Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline KUNASHOV_ADAMAS  
#21 Оставлено : 30 октября 2015 г. 16:59:43(UTC)
KUNASHOV_ADAMAS

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Явных расхождений во времени не вижу:
Screenshot_3.png (163kb) загружен 15 раз(а).

Что-нибудь еще может влиять?
Offline Андрей Писарев  
#22 Оставлено : 30 октября 2015 г. 17:05:05(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,303
Мужчина
Российская Федерация

Сказал «Спасибо»: 379 раз
Поблагодарили: 1528 раз в 1175 постах
Может время на сервере с OCSP отстает?


К тому же, как пример, время на форуме и моем ПК - расходится на десяток минут.
Сейчас 13:52 (UTC), а форум для этого сообщения показывает: 14:05.
Техническую поддержку оказываем тут
Наша база знаний
Offline KUNASHOV_ADAMAS  
#23 Оставлено : 30 октября 2015 г. 17:27:21(UTC)
KUNASHOV_ADAMAS

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
У нас своих серверов нет. Службы OCSP и TSP предоставлены сервисами КриптоПро, во время подписания документов с нашей стороны используется служба штампов времени http://qs.cryptopro.ru/tsp/tsp.srf

Как-то можно проверить время OCSP сервера? Или по нему синхронизировать время?
Offline Андрей Писарев  
#24 Оставлено : 30 октября 2015 г. 17:47:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,303
Мужчина
Российская Федерация

Сказал «Спасибо»: 379 раз
Поблагодарили: 1528 раз в 1175 постах
Автор: KUNASHOV_ADAMAS Перейти к цитате
У нас своих серверов нет. Службы OCSP и TSP предоставлены сервисами КриптоПро, во время подписания документов с нашей стороны используется служба штампов времени http://qs.cryptopro.ru/tsp/tsp.srf

Как-то можно проверить время OCSP сервера? Или по нему синхронизировать время?


Да, отстает на сервере OCSP время... около 30 секунд.
Сравните время ответа в заголовках от web-сервера с точным временем справа (щелкнул снимок через 1-2 сек, после обновления страницы с запросом).

Snimok ehkrana ot 2015-10-30 182820.png (234kb) загружен 97 раз(а).





Техническую поддержку оказываем тут
Наша база знаний
Offline KUNASHOV_ADAMAS  
#25 Оставлено : 30 октября 2015 г. 17:55:36(UTC)
KUNASHOV_ADAMAS

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Большое спасибо. Теперь хотя бы однозначно понимаю, из-за чего эти тормоза пошли.

Как часто сервер OCSP синхронизируют? Т.е. когда ожидать исправления времени?
Offline Андрей Писарев  
#26 Оставлено : 30 октября 2015 г. 17:56:25(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,303
Мужчина
Российская Федерация

Сказал «Спасибо»: 379 раз
Поблагодарили: 1528 раз в 1175 постах
Автор: KUNASHOV_ADAMAS Перейти к цитате
Большое спасибо. Теперь хотя бы однозначно понимаю, из-за чего эти тормоза пошли.

Как часто сервер OCSP синхронизируют? Т.е. когда ожидать исправления времени?


Это вопрос к сотрудникам ООО КРИПТО-ПРО.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
KUNASHOV_ADAMAS оставлено 30.10.2015(UTC)
Offline crypto7  
#27 Оставлено : 20 мая 2021 г. 7:56:51(UTC)
crypto7

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.05.2021(UTC)
Сообщений: 35
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 11 раз
Автор: KUNASHOV_ADAMAS Перейти к цитате
Добрый день.

Получаем XML-документ и файл подписи из 1С. Перед загрузкой в нашу базу проверяем валидность подписи и файла.
Проверка КриптоАрм осуществляется быстро (1—2 секунды), а проверка средствами cadescom.dll очень долго (около 30 секунд).
Программный комплекс используется уже пару лет без изменений в коде, тормоза пошли примерно с середины сентября.

Используем Delphi 4. Фрагмент кода:
FSignedData.ContentEncoding := CAPICOM_ENCODE_BINARY;
FSignedData.Content := DigitalDocumentBase64;
FSignedData.VerifyCades(SignatureDataBase64,CADESCOM_CADES_BES,true);

При вызове VerifyCades программа зависает секунд на 30. Получили с помощью DebugView лог происходящего ( Proverka EhCP.LOG (12kb) загружен 6 раз(а).).
В 81-ую запись лог пишет: «cadescom.dll: waiting 26415 miliseconds» (на разных файлах колеблется в интервале 26—29 секунд). Запись появляется до "зависания", т.е. это явно не логирование времени проверки.

С помощью документов идет обмен данными между разными информационными системами, и такое продолжительное время обработки неприемлемо.

С чем может быть связано такое поведение CADESCOM? Как можно ускорить его работу?


Доброго утра всем!

Друзья, выручайте - у меня похожая проблема с проверкой подписи формата CAdES-BES средствами COM-интерфейса КриптоПро SDK. При выполнении процедуры VerifyCades, проверка длится до 30 секунд, тогда как КриптоАРМ тот же самый файл проверяет за 1-2 секунды...

Думается, сначала выполняется проверка самой подписи, которая длится около 1 секунды, а потом VerifyCades проверяет сертификат, двумя способами. Похоже, что сначала процедура пытается проверить подпись с помощью службы OCSP, а уже потом обращается к локальному хранилищу СОС. Хотелось бы понять, как можно (и можно ли вообще) указать процедуре поиск в локальном хранилище СОС как приоритетный способ проверки статуса сертификата.

Как можно это сделать?

Отредактировано пользователем 20 мая 2021 г. 7:57:28(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#28 Оставлено : 21 мая 2021 г. 18:46:23(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 752
Российская Федерация

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 157 раз в 153 постах
Автор: crypto7 Перейти к цитате
Автор: KUNASHOV_ADAMAS Перейти к цитате
Добрый день.

Получаем XML-документ и файл подписи из 1С. Перед загрузкой в нашу базу проверяем валидность подписи и файла.
Проверка КриптоАрм осуществляется быстро (1—2 секунды), а проверка средствами cadescom.dll очень долго (около 30 секунд).
Программный комплекс используется уже пару лет без изменений в коде, тормоза пошли примерно с середины сентября.

Используем Delphi 4. Фрагмент кода:
FSignedData.ContentEncoding := CAPICOM_ENCODE_BINARY;
FSignedData.Content := DigitalDocumentBase64;
FSignedData.VerifyCades(SignatureDataBase64,CADESCOM_CADES_BES,true);

При вызове VerifyCades программа зависает секунд на 30. Получили с помощью DebugView лог происходящего ( Proverka EhCP.LOG (12kb) загружен 6 раз(а).).
В 81-ую запись лог пишет: «cadescom.dll: waiting 26415 miliseconds» (на разных файлах колеблется в интервале 26—29 секунд). Запись появляется до "зависания", т.е. это явно не логирование времени проверки.

С помощью документов идет обмен данными между разными информационными системами, и такое продолжительное время обработки неприемлемо.

С чем может быть связано такое поведение CADESCOM? Как можно ускорить его работу?


Доброго утра всем!

Друзья, выручайте - у меня похожая проблема с проверкой подписи формата CAdES-BES средствами COM-интерфейса КриптоПро SDK. При выполнении процедуры VerifyCades, проверка длится до 30 секунд, тогда как КриптоАРМ тот же самый файл проверяет за 1-2 секунды...

Думается, сначала выполняется проверка самой подписи, которая длится около 1 секунды, а потом VerifyCades проверяет сертификат, двумя способами. Похоже, что сначала процедура пытается проверить подпись с помощью службы OCSP, а уже потом обращается к локальному хранилищу СОС. Хотелось бы понять, как можно (и можно ли вообще) указать процедуре поиск в локальном хранилище СОС как приоритетный способ проверки статуса сертификата.

Как можно это сделать?


Добрый день!
отключить проверку на построение цепочки и на отозванность нельзя.

по ощущениям задержка в проверке сертификатов.
включите журнал CAPI2 и посмотрите что там
По умолчанию этот журнал не включен. Чтобы включить этот журнал, разверните раздел Просмотр событий (локально) \Applications и службы Logs\Microsoft\Windows\CAPI2, установите и удерживайте (или щелкните правой кнопкой мыши), а затем выберите Включить журнал.

Техническую поддержку оказываем тут
Наша база знаний
Offline crypto7  
#29 Оставлено : 24 мая 2021 г. 16:06:03(UTC)
crypto7

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.05.2021(UTC)
Сообщений: 35
Российская Федерация
Откуда: NN

Сказал(а) «Спасибо»: 11 раз
Спасибо большое. Я, кажется, нашел причину задержки. Он обращается к адресу для загрузки CRL текущего сертификата открытого ключа. А т.к. доступа к внешней сети на ПК нет, то он, похоже, делает несколько попыток. Я поставил запрет на этот адрес в брандмауэре Windows. После этого проверка стала проходить за 5 секунд.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.