Статус: Участник
Группы: Участники
Зарегистрирован: 20.02.2018(UTC) Сообщений: 22  Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день, столкнулись с проблемой разбора подписей CAdES-A, полученных в КриптоПро JCP (проверяли на 2.0.41664-A) Выяснилось что проблема в атрибуте atsHashIndex архивного штампа времени. В стандарте CAdES для него определен следующий синтаксис Цитата:ATSHashIndex ::= SEQUENCE {
hashIndAlgorithm AlgorithmIdentifier DEFAULT {algorithm id-sha256},
certificatesHashIndex SEQUENCE OF OCTET STRING,
crlsHashIndex SEQUENCE OF OCTET STRING,
unsignedAttrsHashIndex SEQUENCE OF OCTET STRING} Для типа AlgorithmIdentifier в RFC5280 (на него ссылаются стандарты CMS и CAdES) определен синтаксис: Цитата: AlgorithmIdentifier ::= SEQUENCE {
algorithm OBJECT IDENTIFIER,
parameters ANY DEFINED BY algorithm OPTIONAL } Однако, в подписи CAdES-A, сформированной JCP, мы видим следующую картину  atshashindex.png (18kb) загружен 20 раз(а).Вместо структуры AlgorithmIdentifier в архивный штамп времени вставлен просто OBJECT IDENTIFIER с ид алгоритма хеширования. При этом в других местах, где стандарт предписывает использовать AlgorithmIdentifier - он используется. Например, в алгоритме отпечатка этого же самого архивного штампа времени. Более того, в документации Росстандарта размещенной на сайте КриптоПро (например ИСПОЛЬЗОВАНИЕ АЛГОРИТМОВ ГОСТ 28147-89, ГОСТ Р 34.11 И ГОСТ Р 34.10 В КРИПТОГРАФИЧЕСКИХ СООБЩЕНИЯХ ФОРМАТА CMS https://www.cryptopro.ru...roducts/tls/tk26cms.pdf) утверждается, что Цитата:В структуре AlgorithmIdentifier ДОЛЖНО присутствовать поле parameters, и оно ДОЛЖНО содержать значение NULL Т.е. архивный штамп времени не соответствует не только стандарту CAdES, но и рекомендациям Росреестра, да и видимо политике самой компании КриптоПро. В результате подписи CAdES-A, полученные в JCP, не удается проверить сторонними средствами. Так и подписи, полученные сторонними средствами, не удается проверить в JCP. Хотелось бы увидеть узнать почему так получилось, и будет ли это исправлено в дальнейшем?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Здравствуйте.
Большое спасибо за информацию! В ближайшее время будет сделана необходимая проверка на соответствие стандарту и исправления. После выполнения отпишемся о результатах. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 24.04.2018(UTC) Сообщений: 24 Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 9 раз в 6 постах
|
Добрый вечер.
Проверили Вашу информацию.
Действительно, в поле hashIndAlgorithm записывался OBJECT IDENTIFIER вместо AlgorithmIdentifier.
Эту ошибку исправили, теперь в это поле записывается следующее:
SEQUENCE {
algorithm OBJECT IDENTIFIER
}
Параметры по стандарту RFC являются опциональными, потому не записываются.
Исправления будут доступны в следующем релизе.
Если у Вас есть возможность проверить раньше, просим Вас прислать почтовый адрес для отправки архива с исправлениями.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.02.2018(UTC) Сообщений: 22 Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день.
Вышлите пожалуйста исправления на Polin_AY [собака] directum.ru
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.02.2018(UTC) Сообщений: 22 Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Проверили исправленную версию. Проблемы с AlgorithmIdentifier нет. Но есть проблемы с расчетом хеша неподписываемых атрибутов в atsHashIndex и messageImprint для архивного штампа времени. Подробнее написал Вам в письме.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
