Да, спасибо, есть у меня такой SDK. Там кстати нет примеров на использование Chain.
Да и вот думаю, а надо ли оно, мне:
может достаточно проверить сертификат на время действия?
(что собственно и делает метод verify с параметром CAPICOM_VERIFY_SIGNATURE_AND_CERTIFICATE)

В примере на c нет использования метода build, а я так понимаю, вся суть в нем.
Вот такой пример я нашел на http://support.microsoft.com/kb/304298/ru:

Dim cert
Dim chain as New Chain

For i = 1 To sData.Certificates.Count

Set cert = sData.Certificates(i)

cert.IsValid.CheckFlag = CAPICOM_CHECK_TRUSTED_ROOT Or _
CAPICOM_CHECK_TIME_VALIDITY Or _
CAPICOM_CHECK_SIGNATURE_VALIDITY Or _
CAPICOM_CHECK_ONLINE_REVOCATION_STATUS

If cert.IsValid.Result Then
'CERTIFICATE IS VALID!
Else
chain.Build cert

If CAPICOM_TRUST_IS_REVOKED And chain.Status Then
'AT LEAST ONE CERTIFICATE IN THE CHAIN HAS BEEN REVOKED.
End If

If CAPICOM_TRUST_REVOCATION_STATUS_UNKNOWN And chain.Status Then
'THE REVOCATION STATUS COULD NOT BE DETERMINED.
End If
End If
Next i

Хотелось бы понять что тут происходит.
Вот мы только что получили файл .sig, выполнили проверку его содержимого через verify (там все ок), выдернули из signData сертификат и проверяем его цепочку как в этом примере:
1. проперти cert.IsValid.CheckFlag в момент задания значений выполняет какие-то проверки (так ли?), после чего анализируется cert.IsValid.Result.
Среди прочих там задается флаг CAPICOM_CHECK_ONLINE_REVOCATION_STATUS, но как можно проверять отозванные сертификаты, если цепочка еще не построена? Причем онлайн!
2. В какой момент (в этом примере) отозванные сертификаты скачиваются с УЦ и что будет, если нет интернет-соединения?

>Так что цепочка там строится.
Тогда не очень понял, зачем еще раз строить цепочку, но уже через chain.Build cert, как видно из примера microsoft.
(если метод IsValid уже ее построил)

Всем здравствовать!

Возвращаясь к самой теме: как узнать "Что внутри файла sig?" для обычного пользователя, у которого установлено КриптоПро CSP-4.0.x (есть capicom-2.1.0), но нет КриптоАРМ?
От клиента при ЭДО получены файлы скан-копии документа из ЕИС по закупкам с sig-файлом открепленной ЭП.

ВОПРОС: возможно-ли чем-то и как просмотреть информацию sig-файла, подтверждающую ЭП основного ЭД скан-копии, на уровне прессэникейщиков? (т.е. с минимальными действиями администратора что-то доустановить или доступным для уровня простых пользователей порядком действий "перейти туда-то -> открыть то-то -> выбрать это -> нажать тут -> ...) в закрытой доменной сети без доступа к интернету?
Понимаю, что без помощи системного администратора не обойтись, но цель - сделать это как можно проще и быстрее для него, не обладающим программированием в области криптографии.

Отредактировано пользователем 13 августа 2020 г. 9:28:24(UTC)  | Причина: Не указана

Добрый день. Немного жесткая формулировка задачи, потому что как раз в Интернете есть различные ресурсы для проверки ЭП файла, удобные для рядового пользователя: это и госуслуги и госзакупки и сервисы конкретных УЦ (Контура, например) и DSS сервисы от Криптопро. В принципе во многих системах ЭДО (как СУФД) уже есть команда проверки подписи или она чем-то не устраивает? Есть на форуме и ссылки на авторские утилиты проверки с графическим интерфейсом, но тут уже сами смотрите доверяете ли автору.

В дополнение к ответу выше, описывающему возможности 5 версии. Технически на Криптопро CSP 4 версии можно для проверки подписи воспользоваться утилитами командной строки от КриптоПро cryptcp (скачивается на сайте КриптоПро) / csptest (уже идет в комплекте). Либо через командную строку openssl + gostengy + Криптопро CSP подробнее здесь). Если "как есть" и без гарантий - есть уже скомпилированные openssl под Windows с добавленным gostengy, так что не нужно вникать в тонкости сборки из исходных текстов. Текст команд можно поискать по форуму. У утилит есть встроенная справка, по ней тоже можно составить команду, а для cryptcp и openssl еще и справка в виде pdf.

Далее, удобнее сделать или cmd/bat файл, на который перетаскивать .sig файл или дописать команду в реестр, а потом щелкать правой кнопкой по файлу и выбирать команду проверки. С учетом того, что форматы содержимого SIG могут быть слегка разные, а не все утилиты автоматически определяют формат - возможно потребуется несколько cmd файлов или пунктов команд. Вроде бы названное не требует глубоких знаний криптографии, скорее уж навыков написания cmd файлов, работы с командной строкой и добавления команд в контекстное меню.