Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline COPYTRUST  
#1 Оставлено : 8 сентября 2021 г. 7:26:29(UTC)
COPYTRUST

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.09.2021(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Добрый день!
Мы, являясь вашими партнерами, используем метки времени выдаваемыми службой TSP УЦ Крипто-ПРО (централизованная схема обслуживания).
Возник вопрос - Существуют ли временные ограничения на проведение проверок подлинности меток времени? Ваши коллеги ответили, что проверки производятся пока действителен сертификат службы TSP на котором подписана метка. Это ограничение является критичным для нас, т.к. мы храним у себя документы подписанные много лет назад и в отношении которых может быть заказана экспертиза, которая потребует проверку подлинности метки.

Например, пусть есть служба CSP с сертификатом действительным до 01.01.2022 года. Допустим мы подписывали документы на выдаваемых этой службой метках: 2017, 2020 и 2021 года со сроком хранения 3 года. Документы которые были подписаны в 2017 году будут храниться до 2020 года и проблем с экспертизой не будет, т.к. она будет проводится в период когда сертификат TSP еще действует. А вот с документами подписанными 20 и 21 годах могут быть проблемы, если экспертизу закажут незадолго до 01.01.2022 или после. В этой связи возникли следующие вопросы:

1. По какому алгоритму вы меняете сертификаты службы TSP? Это важно для выработки ограничений. Например, если сертификат действителен 10 лет, но меняется он каждый год, тогда максимальный срок в течении которого мы можем обратиться за экспертизой для каждого подписанного документа - 9 лет.

2. Если мы будем применять процедуру переподписывания (на новом сертификате, до момента истечения срока действия первого, с новой меткой, с включением в новую подпись статуса первого сертификата) будет ли подтверждена первоначальная дата (дата первой метки)?
Offline two_oceans  
#2 Оставлено : 8 сентября 2021 г. 8:07:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Присоединюсь к вопросу, добавив пару деталей. Для долгосрочного хранения документов есть специальные форматы с буквой А. Тем не менее, из-за устаревания алгоритмов подписи, без переподписания новыми алгоритмами максимальный срок хранения составит примерно 30 лет.

2) С переподписанием не все так просто - в формате с доказательствами подлинности не одна метка, а две: на саму подпись и на доказательства подписи. Теоретически не запрещено подстраховаться и добавить больше меток от разных TSP (так как сертификат TSP не обязательно доработает до конца срока - может быть скомпрометирован и отозван на середине срока, такая метка окажется бесполезна). Поэтому действительно хотелось бы получить разъяснения как правильно сделать переподписание.

В теории эти две обязательные метки также могут быть разных TSP с разными сертификатами и разным сроком действия. Предположу, что на каждую "новейшую" метку (которую сначала проверяем в онлайне) надо в дальнейшем периодически (до истечения ее сертификата TSP) прикреплять новые доказательства подписи (с меткой времени другим _новым_ сертификатом TSP!), сохраняя все предыдущие метки и доказательства. В этом случае цепочку доказательств можно будет раскрутить до начальной метки времени с изначальным временем подписания и подтвердить время подписи.

Если я все правильно предположил, то схема следующая - используете минимум 2 службы TSP с несовпадающими сроками и то первой заверяете вторую, то второй первую. Так конечно придется чаще прикреплять доказательства и объем подписи будет расти быстрее, но надежность выше.

Отредактировано пользователем 8 сентября 2021 г. 8:12:26(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#3 Оставлено : 8 сентября 2021 г. 16:00:30(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Здравствуйте.

1. Не ясен вопрос, но про максимальные сроки ниже.
Если коротко: При использовании на ЦС КриптоПро CSP, то максимальный срок действия сертификата - 15 лет. При КриптоПро HSM ​максимальный срок действия сертификата - 18 лет.
Подробнее и условия - ЖТЯИ.00078-01 30 01. ПАК КриптоПро УЦ 2.0. Формуляр

2. Продлевать срок действия электронной подписи есть только в формате CADES-A. У нас имеется продукт в котором этот формат подписи реализован https://cryptopro.ru/products/archive
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.