Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
ITSPStamp.VerifyCertificate и VerifyStamp проверяет доверие к сертификату с учетом времени выдачи шт
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.08.2008(UTC) Сообщений: 5  Откуда: Ижевск
|
При проверке подписи, к которой добавлен штамп времени, согласно rfc3161 нужно верифицировать сам штамп (20с пункт B1), то есть его подпись и доверие к сертификату службы штампов, которым он подписан. При этом доверие к сертификату, которым подписан штамп, должно проверяться на дату выдачи штампа(с 13-14 пункт 4.1-4.2) (при условии что он не отозван как скомпрометированный и т.п.). Учитывают ли ITSPStamp.VerifyCertificate и VerifyStamp дату выдачи штампа при проверке? Или нужно такую проверку делать самому? Отредактировано пользователем 26 августа 2008 г. 17:43:55(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Сертификат службы штампов при проверке штампа проверяется на текущий момент и тому есть следующее обоснование. Срок действия сертификата службы штампов не должен закончиться на момент проверки. Если сертификат уже истёк, то факт его прижизненной компрометации уже не будет отражён в текущих CRL/OCSP-ответах. Кроме того, даже если эта доступна история изменения статуса сертификата, злоумышленник к этому моменту мог осуществить неявную компрометацию ключа и создать произвольный штамп времени.
Различие по причинам отзыва мы не обрабатываем, поскольку семантика использования различных кодов причин отзыва не определена в основополагающих документах X.509/RFC5280. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.08.2008(UTC) Сообщений: 5 Откуда: Ижевск
|
С обоснованием сложно не согласиться, но тогда получается что задача продления срока действия ЭЦП за счет штампов времени не работает, а точнее работает только на время действия сертификата, которым подписывает штампы служба сертификации? Или же где-то описано, что такие сертификаты выдаются на длительный срок?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Прошу прощения за задержку с ответом. Почему-то не пришло письмо с оповещением.
Действительно, обычно сертификаты службы штампов времени выдаются на длительные сроки, в отличие от сертификатов пользователей. Кроме того, остаётся возможность добавить в подпись новый штамп времени, охватывающий все хранящиеся там атрибуты, включая уже имеющиеся штампы. Если это сделать до истечения срока действия сертификата имеющегося в подписи штампа, то мы продлим срок жизни такой ЭЦП на срок действия сертификата нового штампа. Подробнее формат описан в ETSI 101 733 (CAdES), формат CAdES-A. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.08.2008(UTC) Сообщений: 5 Откуда: Ижевск
|
Теперь стало понятно, спасибо за разъяснение
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
ITSPStamp.VerifyCertificate и VerifyStamp проверяет доверие к сертификату с учетом времени выдачи шт
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
