Подпись проходит проверку при отозванном сертификате у промежуточного УЦ

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Подпись проходит проверку при отозванном сертификате у промежуточного УЦ

Опции

Предыдущая тема Следующая тема

idtks		#1 Оставлено : 29 ноября 2023 г. 17:55:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 10.07.2014(UTC) Сообщений: 107 Откуда: Москва Сказал(а) «Спасибо»: 24 раз		Здравствуйте! Тестируем один из кейсов нашего ПО, использующего СКЗИ КриптоПРО. Вот в такой конфигурации: Астра Линукс 1.7 SE КриптоПро CSP 5.0 R2 CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 Суть теста – показать заказчику, что если отозвать сертификат у промежуточного УЦ, то подпись, созданная сертификатом, который выпустил этот промежуточный УЦ перестанет успешно проверяться. То есть, на отзыв проверяются все сертификаты в цепочке доверия. Не получается это показать заказчику – подпись успешно проходит проверку невзирая на выпущенный СОС. Вот архив CP-TEST.zip (15kb) загружен 2 раз(а).. Там лежит: root2.cer – сертификат корневого УЦ revoked_int_ca_old.cer – сертификат промежуточного УЦ (подписанный root2.cer) revokeRC.cer – сертификат подписи (подписанный revoked_int_ca.cer) 7A0C731B8A5CF8358D77AF865BC61762605D872B.crl – пустой СОС для промежуточного C68FC47CE56EA2D484A67A5D919CBB2D6346EAA0.crl – СОС для корневого (с отозванным промежуточным УЦ) history2_revokerc.sig – отсоединенная подпись history.txt – данные для этой подписи Если всё установить, то подпись проверку проходит. Никаких ошибок не возникает: Код: `user@astra:/opt/utils/trustedCodeLabel$ /opt/cprocsp/bin/amd64/cryptcp -verify -detached ~/history.txt ~/test.sig -verall CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Утилита командной строки для подписи и шифрования файлов. Папка '/home/user/': /home/user/history.txt... Проверка подписи... Автор подписи: Подпись проверена. [ErrorCode: 0x00000000]` - что мы не так делаем? Пробовал повторить это под Windows 7 / CSP КриптоПРО 4 – получил ошибку проверки сертификата подписи «Сертификат аннулирован (отозван)». А вот под Linux – не получается. Подпись верна… С уважением, Константин Ткачук.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#2 Оставлено : 29 ноября 2023 г. 19:38:45(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,974 Сказал «Спасибо»: 605 раз Поблагодарили: 2347 раз в 1843 постах		Здравствуйте. в 12997 видит отзыв: CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2023. Утилита командной строки для подписи и шифрования файлов. // Проверка подписи... Автор подписи: ***** Один из сертификатов в цепочке отозван. Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])? в 12000 проверю позже.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#3 Оставлено : 29 ноября 2023 г. 20:03:06(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,974 Сказал «Спасибо»: 605 раз Поблагодарили: 2347 раз в 1843 постах		Цитата: /opt/cprocsp/bin/amd64/cryptcp -verify "/home/andrey/Загрузки/523/history.txt" -f "/home/andrey/Загрузки/523/history2_revokerc.sig" -detached -verall CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Утилита командной строки для подписи и шифрования файлов. Папка '/home/andrey/Загрузки/523/': /home/andrey/Загрузки/523/history.txt... Проверка подписи... Автор подписи: Один из сертификатов в цепочке отозван. Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#4 Оставлено : 29 ноября 2023 г. 20:14:13(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,974 Сказал «Спасибо»: 605 раз Поблагодарили: 2347 раз в 1843 постах		соответственно, если разместить файлы в папку с приложением: 12000: Цитата: /opt/cprocsp/bin/amd64$ /opt/cprocsp/bin/amd64/cryptcp -verify -detached history.txt test.sig -verall CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Утилита командной строки для подписи и шифрования файлов. Папка './': history.txt... Проверка подписи... Автор подписи: Один из сертификатов в цепочке отозван. Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])? Может быть файл test.sig у Вас другой?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#5 Оставлено : 29 ноября 2023 г. 20:15:25(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,974 Сказал «Спасибо»: 605 раз Поблагодарили: 2347 раз в 1843 постах		p.s. у меня не Астра Линукс 1.7 SE
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

idtks		#6 Оставлено : 30 ноября 2023 г. 12:55:44(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 10.07.2014(UTC) Сообщений: 107 Откуда: Москва Сказал(а) «Спасибо»: 24 раз		Спасибо, за Ваши ответы, но: 1. 12997 - это НЕ сертифицированная версия CSP. 2. Копировать СОС-ы в подкаталог к утилите, чтобы она корректно работала - это, мягко говоря, оригинальный подход. С уважением, Константин Ткачук.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#7 Оставлено : 30 ноября 2023 г. 12:57:31(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,974 Сказал «Спасибо»: 605 раз Поблагодарили: 2347 раз в 1843 постах		Пробовали очистить кэш crl и поставить с отозванным?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#8 Оставлено : 30 ноября 2023 г. 12:58:15(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,974 Сказал «Спасибо»: 605 раз Поблагодарили: 2347 раз в 1843 постах		Автор: idtks Спасибо, за Ваши ответы, но: 1. 12997 - это НЕ сертифицированная версия CSP. 2. Копировать СОС-ы в подкаталог к утилите, чтобы она корректно работала - это, мягко говоря, оригинальный подход. С уважением, Константин Ткачук. А причём это все? Проверял на 12000, crl в хранилище.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#9 Оставлено : 30 ноября 2023 г. 13:03:39(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,867 Сказал(а) «Спасибо»: 654 раз Поблагодарили: 506 раз в 477 постах		Автор: Андрей * Автор: idtks Спасибо, за Ваши ответы, но: 1. 12997 - это НЕ сертифицированная версия CSP. 2. Копировать СОС-ы в подкаталог к утилите, чтобы она корректно работала - это, мягко говоря, оригинальный подход. С уважением, Константин Ткачук. А причём это все? Проверял на 12000, crl в хранилище. Вот эта Ваша фраза и запутала: Автор: Андрей * соответственно, если разместить файлы в папку с приложением: 12000: , хотя здесь Вы под файлами имели ввиду - это сам файл и его подпись.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close