Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline deslakator  
#1 Оставлено : 14 января 2021 г. 13:21:56(UTC)
deslakator

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.03.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Добрый день.

Стоит задача получить с клиента (браузерный фронт) подпись CAdES-BES и усовершенствовать ее до CAdES-X Long Type 1 с помощью JCP.

Я на форуме нашел примеры как это сделать и в целом процесс получился примерно след.:

Берется CAdES-BES из нее извлекаются подписанты. У подписанта вызывается метод в который передается TSA url и дальше все работает из коробки.

Код:

cAdESSigner.enhance(JCP.PROVIDER_NAME,JCP.GOST_DIGEST_2012_256_OID,null,signatureProperties.getTsaUrl(),CAdESType.CAdES_X_Long_Type_1,null);



Вопрос заключается в том, что в компании развернут, помимо TSA, OCSP сервис.

Если я верно понимаю, то есть возможность проверить подписанта через OCSP сервис и полученный штамп добавить в CAdES_X_Long_Type_1 подпись, что бы не хранить там все CRL.
1. На сколько это верно?
2. Если верно, то есть ли какой то метод в который можно передать адрес OCSP службы, чтобы JCP сделал все сам, так же как он это делает со службой TSA. Или как это вообще делается?


3. Достаточно ли только TSA службы для усовершенствования подписи? (То есть в OCSP вообще не обращаться)


4. Какие лицензии JCP потребуются, для данного функционала (дополнение обычной подписи до усовершенствованной? Вопрос возникает, т.к. я разработчик и использую демо лицензию JCP для разработки, и хочется быть уверенным, что именно нужно для прод. среды.


Если какие то утверждения выше не верны, просьба написать, что не так.

Спасибо.
Offline Санчир Момолдаев  
#2 Оставлено : 15 января 2021 г. 7:32:09(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,213
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 284 раз в 264 постах
Добрый день!
ознакомьтесь с требованиями конфигурации для плагина
в большей части они совпадают с JCP

1 да
2 адрес берется из сертификата подписанта:
открытой даблкликом сертификат - состав - Доступ к информации о центре сертификации
там должен быть указан адрес в "Протокол определения состояния сертификата через сеть"
3 нет. см требования
4 лицензия не нужна
Техническую поддержку оказываем тут
Наша база знаний
Offline deslakator  
#3 Оставлено : 15 января 2021 г. 10:15:32(UTC)
deslakator

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.03.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Цитата:

2 адрес берется из сертификата подписанта:
открытой даблкликом сертификат - состав - Доступ к информации о центре сертификации
там должен быть указан адрес в "Протокол определения состояния сертификата через сеть"


Я не много запутался.

1. Верно я понимаю, что речь идет о сертификате из подписи которая CAdES-Bes?

У нас подписывают данные внешние клиенты своими сертификатами, и, если я верно понимаю, там не может быть указан внутренняя OCSP служба нашей компании.

2. Или OCSP служба должна быть у ЦС выпустившего сертификат который участвует в первоначальной подписи?
Offline Санчир Момолдаев  
#4 Оставлено : 15 января 2021 г. 17:07:48(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,213
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 284 раз в 264 постах
1 верно.
В теории вы можете ставить ocsp штампы на другие сертификаты (других уц). Проблема в том что такие подписи не будут проверяться у третьей стороны.
Так как вполне очевидно откуда ваш ocsp сервер будет знать о актуальности стороннего сертификата. И для третьей стороны видно что сертификат оператора ocsp будет выдан другой цепочкой сертификатов и по их мнению он не уполномочен говорить о статусе сертификатов других УЦ
Если не указан- пусть обращаются в свой УЦ для перевыпуска
2 да должна, если планируется xlt1 подписи
Техническую поддержку оказываем тут
Наша база знаний
Offline deslakator  
#5 Оставлено : 15 января 2021 г. 19:14:22(UTC)
deslakator

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.03.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

То есть если я верно понимаю, то сейчас у меня все работает, так как я усовершенствую подпись которая сделана сертификатом выпущенным на тестовом УЦ крипто про. Собственно в сертификате действительно есть url до ocsp службы.

1. Верно я понимаю, что код написан верно и если в сертификате подписана есть ссылка на ocsp службу, то подпись получить усовершенствовать?
2 Если OSCP службы нет, то будет ошибка?

Отдельный вопрос:
3. TSA служба может быть внутренней или она тоже должны быть именно от ЦС выпустившего сертификат подписанта? Т.е. можем ли мы в рамках компании поднять свой TSA и обращаться в него при усовершенствование подписи?



Теперь предположим кейс, что у меня есть CAdES-BES, в сертификате нет ocsp. Но мне надо сделать подпись долговечной, как я могу это обеспечить?

В голове есть одна мысль, насколько она правдива:

Если первый подписант делает подпись CAdES-BES
Затем я на сервере подписываю этот же документ, то есть дополняю текущую подпись своей, со своим сертификатом, но уже использую тип подписи CAdES_X_Long_Type_1

Т.е. получаю, что документ подписан двумя подписями 1. CAdES-BES; 2. CAdES_X_Long_Type_1

4. Затем через какое то время требуется сделать проверку подписи, а у сертификата из первой подписи уже истек срок действия, будет ли данная подпись валидной?

Если моя мысль верна, то вторую подпись можно добавить только если в момент подписи первая валидная, то есть получается если вторая подпись валидна, то и первая была валидная на момент подписания второй.
Offline Санчир Момолдаев  
#6 Оставлено : 17 января 2021 г. 9:31:20(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,213
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 284 раз в 264 постах
Автор: deslakator Перейти к цитате
То есть если я верно понимаю, то сейчас у меня все работает, так как я усовершенствую подпись которая сделана сертификатом выпущенным на тестовом УЦ крипто про. Собственно в сертификате действительно есть url до ocsp службы.

1. Верно я понимаю, что код написан верно и если в сертификате подписана есть ссылка на ocsp службу, то подпись получить усовершенствовать?
2 Если OSCP службы нет, то будет ошибка?

Отдельный вопрос:
3. TSA служба может быть внутренней или она тоже должны быть именно от ЦС выпустившего сертификат подписанта? Т.е. можем ли мы в рамках компании поднять свой TSA и обращаться в него при усовершенствование подписи?

Теперь предположим кейс, что у меня есть CAdES-BES, в сертификате нет ocsp. Но мне надо сделать подпись долговечной, как я могу это обеспечить?

В голове есть одна мысль, насколько она правдива:

Если первый подписант делает подпись CAdES-BES
Затем я на сервере подписываю этот же документ, то есть дополняю текущую подпись своей, со своим сертификатом, но уже использую тип подписи CAdES_X_Long_Type_1

Т.е. получаю, что документ подписан двумя подписями 1. CAdES-BES; 2. CAdES_X_Long_Type_1

4. Затем через какое то время требуется сделать проверку подписи, а у сертификата из первой подписи уже истек срок действия, будет ли данная подпись валидной?

Если моя мысль верна, то вторую подпись можно добавить только если в момент подписи первая валидная, то есть получается если вторая подпись валидна, то и первая была валидная на момент подписания второй.

1. да. если конечно служба работает, введена лицензия, не истекли сроки ключей ocsp и тд. но это ошибки со стороны УЦ.
2. да. т.к. не получится получить доказательства подлинности
3. технически да. юридически рекомендую вам направить вопрос на info@cryptopro.ru или возможно участники форума смогут ответить на ваш вопрос.
еще один технический момент. службы TSP и OCSP должны быть синхронизированы по времени. если время на них отличается, то у вас будут ошибки рассинхронизации при создании/усовершенствовании подписи.
поэтому рекомендуем использовать TSP службу УЦ-издателя сертификата подписанта.
4. CAdES-BES - будет не валидна, CAdES_X_Long_Type_1 - будет валидна, пока валидна цепочка внешнего штампа времени.
Техническую поддержку оказываем тут
Наша база знаний
Offline deslakator  
#7 Оставлено : 18 января 2021 г. 13:50:30(UTC)
deslakator

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.03.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Большое спасибо за объяснение.

По итогу решено было сделать так:

1. Для подписания клиентами все сертификаты будут выпущены собственным ЦС с поднятыми службами OCSP, TSA.
2. Клиент в браузере используя плагин + CSP подписывает Cades-bes.
3. Серверная сторона в лице JCP дополняет подпись до CAdES_X_Long_Type_1.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.