Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
Отключение проверки срока действия приватного ключа в КриптоПро JCP на linux через терминал
Статус: Участник
Группы: Участники
Зарегистрирован: 29.08.2018(UTC)
Сообщений: 12
Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 2 раз в 1 постах
|
Коллеги, добрый день.
Подскажите, пожалуйста:
1. В панели управления настройками JCP есть возможность отключить проверку срока действия приватного ключа. Можно ли сделать это на linux через терминал?
2. Будет ли считаться валидной ЭП типа cades-t, если она была сформирована ключом с истекшим сроком действия, но с валидным сертификатом?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Здравствуйте. Автор: Mikhail0101 
1. В панели управления настройками JCP есть возможность отключить проверку срока действия приватного ключа. Можно ли сделать это на linux через терминал?
2. Будет ли считаться валидной ЭП типа cades-t, если она была сформирована ключом с истекшим сроком действия, но с валидным сертификатом?
1. Да. Примеры: А) для JCP-2.0 в java 7-8 под управлением администратора: Код:
включить усиленный контроль:
JRE_with_JCP/bin/java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/tools/Control -key StrengthenedKeyUsageControl -value true
отключить усиленный контроль:
JRE_with_JCP/bin/java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/tools/Control -key StrengthenedKeyUsageControl -value false
включить проверку срока действия ключа:
JRE_with_JCP/bin/java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/Key -key InternalGostPrivateKey_class_default -value true
отключить проверку срока действия ключа:
JRE_with_JCP/bin/java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/Key -key InternalGostPrivateKey_class_default -value false
Б) для JCP-2.0-A в java 10+ под управлением пользователя, использующего JCP: Код:
включить усиленный контроль:
JDK10+/bin/java ru.CryptoPro.JCP.Util.SetPrefs -user -node ru/CryptoPro/JCP/tools/Control -key StrengthenedKeyUsageControl -value true
отключить усиленный контроль:
JDK10+/bin/java ru.CryptoPro.JCP.Util.SetPrefs -user -node ru/CryptoPro/JCP/tools/Control -key StrengthenedKeyUsageControl -value false
включить проверку срока действия ключа:
JDK10+/bin/java ru.CryptoPro.JCP.Util.SetPrefs -user -node ru/CryptoPro/JCP/Key -key InternalGostPrivateKey_class_default -value true
отключить проверку срока действия ключа:
JDK10+/bin/java ru.CryptoPro.JCP.Util.SetPrefs -user -node ru/CryptoPro/JCP/Key -key InternalGostPrivateKey_class_default -value false
2. В ПО обычно встроена проверка срока действия ключа, ключ должен быть действителен на момент создания подписи. Отредактировано пользователем 23 декабря 2020 г. 12:55:52(UTC)
| Причина: Не указана |
|
 3 пользователей поблагодарили Евгений Афанасьев за этот пост.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: Евгений Афанасьев 2. В ПО обычно встроена проверка срока действия ключа, ключ должен быть действителен на момент создания подписи. Добавлю, что для ключей, которых нет на текущем компьютере, срок действия ключа можно узнать только по соответствующему расширению сертификата, указанному УЦ. С другой стороны, у УЦ нет точного способа узнать срок действия ключа на компьютере владельца. Вариант указать срок действия закрытого ключа в запросе на сертификат большинство УЦ не поддерживают, где-то программное обеспечение не позволяет передать такие сведения, где-то не доверяют расширениям из запроса (с временем на локальном компьютере можно поиграть, как помните "годовые" лицензии Аваст до 2099 года, получаемые если перевести время на 2098 год и работающие если вернуть обратно на 2010 год). Получается у УЦ срок либо отсчитывается с подачи запроса на сертификат в УЦ либо программное обеспечение, предоставленное УЦ, в рамках одной транзакции генерирует ключ и сразу отправляет запрос в УЦ. Фактически получится то же самое время подачи запроса на сертификат в УЦ (по часам УЦ), но без возможности использовать существующий ключ повторно и тем самым играть со временем. В итоге, если у Вас локально истек срок действия закрытого ключа, указанный в контейнере, но еще не истек срок действия ключа в сертификате, то при любой удаленной проверке подписи проблем не возникнет. Ориентируйтесь на срок действия ключа в сертификате при определении цесообразности отключения контроля срока ключа в контейнере. Обратите внимание что криптопровайдер ставит срок 15 месяцев для ключа, но сертификата в этот момент еще нет. Поэтому УЦ может фактически выдать сертификат на 12 месяцев и тогда возможна обратная ситуация: в сертификате срок ключа меньше чем в контейнере. Отредактировано пользователем 25 декабря 2020 г. 8:28:10(UTC)
| Причина: Не указана
|
2 пользователей поблагодарили two_oceans за этот пост.
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
Отключение проверки срока действия приватного ключа в КриптоПро JCP на linux через терминал
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
