl_conf = openssl_def 

• ファイルの最後に行を追加します。

  
  

   [openssl_def] engines = engine_section [engine_section] gost = gost_section [gost_section] engine_id = gost dynamic_path = ./gost.dll default_algorithms = ALL CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet 

  
  
• 利益

Crypto Proにキーの提供を依頼するにはどうすればよいですか（実際、いいえ）。

すでに実際の（自己署名ではない）キーがある場合、それらを実際にチェックすることは完全に非酸性です。 はい、テストの目標について話しますが、まだ信頼していますが、確認してください！

Windowsを仮想マシンに入れて、そこでCrypto Proをロールし、キーをインストールしてエクスポートしようとすると、エクスポーターがエクスポーターのPKCS12で動作せず、エクスポーターの他のすべての方向がブロックされます（英語の「グレー表示」）。

Googleエラー。公式フォーラムには何が表示されますか？
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=2425

「答えはアレクセイ・ピシニンから受け取った：
こんにちは PKCS12は、秘密鍵ストレージに関するFSBセキュリティ要件を満たしていません。 理論的には、秘密鍵はいわゆる「リムーバブル」メディアに保存する必要があります。 実際、このため、エクスポートは機能しません。」

エクスポート用のGUIがありますが、ビジネスロジックがありません。
したがって、クリックするティックに関係なく、ガイマスターの最後のステップで常にエラーが発生します。

なんて残念だ。

神様
それらをすべて殺してください。
愛、グレッグ。

Crypto Proにキーを与えることを大まかに強制するにはどうすればよいですか

OpenSSLなどの母親を使用して、コンテナからキーを差し引くためにC ++をロールアップしようとすると、非常に長い間苦しむことがあります。 私は正直に試してみて、岩の上の船のような問題についてcrash落しました（少なくとも、これを長い間やっていない人にとっては1日以上の問題です）。 同じ岩の上でクラッシュしたのはインターネット上だけではありません： http : //gigamir.net/techno/pub903517

「目が涙を流す喜びだ」という瞬間がやってくる。 Lissi Softと呼ばれる特定のオフィスは、わずか2000ルーブルの独創的なユーティリティP12FromGostCSPを提供します。 その作成者は、コミュニティが圧倒しないという問題を打ち負かし、PFXの鍵を引き裂きました。 喜び-それが機能するため。

涙で-それは独自のものであり、彼女のFIGはそれがどのように機能するかを知っています。
写真では、リチャード・ストールマンは驚いたように、「あなたは本当に別の所有者の助けを借りて所有者と戦っていますか？」と尋ねます。

そのため、キーの再入力の手順は次のようになります。

• Crypto Pro CSPがインストールされているWindowsですべてのアクションを実行します（仮想マシンが実行します）。
• 指示（この記事で入手可能）に従って、GOSTでOpenSSLを準備します。
• P12FromGostCSPを購入します。 泣く。
• ソースキーをCryptoProにインストールします（これは別の指示に値しますが、それはgoogleです）。
• P12FromGostCSPを起動します（この前に、Richard Stallmanのアイコンをテーブルの下に隠して、所有権を開始するためにあなたを呪わないようにします）
• インストールされた証明書を選択し、CryptoPro証明書のパスワードを指定します
• PFXキーペアの任意の新しいパスワード（パスフレーズ）を指定する
• ファイルを保存する場所を指定します。 p12.pfx形式でファイルに名前を付ける方が良いです（これはデフォルトの名前です。触れない方が良いです-名前を変更するとバグがあると言われます）
• pemファイルを取得します。
  

   openssl pkcs12 -in p12.pfx -out private.key.pem -name "alias" 

• （-name "alias"-このオプションは、コンテナ内のキーの名前を変更します。これは、P12FromGostCSPが元のエイリアスを保存せずにキーをランダムに（実際には順番に）命名するために必要です。
• pkcs12ファイルを取得します。
  

   openssl pkcs12 -export -out private.key.pkcs12 -in private.key.pem -name "alias" 

• 完了

自己署名キーをテストする

これをすべてテスト目的で行っているため、クライマックスに達し、自分自身にキーを発行し始めます。

Crypto Pro形式でキーを発行する方法は、特に気にしませんでした。これは、現在のタスクの一部として単に必要ではないからです。 ただし、念のため、そのようなキーを発行するサービスがあります： http : //www.cryptopro.ru/certsrv/

• Crypto Pro CSPがインストールされているWindowsですべてのアクションを実行します（仮想マシンが実行します）。
• サイトを開き、キーの発行に進みます。
• 「鍵を生成して証明書要求を送信する」を選択して、「次へ」をクリックする必要があります。
• 「このCAに要求を作成して発行する」リンクをクリックします。
• 必須フィールドに入力します。
• [発行]ボタンが押されています。
• 証明書をインストールします。

JKSコンテナの問題

この質問はインターネット上で広く表現されているため、すぐにStackoverflowを見ることができます。
http://stackoverflow.com/questions/14580340/generate-gost-34-10-2001-keypair-and-save-it-to-some-keystore

とにかくBouncy Castleを使用するので、それを使用してキーを生成できます。
このコードは最も理想的ではありませんが、実際に機能する実装を提供します（実際には、便利なインターフェースを作成するためにいくつかのバルククラスを取得しました）

 Security.addProvider( new org.bouncycastle.jce.provider.BouncyCastleProvider() ); KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance( "ECGOST3410", "BC" ); keyPairGenerator.initialize( new ECGenParameterSpec( "GostR3410-2001-CryptoPro-A" ) ); KeyPair keyPair = keyPairGenerator.generateKeyPair(); org.bouncycastle.asn1.x500.X500Name subject = new org.bouncycastle.asn1.x500.X500Name( "CN=Me" ); org.bouncycastle.asn1.x500.X500Name issuer = subject; // self-signed BigInteger serial = BigInteger.ONE; // serial number for self-signed does not matter a lot Date notBefore = new Date(); Date notAfter = new Date( notBefore.getTime() + TimeUnit.DAYS.toMillis( 365 ) ); org.bouncycastle.cert.X509v3CertificateBuilder certificateBuilder = new org.bouncycastle.cert.jcajce.JcaX509v3CertificateBuilder( issuer, serial, notBefore, notAfter, subject, keyPair.getPublic() ); org.bouncycastle.cert.X509CertificateHolder certificateHolder = certificateBuilder.build( new org.bouncycastle.operator.jcajce.JcaContentSignerBuilder( "GOST3411withECGOST3410" ) .build( keyPair.getPrivate() ) ); org.bouncycastle.cert.jcajce.JcaX509CertificateConverter certificateConverter = new org.bouncycastle.cert.jcajce.JcaX509CertificateConverter(); X509Certificate certificate = certificateConverter.getCertificate( certificateHolder ); KeyStore keyStore = KeyStore.getInstance( "JKS" ); keyStore.load( null, null ); // initialize new keystore keyStore.setEntry( "alias", new KeyStore.PrivateKeyEntry( keyPair.getPrivate(), new Certificate[] { certificate } ), new KeyStore.PasswordProtection( "entryPassword".toCharArray() ) ); keyStore.store( new FileOutputStream( "test.jks" ), "keystorePassword".toCharArray() 

PKCS12コンテナーの問題

JKSを発行するためのシンプルで便利な方法がすでにあり、JKS for Javaが最もネイティブなソリューションであるため、原則としてこれは特に必要ではありません。 しかし、完全を期すために、それをさせてください。

• 指示（この記事で入手可能）に従って、GOSTでOpenSSLを準備します。
• 証明書署名リクエスト+秘密鍵を作成します（必要な鍵情報を入力してください！）：
  

   openssl req -newkey gost2001 -pkeyopt paramset:A -passout pass:aofvlgzm -subj "/C=RU/ST=Moscow/L=Moscow/O=foo_bar/OU=foo_bar/CN=developer/emailAddress=olegchiruhin@gmail.com" -keyout private.key.pem -out csr.csr 

• 秘密鍵で署名します（Windowsでは、この操作は管理者権限で実行する必要があります。そうしないと、「「ランダムな状態」を書き込めません」というエラーで失敗します）。
  

   openssl x509 -req -days 365 -in csr.csr -signkey private.key.pem -out crt.crt 

• 公開鍵を取得：
  

   openssl x509 -inform pem -in crt.crt -pubkey -noout > public.key.pem 

• GOST2001-md_gost94 hex（必要な場合）：
  

   openssl.exe dgst -hex -sign private.key.pem message.xml 

• MIMEアプリケーション/ x-pkcs7-signature（必要な場合）：
  

   openssl smime -sign -inkey private.key.pem -signer crt.crt -in message.xml 

• pemをpkcs12に変換します。
  

   openssl pkcs12 -export -out private.key.pkcs12 -in private.key.pem -name "alias" 

まとめ

上記のすべてのアクションの結果として、Crypto Proの重い負担を取り除く比較的簡単な方法が得られました。

将来的には、最終的な勝利の前に飲み物を求めて闘争を続けたいと思います。すべてのユーティリティ、キージェネレータ、自作のsmevクライアントなどをGithubの1つのリポジトリの形に配置します。 それでも、公式のSMEVクライアントの許容ライセンスの下で修正および配布する権利を受け取りたいと思います。 そうすれば、この記事の半分は単に不要になり、Githubから必要なコードをダウンロードすることで問題が解決します。