CAdESCOM и подпись в формате CMS- Page 3

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

3 Страницы<1 23

CAdESCOM и подпись в формате CMS - Непонимание формата

Опции

Предыдущая тема Следующая тема

crypto7		#21 Оставлено : 18 мая 2021 г. 9:41:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.05.2021(UTC) Сообщений: 49 Откуда: NN Сказал(а) «Спасибо»: 15 раз		Автор: two_oceans В основном, так. Действительно, для оффлайн проверки нужны "доказательства подлинности" в ЭП, которые можно добавить как минимум в формате CAdES-X Long Type 1 (есть и более продвинутые форматы, но про их поддержку пока ничего не известно). Соответственно для подписания потребуются лицензии на TSP и OCSP клиенты, может потребоваться подписка на услуги сервера доверенного времени. Такая подпись будет действовать и после истечения срока сертификата подписавшего, пока действителен сертификат сервера доверенного времени. Максимум - пока алгоритм подписи не признают ненадежным. Тем не менее, если сертификат подписавшего еще не истек, возможна проверка cades-bes, cades-t по локальной копии списка отзыва сертификатов (СОС или CRL) в хранилище сертификатов. Если срок действия локальной копии СОС не истек, то подключение к интернету не обязательно (ниже примечание), а вот OCSP без интернета не будет работать. Срок определяется каждым УЦ для каждого вида СОС индивидуально (есть плановые СОС, экстренные, разделенные по причинам отзыва и т.д.). Установить новый СОС в хранилище предполагается с какого-то носителя, записанного на компьютере, где интернет есть. В зависимости от интерфейса могут быть предусмотрены флаги разрешающие или запрещающие СОС или OCSP-проверку или обязывающие проверять только онлайн. Подробности надо посмотреть в справке, COM интерфейс в некоторых местах не предоставляет выбора. Примечание. Есть небольшой момент в самом стандарте СОС - после примерно 2/3 срока действия срабатывает проверка не вышла ли новая версия СОС, в таком случае без интернета будет некая задержка перед собственно проверкой, но если срок действия СОС не закончился дальше проверка подписи должна пройти штатно независимо от успешности получения новой версии СОС. two_oceans, большое спасибо за такой развернутый, полный ответ! Отредактировано пользователем 18 мая 2021 г. 14:56:23(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

crypto7		#22 Оставлено : 20 мая 2021 г. 13:29:16(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.05.2021(UTC) Сообщений: 49 Откуда: NN Сказал(а) «Спасибо»: 15 раз		two_oceans, хотел бы задать вам еще один вопрос по теме? Вы написали, что Автор: two_oceans подпись в формате CAdES-X Long Type 1... будет действовать и после истечения срока сертификата подписавшего, пока действителен сертификат сервера доверенного времени. Максимум - пока алгоритм подписи не признают ненадежным. Почему же действительность подписи определяется сертифкатом подписавшего, либо сервера доверенного времени или даже алгоритмом подписи? Юридически как-то не очень правильно выходит. Это похоже на то, как если бы сотрудник организации поставил свою подпись на каком-то приказе, и эта подпись признавалась бы недействительной, например, при увольнении расписавшегося сотрудника... А, например, подпись в формате CAdES-BES следуя этой логике, в каких случаях перестает действовать?
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

crypto7		#23 Оставлено : 20 мая 2021 г. 14:36:23(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 07.05.2021(UTC) Сообщений: 49 Откуда: NN Сказал(а) «Спасибо»: 15 раз		Ведь доказательства, включенные в подпись на момент ее создания, остаются действительными и после истечения сроков действия сертификатов... Или это не так?
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#24 Оставлено : 1 июня 2021 г. 6:20:15(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Автор: crypto7 Почему же действительность подписи определяется сертифкатом подписавшего, либо сервера доверенного времени или даже алгоритмом подписи? Юридически как-то не очень правильно выходит. Это похоже на то, как если бы сотрудник организации поставил свою подпись на каком-то приказе, и эта подпись признавалась бы недействительной, например, при увольнении расписавшегося сотрудника... В основе подписания электронной подписью заложено предположение что хэш от некоторых данных легко подсчитать, но сложно подобрать данные под заданный хэш. Аналогично, что закрытый ключ сложно подобрать по открытому ключу. Однако технический прогресс не стоит на месте и те же шифры Энигмы, которые были сложные во время Второй мировой войны сейчас вполне можно подобрать на среднем компьютере достаточно быстро. При собственноручной подписи характерные черты почерка не так сильно меняются со временем и почерк одного человека не станет внезапно похож на почерк другого. Какие-либо аналогии между электронной подписью и рукописной подписью имеют мало смысла. Срок действия сертификата сейчас ограничен в большинстве случаев годом и 3 месяцами. Критическим сроком для использования алгоритма будет когда закрытый ключ можно подобрать примерно за удвоенное время (около двух с половиной - трех лет). Есть еще другие факторы, важные для сложности подбора самого закрытого ключа по косвенным параметрам. Выведение из эксплуатации схемы подписи гост-2001 как раз связано с тем, что хэш гост-94 уже вплотную подошел к критическому времени на достаточно мощном компьютере. Легко посчитать, что от 1994 года до 2019 года прошло 25 лет, то есть алгоритмы меняются очень нечасто. Однако надо учесть, что прежде чем входит в широкое употребление проходит 7-8 лет. Хэш гост-2012 256 бит усложняет алгоритм вычисления, поэтому подобрать уже посложнее, хэш гост-2012 512 бит подобрать еще сложнее, но лет так через 15 вероятно это уже не будет такой проблемой. Понятно, что если хэш или закрытый ключ какого-то алгоритма можно будет легко подобрать, то и все подписи, сделанные с соответствующим сертификатом можно подменить - подписям с этим алгоритмом уже не будет доверия. Надеюсь, это проливает свет на то, почему действительность подписи зависит от действительности сертификата (на самом деле, примерного срока от момента генерации ключевой пары) или от доверия к алгоритму подписи. Чтобы потери доверия не произошло желательно в документы с особо долгим сроком хранения периодически включать новые доказательства или, например, переподписывать доказательства уже с новыми алгоритмами (пока доказательства еще действительны). Зависимость от действительности сертификата метки времени - аналогично, если можно подменить метку времени, то и подпись можно сделать задним числом. Автор: crypto7 А, например, подпись в формате CAdES-BES следуя этой логике, в каких случаях перестает действовать? Когда истекает сертификат подписавшего. Тут разве что можно сделать оговорку, что если подпись хранится в какой-то информационной системе, то сервер может ее при загрузке "доусовершенствовать" меткой времени и доказательствами либо сохранить (или иным способом подтвердить) время загрузки подписи в информационную систему. Автор: crypto7 Ведь доказательства, включенные в подпись на момент ее создания, остаются действительными и после истечения сроков действия сертификатов... Или это не так? Не совсем так, СОС подписывается ключом самого УЦ, то есть действителен пока сертификат УЦ действителен. OCSP-ответ подписывается сертификатом OCSP-ответчика, но в сертификате ответчика по стандарту должен стоять специальный флаг "не проверять по OCSP", то есть тоже сводится к действительности сертификата УЦ. Срок действия сертификата УЦ обычно превышает срок действия клиентских сертификатов и может составлять до 25-30 лет (сравнимо с периодом действия алгоритма подписи), но он тоже не "вечен". Важно, что СОС или OCSP-ответ берется на момент подписания, то есть достаточно трудно спрогнозировать будет ли подпись проверяться через 25 лет. Скорее всего нет - в большинстве случаев сертификат УЦ для сервера доверенного времени истечет быстрее и метка времени будет недействительна. Отредактировано пользователем 1 июня 2021 г. 6:43:12(UTC) \| Причина: Не указана

1 пользователь поблагодарил two_oceans за этот пост.		egn.p оставлено 04.10.2023(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

3 Страницы<1 23

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close