Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проверка и создание подписи в настоящих условиях
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42   Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
В продолжении темы https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=134719#post134719Кратко, на текущий момент на порталах ЭДО со значительными перебоями работают службы OCSP и TSP, что приводит к тому что их использовать просто не возможно, как следствие мы были вынуждены перейти на простую подпись без использования TSP и OCSP. Документы подписываются средствами Крипто про браузер плагина. Документов очень много десятки тысяч в день, пользователей и сертификатов так же очень много. Как следствие у нас очень часто возникает ситуация когда одна сторона подписала документы в последний день действия сертификата, для примера см. картинку  но подписант с другой стороны не успел подписать документы в период действия сертификата первого пользователя, например второй подписант решил подписать документы сегодня, а сертификат первого пользователя уже закончился. По умолчанию при создании присоединенной подписи без штампа времени Крипто про Браузер плагин выдает ошибку Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле. (800B0101)и что делать в этом случае законом как всегда не описано, что еще настораживает что такой проблемы (видимо) нету у крупных компаний типа Диадока, не смотря на то что TSP и OCSP там так же не используется (если не ошибаемся). Отсюда возникает вопрос к юристам и знатокам сего дела, а насколько валидна будет такая ситуация для суда, когда например документ АКТ выполненных работ или другой подписан двумя сторонами и при этом для примера с такими сертификатами: 1 - дата действия сертификата с 01.01.2022 по 30.06.2022 и дата постановки подписи 29.06.2022 2 - дата действия сертификата с 01.05.2022 по 31.12.2022 и дата постановки подписи 03.07.2022 да и при этом в подписанном файле нету штампов времени и нету сведений об ответах OCSP так как их не удалось получить по известным всем уже причинам. При этом все online средства проверки подписи будут ругаться на первую подпись что к ней нет доверия, при этом будет указано что подпись математически корректна
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,114
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Вопрос упрётся ровно в то, во что и должен упереться - в доверие к отметке времени.
Если докажете, что "часы у нас правильные", то "математическая корректность" будет гарантировать отсутствие изменений после подписания.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
но если вопрос уперся в доказательство времени то чем вышеописанная ситуация отличается от следующей 1 - дата действия сертификата с 01.01.2022 по 30.06.2022 и дата постановки подписи 20.06.2022 2 - дата действия сертификата с 01.01.2022 по 30.06.2022 и дата постановки подписи 21.06.2022 да и при этом в подписанном файле нету штампов времени и нету сведений об ответах OCSP так как их не удалось получить по известным всем уже причинам. при этом возникло судебное разбирательство и что в первом что во втором случае надо доказывать время на компьютере, штампов то нет, разница лишь в том что во втором случае порталы проверки ЭДО скажут что все хорошо (если повезет и разбирательство будет в пределах действия сертификатов) а в первом что все не очень хорошо, но как известно все эти online проверки не могут быть использованы в качестве доказательства в судах. исходя из этого получается что обе ситуации равнозначны вы плане судебного разбирательства Отредактировано пользователем 3 августа 2022 г. 20:51:03(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,114
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Если в подписи нет штампа времени, то нельзя доверять отметке времени из атрибутов подписи. Т.е. сначала надо доказать, что подписант не "химичил" с часами своей системы при подписании.
Если время берётся из доверенного источника и подписант не может на него влиять - время тоже можно считать доверенным.
Если нет OCSP-отклика, но отметке времени в подписи можно доверять, то статусу сертификата - нельзя. В этом случае нужна дополнительная проверка по списку отзыва, актуальному на момент проверки.
В теории годится и OCSP-ответ, но на практике далеко не каждый OCSP-сервер предоставит статус сертификата на заданный момент (в прошлом).
Остальное зависит от ПО.
Если оно добавляет подпись на то, что есть, то требуется проверить статус только собственного сертификата.
Если ПО проверяет валидность "чужих" подписей, то "шо маемо, то маемо". В этом случае надо "как-то" предусмотреть два режима проверки статуса "чужих" подписей: "по текущему времени" и "по времени подписания".
|
 1 пользователь поблагодарил basid за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
Всем спасибо за обсуждение направление движения определено
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проверка и создание подписи в настоящих условиях
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
