Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Aleks305  
#11 Оставлено : 22 марта 2011 г. 17:53:53(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

возник еще один вопрос!
при проверке усовершенствованной подписи, необходимо чтобы сертификат службы штампов времени был был валиден и оставался тем же самым, который был при подписи файла?
то есть подписал я файл в 2007 году Ус подписью, а решил проверить в 2011, а к этому времени сертификат штампов времени истек(который был тогда при подписи, выпущен новый), соответственно результат проверки будет отрицательный?
Проверку предполагается проводить с использованием КриптоАРМ СтандартПро.
Offline Новожилова Елена  
#12 Оставлено : 22 марта 2011 г. 18:10:30(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Да, необходимо, чтобы сертификат службы штампов был действителен на момент проверки. Стоит выпускать такие сертификаты на достаточно большой срок.
Offline Aleks305  
#13 Оставлено : 23 марта 2011 г. 1:12:15(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

спасибо за ответ!буду знать - просто явно нигде на сайте не нашел указания необходимости действующего серта для службы TSP на момент проверки. а больше нет никаких неявных ограничений для усовершенствованной подписи...ну чтобы знать, к чему готовится.

интересно, а что тогда делать с сертифицированной версией КриптоПРО, где ограничение по времени жизни сертификата - 1 год(ну или где-то в этих пределах).
Offline Новожилова Елена  
#14 Оставлено : 23 марта 2011 г. 21:16:31(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Aleks305 написал:
интересно, а что тогда делать с сертифицированной версией КриптоПРО, где ограничение по времени жизни сертификата - 1 год(ну или где-то в этих пределах).


1 год 3 месяца - это ограничение на срок действия закрытого ключа, а срок действия сертификата может быть значительно больше.
Offline Aleks305  
#15 Оставлено : 24 марта 2011 г. 0:41:01(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

То есть через 1 год и 3 мес я не могу ничего подписывать, но сертификатом который был выпущен в момент валидности закрытого ключа на 5 лет я могу проверять подписи? или как-то не так?
в подписи службы TSP все равно будет участвовать закрытый ключ. По-моему Ваш УЦ не выдает сертификаты больше чем на год...
че-то совсем уже запутался
Offline Новожилова Елена  
#16 Оставлено : 24 марта 2011 г. 16:03:28(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Для проверки усовершенствованной ЭЦП Вам не нужно создавать подпись службы TSP - Вам нужно эту подпись только проверить.

А для проверки неважно, действует закрытый ключ или нет, важно, чтобы был действителен сертификат.

Эта тема недавно разбиралась в "Общих вопросах" на форуме.
Offline Aleks305  
#17 Оставлено : 29 марта 2011 г. 18:53:07(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Елена, а как вы ограничивать клиента, которому выдали сертификат на 3 года, а время жизни закрытого ключа которого 1 год 3 месяца? я этого никак не пойму. Как сделать так, что он имеет действующий сертификат, а ЭЦП сформировать не может?
Offline Новожилова Елена  
#18 Оставлено : 29 марта 2011 г. 19:11:54(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Aleks305 написал:
Елена, а как вы ограничивать клиента, которому выдали сертификат на 3 года, а время жизни закрытого ключа которого 1 год 3 месяца? я этого никак не пойму. Как сделать так, что он имеет действующий сертификат, а ЭЦП сформировать не может?


В сертификат включается специальное расширение Private Key Usage Period (2.5.29.16).

В момент формирования ЭЦП происходит проверка, не истек ли срок действия закрытого ключа. Если этот срок истек, ЭЦП создана не будет.
Offline Aleks305  
#19 Оставлено : 29 марта 2011 г. 21:01:55(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Оооо...все больше новых подробностей. А включать это специальное расширение по аналогии с тем, как Вы мне раньше указывали. Елена, а не могли бы Вы подсказать(указать) литературу, где все это возможно почитать, посмотреть...просто чувствую, не хватает знаний с этими всеми дополнительными расширениями и порядком их использования.
Заранее благодарен!
Offline Новожилова Елена  
#20 Оставлено : 29 марта 2011 г. 22:20:28(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Почитать про расширения можно в RFC 3280 и в RFC 5280
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.