детали по атрибутам complete-revocation-refs, revocation-values

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

детали по атрибутам complete-revocation-refs, revocation-values

Опции

Предыдущая тема Следующая тема

pls		#1 Оставлено : 21 ноября 2011 г. 23:00:55(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.10.2011(UTC) Сообщений: 74 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах		Здравствуйте, я разбираю структуру подписи сделанной в КриптоАРМ, чтобы в дальнейшем ее провалидировать и прошу Вас внести ясность в значения некоторых атрибутов. Интересуют атрибуты доказательства подписи: complete-revocation-refs, revocation-values. complete-revocation-refs в RFC: Цитата: It references the full set of the CRL, ACRL, or OCSP responses that have been used in the validation of the signer, and CA certificates used in ES with Complete validation data. Цитата: This attribute may include the references to the full set of the CRL, ACRL, or OCSP responses that have been used to verify the certification chain for any TSUs that provide time-stamp tokens. In this case, the unsigned attribute shall be added to the signedData of the relevant time-stamp token as an unsignedAttrs in the signerInfos field. В подписи в этом атрибуте лежит только хеш на статус сертификата подписчика(цепь сертификатов сотоит только из сертификата подписчика и корневого ЦС). 1) Интересует почему в атрибуте CAdES-C-time-stamp нет signertInfo.unsignedAttributes, а в атрибуте signature-time-stamp в signertInfo.unsignedAttributes нет значений для complete-revocation-refs и revocation-values(complete-certificates-refs и certificate-values есть)? Так сделано для уменьшения размера подписи, а доказательства подписи штампа времени можно будет запросить у самой tsp службы, если это потребутся? 2) Под "CA certificates used in ES with Complete validation data" в RFC понимается только промежуточные центры сертификации от сертификата подписчика до корневого цента сертификации или также сертификаты tsp, ocsp служб и их промежуточных центров сертификации? Не ясно как трактовать rfc, потому не понятно нужно ли, допустим, запрашивать статус сертификата ocsp службы у нее же самой. Вложение(я): unsigned_attrs_q.zip (6kb) загружен 4 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Новожилова Елена		#2 Оставлено : 22 ноября 2011 г. 18:51:51(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах		Постараюсь коротко написать... 1. Неподписанные атрибуты штампа времени CAdES-C ничем не защищены. И поэтому сертификат службы штампов, выдавшей штамп времени CAdES-C, нужно проверять на текущий момент. При этом в наших приложениях сам сертификат службы штампов на отзыв не проверяется, считается, что компрометация сертификата службы штампов, использовавшейся при создании УЭЦП, достаточно серьезна и его отзыв должен обеспечиваться организационно-техническими мерами. Штамп времени на подпись (signature-time-stamp) защищен штампом времени CAdES-C. Вообще говоря, сертификаты служб, выдавших эти штампы не обязаны совпадать. Поэтому, согласно стандарту CAdES во внутренний штамп помещаются доказательства подлинности: complete-certificates-refs и certificate-values, complete-revocation-refs и revocation-values. Но в случае короткой цепочки TSAcert->CAcert: - в complete-certificates-refs попадет только ссылка на сертификат CAcert (так как ссылка на TSAcert согласно стандарту уже лежит в подписанном атрибуте SigningCertificate(V2)), - в certificate-values попадут оба сертификата TSAcert и CAcert - в complete-revocation-refs и revocation-values не попадет ничего, так как CAcert это корневой сертификат, а TSAcert - это сертификат службы штампов и на отзыв не проверяется (см. выше). При наличии в цепочке промежуточных УЦ (например TSAcert->CA1cert->CAcert) соответствующие значения (в том числе complete-revocation-refs и revocation-values) будут включены в доказательства подлинности (за исключением случая, если они уже присутствуют в атрибутах подписи, то есть CA1cert участвует в цепочке сертификата пользователя. Но вот это уже для уменьшения размера подписи). 2. Все сертификаты, включая службы и их цепочки с доказательствами. НО: - Запрашивать статус сертификата службы OCSP у нее же самой не нужно, нужно использовать расширение no-check см. RFC 2560. - Сертификат службы штампов мы также не проверяем на отзыв (но это особенности нашей реализации), проверяем только его цепочку. Соответственно и доказательства храним только для цепочки. - "CA certificates used in ES with Complete validation data" относящиеся к штампу времени signature-time-stamp, лежат не в атрибутах подписи, а в атрибутах этого штампа. Надеюсь, написала более-менее понятно. Отредактировано пользователем 22 ноября 2011 г. 18:54:15(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pls		#3 Оставлено : 22 ноября 2011 г. 19:43:25(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.10.2011(UTC) Сообщений: 74 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах		Спасибо, Елена, написано понятно)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close