Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline strij911  
#1 Оставлено : 11 ноября 2020 г. 9:23:29(UTC)
strij911

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.11.2019(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Добрый день!
Возможно, тема уже обсуждалась, но не смог найти.
Вопрос вот какой: есть договор, подписанный компанией и клиентом, подписан с УКЭП + штамп времени. Пользователь его скачал и хранит у себя. Если сертификат сервера времени истечет, а пользователь сам не переподпишет с новым сертификатом TSP, получается ЭЦП станет невалидной? Есть ли какое-то решение этого вопроса?
Offline Андрей *  
#2 Оставлено : 11 ноября 2020 г. 10:57:11(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.

Что такое невалидная подпись? Есть определение?
Она как была, так и останется математически корректной. То, что сертификат истёк на момент проверки - другой текст "ошибки" должен быть.

Обычно сертификаты tsp служб имеют большой срок действия. Или необходимо обеспечивать больше 10-15 лет?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#3 Оставлено : 11 ноября 2020 г. 10:58:57(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: strij911 Перейти к цитате
Добрый день!
Возможно, тема уже обсуждалась, но не смог найти.
Вопрос вот какой: есть договор, подписанный компанией и клиентом, подписан с УКЭП + штамп времени. Пользователь его скачал и хранит у себя. Если сертификат сервера времени истечет, а пользователь сам не переподпишет с новым сертификатом TSP, получается ЭЦП станет невалидной? Есть ли какое-то решение этого вопроса?


OCSP? CAdES XLong1 не используется?
Техническую поддержку оказываем тут
Наша база знаний
Offline strij911  
#4 Оставлено : 11 ноября 2020 г. 11:10:22(UTC)
strij911

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.11.2019(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Автор: Андрей * Перейти к цитате

Обычно сертификаты tsp служб имеют большой срок действия. Или необходимо обеспечивать больше 10-15 лет?


Например, договор купли-продажи. Он же должен быть бессрочным, иначе через 10 лет человек может его оспорить?

Offline two_oceans  
#5 Оставлено : 11 ноября 2020 г. 11:31:25(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: strij911 Перейти к цитате
Автор: Андрей * Перейти к цитате

Обычно сертификаты tsp служб имеют большой срок действия. Или необходимо обеспечивать больше 10-15 лет?

Например, договор купли-продажи. Он же должен быть бессрочным, иначе через 10 лет человек может его оспорить?
Принципиально да, дело даже не в математической корректности или истечении какого-либо сертификата. Дело в устаревании криптографических алгоритмов. То что сейчас считается надежным, очень вероятно через 30 лет сможет решить первоклассник на калькуляторе. Вспомните какие объемы памяти были у компьютеров в начале 90-х и сравните какие сейчас. Сейчас Джонни-Мнемоник вызывает лишь сожаление.

Для долговременных документов есть еще более сложный формат подписи cades-A (последней версии). Там используются разные идеи в том числе приложение списков отзыва на момент подписания, что дает срок сравнимый с периодом действия корневого сертификата. Тем не менее необходимости переподписания более совершенными алгоритмами это не отменяет.

Это если хранить документ отдельно. Однако сейчас немалую популярность набирают блокчейны (криптовалюты и биткоин как самый известный блокчейн). Смысл в том, что документы хранятся в цепочке, разделенной на блоки и данные хэша от предыдущего блока (вместе с новой порцией документов) используются при вычислении хэша следующего блока. Если документ где-то в середине цепочки, то чтобы его изменить надо пересчитать все блоки или изменить документы добавленные позже. Цепочка хранится в нескольких экземплярах, что тоже затрудняет изменение. За 10 лет таких документов может набраться столько, что задача станет непосильной. Все несекретные документы можно хранить таким образом.

Отредактировано пользователем 11 ноября 2020 г. 11:48:31(UTC)  | Причина: Не указана

Offline nikolkas_spb  
#6 Оставлено : 11 ноября 2020 г. 11:42:13(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Насколько я помню принцип работы АРМ разбора, входящей в комплект поставки УЦ, то туда загружаются
ВСЕ сертификаты, которые действовали на момент подписания, и АРМ делает вывод подлинности подписи.
Это не зависит от текущей даты проведения проверки. Если вся цепочка действительна, то подпись валидна.
Цена свободы - вечная бдительность!
Offline strij911  
#7 Оставлено : 11 ноября 2020 г. 12:03:43(UTC)
strij911

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.11.2019(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Возможно, действительно стоит в сторону CAdES-A смотреть. А КриптоПро научилось с ней работать?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.