Похоже вы шифруете сообщение или в CBC режиме, или в ECB. ECB не позволяет шифровать более 32 байтов информации, так как режим используется только для шифрования ключей.

ФСС использует CBC без мешинга -- CRYPT_MODE_CBC (а не CRYPT_MODE_CBCRFC4357).
У нас есть этот случай в примере на С:

/*************************************************************************
            * Для алгоритма ГОСТ 28147 механизм усложнения ключа предусматривает     *
            * преобразование синхропосылки через каждый килобайт данных.             *
            *                                                                        *
            * Для совместимости с КриптоПро CSP при использовании режима             *
            * CRYPT_MODE_CBC закомментировать следующие 5 строк кода                 *
            * (выбранный режим не осуществляет это преобразование)                   *
            *************************************************************************/
            printf("  Key Meshing(set IV)\n");
            rv = functionList->C_EncryptInit(session, &gost28147EncDecEcbMech, encKey);
            CHECK_AND_LOG("   C_EncryptInit", rv == CKR_OK, rvToStr(rv), free_encrypted);
            rv = functionList->C_Encrypt(session, encryptedRound, GOST28147_89_BLOCK_SIZE, encryptedRound, &blockSize);
            CHECK_AND_LOG("   C_Encrypt", rv == CKR_OK, rvToStr(rv), free_encrypted);

Непоточное шифрование должно происходить при помощи вызова следующих функций:

• C_EncryptInit;

• C_Encrypt.

Поточное же шифрование производится вот так:

• C_EncryptInit;

• C_EncryptUpdate (0 или более раз);

• C_EncryptFinal.

Похоже у вас следующий порядок вызовов:

• C_EncryptInit;

• C_Encrypt;

• C_EncryptFinal.

Что и приводит к неинициализированной операции на последнем вызове, так как операция уже была трактована как непоточная.

В случае использования session.Encrypt, параметризованного массивом байтов - возвращает ошибку 'Method C_Encrypt returned CKR_DATA_LEN_RANGE'.
В случае session.Encrypt, параметризованного потоками - возвращает Method C_EncryptFinal returned CKR_OPERATION_NOT_INITIALIZED'.

Наверное это по причине  непонимания мною PKCS#11. Думаю оставить затею самостоятельной реализации.

ФСС использует для передачи шифрованных сообщений  формат XML.

PKCS#11 умеет шифровать по ГОСТ 28147-89, но для обертки в формат XML нужны будут другие библиотеки.

Вам помогут примеры из комплекта разработчика Рутокен.
Для получения симметричного ключа шифрования из ключевой пары смотрите пример:
sdk\pkcs11\samples\Standard\VKO-GOST34.10-<Алгоритм>

Для шифрования:
sdk\pkcs11\samples\Standard\ EncDecGOST28147-89-<Алгоритм>

Для проверки войдите на ra.rutoken.ru и попробуйте подписать сертификатом документ: кнопка «Подписать» - выбираете файл.
Если подписать удалось – с сертификатом все в порядке.
Если подписать не удалось и появилась ошибка «Соответствующая сертификату ключевая пара не найдена», у ключей неверный параметр.

Подписать документ с помощью данной ЭЦП возможно. Не получается осуществить шифрование для обмена с ФСС. Пока на этапе получения симметричного ключа шифрования на фукнции C_DeriveKey.

Да, если можно, поясните, как посмотреть параметры приватного ключа. Т.к. через программу виден публичный ключ.

Да, при генерации ключей был установлен атрибут: CKA_DERIVE – FALSE.

Да, вам нужно будет обратиться в удостоверяющий центр, выпустивший электронную подпись для получения новой подписи, с правильным параметром.
Если у сотрудников удостоверяющего центра возникнут проблемы с изменением данного параметра, они могут обратиться к нам за консультацией.

Для проверки войдите на ra.rutoken.ru и попробуйте подписать сертификатом документ: кнопка «Подписать» - выбираете файл.
Если подписать удалось – с сертификатом все в порядке.
Если подписать не удалось и появилась ошибка «Соответствующая сертификату ключевая пара не найдена», у ключей неверный параметр.

Посмотреть параметры, установленные в ключах, можно с помощью программы pkcs11admin. Мы можем удаленно подключиться и проверить правильность параметров или написать вам инструкцию по использованию этой программы.

Можно с помощью какой-то утилиты в этом убедится, что эта ЭЦП 2.0 имеет такой параметр False?

CKA_DERIVE – должен быть TRUE.
Изменить этот параметр после генерации уже нельзя.

На Рутокен ЭЦП 2.0 2100 успешно проходит подпись и шифрование.

Но на Рутокен ЭЦП 2.0 2000 проходит успешно подпись, а при шифровании
выдаёт ошибку при использовании функции C_DeriveKey: CKR_KEY_FUNCTION_NOT_PERMITTED.
При попытке найти privateKey с аттрибутом CKA_DERIVE=True таких ключей не находит.
В чём может быть причина, как исправить?

Как это будет выглядеть для Рутокен 2.0?

Так же для заполнения KeyInfo требуется session MAC key.

Для ГОСТ-2012 надо использовать парамсет z. Шаблон (на С#):

// Шаблон для импорта симметричного ключа ГОСТ 28147-89 (маскируемого ключа)
        static readonly List<ObjectAttribute> SessionKeyAttributes = new List<ObjectAttribute>
        {
            // Метка ключа
            new ObjectAttribute(CKA.CKA_LABEL, SampleConstants.WrappedKeyLabel),
            // Идентификатор ключа
            new ObjectAttribute(CKA.CKA_ID, SampleConstants.GostSecretKeyId),
            // Класс - секретный ключ
            new ObjectAttribute(CKA.CKA_CLASS, CKO.CKO_SECRET_KEY),
            // Тип ключа - ГОСТ 28147-89
            new ObjectAttribute(CKA.CKA_KEY_TYPE, (uint) Extended_CKK.CKK_GOST28147),
            // Ключ является объектом сессии
            new ObjectAttribute(CKA.CKA_TOKEN, false),
            // Ключ может быть изменен после создания
            new ObjectAttribute(CKA.CKA_MODIFIABLE, true),
            // Ключ доступен только после аутентификации на токене
            new ObjectAttribute(CKA.CKA_PRIVATE, true),
            // Ключ может быть извлечен в зашифрованном виде
            new ObjectAttribute(CKA.CKA_EXTRACTABLE, true),
            // Ключ может быть извлечен в открытом виде
            new ObjectAttribute(CKA.CKA_SENSITIVE, false),
            new ObjectAttribute(CKA.CKA_GOST28147_PARAMS, params28147)
        };

Еще - использует CBC без мешинга -- CRYPT_MODE_CBC (а не CRYPT_MODE_CBCRFC4357).
В SDK у нас пример с мешингом.

С какими параметрами вызываете вызываете функции С_DeriveKey, C_WrapKey и C_EncryptInit.

У нас подпись учреждения ГОСТ 2012. Сервис ФСС отвечает, что не может расшифровать сообщение.

Владимир Салыкин пишет:

Это уже сложный технический вопрос, не для форума. Написал Вам на почту.

Добрый день!
Занимаемся разработкой ПО для передачи данных в ФСС из медицинских учреждений с использованием Рутокен-ЭЦП 2.0.
Также требуются ответы на эти вопросы.

Ирина, написал Вам на почту.