Статус: Новичок
Группы: Участники
Зарегистрирован: 28.03.2013(UTC) Сообщений: 9  Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Пытаюсь разобраться в следующем вопросе.
Есть утилита проверки сертификата, которая проверяет сроки его действия, цепочку сертификатов и т.д.
Сейчас появилась задача научиться определять квалифицированный сертификат или нет.
Прочитал ФЗ-63, методические рекомендации по составу квалифицированного сертификата 1.9, а также приказ ФСБ №795.
Вопрос по каким признакам сертификата можно однозначно сказать что он квалифицированный.
На данный момент я для себя выделил три признака
1. Наличие класса средства ЭП в certificatePolicies(2.5.29.32) - например 1.2.643.100.113.1
2. Наличие subjectSignTool (1.2.643.100.111)
3. Наличие issuerSignTool (1.2.643.100.112)
Достаточно ли проверить эти 3 условия чтобы считать сертификат квалифицированным?
Не уверен, что правильно выбрал ветку для вопроса, но т.к. данный функционал реализовывается с помощью MS CryptoAPI, то в этот раздел.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2011(UTC)
Сообщений: 10
Откуда: Москва
|
Добрый день! Меня тоже (а я думаю сейчас очень многих), мучает вопрос автоматической проверки "А квалифицированный сертификат ли?". В этом документе перечислено гораздо больше признаков: http://www.reestr-pki.ru...ualifiedCertificate2.pdfНо хотелось бы услышать ответы специалистов! Заранее спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:На данный момент я для себя выделил три признака
1. Наличие класса средства ЭП в certificatePolicies(2.5.29.32) - например 1.2.643.100.113.1
2. Наличие subjectSignTool (1.2.643.100.111)
3. Наличие issuerSignTool (1.2.643.100.112)
Достаточно ли проверить эти 3 условия чтобы считать сертификат квалифицированным? Недостаточно. Цитата:Но хотелось бы услышать ответы специалистов! Пока не сталкивались с ошибками в работе этой утилиты, так что я думаю она все корректно проверяет. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Очень симпатичная утилита, жалко, что не позволяет смотреть сертификаты в хранилищах.
Из того что под руку попалось самый лучший ответ:
Журнал проверки:
- Тип ошибки: Error. Сообщение об ошибке: "Сертификат содержит поле Subject записанное в неправильном формате.".
- Тип ошибки: Error. Сообщение об ошибке: "У сертификата отсутствует поле AuthorityCertSerialNumber в дополнении AuthorityKeyIdentifierExtension (2.5.29.35).".
А если писать проверку самому, то методические указания в зубы, и вперед по пунктам.
Вплоть до проверки соответствия номера и названия региона КЛАДР-у.
Стоит ли игра свеч?
Проверил, установил, забыл.
Конечно если стоит задача проверять сертификаты пришедшие в подписях,
Однако задайте себе вопрос: Зачем?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,558 Сказал «Спасибо»: 556 раз
Поблагодарили: 2262 раз в 1765 постах
|
Автор: Boris@Serezhkin.com  Очень симпатичная утилита, жалко, что не позволяет смотреть сертификаты в хранилищах.
А в чем проблема ее этому "обучить" дописав нужное? Она же на C# - написана ... продолжать не буду |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Автор: Андрей * Автор: Boris@Serezhkin.com Очень симпатичная утилита, жалко, что не позволяет смотреть сертификаты в хранилищах.
А в чем проблема ее этому "обучить" дописав нужное? Она же на C# - написана ... продолжать не буду Мне стыдно, но до сих пор не умею вызвать certmgr.msc, и получить в ответ что выбрали.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,558 Сказал «Спасибо»: 556 раз
Поблагодарили: 2262 раз в 1765 постах
|
Автор: Boris@Serezhkin.com Автор: Андрей * Автор: Boris@Serezhkin.com Очень симпатичная утилита, жалко, что не позволяет смотреть сертификаты в хранилищах.
А в чем проблема ее этому "обучить" дописав нужное? Она же на C# - написана ... продолжать не буду Мне стыдно, но до сих пор не умею вызвать certmgr.msc, и получить в ответ что выбрали. Зачем? Для этого есть CryptoAPI или через COM (Capicom) Пользователь Андрей * прикрепил следующие файлы:  Сертификаты.png (35kb) загружен 106 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Цитата из рекомендаций Минсвязи: Цитата:
Каждый СКПЭП должен содержать следующие атрибуты и расширения (в указанном порядке):
1. Версия (version) – должна быть не ниже 3.
2. Серийный номер (serial number).
3. Алгоритм подписи (signature) – в поле algorithm должен содержаться идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3, в соответствии с RFC4491).
4. Имя издателя СКПЭП (issuer) – данные из поля «Имя владельца» соответствующего СКПЭП УЦ. См. 3.4 Состав имени издателя СКПЭП.
5. Дата и время начала действия СКПЭП (notBefore).
6. Дата и время окончания действия СКПЭП (notAfter).
7. Имя владельца СКЭП (subject). См. 3.3 Состав имени субъекта.
8. Открытый ключ (subjectPublicKeyInfo).
9. Дополнения (расширения) сертификата (Extensions). Должны содержаться следующие дополнения (порядок данным документом не регламентируется):
9.1. Authority Key Identifier, OID.2.5.29.35, идентификатор ключа УЦ.
9.2. Key Usage, OID.2.5.29.15, область использования ключа.
9.3. Certificate Policies, OID.2.5.29.32, политики сертификата (см. Приложение 12).
9.4. Subject Sign Tool, OID.1.2.643.100.111, средство ЭП владельца сертификата.
9.5. Issuer Sign Tool, OID.1.2.643.100.112, средство ЭП УЦ.
9.6. ExtendedKeyUsage, OID.2.5.29.37, расширенное использования ключа. Состав дополнения зависит от информационной системы, в которой используется СКПЭП.
9.7. CDP, OID.2.5.29.31, точки распространения списков отзыва.
Кроме того, СКПЭП может содержать другие дополнения (не критические), в зависимости от требований конкретных информационных систем, в которых они используются.
|
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
|
Автор: Юрий Цитата из рекомендаций Минсвязи: Цитата:
Каждый СКПЭП должен содержать следующие атрибуты и расширения (в указанном порядке):
......
Да это из рекомендаций 1.9 и соответствие кладру там же.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,558 Сказал «Спасибо»: 556 раз
Поблагодарили: 2262 раз в 1765 постах
|
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
