Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы«<2345>
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#31 Оставлено : 28 декабря 2021 г. 12:05:33(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: Андрей * Перейти к цитате
К сожалению, речь о месяцах. Один из проверяемых сертификатов был отозван 30.06.2021.
30 июня смахивает на отмену аккредитации. Возможно конечный сертификат был передан Минцифре для поддержки? Тогда он по идее остается действительным - просто цепочка строится неправильно.

Отредактировано пользователем 28 декабря 2021 г. 12:07:01(UTC)  | Причина: Не указана

Offline Alexander Kumanyaev  
#32 Оставлено : 28 декабря 2021 г. 12:14:11(UTC)
Alexander Kumanyaev

Статус: Участник

Группы: Участники
Зарегистрирован: 03.10.2019(UTC)
Сообщений: 28
Российская Федерация
Откуда: MSK

Сказал(а) «Спасибо»: 2 раз
two_oceans написал:
Вас понял. Собственно, тогда все эти подписи хранятся только для галочки, так как без хотя бы штампа времени они "протухнут" вместе с сертификатом. Конечно, если Вы уверены, что в задании нет про возможность проверить на протяжении всего срока, то Вам проще решать в другой плоскости.
Да, скорее для галочки, т.к. есть общие требования большой организации к хранению документов. "Разборы полетов" по такому документу если и происходят, то почти сразу, т.к. сам документ это некий аналог маршрутного листа и вопросы к нему возникают только если на маршруте что-то произошло, а отдаются они прям под выход на маршрут.

two_oceans написал:

Если актуальность документов очень короткая, возможно имеет смысл держать в БД только актуальные, например, около 2 недель или месяца. У меня что-то подобное задумывалось для смэв, примерно так: одна БД с таблицей в которой указаны промежутки актуальности и имена других баз...
Функциональный заказчик хочет отчеты по объемам выдаваемых документов с возможностью просмотра детализации, т.е. если и выносить в другие БД, то только подпись.

Offline Андрей *  
#33 Оставлено : 28 декабря 2021 г. 12:43:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Автор: two_oceans Перейти к цитате
Автор: Андрей * Перейти к цитате
К сожалению, речь о месяцах. Один из проверяемых сертификатов был отозван 30.06.2021.
30 июня смахивает на отмену аккредитации. Возможно конечный сертификат был передан Минцифре для поддержки? Тогда он по идее остается действительным - просто цепочка строится неправильно.


Нет, сертификат отозван, аккредитацию того УЦ лишили в декабре.
Есть для примера эта статья.


Цитата:

Тогда он по идее остается действительным - просто цепочка строится неправильно

Подробнее можно "о технологии"? И нет ли противоречий с ФЗ...
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#34 Оставлено : 28 декабря 2021 г. 13:43:32(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: Андрей * Перейти к цитате
Нет, сертификат отозван, аккредитацию того УЦ лишили в декабре.
Есть для примера эта статья.
Это скорее просто кошмар какой-то. Отозвать сертификат раньше чем от был выдан - ну я конечно оценил юмор операторов УЦ - чтобы все подписи заведомо стали неверными в случае нелегитимного получателя сертификата, это может быть и наиболее верный выход, но все же как-то смотрится дико. Даже допускаю, что УЦ и не виноват напрямую, просто недостаточно проверяли документы. Мошенники требующие деньги за отзыв могли быть не из УЦ. Несовпадение сертификатов соответствия - ну извините, это отдельный вопрос к контролю от Минцифры. Смысл в том, что если УЦ соблюдает требования на 1 год 3 месяца действия ключа УЦ, то ежегодно выпускается новый сертификат УЦ, соответственно в запросе на сертификат УЦ (идущий в Минцифру) указывается только средство электронной подписи - его и обновили, а вот данные о средстве промежуточного УЦ указывается только в конечных сертификатах, оно осталось без исправления.
Автор: Андрей * Перейти к цитате
Подробнее можно "о технологии"? И нет ли противоречий с ФЗ...
Точных данных по реализации у меня тоже нет. Однако это как раз в соответствии с ФЗ - в случае прекращения деятельности УЦ может передать в Минцифру реестр выданных сертификатов (и много еще чего в придачу). Ссылка на приказ сразу видна на главной странице e-trust. Понятно, что их действительность потом можно там проверить. И что УЦ видимо должен поставить редирект на СОС, выпускаемый ГУЦ. А вот что с цепочкой... вопрос остается открытым. Как это можно было бы реализовать мне видится - есть несколько вариантов: 1) УЦ передает свой ключ в Минцифру - тут все понятно, далее ГУЦ выполняет функции УЦ с сертификатом бывшего УЦ или перевыпущенным сертификатом УЦ на ГУЦ; 2) выпускается новый кросс-сертификат на сертификат УЦ, старый отзывается, сертификаты подхватываются на новый сертификат УЦ на ГУЦ; 3) перевыпускается каждый конечный сертификат.
Автор: Alexander Kumanyaev Перейти к цитате
Функциональный заказчик хочет отчеты по объемам выдаваемых документов с возможностью просмотра детализации, т.е. если и выносить в другие БД, то только подпись.
Не настаиваю. Хотя это не такая уж проблема - если известны из задания статистические разрезы их легко можно посчитать за прошлые периоды заранее и сохранить в БД со сроками.

Отредактировано пользователем 28 декабря 2021 г. 13:49:30(UTC)  | Причина: Не указана

Offline basid  
#35 Оставлено : 28 декабря 2021 г. 19:37:57(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Сдаётся мне, что Андрей* говорит о двух сертификатах (конкретного владельца и "его" УЦ), а ДваОкена, почему-то, считает их одним ...
Offline Андрей *  
#36 Оставлено : 28 декабря 2021 г. 20:01:30(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Автор: basid Перейти к цитате
Сдаётся мне, что Андрей* говорит о двух сертификатах (конкретного владельца и "его" УЦ), а ДваОкена, почему-то, считает их одним ...


Да, речь про подписанта изначально была, как "облегчить" подпись (от CMS в RAW и обратно по требованию), сбор доказательств, штампов...
потом о поведениях УЦ (дорогие сертификаты с OCSP, но с задержкой в 12ч),
потом про ИС и статусы (отозван сертификат подписанта, приостановлена\аннулирована аккредитация УЦ), кто\как мониторит CRL (постоянно, не дожидаясь истечения) и зачем оно нужно...
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#37 Оставлено : 29 декабря 2021 г. 6:21:44(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Добрый день.
Да я знаю, что сертификата два. Поясню свои рассуждения:
1) если прекращена аккредитация УЦ - это не совсем то же самое, что отозван сертификат УЦ;
2) одновременно может быть только один действующий отзыв в цепочке сертификатов (который по уровню ближе к корневому), не имеет значение, что УЦ отзывал конечный перед прекращением аккредитации, отзыв конечного по сути аннулирован вместе с аккредитацией. О каких отзывах двух сертификатов Вы в этот момент говорите?

Подробнее: если правда отозван сертификат УЦ, то все его подписи станут недействительны - неважно, в сертификатах они (так как сертификат не имеет метки доверенного времени) или в списках отзыва сертификатов. Подписывать что-то еще сертификатом АУЦ не подойдет по использованию ключа. Соответственно, если к СОС не приложена метка времени (как в доказательствах подписи), СОС потеряет свою силу и конечный сертификат (чудесным образом) более не будет "отозванным" (будет "с недействительной подписью издателя" и "отзыв не удалось проверить", о том ниже). Метка тоже не сильно спасет, так как если СОС не специальный финальный, то срок действия СОС не такой большой и после отзыва сертификата УЦ новый нормально не выпустить.

Это одна из основных причин почему срок действия сертификатов изначально вписывают в пределы срока действия сертификата издателя - нет никакой возможности их штатно отозвать, если сертификат издателя стал недействительным (по истечении срока, по отзыву от вышестоящего УЦ, по списку недоверия к корневым сертификатам).
3) конечный сертификат будет "с недействительной подписью издателя" (невозможно гарантировать время его создания без метки времени), но это тоже немного другое, так как можно его подхватить на новый сертификат УЦ и в том числе плавно "забыть" об отзывах.

Другой вопрос, что практика выпуска нового сертификата УЦ на тот же ключ особенно сомнительна при лишении аккредитации. Уже лет пять-шесть прошло с того инцидента, когда Минкомсвязь отказалась так подхватить сертификаты от УЦ ФК когда срок конечных оказался дольше чем срок промежуточного УЦ и год все сидели с корневым УЦ ФК (аж на госуслуги его залили параллельно с ГУЦ). С тех пор АУЦ запрещено иметь корневые сертификаты и если сейчас Минцифра подхватит конечные сертификаты это будет вразрез со всей практикой за пятилетку. Да еще и потом разбираться какие из них получили мошенники. Есть момент с предыдущими подписями когда начало нового сертификата УЦ позднее чем начало конечного сертификата. С некорректно воспринимаемым редиректом адресов СОС. Потому скорее всего никто за это не возьмется и конечные сертификаты от данного УЦ так и останутся "с недействительной подписью УЦ", "отзыв не удалось проверить". Что ранее бывший "отозванный ранее выдачи", что остальные.

Отредактировано пользователем 29 декабря 2021 г. 6:24:32(UTC)  | Причина: Не указана

Offline basid  
#38 Оставлено : 29 декабря 2021 г. 6:33:13(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Да причём тут "сертификат УЦ"?..
Есть пользователь, получивший ЭП в аккредитованном УЦ, условно, в марте.
В июне у пользователя "что-то случилось" и он "аннулировал" ЭП: "старую" отозвали и выпустили "новую".
А уже в начале декабре сам УЦ потерял аккредитацию и, возможно, отозвали его собственный сертификат. Или "оставили для выпуска CRL". Не знаю.
А в конце декабря какая-то "старая" подпись этого клиента проверялось на каком-то сервисе. И этот сервис "утверждал", что и подпись действующая (хотя она уже давно отозвана) и УЦ - аккредитован, хотя "уже нет".
Offline basid  
#39 Оставлено : 29 декабря 2021 г. 6:44:19(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Автор: two_oceans Перейти к цитате
Подробнее: если правда отозван сертификат УЦ, то все его подписи станут недействительны - неважно, в сертификатах они (так как сертификат не имеет метки доверенного времени)
А конкретная подпись - может иметь доверенный штамп времени. И раз на момент подписания все сертификаты действовали, то и подпись - действительна, вне зависимости от текущего состояния собственного сертификата УЦ.
И будет действительна до тех пор, пока не истечёт срок действия сертификата TSP-/OCSP-сервера.
И даже в этом случае можно "заблаговременно успеть" усовершенствовать подпись до "архивной".
Цитата:
Соответственно, если к СОС не приложена метка времени
Кто эти чудаковатые люди, которые умеют генерировать списки отзыва без штампов времени???
Цитата:
Это одна из основных причин почему срок действия сертификатов изначально вписывают в пределы срока действия сертификата издателя
А это каким вообще боком???
Или "известны случае", когда "особо одарённые" выпускали ЭП за полгода-месяц до срока истечение сертификата сети ViPNet?
Или, там, в "самопальных" УЦ казначейств (пока так можно было) "всякое отчебучивали"?

Offline two_oceans  
#40 Оставлено : 29 декабря 2021 г. 8:04:10(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: basid Перейти к цитате
А в конце декабря какая-то "старая" подпись этого клиента проверялось на каком-то сервисе. И этот сервис "утверждал", что и подпись действующая (хотя она уже давно отозвана) и УЦ - аккредитован, хотя "уже нет".
Так я вроде бы и ответил, что позор такому сервису. Правда полагаю, что сервис утверждал, что сертификат не отозван, утверждать про аккредитацию может только реестр аккредитованных УЦ.
Автор: basid Перейти к цитате
Автор: two_oceans Перейти к цитате
Подробнее: если правда отозван сертификат УЦ, то все его подписи станут недействительны - неважно, в сертификатах они (так как сертификат не имеет метки доверенного времени)
А конкретная подпись - может иметь доверенный штамп времени.
Подпись, да. Допустим, штамп времени имеет. От сервера доверенного времени, сертификат которого выпущен другим УЦ. Иначе метка накроется медным тазом вместе сертификатом этого УЦ.
Автор: basid Перейти к цитате
И раз на момент подписания все сертификаты действовали,
Нет, с чего бы. Представьте, ключ промежуточного УЦ украли и используют в несертифицированном СКЗИ (либо переводят время назад) и выдают совершенно левый сертификат с началом полгода до того, чего-то подписывают и успевают сделать метку до отзыва сертификата УЦ. По Вашей логике левый сертификат и подписи с ним тоже останется действительным? Реальный промежуточный УЦ о нем не знает и отозвать не сможет. На самом же деле, у сертификата (в отличие от документа) нет метки времени, поэтому нельзя достоверно установить когда был выдан конечный сертификат (до момента отзыва или после) и сертификат следует считать недействительным.
Автор: basid Перейти к цитате
то и подпись - действительна, вне зависимости от текущего состояния собственного сертификата УЦ.
И будет действительна до тех пор, пока не истечёт срок действия сертификата TSP-/OCSP-сервера.
И даже в этом случае можно "заблаговременно успеть" усовершенствовать подпись до "архивной".
Логика безупречна, но неправильная предпосылка о действительности всех сертификатов все обращает в ложь.
Автор: basid Перейти к цитате
Цитата:
Соответственно, если к СОС не приложена метка времени
Кто эти чудаковатые люди, которые умеют генерировать списки отзыва без штампов времени???
Коллега, так покажите мне, где она в СОС. Тыкните носом. Вот я смотрю на СОС в хранилище сертификатов и там нет никакого упоминания про TSP сервер доверенного времени. Метка должна быть от сервера доверенного времени (желательно от другого УЦ, чтобы не накрыться вместе с данным УЦ), а не просто поле заполненное самим УЦ.
Автор: basid Перейти к цитате
"всякое отчебучивали"?
Разрешите воздержаться от комментариев по поводу одаренности. Я имел ввиду, что иногда случаются такие непредвиденные обломы срока действия УЦ и срок действия конечного вылетает за дату отзыва сертификата УЦ.

UPDATE:
Цитата:
Представьте, ключ промежуточного УЦ украли и используют в несертифицированном СКЗИ (либо переводят время назад) и выдают совершенно левый сертификат с началом полгода до того, чего-то подписывают и успевают сделать метку до отзыва сертификата УЦ.
Придумался еще сценарий для более явного акцента в чем проблема. Допустим, злоумышленники давным давно сделали самоподписанный сертификат и подписали им некий документ, без включения сертификата в подпись, но с меткой доверенного времени. Все замечательно, но сертификат неквалифицированный. Затем, допустим ключ УЦ украли и сделали на тот ключ и тот же DN из самоподписанного сертификата квази-квалифицированный конечный сертификат с началом на полгода назад, чтобы и подпись и метка попадали в срок действия. Сертификат УЦ отозван с даты кражи, но технически сделанный задним числом квази-квалифицированный конечный сертификат неотличим от настоящего. Ну кроме того, что сам УЦ и Минцифра о нем не знает. Собственно если злоумышленники рискнут, они могут и на портал Минцифры его загрузить. Получается, неквалифицированная подпись магически станет квалифицированной и даже заверенной подлинной меткой времени. Если мы не будем считать все сертификаты, выданные УЦ у которого отозвали сертификат, недействительными, то неизвестно какое число таких сертификатов появится.

Отредактировано пользователем 29 декабря 2021 г. 12:21:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
5 Страницы«<2345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.