Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 35  Откуда: Москва Сказал «Спасибо»: 7 раз
|
Сертификат OCSP службы, при формировании архивной метки времени, не попадает в результирующую подпись. Проверка подписи CAdES-A v3 сторонними средствами выполняется с ошибкой. Подпись "КриптоПро CAdES-A v3.p7s" (  CAdES-Av3.zip (14kb) загружен 4 раз(а). прилагается) сформирована с помощью утилиты КриптоПро cryptcp.x64.exe, версии 5.0.12278.0 Версия КриптоПро: 5.0.13300 КС1 Точнее, сертификат OCSP службы попадает в подпись, но имеет некорректную ссылку в OCSP ответе, хранящегося в неподписываемом certificate-revocation-values атрибуте 'id-aa-ets-revocationValues'. OCSP ответ содержит ссылку на сертификат по полю BasicOCSPResponse/tbsResponseData/responderID::[2]/KeyHash::OCTET STRING, в котором указано значение, равное значению дополнения subjectKeyIdentifier (2.5.29.14) сертификата OCSP службы. А должно быть SHA-1 хеш-значение открытого ключа. Вот из спецификации RFC 2560: KeyHash ::= OCTET STRING --SHA-1 hash of responder's public key (excluding the tag and length fields) А вот из методических рекомендаций ТК26: ResponderID ::= CHOICE
{
byName [1] Name,
byKey [2] KeyHash
}
Где поле byKey структуры ResponderID имеет тип KeyHash и должно содержать хэш-код, вычисленный от поля subjectPublicKey сертификата службы OCSP (см. Р 1323565.1.023–2018, пункт 5.2) с использованием алгоритма хэширования SHA-1. При вычислении хэш-кода следует исключить тег и длину указанного поля. Результат должен быть представлен в виде OCTET STRING и закодирован в DER.
Вероятно, при вычислении хеш-значения, вы исключили из данных открытого ключа не только тег и длину поля, но и байт неиспользуемых бит. Возможно это ошибка, проверьте пожалуйста.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 926  Откуда: Крипто-Про Поблагодарили: 101 раз в 96 постах
|
Здравствуйте!
Из вашего сообщения видно, что указанный сертификат OCSP-службы всё-таки в подпись попадает.
Но ссылка на него не принимается неким "сторонним приложением" из-за несовпадения хэш-значения в поле keyHash структуры ResponderID.
Я правильно поняла?
По хэш-значению - это значение в ответ кладёт служба OCSP. Какая служба использовалась?
В наших службах вычисляется хэш-значение открытого ключа, указанного в поле SubjectPublicKeyInfo сертификата службы OCSP.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 35 Откуда: Москва Сказал «Спасибо»: 7 раз
|
Цитата:Я правильно поняла? Да Цитата:Какая служба использовалась? Я приложил сертификат idCryptoPro.cer вместе с подписью в фале CAdES-Av3.zip Сертификат выпущен "Тестовый УЦ ООО "КРИПТО-ПРО"" на сайте https://testgost2012.cryptopro.ru/certsrv/В дополнении "Authority Information Access" сертификата указаны следующие OCSP службы: Сертификат OCSP службы "Operator ocsp2012g", попавший в архивную подпись, прикладываю operocsp.zip (1kb) загружен 1 раз(а).Возможно, эта службы некорректно формирует OCSP ответ, с неправильным значением поля KeyHash. P.S. Подпись сформирована утилитой cryptcp.x64.exe. Т.е. весь инструментарий от КриптоПро
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 926 Откуда: Крипто-Про Поблагодарили: 101 раз в 96 постах
|
|
 2 пользователей поблагодарили Новожилова Елена за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 35 Откуда: Москва Сказал «Спасибо»: 7 раз
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
