Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline kkkknarkkkk  
#11 Оставлено : 19 января 2021 г. 12:30:47(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 29
Российская Федерация
Откуда: Санкт-Петербург

Автор: Андрей * Перейти к цитате
Эта область CMS не имеет защиты от изменений и информацию, содержащуюся там можно изменять как угодно.
Соответственно очень просто можно превратить в корректное или наоборот.


Поменял на 1.2.643.7.1.1.1.1 и подпись прошла проверку.
Offline Санчир Момолдаев  
#12 Оставлено : 19 января 2021 г. 14:25:51(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,182
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 271 раз в 252 постах
А где у вас не проходила проверку? В чем вы проверяли?
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#13 Оставлено : 19 января 2021 г. 14:45:02(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 29
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
А где у вас не проходила проверку? В чем вы проверяли?


Litoria Desktop 2 ("Газинформсервис"). Хочется понять является ли это багой при проверке.
Понятно, что средство подписание неверно создает подпись, но как быть с проверкой?
Здравый смысл подсказывает, что если хеш сошелся и сертификат действителен на момент подписания - все нормально.
Однако такая подпись противоречит международным стандартам, а в нашей нормативке даны ссылки на международные стандарты.
Получается, что подпись не должна проверяться положительно.
Offline kkkknarkkkk  
#14 Оставлено : 26 января 2021 г. 8:52:53(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 29
Российская Федерация
Откуда: Санкт-Петербург

Санчир, Вы закрыли мой тикит, но я так и не получил ответа на вопрос: "Это корректное поведение, или это бага, которую Вы поправите в новой версии?"
Offline Санчир Момолдаев  
#15 Оставлено : 26 января 2021 г. 9:39:39(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,182
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 271 раз в 252 постах
Добрый день!
Тикет закрылся автоматически тк не было активности в нем.
Данный вопрос был поднят среди руководства. Пока на обсуждении
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#16 Оставлено : 26 января 2021 г. 9:42:36(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 29
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
Тикет закрылся автоматически тк не было активности в нем.
Данный вопрос был поднят среди руководства. Пока на обсуждении

Понял, спасибо.
Offline Санчир Момолдаев  
#17 Оставлено : 26 января 2021 г. 10:10:40(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,182
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 271 раз в 252 постах
Процитирую коллег:
Это точно не ошибка, а скорее неопределенное поведение.
Мы не можем гарантировать, что в будущих версиях это поведение не поменяется, но сейчас алгоритма открытого ключа сертификата достаточно для проверки подписи.
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#18 Оставлено : 26 января 2021 г. 14:54:14(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 29
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
Процитирую коллег:
Это точно не ошибка, а скорее неопределенное поведение.
Мы не можем гарантировать, что в будущих версиях это поведение не поменяется, но сейчас алгоритма открытого ключа сертификата достаточно для проверки подписи.


Я прекрасно понимаю, что никакой вендер, никогда не найдет в себе сил признать наличие ошибок в своем софте. В области PKI не может быть неопределенного поведения. Подпись либо верна, либо нет. И от ее верности или неверности зависят факты хозяйственной деятельно: переводятся деньги, меняются права собственности. Очевидно, что алгоритма в сертификате достаточно для проверки подписи, ровно так же, как и очевидно, что подпись создана некорректно, но Ваши продукты проверяют ее положительно.
Offline Максим Коллегин  
#19 Оставлено : 26 января 2021 г. 17:54:15(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,391
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Автор: kkkknarkkkk Перейти к цитате

Я прекрасно понимаю, что никакой вендер, никогда не найдет в себе сил признать наличие ошибок в своем софте.

Это достаточно спорное утверждение. Мы неоднократно признавали ошибки в наших продуктах и искренне благодарили пользователей за сообщения о них.

Что касается данной ситуации, то она не так проста, как кажется на первый взгляд.
Позволю представить ситуацию двумя утверждениями:

  1. Электронная подпись данных математически корректна, хэш данных в сообщении правильно, значение электронной подписи успешно проверяется с помощью вложенного открытого ключа.
  2. PKCS#7-сообщение некорректно и содержит несоответсвующий методическим рекомендациям идентификатор алгоритма подписи.


API для проверки корректности PKCS#7 конвертов мы не предоставляем, если бы оно сущестовало -- тогда можно было бы говорить об ошибке. Метод проверки подписи делает ровно то, что, как нам кажется, должен:

  • сравнивает хэш данных
  • проверяет значение подписи заданным открытым ключом.

Вопрос со звёздочкой: если в конец корректного PKCS#7-конверта добавить нулевые байты -- подпись становится неверной?

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
Андрей * оставлено 26.01.2021(UTC)
Offline kkkknarkkkk  
#20 Оставлено : 27 января 2021 г. 10:22:52(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 29
Российская Федерация
Откуда: Санкт-Петербург

Автор: Максим Коллегин Перейти к цитате
Автор: kkkknarkkkk Перейти к цитате

Я прекрасно понимаю, что никакой вендер, никогда не найдет в себе сил признать наличие ошибок в своем софте.

Это достаточно спорное утверждение. Мы неоднократно признавали ошибки в наших продуктах и искренне благодарили пользователей за сообщения о них.

Что касается данной ситуации, то она не так проста, как кажется на первый взгляд.
Позволю представить ситуацию двумя утверждениями:

  1. Электронная подпись данных математически корректна, хэш данных в сообщении правильно, значение электронной подписи успешно проверяется с помощью вложенного открытого ключа.
  2. PKCS#7-сообщение некорректно и содержит несоответсвующий методическим рекомендациям идентификатор алгоритма подписи.


API для проверки корректности PKCS#7 конвертов мы не предоставляем, если бы оно сущестовало -- тогда можно было бы говорить об ошибке. Метод проверки подписи делает ровно то, что, как нам кажется, должен:

  • сравнивает хэш данных
  • проверяет значение подписи заданным открытым ключом.

Вопрос со звёздочкой: если в конец корректного PKCS#7-конверта добавить нулевые байты -- подпись становится неверной?



С точки зрения криптографа - все верно, хэш сошелся, исходный документ не менялся, сертификат подписчика действительный - все хорошо. Но ЭП, это не только про хеши. ЭП лежит на стыке криптографии и юриспруденции. И в случае "неопределенного поведения" появляется неопределенный правовой статус юридически значимого документа. Но мне кажется, что мы зашли в тупик, ГОСТ 34-10-2012 ничего не говорит про формат PKCS#7 и с его точки зрения - все замечательно. Наверное ТК-26 стоило бы выпустить методические рекомендации про формат PKCS#7.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (6)
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.