Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
Усовершенствование CAdES-BES подписи до CAdES-X Long Type 1. OCSP сервис.
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.03.2019(UTC) Сообщений: 7 Откуда: Москва
|
Добрый день. Стоит задача получить с клиента (браузерный фронт) подпись CAdES-BES и усовершенствовать ее до CAdES-X Long Type 1 с помощью JCP. Я на форуме нашел примеры как это сделать и в целом процесс получился примерно след.: Берется CAdES-BES из нее извлекаются подписанты. У подписанта вызывается метод в который передается TSA url и дальше все работает из коробки. Код:
cAdESSigner.enhance(JCP.PROVIDER_NAME,JCP.GOST_DIGEST_2012_256_OID,null,signatureProperties.getTsaUrl(),CAdESType.CAdES_X_Long_Type_1,null);
Вопрос заключается в том, что в компании развернут, помимо TSA, OCSP сервис. Если я верно понимаю, то есть возможность проверить подписанта через OCSP сервис и полученный штамп добавить в CAdES_X_Long_Type_1 подпись, что бы не хранить там все CRL. 1. На сколько это верно? 2. Если верно, то есть ли какой то метод в который можно передать адрес OCSP службы, чтобы JCP сделал все сам, так же как он это делает со службой TSA. Или как это вообще делается? 3. Достаточно ли только TSA службы для усовершенствования подписи? (То есть в OCSP вообще не обращаться) 4. Какие лицензии JCP потребуются, для данного функционала (дополнение обычной подписи до усовершенствованной? Вопрос возникает, т.к. я разработчик и использую демо лицензию JCP для разработки, и хочется быть уверенным, что именно нужно для прод. среды. Если какие то утверждения выше не верны, просьба написать, что не так. Спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,213 Сказал(а) «Спасибо»: 101 раз Поблагодарили: 284 раз в 264 постах
|
Добрый день! ознакомьтесь с требованиями конфигурации для плагинав большей части они совпадают с JCP 1 да 2 адрес берется из сертификата подписанта: открытой даблкликом сертификат - состав - Доступ к информации о центре сертификации там должен быть указан адрес в "Протокол определения состояния сертификата через сеть" 3 нет. см требования 4 лицензия не нужна |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.03.2019(UTC) Сообщений: 7 Откуда: Москва
|
Цитата: 2 адрес берется из сертификата подписанта: открытой даблкликом сертификат - состав - Доступ к информации о центре сертификации там должен быть указан адрес в "Протокол определения состояния сертификата через сеть"
Я не много запутался. 1. Верно я понимаю, что речь идет о сертификате из подписи которая CAdES-Bes? У нас подписывают данные внешние клиенты своими сертификатами, и, если я верно понимаю, там не может быть указан внутренняя OCSP служба нашей компании. 2. Или OCSP служба должна быть у ЦС выпустившего сертификат который участвует в первоначальной подписи?
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,213 Сказал(а) «Спасибо»: 101 раз Поблагодарили: 284 раз в 264 постах
|
1 верно. В теории вы можете ставить ocsp штампы на другие сертификаты (других уц). Проблема в том что такие подписи не будут проверяться у третьей стороны. Так как вполне очевидно откуда ваш ocsp сервер будет знать о актуальности стороннего сертификата. И для третьей стороны видно что сертификат оператора ocsp будет выдан другой цепочкой сертификатов и по их мнению он не уполномочен говорить о статусе сертификатов других УЦ Если не указан- пусть обращаются в свой УЦ для перевыпуска 2 да должна, если планируется xlt1 подписи |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.03.2019(UTC) Сообщений: 7 Откуда: Москва
|
То есть если я верно понимаю, то сейчас у меня все работает, так как я усовершенствую подпись которая сделана сертификатом выпущенным на тестовом УЦ крипто про. Собственно в сертификате действительно есть url до ocsp службы.
1. Верно я понимаю, что код написан верно и если в сертификате подписана есть ссылка на ocsp службу, то подпись получить усовершенствовать? 2 Если OSCP службы нет, то будет ошибка?
Отдельный вопрос: 3. TSA служба может быть внутренней или она тоже должны быть именно от ЦС выпустившего сертификат подписанта? Т.е. можем ли мы в рамках компании поднять свой TSA и обращаться в него при усовершенствование подписи?
Теперь предположим кейс, что у меня есть CAdES-BES, в сертификате нет ocsp. Но мне надо сделать подпись долговечной, как я могу это обеспечить?
В голове есть одна мысль, насколько она правдива:
Если первый подписант делает подпись CAdES-BES Затем я на сервере подписываю этот же документ, то есть дополняю текущую подпись своей, со своим сертификатом, но уже использую тип подписи CAdES_X_Long_Type_1
Т.е. получаю, что документ подписан двумя подписями 1. CAdES-BES; 2. CAdES_X_Long_Type_1
4. Затем через какое то время требуется сделать проверку подписи, а у сертификата из первой подписи уже истек срок действия, будет ли данная подпись валидной?
Если моя мысль верна, то вторую подпись можно добавить только если в момент подписи первая валидная, то есть получается если вторая подпись валидна, то и первая была валидная на момент подписания второй.
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,213 Сказал(а) «Спасибо»: 101 раз Поблагодарили: 284 раз в 264 постах
|
Автор: deslakator То есть если я верно понимаю, то сейчас у меня все работает, так как я усовершенствую подпись которая сделана сертификатом выпущенным на тестовом УЦ крипто про. Собственно в сертификате действительно есть url до ocsp службы.
1. Верно я понимаю, что код написан верно и если в сертификате подписана есть ссылка на ocsp службу, то подпись получить усовершенствовать? 2 Если OSCP службы нет, то будет ошибка?
Отдельный вопрос: 3. TSA служба может быть внутренней или она тоже должны быть именно от ЦС выпустившего сертификат подписанта? Т.е. можем ли мы в рамках компании поднять свой TSA и обращаться в него при усовершенствование подписи?
Теперь предположим кейс, что у меня есть CAdES-BES, в сертификате нет ocsp. Но мне надо сделать подпись долговечной, как я могу это обеспечить?
В голове есть одна мысль, насколько она правдива:
Если первый подписант делает подпись CAdES-BES Затем я на сервере подписываю этот же документ, то есть дополняю текущую подпись своей, со своим сертификатом, но уже использую тип подписи CAdES_X_Long_Type_1
Т.е. получаю, что документ подписан двумя подписями 1. CAdES-BES; 2. CAdES_X_Long_Type_1
4. Затем через какое то время требуется сделать проверку подписи, а у сертификата из первой подписи уже истек срок действия, будет ли данная подпись валидной?
Если моя мысль верна, то вторую подпись можно добавить только если в момент подписи первая валидная, то есть получается если вторая подпись валидна, то и первая была валидная на момент подписания второй. 1. да. если конечно служба работает, введена лицензия, не истекли сроки ключей ocsp и тд. но это ошибки со стороны УЦ. 2. да. т.к. не получится получить доказательства подлинности 3. технически да. юридически рекомендую вам направить вопрос на info@cryptopro.ru или возможно участники форума смогут ответить на ваш вопрос. еще один технический момент. службы TSP и OCSP должны быть синхронизированы по времени. если время на них отличается, то у вас будут ошибки рассинхронизации при создании/усовершенствовании подписи. поэтому рекомендуем использовать TSP службу УЦ-издателя сертификата подписанта. 4. CAdES-BES - будет не валидна, CAdES_X_Long_Type_1 - будет валидна, пока валидна цепочка внешнего штампа времени. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.03.2019(UTC) Сообщений: 7 Откуда: Москва
|
Большое спасибо за объяснение.
По итогу решено было сделать так:
1. Для подписания клиентами все сертификаты будут выпущены собственным ЦС с поднятыми службами OCSP, TSA. 2. Клиент в браузере используя плагин + CSP подписывает Cades-bes. 3. Серверная сторона в лице JCP дополняет подпись до CAdES_X_Long_Type_1.
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
Усовершенствование CAdES-BES подписи до CAdES-X Long Type 1. OCSP сервис.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close