Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2023(UTC) Сообщений: 4 
|
При переходе с CSP 4.0 на JCP 2.0 для проверки ЭЦП столкнулись с проблемой - различное поведение при проверке сертификата по спискам отзывов: JCP при отсутствии валидной/актуальной на дату подписи CRL возвращает, неопределённый статус сертификата и, как следствие, признаёт подпись недействительной. В то же время CSP признаёт такой сертификат и подпись корректными. В обоих случаях crlDP не используются, актуальные CRL добавляются вручную. Версия CSP: Product version 4.0.9963 CSP core version: 4.0.9019 KC1 Версия JCP: 2.0.40450-A Пример: Сообщение было подписано в 05.12.2022 09:09:40 (дата указана в атрибуте signingTime). Список отзыва УЦ, выпустившего сертификат валиден с 5.12.2022 22.51.09 по 6.12.2022 12.22.06, т.е. сообщение было подписано до начала действия списка отзыва, предыдущий список отзыва (актуальный на дату подписания) был перезаписан новым. Сам сертификат валиден на дату подписи и не отозван. При таких условиях JCP возвращает ошибку построения цепочки сертификатов "SunCertPathBuilderException: unable to find valid certification path to requested target", при этом, если в режиме отладки при проверке подписи в JCP заменить дату на попадающую в интервал действия CRL, сертификат и подпись проверяются как корректные, т.е. очевидно причина ошибки в недействительности имеющегося списка отзыва на дату подписания. В то же время при аналогичных условиях CSP проверяет подпись этого сообщения, как корректную (вероятно игнорирую интервал действия списка отзыва). Чем обусловлено данное различие в поведении и какое поведение считать корректным? Отредактировано пользователем 20 января 2023 г. 9:16:23(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,223 Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 290 раз в 270 постах
|
В csp можно проверить только математику без цепочки и отзыва |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2023(UTC) Сообщений: 4
|
При проверке ЭЦП требуется валидировать и цепочку, и отзыв (вариант не проверять что-то из этого не интересует).
Поэтому важно понять, для описанного выше примера, когда отсутствует CRL, актуальный на дату подписи (в том числе, если есть CRL, но с effective date большей даты подписи)
какое поведение корректно и почему:
1. Признавать подпись недействительной из-за неопределённого статуса отзыва сертификата, т.к. не нашлось подходящего CRL (как JCP)
2. Или считать такой сертификат неотозванным и признавать подпись действительной (как CSP)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
Чтобы ответить на эти вопросы, надо представить, какие конфликты должна разрешать подпись. Обычно когда хотят избавиться от спорных ситуаций, используют xlong type-1. Именно потому, что CRL не позволяет устранить множество конфликтных моментов. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2023(UTC) Сообщений: 4
|
ЭЦП используется при обмене юридически значимой информацией между несколькими системами. Применяется формат подписи CAdES-BES и изменять его возможности нет.
На текущей момент, для проверки отзыва сертификата применяется CRL, однако рассматриваем так же в качестве альтернативы OCSP.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
Если вы используете cades-bes это автоматически означает, что
* вы не знаете, когда именно была проставлена подпись
* достоверно проверить легитимность подписи на момент в прошлом вы не можете
То есть такая подпись подходит для немедленной её проверки и может считаться действительной только прямо сейчас. Если повезёт и сертификат подписавшего не отзвовут, то подпись продолжит сохранять значимость до окончания срока сертификата. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.01.2023(UTC) Сообщений: 4
|
Замечание справедливое, рассмотрим возможность использование TSP-сервера для проверки подписи в прошлом. Тем не менее, на текущий момент нужно понять, как всё-таки в описанном примере должна производиться проверка по спискам отзыва и почему. Отредактировано пользователем 24 января 2023 г. 15:31:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
