Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<4567>
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей *  
#51 Оставлено : 4 июля 2024 г. 16:45:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,320
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: GTAlex Перейти к цитате
Автор: Андрей * Перейти к цитате

что не факт? УЦ ФНС, как и другие - получают раз в 1.5 года новые сертификаты от МЦ, выше снимок.


вот я и не пойму срок в 1.5 года - откуда вообще взялся? это какой то стандарт или личное наблюдение?



Стандарт, ограничения, в формуляре на СКЗИ + некоторые АУЦ явно в запросе указывали периоды.

Snimok ehkrana ot 2024-07-04 17-37-52.png (106kb) загружен 4 раз(а).

Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#52 Оставлено : 4 июля 2024 г. 16:47:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,320
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
пример, сертификат УЦ: АО "ПОЧТА РОССИИ"
Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline basid  
#53 Оставлено : 4 июля 2024 г. 16:55:30(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Насколько я всё (не)правильно понимаю ...
Есть ключевая пара, открытый ключ которой "обёрнут" в сертификат.
Есть регулятор, который устанавливает, в том числе, предельные сроки действия ключей.
Насколько я помню, предельный срок действия открытого ключа - пятнадцать лет.
Предельный срок действия закрытого ключа зависти от хранилища:

  • "Обычное" (флэшки, файловые системы, реестр, "всякое несертифицированное" и пассивные токены - пятнадцать месяцев;
  • Сертифицированный токен с неизвлекаемым(?) ключом - три года;
  • "Всякое специальное" - больше, но, наверное, вы замумукаетесь их "обустраивать".

Итого.
Открытый ключ действует долго, чтобы был "долгосрочный корень доверия".
Закрытый ключ действует меньше, немного или совсем мало "ибонефик" (разгильдяйство и некомпетентность).
Категория "три года", практически, недоступна, т.к. нет общепринятого способа доказать, что конкретная подпись выполнена сертифицировнным устройстом.

P.S.
Если у минюста, таки, функционирует, раздел открытых данных, то там находится более-менее структурированная информация.
Правда, без гарантий её актуальности.
Offline GTAlex  
#54 Оставлено : 4 июля 2024 г. 17:06:40(UTC)
GTAlex

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 171
Российская Федерация
Откуда: Нск

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
Автор: Андрей * Перейти к цитате
Snimok ehkrana ot 2024-07-04 17-35-56.png (27kb) загружен 3 раз(а).


значит всё правильно - 5 сертификатов, соответственно 5 ключей

ну и про ДатаВыдачиС тоже понял, спасибо!
Offline Андрей *  
#55 Оставлено : 4 июля 2024 г. 17:14:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,320
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: basid Перейти к цитате

P.S.
Если у минюста, таки, функционирует, раздел открытых данных, то там находится более-менее структурированная информация.
Правда, без гарантий её актуальности.


там поиск интересный... вводишь ФИО и выдаёт все комбинации, каждого "слова".
Всех с Фамилией,
Всех с Именем
Всех с Отчеством...

красивое... Boo hoo!
Техническую поддержку оказываем тут
Наша база знаний
Offline GTAlex  
#56 Оставлено : 4 июля 2024 г. 17:21:29(UTC)
GTAlex

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 171
Российская Федерация
Откуда: Нск

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
Автор: Андрей * Перейти к цитате
Автор: basid Перейти к цитате

P.S.
Если у минюста, таки, функционирует, раздел открытых данных, то там находится более-менее структурированная информация.
Правда, без гарантий её актуальности.


там поиск интересный... вводишь ФИО и выдаёт все комбинации, каждого "слова".
Всех с Фамилией,
Всех с Именем
Всех с Отчеством...

красивое... Boo hoo!


угу, я тоже сначала не понял почему при вводе одной фамилии ещё совершенно другой нотариус прицепился
Offline GTAlex  
#57 Оставлено : 4 июля 2024 г. 17:23:21(UTC)
GTAlex

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 171
Российская Федерация
Откуда: Нск

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
Автор: Андрей * Перейти к цитате
пример, сертификат УЦ: АО "ПОЧТА РОССИИ"
Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а).


я так понимаю в XML информация по закрытому ключу парсится уже из поля ДанныеСертификатаю.Данные ?
т.к. в явном виде там только ПериодДействияС и ПериодДействияПо самого сертификата

Отредактировано пользователем 4 июля 2024 г. 17:38:00(UTC)  | Причина: Не указана

Offline Андрей *  
#58 Оставлено : 4 июля 2024 г. 17:40:24(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,320
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: GTAlex Перейти к цитате
Автор: Андрей * Перейти к цитате
пример, сертификат УЦ: АО "ПОЧТА РОССИИ"
Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а).


я так понимаю в XML информация по закрытому ключу парсится уже из поля ДанныеСертификатаю.Данные ?
т.к. в явном виде там только ПериодДействияС и ПериодДействияПо самого сертификата


про эту утилиту писал ранее - она объединяет реестр и данные из сертификатов (период действия ЗК, сведения про СЭП\ПАК\).
Техническую поддержку оказываем тут
Наша база знаний
Offline GTAlex  
#59 Оставлено : 4 июля 2024 г. 17:42:58(UTC)
GTAlex

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 171
Российская Федерация
Откуда: Нск

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
Автор: Андрей * Перейти к цитате
Автор: GTAlex Перейти к цитате
Автор: Андрей * Перейти к цитате
пример, сертификат УЦ: АО "ПОЧТА РОССИИ"
Snimok ehkrana ot 2024-07-04 17-39-40.png (106kb) загружен 6 раз(а).


я так понимаю в XML информация по закрытому ключу парсится уже из поля ДанныеСертификатаю.Данные ?
т.к. в явном виде там только ПериодДействияС и ПериодДействияПо самого сертификата


про эту утилиту писал ранее - она объединяет реестр и данные из сертификатов (период действия ЗК, сведения про СЭП\ПАК\).


да, я видел - хорошая прога, но мне не подходит она
парсинг на сервере должен выполняться, но это уже "дело техники", так то вроде всё выяснили

по сути мой вопрос решен, спасибо!
Offline GTAlex  
#60 Оставлено : 5 июля 2024 г. 6:13:32(UTC)
GTAlex

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 171
Российская Федерация
Откуда: Нск

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 1 раз в 1 постах
Автор: Андрей * Перейти к цитате
Как пример-черновик:

Код:
$certBase64 = $cert->Export(0);
                    echo ', "Certificate": '. json_encode($certBase64);
                    $certPEM = "-----BEGIN CERTIFICATE-----\n" . $certBase64 . "\n" . "-----END CERTIFICATE-----\n";
                    $res = openssl_x509_read($certPEM);
                    if ($res)
                    {
                        $CertData = openssl_x509_parse($res); 

$AKI= substr(str_replace(":", "", str_replace("keyid:", "", $CertData['extensions']['authorityKeyIdentifier'])) , 0, 40) ;

например - простой текстовый справочник (кому будем доверять или таблица + поле, что этот УЦ для нотариусов или свой вариант... )

function isQualifiedCA($AKI) -- по ИдКлюча УЦ из сертификата подписанта - проверяем, а АУЦ ли это? Либо до корневого - если строится цепочка(не забыть проверять, что в root хранилище пишут...    )
{
try
 {	   
  $file_content = file_get_contents('/var/www/html/trustca.txt');
  $content_before_string = strstr($file_content, $AKI, true);
  if (false !== $content_before_string) {
    $line = count(explode(PHP_EOL, $content_before_string));
    if ($line>0) return true;
   } 
 }  
 catch(Exception $e) { 
 }
 
 return false;
}



Андрей, подскажите, а $cert - это что за объект? как создать из отсоединённой подписи?

я так понимаю

$signersObj = $CPSignedData->get_Signers();
$signerObj = $signersObj->get_Item(1);
$cert = $signerObj->get_Certificate();

Отредактировано пользователем 5 июля 2024 г. 6:51:14(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
7 Страницы«<4567>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.