Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123
jcp-2.0.40450-A проверка CAdESSignature unable to find valid certification path - SunCertPathBuilderException: unable to find valid certification path to requested target (33)
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline two_oceans  
#21 Оставлено : 13 апреля 2020 г. 6:02:58(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: ks123 Перейти к цитате
Автор: two_oceans Перейти к цитате
... Ну или 3) серверу времени, который управляется мошенниками (или мошенники имею доступ к закрытому ключу), доверять нельзя.
А в чем тогда отличие от CAdES_X_Long_Type_1? Если я правильно понял что тут написано: https://www.strozhevsky.com/free_docs/CAdES.pdf добавляется "long-term-validation" аттрибут, который закрывает возможность манипуляций меткой времени? (ну помимо того что там должны присутствовать все данные для проверки доказательств)
Пожалуйста. Если в двух словах - то согласно 3) если компрометируется сертификат сервера доверенного времени, то метки времени от него в CADES-T будут недействительны и достоверность подписи будет сомнительна. Новые ответы от удостоверяющего центра уже будут показывать что сертификат сервера доверенного времени отозван.

Чтобы обойти эту ситуацию в подпись включаются доказательства - а именно ответы удостоверяющего центра на момент создания подписи. Этакая "машина времени". Они подписаны сертификатом УЦ, то есть компрометация сервера доверенного времени их не коснется и это подтвердит что на такой-то момент времени сертификат сервера доверенногго времени не был отозван. Такая подпись будет действовать пока действителен сертификат УЦ, который выдавал сертификат сервера доверенного времени.

Кроме того, могут быть включены и доказательства на клиентский сертификат. Меток времени может быть несколько чтобы компрометация одного сервера доверенного времени не тянула "эффектом домино" недействительность множества подписей. Тут уже можно теоретически попробовать включить метки разных алгоритмов.
Вверх
thanks 1 пользователь поблагодарил two_oceans за этот пост.
ks123 оставлено 13.04.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET