Статус: Новичок
Группы: Участники
Зарегистрирован: 08.07.2019(UTC) Сообщений: 9 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Добрый день! Имеется подпись в формате CAdES-BES. Проверка выполняется при помощи КриптоПро JCP 2.0.40035. Онлайн валидация отключена, на вход методу проверки подписи подаётся цепочка сертификатов и списки отозванных сертификатов (CRL). В случае с актуальными CRL проверка проходит успешно. Если же передать истёкший CRL, но действующий на момент подписи документа, то проверка завершается ошибкой: Цитата:For online validation by CRLDP parameter 'com.sun.security.enableCRLDP' (Oracle) or 'com.ibm.security.enableCRLDP' (IBM) must be set 'true' to enable or 'ocsp.enable' must be set 'true' (OCSP), or CRL passed for offline validation; error codes: [44] 'Certificate status is unknown or revoked'
Есть ли возможность указать дату, на момент которой сертификат должен быть проверен на отзыв? В идеале, конечно, было бы использовать дату подписи из самой подписи. Или же отключить вообще проверку по CRL (чтобы реализовать её самому)? Код проверки: Код:CAdESSignature cAdESSignature = new CAdESSignature(
signStream,
dataStream,
null
);
try {
cAdESSignature.verify(
((cadesType == CAdESType.CAdES_X_Long_Type_1) || (cadesType == CAdESType.CAdES_A))
? Collections.<X509Certificate>emptySet()
: certificates,
((cadesType == CAdESType.CAdES_X_Long_Type_1) || (cadesType == CAdESType.CAdES_A))
? Collections.<X509Certificate>emptySet()
: crlSet
);
}
catch (CAdESException ex) {
...
}
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,195 Сказал(а) «Спасибо»: 100 раз Поблагодарили: 274 раз в 254 постах
|
Добрый день! для подписей формата xlt1 и cades-a проверяется внешняя цепочка штампов времени. остальные доказательства на другие сертификаты, в том числе на сертификат подписанта, уже есть в подписи и они проходят проверку. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.07.2019(UTC) Сообщений: 9 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Санчир, спасибо за отклик! Но ответа я так и не увидел.
В подпись НЕ включается CRL, только цепочка сертификатов. CRL передаётся методу проверки подписи (оффлайн валидация). В случае с действительным CRL проверка успешна, а с истёкшим - нет. Но! Данный CRL был актуальным на момент подписи. Как заставить проверку использовать дату из подписи или, в крайнем случае, каким-либо способом переданную?
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,195 Сказал(а) «Спасибо»: 100 раз Поблагодарили: 274 раз в 254 постах
|
Автор: Vlad_Alymov Санчир, спасибо за отклик! Но ответа я так и не увидел.
В подпись НЕ включается CRL, только цепочка сертификатов. CRL передаётся методу проверки подписи (оффлайн валидация). В случае с действительным CRL проверка успешна, а с истёкшим - нет. Но! Данный CRL был актуальным на момент подписи. Как заставить проверку использовать дату из подписи или, в крайнем случае, каким-либо способом переданную? никак, только на текущее время. вы передаете crl для проверки внешнего штампа времени. в подписи лежит ocsp ответ на сертификат подписанта. можете попробовать подписать использовав другую службу штампов времени. к примеру тестовую. и потом по сету crl определить что их недостаточно для проверки xlt1 подписи |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.07.2019(UTC) Сообщений: 9 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Мне кажется, есть недопонимание. Мы НЕ используем службу штампа времени, у нас CAdES-BES, просто среди подписываемых атрибутов дата подписи тоже есть. CRL мы передаём для проверки валидности сертификата подписанта, но нам нужно знать валидность на момент подписи, какой статус сейчас - нам не интересно.
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,195 Сказал(а) «Спасибо»: 100 раз Поблагодарили: 274 раз в 254 постах
|
это особенность формата cades-bes. всегда нужны crl на текущую дату если вам интересно какая была валидность в момент подписи используйте xlt1 |
|
1 пользователь поблагодарил Санчир Момолдаев за этот пост.
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close