Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проверка доказательств подлинности
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Юрий  
#1 Оставлено : 6 ноября 2013 г. 8:27:23(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
В проекте "СТАНДАРТ ПРИМЕНЕНИЯ УСОВЕРШЕНСТВОВАННОЙ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ" в разделе 7.2, пункт 8 сказано, что одним из условий правильности доказательств подлинности является то, что сертификат ключа подписи OCSP службы выпущен тем же УЦ, что и сертификат подписанта.

Означает ли это, что Крипто-Про CAdES SDK воспримет подпись как ошибочную при если издатели OCSP сертификата и сертификата подписанта будут различными и в CAdES подпись будут включены все сертификаты цепочки как для сертификата подписанта, так и для сертификата OCSP службы?
С уважением,
Юрий Строжевский
Вверх
WWW

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Юрий  
#2 Оставлено : 7 ноября 2013 г. 7:17:56(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Для информации добавлю сюда ещё выдержку из RFC2560:
Цитата:
4.2.2.2 Authorized Responders

The key that signs a certificate's status information need not be the
same key that signed the certificate. It is necessary however to
ensure that the entity signing this information is authorized to do
so. Therefore, a certificate's issuer MUST either sign the OCSP
responses itself or it MUST explicitly designate this authority to
another entity. OCSP signing delegation SHALL be designated by the
inclusion of id-kp-OCSPSigning in an extendedKeyUsage certificate
extension included in the OCSP response signer's certificate. This
certificate MUST be issued directly by the CA that issued the
certificate in question.

Однако вопрос насчет стандартного поведения компонентов Крипто-Про всё ещё остаётся.
С уважением,
Юрий Строжевский
Вверх
WWW
Offline Новожилова Елена  
#3 Оставлено : 11 ноября 2013 г. 16:13:48(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Да, конечно. Если OCSP-ответ подписан не центром сертификации, выпустившим сертификат, и не службой OCSP, сертификат которой выпущен тем же центром сертификации, что и проверяемый сертификат, то такой OCSP-ответ принят не будет.
Вверх
Offline Юрий  
#4 Оставлено : 11 ноября 2013 г. 16:30:14(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: Новожилова Елена Перейти к цитате
Да, конечно. Если OCSP-ответ подписан не центром сертификации, выпустившим сертификат, и не службой OCSP, сертификат которой выпущен тем же центром сертификации, что и проверяемый сертификат, то такой OCSP-ответ принят не будет.

Однако ради информации должен сказать, что на самом деле существует возможность настройки Крипто-Про OCSP клиента при которой он будет воспринимать ответы от определенного набора OCSP серверов как доверенные, для любого удостоверяемого сертификата.
С уважением,
Юрий Строжевский
Вверх
WWW
thanks 1 пользователь поблагодарил Юрий за этот пост.
MCR оставлено 12.11.2013(UTC)
Offline Новожилова Елена  
#5 Оставлено : 14 ноября 2013 г. 15:45:24(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Так и есть и такое поведение описано в RFC 2560, пп. 4.2.2:

Systems or applications that rely on OCSP responses MUST be capable
of detecting and enforcing use of the id-ad-ocspSigning value as
described above. They MAY provide a means of locally configuring one
or more OCSP signing authorities, and specifying the set of CAs for
which each signing authority is trusted. They MUST reject the
response if the certificate required to validate the signature on the
response fails to meet at least one of the following criteria:

1. Matches a local configuration of OCSP signing authority for the
certificate in question; or

2. Is the certificate of the CA that issued the certificate in
question; or

3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question."
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET