Статус: Участник
Группы: Участники
Зарегистрирован: 23.03.2018(UTC) Сообщений: 20  Сказал(а) «Спасибо»: 8 раз
|
Для подписи SOAP для СВЭВ в java приложении используется JCP, вопросы по необходимости контроля встраивания:
1. В правилах использования JCP есть:
"Перечень вызовов, использование которых при разработке систем на основе СКЗИ «КриптоПро
JCP» версия 2.0 возможно без дополнительных тематических исследований"
Тут классы библиотек java указаны? Или классы библиотек JCP?
2. Для подписи SOAP СМЭВ2 написан код согласно Руководству разработчика 7. Работа с электронной подписью для XML-документов - не могу понять в данном случае нужен контроль встраивания?
Тут есть вызов ru.CryptoPro.JCPxml.XmlInit.init() - его нет в перечне из правил пользования?
3. Для подписи SOAP СМЭВ3 в коде не используются непосредственно классы JCP, используются только названия алгоритмов - тут не нужен контроль встраивания? или нужен?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Здравствуйте. Автор: sav1902 
Для подписи SOAP для СВЭВ в java приложении используется JCP, вопросы по необходимости контроля встраивания:
1. В правилах использования JCP есть:
"Перечень вызовов, использование которых при разработке систем на основе СКЗИ «КриптоПро
JCP» версия 2.0 возможно без дополнительных тематических исследований"
Тут классы библиотек java указаны? Или классы библиотек JCP?
2. Для подписи SOAP СМЭВ2 написан код согласно Руководству разработчика 7. Работа с электронной подписью для XML-документов - не могу понять в данном случае нужен контроль встраивания?
Тут есть вызов ru.CryptoPro.JCPxml.XmlInit.init() - его нет в перечне из правил пользования?
3. Для подписи SOAP СМЭВ3 в коде не используются непосредственно классы JCP, используются только названия алгоритмов - тут не нужен контроль встраивания? или нужен?
1. В перечне вызов есть и стандартные JCA/JCE/JSSE, и некоторых классы и методы библиотек из дистрибутива JCP. 2. В перечне могут быть пока не все вызовы, но XmlInit.init() в их числе. Позднее список будет максимально расширен. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.03.2018(UTC) Сообщений: 20 Сказал(а) «Спасибо»: 8 раз
|
Автор: Евгений Афанасьев Здравствуйте. Автор: sav1902
Для подписи SOAP для СВЭВ в java приложении используется JCP, вопросы по необходимости контроля встраивания:
1. В правилах использования JCP есть:
"Перечень вызовов, использование которых при разработке систем на основе СКЗИ «КриптоПро
JCP» версия 2.0 возможно без дополнительных тематических исследований"
Тут классы библиотек java указаны? Или классы библиотек JCP?
2. Для подписи SOAP СМЭВ2 написан код согласно Руководству разработчика 7. Работа с электронной подписью для XML-документов - не могу понять в данном случае нужен контроль встраивания?
Тут есть вызов ru.CryptoPro.JCPxml.XmlInit.init() - его нет в перечне из правил пользования?
3. Для подписи SOAP СМЭВ3 в коде не используются непосредственно классы JCP, используются только названия алгоритмов - тут не нужен контроль встраивания? или нужен?
1. В перечне вызов есть и стандартные JCA/JCE/JSSE, и некоторых классы и методы библиотек из дистрибутива JCP. 2. В перечне могут быть пока не все вызовы, но XmlInit.init() в их числе. Позднее список будет максимально расширен. Добрый день! Мне юристы сказали что использование XmlInit.init() пока он не указан в формуляре юридически приводит к уголовной ответственности. Вы планируете расширять список? 11 месяцев назад я вопрос задавал - до сих пор список не расширили? Мы на грани отзыва своего софта у клиента
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Добрый день. Коллеги ответили: Со стороны СКЗИ использование вызовов не из перечня приводит лишь к созданию нового СКЗИ (оценку влияния в любом случае проходить), а не к уголовной ответственности. Да, класс не был добавлен в список, будет добавлен при следующей сертификации. Попробуйте использовать следующее: Код:
System.setProperty("org.apache.xml.security.resource.config", Consts.CONFIG); // Consts.CONFIG - это "resource/jcp.xml"
org.apache.xml.security.Init.init();
вместо |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.03.2018(UTC) Сообщений: 20 Сказал(а) «Спасибо»: 8 раз
|
Может еще подскажете вариант избежать явного обращения к конструктору: XMLDSigRI ?
XMLSignatureFactory.getInstance("DOM", new ru.CryptoPro.JCPxml.dsig.internal.dom.XMLDSigRI())
Кроме как использовать ClassLoader.getSystemClassLoader().loadClass(...)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.03.2018(UTC) Сообщений: 20 Сказал(а) «Спасибо»: 8 раз
|
И еще такой вопрос: В пункте "2. Основные технические данные и характеристики" правил пользования есть такое: Следующие программные компоненты СКЗИ «КриптоПро JCP» версия 2.0 можно использовать без проведения дополнительных тематических исследований: утилита для выработки CMS сообщений cmsutil; приложение для создания TLS-туннеля tls_proxy А в пункте "Использование программных интерфейсов" сказано Перечень вызовов, использование которых при разработке систем на основе СКЗИ «КриптоПро JCP» версия 2.0 возможно без дополнительных тематических исследований: Они друг другу не противоречат? Отредактировано пользователем 11 ноября 2019 г. 14:05:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Если XMLSignatureFactory.getInstance принимает провайдер или его имя, то, пожалуй, передать можно только подходящие значения.
На счёт противоречия не совсем понимаю: указанные утилиты происследованы и считаются безопасными при использовании. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.03.2018(UTC) Сообщений: 20 Сказал(а) «Спасибо»: 8 раз
|
В итоге получилось убрать явные вызовы JCP из кода. Но далее не понятен следующий момент, мне для формирования ЭП нужен объект XMLSignatureFactory, я его получаю XMLSignatureFactory.getInstance("DOM", xmlSignatureFactoryProvider). Но в перечьне говорится только об getInstance() класса Signature никакого упоминания XMLSignatureFactory. Я его согласно перечьню не могу использовать? С другой строны у меня в проекте из зависимостей тянутся 5 классов Signature из разных пакетов соответсвенно. В перечне же явно не указан пакет к которому относится Signature. Как этот перечень вообще выглядит с юридической точки зрения? Откуда классы в перечьне не указано. Перечень относится в JCP и единственное предположение - все перечисленные классы из ваших библиотек. Из чего можно сделать вывод что я могу использовать любые вызовы главное не обращаться напрямую к коду JCP. Верно? Отредактировано пользователем 19 ноября 2019 г. 9:19:06(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.03.2018(UTC) Сообщений: 20 Сказал(а) «Спасибо»: 8 раз
|
Добрый день! Я посмотрел правила пользования R3 Там появился класс XMLSignature Но вот вопрос: для ЭП СМЭВ2 используется javax.xml.crypto.dsig.XMLSignature для ЭП СМЭВ3 используется org.apache.xml.security.signature.XMLSignature о каком классе идет речь в правилах пользования? Точнее это javax.xml.crypto.dsig.XMLSignature интерфейс Его реализация лежит в JCP? О ней идет речь? Отредактировано пользователем 16 апреля 2020 г. 15:55:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
