Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Extalionez  
#1 Оставлено : 16 мая 2021 г. 20:05:49(UTC)
Extalionez

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Подписал строку на странице https://www.cryptopro.ru.../cades_xlong_sample.html указав в качестве адреса службы штампов времени http://tax4.tensor.ru/tsp-tensor_gost2012/tsp.srf и проверил подпись в https://crypto.kontur.ru/verify. В результате увидел надпись Подпись создана 16 мая 2021, 14:46:14 мск (дата не проверена). Установил на компьютере неправильное время для просрока сертификата и в КриптоПро АРМ увидел что подпись недействительна. Попробовал с помощью php-плагина проверить подпись, так она даже VerifyCades не прошла. Как с помощью плагина для браузера создать нормальную подпись, которая не умирает после окончания сертификата?
Offline two_oceans  
#2 Оставлено : 17 мая 2021 г. 8:19:25(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Проверка в данном случае выполнена некорректно, так как будет сбой получения списка отзыва сертификатов на заведомо переведенную вперед дату. При переводе вперед за дату действия текущих СОС у Вас все сертификаты будут давать ошибку, что не проверен статус сертификата. Это касается и сертификата метки времени - метка времени будет считаться недействительна - проверка будет по текущей дате - на текущую дату сертификаты истекли или не проверены - проверка вываливается в ошибку. Все верно - с неправильной системной датой результат проверки не гарантирован.

Отредактировано пользователем 17 мая 2021 г. 8:20:52(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Extalionez оставлено 17.05.2021(UTC)
Offline Extalionez  
#3 Оставлено : 17 мая 2021 г. 10:25:41(UTC)
Extalionez

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Автор: two_oceans Перейти к цитате
Добрый день.
Проверка в данном случае выполнена некорректно, так как будет сбой получения списка отзыва сертификатов на заведомо переведенную вперед дату. При переводе вперед за дату действия текущих СОС у Вас все сертификаты будут давать ошибку, что не проверен статус сертификата. Это касается и сертификата метки времени - метка времени будет считаться недействительна - проверка будет по текущей дате - на текущую дату сертификаты истекли или не проверены - проверка вываливается в ошибку. Все верно - с неправильной системной датой результат проверки не гарантирован.

Здравствуйте!
То есть если системная дата будет верная, но сертификат, которым подписывались данные, просрочен, то проверка завершится успешно?
Тогда почему в https://crypto.kontur.ru/verify указывается (дата не проверена)? При том что если создать подпись у них на сайте, то там такого примечания нет и написано, мол,
Цитата:

Общество с ограниченной ответственностью "Сертум-Про" удостоверил:
Сертификат на момент подписания действовал
Подпись создана 4 мая 2020, 01:24:30 мск

Отредактировано пользователем 17 мая 2021 г. 10:30:09(UTC)  | Причина: Не указана

Offline basid  
#4 Оставлено : 17 мая 2021 г. 11:02:44(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Сервис Контура не обязан доверять "чужим" (Тензор) штампам времени.
Задача коммерческого сервиса проверять подписи, статусы и штампы в собственной инфраструктуре, а не предоставлять "универсальную услугу".

P.S.
"Это рынок, детка" (ц) старая шуточная статья про рекламный бизнес.
thanks 1 пользователь поблагодарил basid за этот пост.
Extalionez оставлено 17.05.2021(UTC)
Offline two_oceans  
#5 Оставлено : 17 мая 2021 г. 12:34:53(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цель проверки все же "если возвратилась ИСТИНА, то все в порядке". А вот если возвратилась "ЛОЖЬ", то значит были какие-то сомнения и ЭЦП может быть как верной, так и неверной. Критериев и проверок слишком много, чтобы однозначно на верную подпись всегда возвращалась ИСТИНА, а на неверную всегда ЛОЖЬ.
Автор: Extalionez Перейти к цитате
То есть если системная дата будет верная, но сертификат, которым подписывались данные, просрочен, то проверка завершится успешно?
Дело даже наверно не столько в верной системной дате, а в синхронности с часами сервера. Свою дату Вы передвинули, а дата на сервере осталась далеко в прошлом от новой системной даты, это вызывает ошибки как СОС так и OSCP-ответов. Предположив, что с серверами на момент будущей проверки будет все в порядке (ну когда тот момент реально наступит, УЦ еще не закроется и сервера будут корректно настроены и синхронны с системным временем), там будут корректные ответы и проверка должна пройти успешно. Если время в самой ЭЦП корректно указано. Дата может добавляться и как подписанный атрибут и как неподписанный атрибут и как метка времени - важно в этом не запутаться. Мне неизвестно какой добавляет тестовая страница.

Автор: Extalionez Перейти к цитате
Тогда почему в https://crypto.kontur.ru/verify указывается (дата не проверена)? При том что если создать подпись у них на сайте, то там такого примечания нет
Без конкретных файлов подписи сложно обсуждать детали. В продвинутых форматах ЭЦП есть разные опции: например, чтобы не было зависимости от серверов и разницы с ними на момент проверки, можно включить в подпись "доказательства подлинности подписи", например: 1) СОС на момент "чуть позже" даты подписи каждого УЦ в цепочке подписавшего и в цепочке сервера доверенного времени либо 2) OCSP-ответы на момент "чуть позже" о статусах некорневых сертификатов в тех же цепочках. На момент подписания системное время должно быть верным. "Чуть позже" должно быть конечно раньше чем сертификат истечет, а самое раннее "чуть позже" определяется "точностью" сервера доверенного времени, в бесплатных это может быть до 20-30 минут после подписи. Если СОС или OCSP-ответы включены, процедура проверки не должна их запрашивать с сервера, то есть становится неважным рассинхронизация времени с сервером на момент проверки.

Отредактировано пользователем 17 мая 2021 г. 12:40:56(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Extalionez оставлено 17.05.2021(UTC)
Offline Extalionez  
#6 Оставлено : 17 мая 2021 г. 17:15:45(UTC)
Extalionez

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Автор: two_oceans Перейти к цитате
Без конкретных файлов подписи сложно обсуждать детали

Ну вот что вернула страница https://www.cryptopro.ru.../cades_xlong_sample.html - http://lexabubu.ru/33.sig
Хотелось бы просто понять - будет ли эта подпись иметь юридическую силу через год?)

Отредактировано пользователем 17 мая 2021 г. 17:17:37(UTC)  | Причина: Не указана

Offline Андрей *  
#7 Оставлено : 17 мая 2021 г. 17:26:07(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,625
Мужчина
Российская Федерация

Сказал «Спасибо»: 492 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Extalionez Перейти к цитате
Автор: two_oceans Перейти к цитате
Без конкретных файлов подписи сложно обсуждать детали

Ну вот что вернула страница https://www.cryptopro.ru.../cades_xlong_sample.html - http://lexabubu.ru/33.sig
Хотелось бы просто понять - будет ли эта подпись иметь юридическую силу через год?)


Именно эта - содержит штамп времени и сертификат Тензора истекает в апреле 2022.


Используйте службы, у которых сертификаты имеют более длительное время действия.

Пример проверки из 17 мая 2022..
http://qs.cryptopro.ru/tsp/tsp.srf

Snimok ehkrana ot 2022-05-17 18-23-24.png (41kb) загружен 9 раз(а).

Snimok ehkrana ot 2022-05-17 18-22-16.png (41kb) загружен 8 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.