Автор: basid 
А в конце декабря какая-то "старая" подпись этого клиента проверялось на каком-то сервисе. И этот сервис "утверждал", что и подпись действующая (хотя она уже давно отозвана) и УЦ - аккредитован, хотя "уже нет".
Так я вроде бы и ответил, что позор такому сервису. Правда полагаю, что сервис утверждал, что сертификат не отозван, утверждать про аккредитацию может только реестр аккредитованных УЦ.
Автор: basid Автор: two_oceans Подробнее: если правда отозван сертификат УЦ, то все его подписи станут недействительны - неважно, в сертификатах они (так как сертификат не имеет метки доверенного времени)
А конкретная подпись - может иметь доверенный штамп времени.
Подпись, да. Допустим, штамп времени имеет. От сервера доверенного времени, сертификат которого выпущен другим УЦ. Иначе метка накроется медным тазом вместе сертификатом этого УЦ.
Автор: basid И раз на момент подписания все сертификаты действовали,
Нет, с чего бы. Представьте, ключ промежуточного УЦ украли и используют в несертифицированном СКЗИ (либо переводят время назад) и выдают совершенно левый сертификат с началом полгода до того, чего-то подписывают и успевают сделать метку до отзыва сертификата УЦ. По Вашей логике левый сертификат и подписи с ним тоже останется действительным? Реальный промежуточный УЦ о нем не знает и отозвать не сможет. На самом же деле, у сертификата (в отличие от документа) нет метки времени, поэтому нельзя достоверно установить когда был выдан конечный сертификат (до момента отзыва или после) и сертификат следует считать недействительным.
Автор: basid то и подпись - действительна, вне зависимости от текущего состояния собственного сертификата УЦ.
И будет действительна до тех пор, пока не истечёт срок действия сертификата TSP-/OCSP-сервера.
И даже в этом случае можно "заблаговременно успеть" усовершенствовать подпись до "архивной".
Логика безупречна, но неправильная предпосылка о действительности всех сертификатов все обращает в ложь.
Автор: basid Цитата:Соответственно, если к СОС не приложена метка времени
Кто эти чудаковатые люди, которые умеют генерировать списки отзыва без штампов времени???
Коллега, так покажите мне, где она в СОС. Тыкните носом. Вот я смотрю на СОС в хранилище сертификатов и там нет никакого упоминания про TSP сервер доверенного времени. Метка должна быть от сервера доверенного времени (желательно от другого УЦ, чтобы не накрыться вместе с данным УЦ), а не просто поле заполненное самим УЦ.
Автор: basid "всякое отчебучивали"?
Разрешите воздержаться от комментариев по поводу одаренности. Я имел ввиду, что иногда случаются такие непредвиденные обломы срока действия УЦ и срок действия конечного вылетает за дату отзыва сертификата УЦ.
UPDATE:
Цитата:Представьте, ключ промежуточного УЦ украли и используют в несертифицированном СКЗИ (либо переводят время назад) и выдают совершенно левый сертификат с началом полгода до того, чего-то подписывают и успевают сделать метку до отзыва сертификата УЦ.
Придумался еще сценарий для более явного акцента в чем проблема. Допустим, злоумышленники давным давно сделали самоподписанный сертификат и подписали им некий документ, без включения сертификата в подпись, но с меткой доверенного времени. Все замечательно, но сертификат неквалифицированный. Затем, допустим ключ УЦ украли и сделали на тот ключ и тот же DN из самоподписанного сертификата квази-квалифицированный конечный сертификат с началом на полгода назад, чтобы и подпись и метка попадали в срок действия. Сертификат УЦ отозван с даты кражи, но технически сделанный задним числом квази-квалифицированный конечный сертификат неотличим от настоящего. Ну кроме того, что сам УЦ и Минцифра о нем не знает. Собственно если злоумышленники рискнут, они могут и на портал Минцифры его загрузить. Получается, неквалифицированная подпись магически станет квалифицированной и даже заверенной подлинной меткой времени. Если мы не будем считать все сертификаты, выданные УЦ у которого отозвали сертификат, недействительными, то неизвестно какое число таких сертификатов появится.
Отредактировано пользователем 29 декабря 2021 г. 12:21:18(UTC)
| Причина: Не указана
