ЭЛН 2.0

[spiridonovav]

Здравствуйте, коллеги!
С 2017 года используем GostCryptography для взаимодействия с ФСС в части обмена данными ЭЛН. За библиотеку Автору отдельное спасибо. Все прекрасно работало, до появления сервиса версии 2.0.

С появлением нового сервиса, на запрос ЭЛН по № и СНИЛС (в тестовый контур https://docs-test.fss.ru/ws-insurer-crypto-v20/FileOperationsLnService), всегда возвращается ошибка: "ru.fss.integration.ws.fault.v01.InternalException: Не удалось расшифровать сообщение. Возможно сообщение зашифровано на ключе отличном от ключа уполномоченного лица ФСС. Проверьте правильность и актуальность ключа уполномоченного лица ФСС. class ru.ibs.cryptopro.jcp.eln.crypt.CryptoException".

В процессе отладки удалось выяснить, что тестовый контур ЭЛН 2.0 не принимает сертификат уполномоченного лица ФСС для тестового контура (https://cabinets-test.fss.ru/FSS_TEST_CERT_2021.cer), а только сертификат для рабочего контура (https://cabinets.fss.ru/FSS_PROD_CERT_2021.cer). Также тестовый контур 2.0 (в отличии от тестового контура 1.1) не принимает тестовые сертификаты (выданные тестовыми УЦ), а только выданные акредитованными УЦ (т.е. полноценные сертификаты).

При выполнении этих условий АРМ ФСС выполняет запрос ЭЛН по № и СНИЛС и ему сервис возвращает: "Ошибка: ORA-20001: Некорректные параметры: Рег. номер в запросе и ОГРН в сертификате ЭП. Не найден страхователь с такими параметрами, а также отсутствует уполномоченный представитель с таким сертификатом ЭП". Что, в общем корректно (если не обращать внимание, что контур тестовый), так как используется сертификат страхователя, который не участвует в обмене данными ЭЛН.

Запрос в тестовый контур ЭЛН 2.0 без шифрования данных (https://docs-test.fss.ru/ws-insurer-v20/FileOperationsLnService) выполняется и сервис возвращает: "ORA-20001: Номер 306735316028 принадлежит к ЛН на бумажном бланке". Что тоже выглядит корректно. То есть, на лицо проблема с шифрованием (или расшифровыванием на стороне ФСС) сообщения.

Код метода и текст сообщения, передаваемое сервису ФСС в следующих сообщениях.

Кто ни будь подскажите, в чем моя ошибка.

[spiridonovav]

Код метода шифрования:

` var publicKeyFSS = (GostAsymmetricAlgorithm)fssCert.GetPublicKeyAlgorithm();
var element = (XmlElement)elements[0];
// Создание случайного сессионного ключа
using (var sessionKey = new Gost_28147_89_SymmetricAlgorithm())
{
// Шифрация элемента
var encryptedData = encryptedXml.EncryptData(element, sessionKey, false);

                // Шифрация сессионного ключа с использованием общего симметричного ключа
                var encryptedSessionKeyData = GostEncryptedXml.EncryptKey(sessionKey, publicKeyFSS);

                // Формирование элемента EncryptedData
                var elementEncryptedData = new EncryptedData();
                elementEncryptedData.Id = "EncryptedElement1";
                elementEncryptedData.Type = EncryptedXml.XmlEncElementContentUrl;
                elementEncryptedData.EncryptionMethod = new EncryptionMethod(sessionKey.AlgorithmName);
                elementEncryptedData.CipherData.CipherValue = encryptedData;
                elementEncryptedData.KeyInfo = new KeyInfo();

                // Формирование информации о зашифрованном сессионном ключе
                var encryptedSessionKey = new EncryptedKey();
                encryptedSessionKey.CipherData = new CipherData(encryptedSessionKeyData);
                //ФСС использует устаревший идентификатор
                //encryptedSessionKey.EncryptionMethod = new EncryptionMethod(publicKey.KeyExchangeAlgorithm);
                encryptedSessionKey.EncryptionMethod = new EncryptionMethod(GostCryptography.Gost_R3410.Gost_R3410_2001_AsymmetricAlgorithm.KeyExchangeAlgorithmValue);
                encryptedSessionKey.AddReference(new DataReference { Uri = "#" + elementEncryptedData.Id });
                //encryptedSessionKey.KeyInfo.AddClause(new KeyInfoName { Value = "SharedKey1" });
                encryptedSessionKey.KeyInfo.AddClause(new KeyInfoX509Data(insCert));

                // Добавление ссылки на зашифрованный ключ, используемый при шифровании данных
                elementEncryptedData.KeyInfo.AddClause(new KeyInfoEncryptedKey(encryptedSessionKey));

                var newDoc = new XmlDocument() { PreserveWhitespace = true };
                newDoc.LoadXml(SOAPMessageStr);

                // Замена элемента его зашифрованным представлением
                GostEncryptedXml.ReplaceElement((XmlElement)newDoc.GetElementsByTagName("Body", xmlsoapNamespace)[0], elementEncryptedData, true);

                return newDoc;
            }`

[spiridonovav]

Текст зашифрованного сообщения:
<?xml version="1.0" encoding="UTF-8"?> <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"> <s:Header /> <s:Body xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><EncryptedData Id="EncryptedElement1" Type="http://www.w3.org/2001/04/xmlenc#Content" xmlns="http://www.w3.org/2001/04/xmlenc#"><EncryptionMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gost28147" /><KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"><EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#"><EncryptionMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001" /><KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"><X509Data><X509Certificate>...</X509Certificate></X509Data></KeyInfo><CipherData><CipherValue>...</CipherValue></CipherData><ReferenceList><DataReference URI="#EncryptedElement1" /></ReferenceList></EncryptedKey></KeyInfo><CipherData><CipherValue>...</CipherValue></CipherData></EncryptedData></s:Body> </s:Envelope>

[AlexMAS]

Здравствуйте. Насколько я помню, ранее была проблема с использованием устаревшего ID. Возможно они изменили что-то в этой части.

//ФСС использует устаревший идентификатор
//encryptedSessionKey.EncryptionMethod = new EncryptionMethod(publicKey.KeyExchangeAlgorithm);

encryptedSessionKey.EncryptionMethod = new EncryptionMethod(GostCryptography.Gost_R3410.Gost_R3410_2001_AsymmetricAlgorithm.KeyExchangeAlgorithmValue);

[DPonomarchuk]

Я занимался сервисом МО, а не страхователя, но для меня это работает так:

1. При отправке запроса с шифрованием проверьте что в <Header></Header> исходного сообщения (еще до шифрования) добавлен тег <X509Certificate xmlns="http://www.w3.org/2000/09/xmldsig#"></X509Certificate> содержащий ваш тестовый сертификат
2. Взаимодействие с сервисом с шифрованием https://docs-test.fss.ru/WSLnCryptoV20/FileOperationsLnService?WSDL работает именно с сертификатом https://docs-test.fss.ru/FSS_TEST_CERT_2021.cer
3. Тестовый контур принимает тестовые сертификаты Vipnet http://testcert.infotecs.ru/ . Был какой-то период, что они удалили на тестовом контуре сертификат УЦ из доверенных и отбраковывали тестовые сертификаты по "ошибка построения цепочки...".

Я считаю что если шифрование работало в версии 1.1, то вам нужно написать в чат разработчиков ФСС в телеграмм (возможно там кто-то сталкивался с таким) и ваша проблема не имеет отношения к библиотеке GostCryptography

Моё зашифрованное сообщение выглядит так:
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element" xmlns="http://www.w3.org/2001/04/xmlenc#"> <EncryptionMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gost28147"/> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#"> <EncryptionMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001"/> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <X509Data> <X509Certificate></X509Certificate> </X509Data> </KeyInfo> <CipherData> <CipherValue></CipherValue> </CipherData> </EncryptedKey> </KeyInfo> <CipherData> <CipherValue></CipherValue> </CipherData> </EncryptedData> </SOAP-ENV:Body> </SOAP-ENV:Envelope>

[spiridonovav]

Большое спасибо за ответ.

Я занимался сервисом МО, а не страхователя, но для меня это работает так:

1. При отправке запроса с шифрованием проверьте что в <Header></Header> исходного сообщения (еще до шифрования) добавлен тег <X509Certificate xmlns="http://www.w3.org/2000/09/xmldsig#"></X509Certificate> содержащий ваш тестовый сертификат

Я не внимательно прочитал спецификацию 2.0. После сравнения текстов 1.1 с 2.0 я увидел, что они перенесли сертификат отправителя (страхователя) в тело шифруемого сообщения, а в KeyInfo нужно класть сертификат уполномоченного лица ФСС.
Это я исправил, сервис стал выдавать такую ошибку: "ru.fss.integration.ws.fault.v01.InternalException: Error in execution of data encrypting/decrypting operation. class org.apache.xml.security.encryption.XMLEncryptionException."

Возможно я неправильно помещаю свой сертификат в Header?
В спецификации об этом написано (в двух местах) так:

1. "В блоке soapenv:Header в подписанном запросе добавляется блок , который содержит публичный сертификат пользователя в формате x509v3 (кодировке base64)."
2. "В блоке soapenv:Header исходного шифруемого сообщения необходимо добавить блок , содержащий публичный ключ сертификата отправителя. Структура сообщения для шифрования после этого будет выглядеть следующим образом:"

Я это делал двумя способами:
var bsToken = request.CreateElement("", "X509Certificate", "http://www.w3.org/2000/09/xmldsig#"); bsToken.InnerText = Convert.ToBase64String(insCert.GetPublicKey()); //bsToken.InnerText = Convert.ToBase64String(insCert.RawData); header[0].AppendChild(bsToken);

2. Взаимодействие с сервисом с шифрованием https://docs-test.fss.ru/WSLnCryptoV20/FileOperationsLnService?WSDL работает именно с сертификатом https://docs-test.fss.ru/FSS_TEST_CERT_2021.cer
3. Тестовый контур принимает тестовые сертификаты Vipnet http://testcert.infotecs.ru/ . Был какой-то период, что они удалили на тестовом контуре сертификат УЦ из доверенных и отбраковывали тестовые сертификаты по "ошибка построения цепочки...".

Да, АРМ ЛПУ работает с тестовыми сертификатами. АРМ ФСС (подготовка расчетов для ФСС) получает от сервиса ошибку, в случае использования тестового сертификата: "Ошибка: ORA-20001: Некорректная подпись головной организации: Ошибка при проверке сертификата. VALID_SIGNATURE ЭП действительна; При проверке сертификата ЭП произошла ошибка. Ошибка построения цепочки сертификатов. Не найден сертификат Удостоверяющего Центра, указанный в сертификате пользователя". Либо АРМ ФСС игнорирует настройку "направление обмена" и работает только с рабочим контуром или тестовый контур не принимает тестовые сертификаты.

Я считаю что если шифрование работало в версии 1.1, то вам нужно написать в чат разработчиков ФСС в телеграмм (возможно там кто-то сталкивался с таким) и ваша проблема не имеет отношения к библиотеке GostCryptography

Единственный телеграмм канал ФСС, который я обнаружил - FSS_Info. Так там одни новости от ФСС и никакой технической информации. Подскажите, какой канал вы имели в виду?

[spiridonovav]

Здравствуйте. Насколько я помню, ранее была проблема с использованием устаревшего ID. Возможно они изменили что-то в этой части.

Если использовать другой идентификатор, то от сервиса возвращается ошибка: "ru.fss.integration.ws.fault.v01.InternalException: Не удалось расшифровать сообщение. Возможно сообщение зашифровано на ключе отличном от ключа уполномоченного лица ФСС. Проверьте правильность и актуальность ключа уполномоченного лица ФСС."

[spiridonovav]

Полный текст последнего варианта процедуры шифрования:

`var publicKeyFSS = (GostAsymmetricAlgorithm)fssCert.GetPublicKeyAlgorithm();
var element = (XmlElement)elements[0];
var header = request.GetElementsByTagName("Header", xmlsoapNamespace); ;
if (header.Count > 0)
{
var bsToken = request.CreateElement("", "X509Certificate", "http://www.w3.org/2000/09/xmldsig#");
bsToken.InnerText = Convert.ToBase64String(insCert.GetPublicKey());
//bsToken.InnerText = Convert.ToBase64String(insCert.RawData);
header[0].AppendChild(bsToken);
}
// Создание случайного сессионного ключа
using (var sessionKey = new Gost_28147_89_SymmetricAlgorithm())
{
// Шифрация элемента
var encryptedData = encryptedXml.EncryptData(element, sessionKey, false);

                // Шифрация сессионного ключа с использованием общего симметричного ключа
                var encryptedSessionKeyData = GostEncryptedXml.EncryptKey(sessionKey, publicKeyFSS);

                // Формирование элемента EncryptedData
                var elementEncryptedData = new EncryptedData();
                elementEncryptedData.Type = EncryptedXml.XmlEncElementContentUrl;
                //elementEncryptedData.Type = EncryptedXml.XmlEncElementUrl;
                elementEncryptedData.EncryptionMethod = new EncryptionMethod(sessionKey.AlgorithmName);
                elementEncryptedData.CipherData.CipherValue = encryptedData;
                elementEncryptedData.KeyInfo = new KeyInfo();

                // Формирование информации о зашифрованном сессионном ключе
                var encryptedSessionKey = new EncryptedKey();
                encryptedSessionKey.CipherData = new CipherData(encryptedSessionKeyData);
                //ФСС использует устаревший идентификатор
                //encryptedSessionKey.EncryptionMethod = new EncryptionMethod(publicKeyFSS.KeyExchangeAlgorithm);
                encryptedSessionKey.EncryptionMethod = new EncryptionMethod(GostCryptography.Gost_R3410.Gost_R3410_2001_AsymmetricAlgorithm.KeyExchangeAlgorithmValue);
                encryptedSessionKey.KeyInfo.AddClause(new KeyInfoX509Data(fssCert));

                // Добавление ссылки на зашифрованный ключ, используемый при шифровании данных
                elementEncryptedData.KeyInfo.AddClause(new KeyInfoEncryptedKey(encryptedSessionKey));

                var newDoc = new XmlDocument() { PreserveWhitespace = true };
                newDoc.LoadXml(SOAPMessageStr);

                // Замена элемента его зашифрованным представлением
                GostEncryptedXml.ReplaceElement((XmlElement)newDoc.GetElementsByTagName("Body", xmlsoapNamespace)[0], elementEncryptedData, true);

                return newDoc;
            }`

[spiridonovav]

Возможно, ошибка ""ru.fss.integration.ws.fault.v01.InternalException: Error in execution of data encrypting/decrypting operation. class org.apache.xml.security.encryption.XMLEncryptionException.", возникает в сервисе ФСС уже на этапе шифрования ответного сообщения из-за того, что я "неправильно" передаю им свой сертификат?
Кто ни будь знает как нужно?

[spiridonovav]

В спецификации написано:

1. в разделе подписания сообщения: "В блоке soapenv:Header в подписанном запросе добавляется блок , который содержит публичный сертификат пользователя в формате x509v3 (кодировке base64)."
2. в разделе шифрования сообщения: "В блоке soapenv:Header исходного шифруемого сообщения необходимо добавить блок , содержащий публичный ключ сертификата отправителя. Структура сообщения для шифрования после этого будет выглядеть следующим образом:"

Может нужно добавлять два сертификата? Тогда непонятно, что за сертификат "пользователя"? Сертификат "отправителя" - это, наверное, сертификат страхователя.

[spiridonovav]

Все таки правильный вариант: bsToken.InnerText = Convert.ToBase64String(insCert.RawData);
Так получается идентичная строка элемента , что и при использовании: KeyInfoX509Data(insCert)

[spiridonovav]

Моё зашифрованное сообщение выглядит так:
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element" xmlns="http://www.w3.org/2001/04/xmlenc#"> <EncryptionMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gost28147"/> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#"> <EncryptionMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001"/> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <X509Data> <X509Certificate></X509Certificate> </X509Data> </KeyInfo> <CipherData> <CipherValue></CipherValue> </CipherData> </EncryptedKey> </KeyInfo> <CipherData> <CipherValue></CipherValue> </CipherData> </EncryptedData> </SOAP-ENV:Body> </SOAP-ENV:Envelope>

Еще я заметил отличие. В вашем примере атрибут Type имеет значение "http://www.w3.org/2001/04/xmlenc#Element". Хотя в документации в примерах указано "http://www.w3.org/2001/04/xmlenc#Content".
Но, в моем случае, это никак не влияет на результат.

[alexnur]

Добрый день! Я тоже уже несколько дней пробую получить ЭЛН (сервис страхователя) по спецификации 2.0.
Техподдержка ФСС не оказывает содействия в разработке, но на кое какие вопросы отвечает. Касаемо шифрования или примеров - не ответят. Проверено. Вот их почта: lk_test@fss.ru.
По спецификации 1.1 я без проблем шифрую запросы и дешифрую ответы от ФСС. С 2.0 - мог только подписать и отправить на тестовый контур без шифрования: https://docs-test.fss.ru/ws-insurer-v20_2/FileOperationsLnService?wsdl
Однако этот url уже несколько дней не доступен (404, not found). В поддержку сообщил, ответа пока не было.
Пробую также отправить на тестовый контур с шифрованием. Там в запросе ранее было getPrivateLNData, для 2.0 меняется на getPrivateLNDataRequest.
Возникает исключение при отправке запроса: 500 ошибка на стороне ФСС. У Вас хотя бы сообщение развернутое приходит. Запрашивал в поддержке тестовый готовый зашифрованный запрос, чтобы исключить остальные проблемы. Прислали зашифрованный запрос. Если я его отправляю на тестовый контур с шифрованием - все хорошо.
В перечне изменений некотоыре моменты не уточнены, помимо заголовка шифруемого сообщения. Лучше бы этого перечня изменений не было. Сбивает с толку. Если в перечне изменений чего-то нет, значит вещи не менялись. У них другое понимание.
В п.5.1. "Этапы шифрования сообщения", далее 2.1. Указан алгоритм трансформации "urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001", а в спецификации 1.1 "urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2012". Однако в своей программе в версии 1.1, несмотря на то, что в спецификации указан 2012, у меня было указано именно "urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2001", и все работало.
В общем, давайте вместе пробовать разбираться.
Вот мой код:
` // Спецификация 2.0
public class EncryptedXmlSessionKey2: EncryptedXmlSessionKey
{
#region Шифрование документа по спецификации 2.0.
///

/// Шифрование документа по спецификации 2.0.
///

/// Подписанный ЭЦП XML-документ.
/// var sharedKey = new Gost_28147_89_SymmetricAlgorithm(providerType);
/// Публичный сертификат ФСС.
/// Публичный сертификат страхователя.
protected override XmlDocument EncryptXmlDocument(XmlDocument xmlDocument, Gost_28147_89_SymmetricAlgorithmBase sharedKey,
X509Certificate2 certificateEncryption,
X509Certificate2 certificateOpen)
{
// Сюда будет записан зашифрованный XML-документ "xmlDocument".
XmlDocument result = new XmlDocument();
// Согласно спецификации 2.0 необходимо добавить X509Certificate (публичный сертификат пользователя) в header после подписания документа,
// но перед шифрованием.
// Несмотря на то, что этот же сертификат добавлен в header в секцию BinarySecurityToken!
InsertX509UserPublicCertificateToXmlHeader(xmlDocument, certificateOpen);
// Ищем заданный элемент для заширования. Envelope
XmlElement elementToEncrypt = GetElementToEncrypt(xmlDocument, ref result);
// Создаем объект EncryptedData и заполняем его необходимой информацией.
EncryptedData edElement = new EncryptedData();
//edElement.Type = EncryptedXml.XmlEncElementUrl;
edElement.Type = EncryptedXml.XmlEncElementContentUrl;
// Заполняем алгоритм зашифрования данных. Он будет использован при расшифровании.
edElement.EncryptionMethod = new EncryptionMethod(Gost_28147_89_SymmetricAlgorithm.AlgorithmNameValue);
// Создаем новую ссылку на ключ.
edElement.KeyInfo = new KeyInfo();
// Создаем случайный симметричный ключ.
// В целях безопасности удаляем ключ из памяти после использования.
using (Gost_28147_89_SymmetricAlgorithm sessionKey = new Gost_28147_89_SymmetricAlgorithm(sharedKey.ProviderType))
{
// Gost_R3410_2001_Constants.SignatureAlgorithm
//sessionKey.
//При генерации сессионного ключа 28147 всегда используется 2001 провайдер(TypeId = 75).
//Соответственно параметры CIPHER_OID ключа всегда берутся для указанного провайдера.
//И если при шифровании ключа используется новый сертификат ФСС(уполномоченного лица) с
//2012 ключом получается нехорошо:
// -(.
//В обернутом ключе параметры алгоритма прописываются
//1.2.643.2.2.31.1
//когда как ФСС ожидает
//1.2.643.7.1.2.5.1.1
// Создаем объект класса EncryptedXml
EncryptedXml eXml = new EncryptedXml();
// Зашифроваем узел на симметричном ключе.
byte[] encryptedElement = eXml.EncryptData(elementToEncrypt, sessionKey, false);
// Зашифровываем сессионный ключ и добавляем эти зашифрованные данные к узлу EncryptedKey.
EncryptedKey ek = new EncryptedKey();
byte[] encryptedKey = GostEncryptedXml.EncryptKey(sessionKey, (GostAsymmetricAlgorithm)certificateEncryption.GetPublicKeyAlgorithm());
ek.CipherData = new CipherData(encryptedKey);
//ek.EncryptionMethod = new EncryptionMethod(GostEncryptedXml.XmlEncGostNamespaceUrl + "transport-gost2001");
ek.EncryptionMethod = new EncryptionMethod(GostCryptography.Gost_R3410.Gost_R3410_2001_AsymmetricAlgorithm.KeyExchangeAlgorithmValue);
KeyInfoX509Data data = new KeyInfoX509Data(certificateOpen);
ek.KeyInfo.AddClause(data);
// Добавляем ссылку на зашифрованный ключ к зашифрованным данным.
edElement.KeyInfo.AddClause(new KeyInfoEncryptedKey(ek));
// Добавляем зашифрованные данные к объекту EncryptedData.
edElement.CipherData.CipherValue = encryptedElement;

        }
        // Заменяем исходный узел на зашифрованный.
        EncryptedXml.ReplaceElement(elementToEncrypt, edElement, false);

        return result;
    }
    #endregion

    private void InsertX509UserPublicCertificateToXmlHeader(XmlDocument xmlDocument, X509Certificate2 certificateOpen)
    {
        XmlNode nodeHeader = xmlDocument.LastChild.ChildNodes[1];
        XmlElement el = xmlDocument.DocumentElement;
        XmlElement elemX509Certificate = xmlDocument.CreateElement("X509Certificate");
        XmlText certX509xmlText = xmlDocument.CreateTextNode(Convert.ToBase64String(certificateOpen.Export(X509ContentType.Cert),
            Base64FormattingOptions.InsertLineBreaks));
        elemX509Certificate.AppendChild(certX509xmlText);
        nodeHeader.AppendChild(elemX509Certificate);
    }

    #region Приватный метод. Получение части XML-документа, которую необходимо зашифровать ("Envelope").
    /// <summary>
    ///  Получение части XML-документа, которую необходимо зашифровать ("Envelope").
    /// </summary>
    /// <param name="xmlDocument"> Подписанный ЭЦП XML-документ. </param>
    /// <param name="xml"> Необходимо передать новый объект XmlDocument как ref. Часть документа ("Envelope") будет ссылаться на новый XML-документ "xml". 
    /// Именно документ "xml" после дальнейшей обработки необходимо будет отправить как зашифрованный.</param>
    protected override XmlElement GetElementToEncrypt(XmlDocument document, ref XmlDocument xml)
    {
        document.PreserveWhitespace = true;
        XmlNode elementBody = document.GetElementsByTagName("Envelope", MyConst.xmlns_soapenv)[0];
        // Создаем новый XML документ.
        XmlDocument doc = new XmlDocument();
        //XmlNamespaceManager ns = new XmlNamespaceManager(doc.NameTable);

        //ns.AddNamespace("soapenv", MyConst.xmlns_soapenv);
        //ns.AddNamespace("xenc", MyConst.xmlns_xenc);
        //ns.AddNamespace("ds", MyConst.xmlns_ds);
        //ns.AddNamespace("sch", MyConst.xmlns_sch);
        //ns.AddNamespace("wsse", MyConst.xmlns_wsse);
        //ns.AddNamespace("wsu", MyConst.xmlns_wsu);

        MemoryStream newRequestStream = new MemoryStream();
        XmlWriter writer = XmlWriter.Create(newRequestStream, new XmlWriterSettings { Encoding = Encoding.UTF8 });
        writer.WriteStartDocument();
        // Envelope 
        writer.WriteStartElement("soapenv", "Envelope", MyConst.xmlns_soapenv);
        //Header 
        writer.WriteStartElement("soapenv", "Header", MyConst.xmlns_soapenv);
        writer.WriteEndElement(); // Header
        writer.WriteStartElement("soapenv", "Body", MyConst.xmlns_soapenv); // Body
        // ************************************************************* EncryptedData ************************************************************************** /
        writer.WriteRaw(elementBody.OuterXml);
        // ******************************************************************************************************************************************************* /
        writer.WriteEndElement(); // Body
        writer.WriteEndElement(); // Envelope
        writer.WriteEndDocument();
        writer.Flush();
        string xmlText = Encoding.GetEncoding("UTF-8").GetString(newRequestStream.ToArray());

      //  xmlText = xmlText.Replace("<?xml version=\"1.0\" encoding=\"utf-8\"?>", "");

        newRequestStream.Position = 0;
        xml.Load(newRequestStream);
        writer.Close();
        // Ищем заданный элемент для зашифрования. Envelope
        XmlElement elementToEncrypt = xml.GetElementsByTagName("Envelope", MyConst.xmlns_soapenv)[1] as XmlElement;

        return elementToEncrypt;
    }
    #endregion
}`

[alexnur]

Кстати, когда пробую дешифровать зашифрованный ответ ФСС (после отправки им зашифрованного запроса, который они прислали мне по почте), то получаю исключение "Плохие данные". Дешифровать пробую как и для спецификации 1.1.
Исключение возникает при возврате результата из метода
return GostEncryptedXml.DecryptKey(encryptedKey.CipherData.CipherValue, myKey);
Исключение: 'System.Security.Cryptography.CryptographicException' in GostCryptography.dll ("Плохие данные.
")

` private static SymmetricAlgorithm GetDecryptionKey(EncryptedData encryptedData, X509Certificate2 myCert)
{
IEnumerator encryptedKeyEnumerator = encryptedData.KeyInfo.GetEnumerator();
// Проходим по всем KeyInfo
while (encryptedKeyEnumerator.MoveNext())
{
// пропускам все что неизвестно.
KeyInfoEncryptedKey current = encryptedKeyEnumerator.Current as KeyInfoEncryptedKey;
if (current == null) continue;
// до первого EncryptedKey
EncryptedKey encryptedKey = current.EncryptedKey;

            if (encryptedKey == null)
                continue;
            KeyInfo keyinfo = encryptedKey.KeyInfo;
            // Проходим по всем KeyInfo зашифрования ключа.
            IEnumerator srcKeyEnumerator = keyinfo.GetEnumerator();
            while (srcKeyEnumerator.MoveNext())
            {
                // пропускам все что неизвестно.
                KeyInfoX509Data keyInfoCert = srcKeyEnumerator.Current
                    as KeyInfoX509Data;
                if (keyInfoCert == null)
                    continue;
                var keyContainer = myCert.GetPrivateKeyInfo();
                // Приватный ключ, открытый ключ которого мы отправляли при шифровании запроса
                Gost_R3410_2012_256_AsymmetricAlgorithm dd = new Gost_R3410_2012_256_AsymmetricAlgorithm(ProviderType.CryptoPro_2012_512);

                var privateKey = new Gost_R3410_2012_256_AsymmetricAlgorithm(keyContainer);
                // Приватный ключ, открытый ключ которого мы отправляли при шифровании запроса
                Gost_R3410_2012_256_AsymmetricAlgorithm myKey = privateKey as Gost_R3410_2012_256_AsymmetricAlgorithm;
                if (myKey == null)
                    continue;

                return GostEncryptedXml.DecryptKey(encryptedKey.CipherData.CipherValue, myKey);
            }
        }
        return null;
    }`

[spiridonovav]

Добрый день.

"Плохие данные.

Такое исключение, насколько я помню, возникает в случае, если в настройках GostCryptography Криптопровайдер не соответствует, указанному в сертификате.
Смотрю ваш код. Может общими усилиями разберемся.

[spiridonovav]

Кстати, когда пробую дешифровать зашифрованный ответ ФСС (после отправки им зашифрованного запроса, который они прислали мне по почте), то получаю исключение "Плохие данные"

Мне кажется, что это бесполезно. Так как ответ должен быть зашифрован на ключе, который ФСС получает из расшифрованного подписанного сообщения. Так как зашифрованное сообщение предоставлено ими, то и шифруют ответ они неизвестным вам ключем.