Статус: Новичок
Группы: Участники
Зарегистрирован: 02.06.2022(UTC)
Сообщений: 1
|
Приветствую! Столкнулся со следующей проблемой: если при формировании CaDES-XLT1 в качестве доказательства валидности сертификата подписанта указать CRL, при проверке (https://dss.cryptopro.ru/Verify/Verify/) возникает ошибка "Подпись имеет признаки подписи формата CAdES-XLT1, но не соответствует им полностью. Не удалось проверить подпись CAdES-XLT1. Ошибка: [либо внутренняя ошибка ASN1 либо ошибка дешифровки]. Код: [0x80093101].". При этом если в качестве доказательства использовать OCSP ответ, то подпись проверяется успешно. В приложении error_sig.txt - пакет,вызывающий ошибку. ok_sig.txt - пакет без ошибки  ok_sig.txt (35kb) загружен 4 раз(а). error_sig.txt (706kb) загружен 3 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,215  Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 285 раз в 265 постах
|
Добрый день! все верно. в качестве доказательств подлинности для сертификата подписанта должен быть ocsp ответ. хоть rfc указано что в качестве доказательств может быть ocsp ответ на основе crl (thisUpdate и nextUpdate из crl) или сам crl, в наших продуктах реализация иная. причина в том что например crl может быть издан месяц назад и действовать еще два месяца. в таком случае tsp штамп на время подписи будет позже чем ThisUpdate ocsp ответа. т.е. фактически нет доказательств что в период между thisUpdate из ocsp штампа и tsp штампа сертификат подписанта был действителен. поэтому в качестве доказательств принимается только ocsp ответ с thisUpdate, при этом nextUpdate в ответе должно отсутствовать. время в штампах должно удовлетворять условию inner tsp (signing timestamp) <= thisUpdate from ocsp (evidence) <= outer tsp (evidence timestamp) конечно может и можно было бы чтобы использовалься crl, но в таком случае УЦ должен выпускать crl ежесекундно, что нереализуемо Отредактировано пользователем 3 июня 2022 г. 0:25:17(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Дополню про CRL.
Для того, чтобы CRL подтверждал действительность сертификата на момент подписи, он должен быть выпущен (имеется в виду поле thisUpdate) после момента времени, указанном в штампе времени на подпись. То есть пришлось бы сначала создать подпись, получить на неё штамп времени, подождать выпуска следующего CRL и только тогда закончить создание подписи CAdES-X Long Type 1. Большинство CRL выпускаются раз в сутки.
И второй момент, про который не всегда помнят, - CRL имеет гораздо больший размер, чем OCSP-ответ. Здесь в соседней ветке были жалобы на CRL в пару мегабайт, включаемый в каждую подпись.
Именно из-за этих двух существенных минусов: (1) подпись можно (в большинстве случаев) закончить только на следующий день и (2) большой размер - и было принято решение для проверки сертификата ключа подписи использовать только OCSP-ответ. Замечу, что для промежуточных CA требования менее строгие, для них допускается использование CRL в доказательствах.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,514  Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Автор: Новожилова Елена  Дополню про CRL.
..
И второй момент, про который не всегда помнят, - CRL имеет гораздо больший размер, чем OCSP-ответ. Здесь в соседней ветке были жалобы на CRL в пару мегабайт, включаемый в каждую подпись.
Именно из-за этих двух существенных минусов: (1) подпись можно (в большинстве случаев) закончить только на следующий день и (2) большой размер - и было принято решение для проверки сертификата ключа подписи использовать только OCSP-ответ. Замечу, что для промежуточных CA требования менее строгие, для них допускается использование CRL в доказательствах. Например, сейчас CRL ФНС уже 4.5 мб ( с 114К отозванных сертификатов)... Snimok ehkrana ot 2022-06-03 12-57-22.png (119kb) загружен 5 раз(а). Snimok ehkrana ot 2022-06-03 12-59-43.png (43kb) загружен 5 раз(а). |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.09.2023(UTC) Сообщений: 11 Откуда: Екатеринбург Сказал(а) «Спасибо»: 4 раз
|
Подскажите пожалуйста, почему КриптоПро SVS при проверке подписи формата CAdES-XLT1 возвращает ошибку "Не удалось проверить подпись CAdES-XLT1. Ошибка: [Element not found]. Код: [0x80070490].В сообщении не найден действительный штамп времени на подпись.", при этом сам же эту дату возвращает в SignatureInfo: Код:"SignatureInfo": {
"CAdESType": "XLT1",
"SigningTime": "2023-09-29T12:42:59",
"LocalSigningTime": "2023-09-29T12:42:57"
},
Протокол проверки через https://dss.cryptopro.ru/verify: Protokol_04102023_153100.pdf (81kb) загружен 2 раз(а).При этом подписи формата CAdES-BES проверяет успешно. Это может быть связано с тем, что надо доустановить клиенты TSP и OSCP? UPD: В другом месте подсказали, что сертификаты издателей оператора службы штампов времени установлены по инструкции. Отредактировано пользователем 4 октября 2023 г. 16:16:35(UTC)
| Причина: UPD
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
