Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline ACS_fess  
#1 Оставлено : 19 августа 2011 г. 13:37:29(UTC)
ACS_fess

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2011(UTC)
Сообщений: 1
Откуда: Екатеринбург

Здравствуйте.

Есть сервер проверки сертификатов на базе КриптоПро OSCP.
Есть задача реализовать проверку статуса сертификата на заданную дату при помощи этого сервера.
Просто проверить сертификат с использованием OCSP мы знаем как.
Но как проверить его статус именно на определенную дату?
Подскажите пожалуйста, куда смотреть, какие функции использовать или ткните пож. в документацию?
Offline Femi  
#2 Оставлено : 19 августа 2011 г. 14:19:25(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Средствами нашего OCSP никак.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline dert  
#3 Оставлено : 19 августа 2011 г. 14:42:13(UTC)
dert

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2011(UTC)
Сообщений: 4
Откуда: RUS

Хмм. а как тогда быть?
Есть документ, подписанный ЭЦП. При подписи использовался TSP, т.е. в значение ЭЦП встроена метка времени.
Прошло полгода. сертификат уже отозван.
Как проверить, что в момент подписи сертификат действовал и подпись корректна.

УЦ построен на продуктах Крипто-Про.

Отредактировано пользователем 19 августа 2011 г. 14:44:48(UTC)  | Причина: Не указана

Offline Femi  
#4 Оставлено : 19 августа 2011 г. 15:05:15(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Надо было УЭЦП делать :)
Техническую поддержку оказываем тут.
Наша база знаний.
Offline dert  
#5 Оставлено : 19 августа 2011 г. 15:44:47(UTC)
dert

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2011(UTC)
Сообщений: 4
Откуда: RUS

Упс.
А вот с этим мы не разбирались :(
Пытались делать запросы к OCSP с использованием класса CExtHistoricalRequest.
А можно ссылку на описание использования УЭЦП?
с ходу не нашел :(
что делать, чтобы получать требуемый результат? (проверку подлинности ЭЦП на требуемый момент времени).

Отредактировано пользователем 19 августа 2011 г. 15:45:36(UTC)  | Причина: Не указана

Offline Femi  
#6 Оставлено : 19 августа 2011 г. 15:52:38(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Чтобы Вам проверить статус сертификата в тот момент времени(в штампе который):
1. Вопользоваться,например, Армом разбора конфликтных ситуаций(если сертификат получали в нашем УЦ, то мы такую услугу можем оказать. Или если Ваш УЦ -КриптоПро УЦ, можно данный сервис установить и такую проверку осуществить)
2. Обратиться в УЦ, в котором получали сертификат с запросом - какое время был действителен данный сертификат- Вам дадут ответ-с такого-то время по такое, не отзывался в промежуток этот и не приостанавливался. Если время создания подписи попадает в этот промежуток-то соответственно и тогда он был действителен

С OCSP этого осуществить никак нельзя.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline dert  
#7 Оставлено : 19 августа 2011 г. 17:16:07(UTC)
dert

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2011(UTC)
Сообщений: 4
Откуда: RUS

Спасибо за консультацию.
мы пока в процессе разработки решений...
УЦ внутри организации.
модернизируется система обмена документами.
часть из них уже подписана ЭЦП.
Храниться они будут долго. Сертификаты могут отзываться до окончания срока действия (напр. человек уволился)
Задача именно автоматизировать процесс проверки ЭЦП.
С учетом архивных документов и статуса сертификата на момент подписи...
и желательно было бы обойтись без локальных CRL.

Почему-то возникла мысль, что можно обойтись OCSP... Brick wall
Попробуем посмотреть в сторону УЭЦП.
Только насколько будут совместимы документы с обычной ЭЦП и с УЭЦП с точки зрения проверки?
Offline Femi  
#8 Оставлено : 19 августа 2011 г. 17:49:30(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
OCSP-служба онлайн проверки статуса сертификата.
Но в состав УЭЦП входит OCSP и TSP -ответы. Обойдетесь без CRL.

Про архивное хранение можно тут почитать:
http://www.cryptopro.ru/....aspx?g=posts&t=3611
Цитата:
Только насколько будут совместимы документы с обычной ЭЦП и с УЭЦП с точки зрения проверки?

Не совсем поняла.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline dert  
#9 Оставлено : 19 августа 2011 г. 18:27:38(UTC)
dert

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2011(UTC)
Сообщений: 4
Откуда: RUS

Femi написал:
OCSP-служба онлайн проверки статуса сертификата.

Да. я понимаю.
Просто у нас была информация, что он вроде как может предоставить стстус не только на текущий момент, но и на указанную дату.
ввели в заблуждение ... :(

Femi написал:
Но в состав УЭЦП входит OCSP и TSP -ответы. Обойдетесь без CRL.

А где можно глянуть описание работы с УЭЦП?
последовательность действий при создании подписи и при ее последующей проверке?

Цитата:
Только насколько будут совместимы документы с обычной ЭЦП и с УЭЦП с точки зрения проверки?

Femi написал:
Не совсем поняла.

это я уже задумался про реализацию.
вопрос возник из-за того, что не совсем понятен механизм работы с УЭЦП в целом.
ведь, как я понимаю, структура УЭЦП отличается от ЭЦП.
При проверке ЭЦП и УЭЦП должны вызываться одни и те же функции?
или придется ЭЦП проверять одним набором функций, а ЭЦП другим?

Спасибо за ссылку. буду изучать.
Offline i25061  
#10 Оставлено : 23 августа 2011 г. 14:59:40(UTC)
i25061

Статус: Участник

Группы: Участники
Зарегистрирован: 09.03.2011(UTC)
Сообщений: 28
Мужчина
Откуда: Екатеринбург

Сказал «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Femi написал:
Чтобы Вам проверить статус сертификата в тот момент времени(в штампе который):
[...удалено...]
С OCSP этого осуществить никак нельзя.
Хотелось бы понять, принципиально нельзя?
Тогда какой смысл имеет класс CryptoPro::PKI::OCSP::CExtHistoricalRequest, описание которого фигурирует в заголовочном файле ocsp.h, который содержится в ocspsdk. Привожу комментарий к этому классу:
/**
* \brief Расширение Historical Request
*
* Запрос состояния сертификата на определенный момент в прошлом.
*
* \sa CExtValue, CExtension
*/
Если попробовать запустить утилиту "ocsputil.exe makereq --help", она выдаёт:
ocsputil makereq 1.5

Usage: ocsputil makereq [OPTIONS]... [SUBJECT.CER[|ISSUER.CER]]...

-h, --help Print help and exit
-V, --version Print version and exit

Output Control:
-o, --request=FILE Output request file name
-f, --format=FORMAT Write request in specific format (possible
values="binary", "base64"
default=`base64')

Signature Control:
-c, --sign-cert=FILE Make signed OCSP-request with specified
certificate
--pincode=PINCODE Use pincode for access to private key

Request Control:
-A, --add-cert=FLAG Add additional certificates (possible
values="none", "only-cert",
"chain-except-root", "whole-chain")
-n, --nonce=FLAG Generate random nonce field (possible
values="no", "yes")
--acceptable-responce=FLAG
Include AcceptableResponses extension
(possible values="no", "yes")
--service-locator[=CERTFILE]
Include ServiceLocator extension from AIA of
certificate
--crl-locator[=CERTFILE] Include CRLLocator extension from CDP of
certificate
--hashalg=HASHALG Hash algorithm (ALGID or OID)

CryptoPro Request Extensions:
--hist-time=YYYYMMDDhhmmss.ddddddZ
Make historical request on date
--hist-crl-number=N Make historical request with CRL number
--hist-cdp-url=URL Make historical request with CDP

Обратите внимание на раздел "CryptoPro Request Extensions"
Я попробовал создать ocsp-запрос с таким расширением. Создаётся.
Попробовал послать его в http://www.cryptopro.ru/ocsp/. Даже получаю ответ.
Если заказывать "historical request", то статус сертификата в ответе значится как неизвестен, независимо от значения времени --hist-time.
Если же не заказывать "historical request", то статус сертификата - валиден.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.