Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline migel  
#1 Оставлено : 28 марта 2023 г. 11:15:19(UTC)
migel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2019(UTC)
Сообщений: 43
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
Доброго всем.
Возникло некоторое непонимание при создании CAdES-t подписи с помощью CryptoAPI
Прочитав https://www.ietf.org/rfc/rfc5126.html реализовал добавление ответа TSP сервера с созданную CAdES-BES подпись.
Проблема в проверке созданного контейнера:
сервис https://www.justsign.me/verifyqca/Verify/
отвечает
Цитата:
Подпись имеет признаки подписи формата CAdES-T, но не соответствует им полностью. Не удалось проверить подпись CAdES-T. Ошибка: [Элемент не найден]. Код: [0x80070490].

Что характерно та же ошибка пишется и на CMS созданный тестовым контуром
CryptoPro.
Как понять чего ему не хватает?
Примеры signatures.zip (6kb) загружен 3 раз(а).
cades_cp.p7 - сообщение созданное плагином
cades-t.PKCS7 - мое
Offline migel  
#2 Оставлено : 29 марта 2023 г. 10:42:54(UTC)
migel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2019(UTC)
Сообщений: 43
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
в догонку...
Подпись созданная КриптоАРМ тоже не валидируется сервисом криптоПро.Shame on you
Offline Андрей *  
#3 Оставлено : 31 марта 2023 г. 14:32:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Здравствуйте.

Автор: migel Перейти к цитате
Доброго всем.
Возникло некоторое непонимание при создании CAdES-t подписи с помощью CryptoAPI
Прочитав https://www.ietf.org/rfc/rfc5126.html реализовал добавление ответа TSP сервера с созданную CAdES-BES подпись.
Проблема в проверке созданного контейнера:
сервис https://www.justsign.me/verifyqca/Verify/
отвечает
Цитата:
Подпись имеет признаки подписи формата CAdES-T, но не соответствует им полностью. Не удалось проверить подпись CAdES-T. Ошибка: [Элемент не найден]. Код: [0x80070490].

Что характерно та же ошибка пишется и на CMS созданный тестовым контуром
CryptoPro.
Как понять чего ему не хватает?
Примеры signatures.zip (6kb) загружен 3 раз(а).
cades_cp.p7 - сообщение созданное плагином
cades-t.PKCS7 - мое


КриптоАРМ выдает ошибку на cades-t.PKCS7, верно?
А вот cades_cp.p7 - успешно проверяется штамп.
Техническую поддержку оказываем тут
Наша база знаний
Offline migel  
#4 Оставлено : 31 марта 2023 г. 14:45:20(UTC)
migel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2019(UTC)
Сообщений: 43
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
Автор: Андрей * Перейти к цитате
Здравствуйте.

КриптоАРМ выдает ошибку на cades-t.PKCS7, верно?
А вот cades_cp.p7 - успешно проверяется штамп.


Доброго..
да так, за одним но - я точно знаю что я подписывал просроченым ключом.. и с формированием
ASN1 у меня могут быть проблемы.
Вопрос в чем заковыка при проверке на сайте того же cades_cp.p7?
Ему не хватает перечисления алгоритмов дайджеста? или еще чего?

Отредактировано пользователем 31 марта 2023 г. 14:58:47(UTC)  | Причина: Не указана

Offline migel  
#5 Оставлено : 4 апреля 2023 г. 17:47:20(UTC)
migel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2019(UTC)
Сообщений: 43
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
Продолжаем изыскания.
Сервис DSS валидирует cades-cp.p7s (созданный плагином)
с этим понятно.
Созданный мною по rfc5126 не хочет.
Раскапывая cades-cp.p7s обнаружил что штамп времени расширен неподписываемыми атрибутами:

1.2.840.113549.1.9.16.2.21
1.2.840.113549.1.9.16.2.22
1.2.840.113549.1.9.16.2.24
1.2.840.113549.1.9.16.2.23

В ответе от http://testca.cryptopro.ru/tsp/tsp.srf на мой запрос этого нет
Следовательно возникает вопрос - эти атрибуты нужно добавлять к штампу времени на стороне клиента?
И если так то на основании какого стандарта?
В приложеном архиве сформированая подпись + ответ сервера TSP
asn.zip (4kb) загружен 0 раз(а).

Отредактировано пользователем 4 апреля 2023 г. 18:13:47(UTC)  | Причина: Не указана

Offline Андрей *  
#6 Оставлено : 4 апреля 2023 г. 18:47:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,318
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: migel Перейти к цитате

В ответе от http://testca.cryptopro.ru/tsp/tsp.srf на мой запрос этого нет


А зачем использовать этот адрес? Он на базе ГОСТ 2001.



Используйте один из:
http://qs.cryptopro.ru/tsp/tsp.srf
http://pki.tax.gov.ru/tsp/tsp.srf


Техническую поддержку оказываем тут
Наша база знаний
Offline migel  
#7 Оставлено : 4 апреля 2023 г. 19:04:13(UTC)
migel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2019(UTC)
Сообщений: 43
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
Автор: Андрей * Перейти к цитате
Автор: migel Перейти к цитате

В ответе от http://testca.cryptopro.ru/tsp/tsp.srf на мой запрос этого нет

...
http://qs.cryptopro.ru/tsp/tsp.srf
http://pki.tax.gov.ru/tsp/tsp.srf



Дабы соблюсти чистоту эксперимента - плагин использовал этот сервер...
но это мелочи - откуда атрибуты в штампе то?

Offline migel  
#8 Оставлено : 5 апреля 2023 г. 9:02:21(UTC)
migel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2019(UTC)
Сообщений: 43
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
Продолжаем продолжать
если убрать неподписываемые атрибуты со штампа времени с cades-cp.p7s то сервис валидации выдает следующее
"Подпись успешно проверена. В подписи есть признаки формата CAdES-T, но подпись не соответствует всем требованиям формата. Подпись была проверена без учёта формата CAdES-T. Не удалось проверить подпись CAdES-T. Ошибка: [Элемент не найден]. Код: [0x80070490]. "
Отсюда следует вывод о том, что штамп времени должен быть сам подписан подписью CAdES-X LongType (кмк).
Вопрос где почитать про это требование?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.