Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Warning: openssl_pkcs7_sign(): key type not supported in this PHP build! - но всё работает #35

Open
fluffycondor opened this issue Oct 15, 2020 · 7 comments · Fixed by #38
Open

Warning: openssl_pkcs7_sign(): key type not supported in this PHP build! - но всё работает #35

fluffycondor opened this issue Oct 15, 2020 · 7 comments · Fixed by #38
Labels
bug

Comments

@fluffycondor
Copy link

Добрый день.

PHP 7.3.19
fr05t1k/esia 2.3.1

Так как используемый нами фреймворк конвертит ворнинги в эксепшны, крашимся в SignerPKCS7 на этой строке:

$signResult = openssl_pkcs7_sign(
     $messageFile,
     $signFile,
     $cert,
     $privateKey,
     []
);

с сообщением
Warning: openssl_pkcs7_sign(): key type not supported in this PHP build!
Используем нешифрованный приватный ключ.

Приходится оборачивать buildUrl() такими некрасивыми вещами:

$oldErrorReportingLevel = error_reporting(E_ERROR | E_PARSE);
$url = $this->esia->buildUrl();        
error_reporting($oldErrorReportingLevel);

Таким образом всё великолепно работает.

Возможно ли как-то обработать этот ворнинг на уровне вашей библиотеки?
@fr05t1k fr05t1k added the bug label Oct 15, 2020
@fr05t1k fr05t1k mentioned this issue Oct 15, 2020
Merged
@fr05t1k
Copy link
Owner

fr05t1k commented Oct 16, 2020
edited

Привет! Я добавил возможности указвать флаги для openssl_pkcs7_sign (https://www.php.net/manual/en/openssl.pkcs7.flags.php).

Попробуй добавить флаг $signer->addPKCS7Flag(PKCS7_NOSIGS) или $signer->addPKCS7Flag(PKCS7_NOVERIFY)

@fluffycondor
Copy link
Author

fluffycondor commented Oct 16, 2020
edited

Увы, эффекта не даёт, варнинг на месте.
Даже
PKCS7_NOVERIFY | PKCS7_NOATTR | PKCS7_NOCERTS | PKCS7_NOCHAIN | PKCS7_NOINTERN

@fr05t1k
Copy link
Owner

fr05t1k commented Oct 16, 2020

А это секретные ключи? Можешь поделиться?

@fluffycondor
Copy link
Author

Я не думаю, что дело в ключах. Скорее всего, дело в связке определенных версий PHP + openssl (у нас это PHP 7.3.19 и OpenSSL 1.1.1d). Глубже я не компетентен - ГОСТовское шифрование настраивал наш девопс с бубнами и матами, из-за этого у нас и лок на PHP 7.3, на 7.4 что-то не заводится.
Вот рандомный тестовый серт + ключ, с ним у нас проблема воспроизводится.
fam002.zip

@fr05t1k fr05t1k reopened this Oct 28, 2020
@fr05t1k
Copy link
Owner

fr05t1k commented Nov 4, 2020

Я не встретил проблем с сетификатом и ключем которые в репозитории на:
PHP 7.3.19 (cli) (built: Jun 11 2020 19:52:31) ( NTS )
OpenSSL 1.1.1d 10 Sep 2019

С теми что в архиве не завелось с ошибкой: error:0609E09C:digital envelope routines:pkey_set_type:unsupported algorithm

@fr05t1k
Copy link
Owner

fr05t1k commented Nov 4, 2020

Как вариант можете использовать CLI версию:

  1. Установить пакет gost
  2. Добавить конфиг
  3. Использоать CliSignerPKCS7

@fluffycondor
Copy link
Author

fluffycondor commented Nov 5, 2020
edited

А если добавить в конфиг опцию supressPKCS7Warnings и по ее наличию оборачивать openssl_pkcs7_sign в

$oldErrorReportingLevel = error_reporting(E_ALL & ~E_WARNING); // выключает только варнинги
$signResult = openssl_pkcs7_sign(
     $messageFile,
     $signFile,
     $cert,
     $privateKey,
     []
); 
error_reporting($oldErrorReportingLevel);

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug
Projects
None yet
Milestone
No milestone
Development

Successfully merging a pull request may close this issue.

Add ability to add pkcs7 flags fr05t1k/esia
2 participants
@fr05t1k @fluffycondor