Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline crypto7  
#21 Оставлено : 18 мая 2021 г. 9:41:19(UTC)
crypto7

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.05.2021(UTC)
Сообщений: 48
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 15 раз
Автор: two_oceans Перейти к цитате
В основном, так. Действительно, для оффлайн проверки нужны "доказательства подлинности" в ЭП, которые можно добавить как минимум в формате CAdES-X Long Type 1 (есть и более продвинутые форматы, но про их поддержку пока ничего не известно). Соответственно для подписания потребуются лицензии на TSP и OCSP клиенты, может потребоваться подписка на услуги сервера доверенного времени. Такая подпись будет действовать и после истечения срока сертификата подписавшего, пока действителен сертификат сервера доверенного времени. Максимум - пока алгоритм подписи не признают ненадежным.

Тем не менее, если сертификат подписавшего еще не истек, возможна проверка cades-bes, cades-t по локальной копии списка отзыва сертификатов (СОС или CRL) в хранилище сертификатов. Если срок действия локальной копии СОС не истек, то подключение к интернету не обязательно (ниже примечание), а вот OCSP без интернета не будет работать. Срок определяется каждым УЦ для каждого вида СОС индивидуально (есть плановые СОС, экстренные, разделенные по причинам отзыва и т.д.). Установить новый СОС в хранилище предполагается с какого-то носителя, записанного на компьютере, где интернет есть.
В зависимости от интерфейса могут быть предусмотрены флаги разрешающие или запрещающие СОС или OCSP-проверку или обязывающие проверять только онлайн. Подробности надо посмотреть в справке, COM интерфейс в некоторых местах не предоставляет выбора.

Примечание. Есть небольшой момент в самом стандарте СОС - после примерно 2/3 срока действия срабатывает проверка не вышла ли новая версия СОС, в таком случае без интернета будет некая задержка перед собственно проверкой, но если срок действия СОС не закончился дальше проверка подписи должна пройти штатно независимо от успешности получения новой версии СОС.


two_oceans, большое спасибо за такой развернутый, полный ответ!

Отредактировано пользователем 18 мая 2021 г. 14:56:23(UTC)  | Причина: Не указана

Offline crypto7  
#22 Оставлено : 20 мая 2021 г. 13:29:16(UTC)
crypto7

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.05.2021(UTC)
Сообщений: 48
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 15 раз
two_oceans, хотел бы задать вам еще один вопрос по теме? Вы написали, что
Автор: two_oceans Перейти к цитате
подпись в формате CAdES-X Long Type 1... будет действовать и после истечения срока сертификата подписавшего, пока действителен сертификат сервера доверенного времени. Максимум - пока алгоритм подписи не признают ненадежным.


Почему же действительность подписи определяется сертифкатом подписавшего, либо сервера доверенного времени или даже алгоритмом подписи? Юридически как-то не очень правильно выходит. Это похоже на то, как если бы сотрудник организации поставил свою подпись на каком-то приказе, и эта подпись признавалась бы недействительной, например, при увольнении расписавшегося сотрудника...

А, например, подпись в формате CAdES-BES следуя этой логике, в каких случаях перестает действовать?
Offline crypto7  
#23 Оставлено : 20 мая 2021 г. 14:36:23(UTC)
crypto7

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.05.2021(UTC)
Сообщений: 48
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 15 раз
Ведь доказательства, включенные в подпись на момент ее создания, остаются действительными и после истечения сроков действия сертификатов... Или это не так?
Offline two_oceans  
#24 Оставлено : 1 июня 2021 г. 6:20:15(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,295
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 85 раз
Поблагодарили: 302 раз в 284 постах
Автор: crypto7 Перейти к цитате
Почему же действительность подписи определяется сертифкатом подписавшего, либо сервера доверенного времени или даже алгоритмом подписи? Юридически как-то не очень правильно выходит. Это похоже на то, как если бы сотрудник организации поставил свою подпись на каком-то приказе, и эта подпись признавалась бы недействительной, например, при увольнении расписавшегося сотрудника...
В основе подписания электронной подписью заложено предположение что хэш от некоторых данных легко подсчитать, но сложно подобрать данные под заданный хэш. Аналогично, что закрытый ключ сложно подобрать по открытому ключу. Однако технический прогресс не стоит на месте и те же шифры Энигмы, которые были сложные во время Второй мировой войны сейчас вполне можно подобрать на среднем компьютере достаточно быстро. При собственноручной подписи характерные черты почерка не так сильно меняются со временем и почерк одного человека не станет внезапно похож на почерк другого. Какие-либо аналогии между электронной подписью и рукописной подписью имеют мало смысла.



Зависимость от действительности сертификата метки времени - аналогично, если можно подменить метку времени, то и подпись можно сделать задним числом.

Автор: crypto7 Перейти к цитате
А, например, подпись в формате CAdES-BES следуя этой логике, в каких случаях перестает действовать?
Когда истекает сертификат подписавшего. Тут разве что можно сделать оговорку, что если подпись хранится в какой-то информационной системе, то сервер может ее при загрузке "доусовершенствовать" меткой времени и доказательствами либо сохранить (или иным способом подтвердить) время загрузки подписи в информационную систему.
Автор: crypto7 Перейти к цитате
Ведь доказательства, включенные в подпись на момент ее создания, остаются действительными и после истечения сроков действия сертификатов... Или это не так?
Не совсем так, СОС подписывается ключом самого УЦ, то есть действителен пока сертификат УЦ действителен. OCSP-ответ подписывается сертификатом OCSP-ответчика, но в сертификате ответчика по стандарту должен стоять специальный флаг "не проверять по OCSP", то есть тоже сводится к действительности сертификата УЦ.

Срок действия сертификата УЦ обычно превышает срок действия клиентских сертификатов и может составлять до 25-30 лет (сравнимо с периодом действия алгоритма подписи), но он тоже не "вечен". Важно, что СОС или OCSP-ответ берется на момент подписания, то есть достаточно трудно спрогнозировать будет ли подпись проверяться через 25 лет. Скорее всего нет - в большинстве случаев сертификат УЦ для сервера доверенного времени истечет быстрее и метка времени будет недействительна.

Отредактировано пользователем 1 июня 2021 г. 6:43:12(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.