Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Виды подписей и их валидация.
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline DmitryBely  
#1 Оставлено : 13 марта 2014 г. 15:22:21(UTC)
DmitryBely

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2014(UTC)
Сообщений: 7
Беларусь
Откуда: минск

Сказал(а) «Спасибо»: 3 раз
Добрый день!

Хочется разложить всё по полочкам. С помощью JCP я могу создать ЭЦП типа CADES-BES или СADES-X-long Type 1(в ней присутствует время получения подписи).
1.CADES-BES является вариантом не усовершенствованной подписи, то есть это фактически CMS подпись?
2.Проверить подпись полученную от стороннего источника, является возможным только с помощью класса CAdESSigner методом verify?
И имеет ли значение тип подписи?
Когда при выполнение veryfy метода происходит обращение к OCSP серверу(для усовершенствованной подписи)?

Заранее благодарен за любую помощь.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Писарев  
#2 Оставлено : 13 марта 2014 г. 15:29:21(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,451
Мужчина
Российская Федерация

Сказал «Спасибо»: 553 раз
Поблагодарили: 2235 раз в 1743 постах
Посмотрите здесь
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
thanks 1 пользователь поблагодарил Андрей * за этот пост.
DmitryBely оставлено 13.03.2014(UTC)
Offline DmitryBely  
#3 Оставлено : 13 марта 2014 г. 16:07:43(UTC)
DmitryBely

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2014(UTC)
Сообщений: 7
Беларусь
Откуда: минск

Сказал(а) «Спасибо»: 3 раз
Спасибо Андрей ссылка помогла разобраться с типами подписей.Однако у меня всё ещё остались вопросы о валидации подписи с помощью JCP.

Проверить подпись полученную от стороннего источника, является возможным только с помощью класса CAdESSigner методом verify(то есть надо проверять по каждому подписанту отдельно)?
Когда при выполнение veryfy метода происходит обращение к OCSP серверу(ссылка на который храниться в самой подписи)?
Вверх
Offline Евгений Афанасьев  
#4 Оставлено : 13 марта 2014 г. 16:24:35(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 4,001
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 713 раз в 673 постах
Метод verify есть у класса CAdESSignature, он проверяет все подписи. Отдельного подписанта можно проверить с помощью CAdESSigner.
В verify в случае проверки CAdES-X Long Type 1 обращения к OCSP сервису не происходит, так как доказательства уже есть в подписи.

Отредактировано пользователем 13 марта 2014 г. 16:25:59(UTC)  | Причина: Не указана

Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
Андрей * оставлено 13.03.2014(UTC)
Offline DmitryBely  
#5 Оставлено : 13 марта 2014 г. 16:43:38(UTC)
DmitryBely

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2014(UTC)
Сообщений: 7
Беларусь
Откуда: минск

Сказал(а) «Спасибо»: 3 раз
Получается что отозван или не отозван сертификат проверяется только в момент создания подписи? И наличие списка CRL актуально только при офлайн проверке с помощью verify метода?
Вверх
Offline Юрий  
#6 Оставлено : 13 марта 2014 г. 16:46:17(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: DmitryBely Перейти к цитате
Спасибо Андрей ссылка помогла разобраться с типами подписей.Однако у меня всё ещё остались вопросы о валидации подписи с помощью JCP.

Проверить подпись полученную от стороннего источника, является возможным только с помощью класса CAdESSigner методом verify(то есть надо проверять по каждому подписанту отдельно)?
Когда при выполнение veryfy метода происходит обращение к OCSP серверу(ссылка на который храниться в самой подписи)?

Как уже сказали выше обращение к OCSP и TSP серверам на этапе валидации не происходит. Такие запросы присутствуют только на этапе создания "усовершенствованной подписи" (или дополнения CMS подписи до CAdES). В момент же валидации допустимо чтобы OCSP и TSP сервера вообще физически уже не существовали - существующие в подписи "доказательства подлинности" смогут обеспечить подтверждение, что данная подпись корректна.
С уважением,
Юрий Строжевский
Вверх
WWW
Offline DmitryBely  
#7 Оставлено : 13 марта 2014 г. 16:57:01(UTC)
DmitryBely

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2014(UTC)
Сообщений: 7
Беларусь
Откуда: минск

Сказал(а) «Спасибо»: 3 раз
Спасибо за помощь
Вверх
Offline DmitryBely  
#8 Оставлено : 18 марта 2014 г. 15:21:32(UTC)
DmitryBely

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2014(UTC)
Сообщений: 7
Беларусь
Откуда: минск

Сказал(а) «Спасибо»: 3 раз
Возник ещё один вопрос.Делаю проверку подписи CAdES-X Long Type 1, полученную с помощью сертификата от тестового центра сертификации КриптоПро, вот таким образом:
Код:

CAdESSignature cadESSignature = new CAdESSignature(signature,null,null);
cadESSignature.verify(null);

И в результате на консоль выводиться:

INFO: Verify certificate chain for target certificate
serial number: 15a02f7500020006aa72
subject: C=RU, O=asdasd, CN=Dimka, EMAILADDRESS=dimka@by
issuer: CN=Test Center CRYPTO-PRO, O=CRYPTO-PRO, C=RU, EMAILADDRESS=info@cryptopro.ru
signature provider: JCP
PKIX validator: CPPKIX of RevCheck
revocation enabled: false
online: false
18.03.2014 14:05:28 ru.CryptoPro.CAdES.b.d.a a
INFO: Certificate chain built correctly.
18.03.2014 14:05:28 ru.CryptoPro.CAdES.b.a.a a
INFO: [STA] Certificate (OCSP)
serial number: 15a02f7500020006aa72
subject: C=RU, O=asdasd, CN=Dimka, EMAILADDRESS=dimka@by
status: GOOD
18.03.2014 14:05:28 ru.CryptoPro.CAdES.b.d.a a
INFO: Skip certificate verification
serial number: 698403286aa659ba4635622d49de5fd3
subject: CN=Test Center CRYPTO-PRO, O=CRYPTO-PRO, C=RU, EMAILADDRESS=info@cryptopro.ru
reason: pkix-ocsp-nocheck, id-kp-timeStamping or root

Не могу понять почему мне выдаёт что revocation enabled: false и оnline: false, и в результате Skip certificate verification.Это значит что я не правильно создал подпись ? или когда я создавал подпись не происходила обращения к OCSP серверу?

Отредактировано пользователем 18 марта 2014 г. 15:23:04(UTC)  | Причина: Не указана
Вверх
Offline Евгений Афанасьев  
#9 Оставлено : 18 марта 2014 г. 16:13:50(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 4,001
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 713 раз в 673 постах
Происходило только построение цепочки, потому revocation enabled: false (это расширенные логи, позднее, возможно, будут убраны). "Skip verification" (отмена проверки статуса сертификата) по одной из указанных причин - наличие в сертификате признака pkix-ocsp-nocheck или id-kp-timeStamping или если это корневой сертификат (в примере - по последней причине).
Статус сертификата клиента - GOOD.

Отредактировано пользователем 18 марта 2014 г. 16:15:14(UTC)  | Причина: Не указана

Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline DmitryBely  
#10 Оставлено : 18 марта 2014 г. 16:35:46(UTC)
DmitryBely

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2014(UTC)
Сообщений: 7
Беларусь
Откуда: минск

Сказал(а) «Спасибо»: 3 раз
А что означает online: false? И где нибудь можно прочитать что выводится в логах и что это означает?

Отредактировано пользователем 18 марта 2014 г. 16:36:53(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET