Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline maximus235  
#1 Оставлено : 19 мая 2009 г. 19:42:25(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 71
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Добрый день.
Не могли бы вы пояснить в чем разница между OCSP клиентом и Revocation Provider относительно CSP версии 3.6. В чем разница при использовании этих продуктов? По описанию они оба встраивают проток OCSP в приложения ОС.
Offline Павел Смирнов  
#2 Оставлено : 20 мая 2009 г. 23:17:33(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.

OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.

RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.

Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Randoom  
#3 Оставлено : 26 июня 2009 г. 13:24:02(UTC)
Randoom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"

Смирнов написал:
CSP 3.6 включает в себя Revocation Provider (RP). RP использует функции OCSP-клиента, поэтому OCSP-клиент также устанавливается вместе с RP.

OCSP-клиент - это библиотека, которую нужно встроить в приложение, чтобы пользоваться протоколом OCSP.

RP при установке регистрируется в CryptoAPI как подключаемый модуль, поэтому все проверки статусов сертификатов начинают автоматически использовать RP, и следовательно, протокол OCSP.

Если вы встраиваете OCSP-клиент самостоятельно, вы получаете максимальную гибкость. С помощью RP не получится, например, сохранить OCSP-ответ, по которому был проверен статус сертификата.


Если есть необходимость только проверить в реальном времени актуальность сертификата, с учетом использования .Net как среды разработки - то какой вариант Вы был обозначили как самый удобный?
p.s. был бы также рад примеру использования данного варианта в связке с .Net
Offline Павел Смирнов  
#4 Оставлено : 26 июня 2009 г. 13:31:43(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Randoom  
#5 Оставлено : 26 июня 2009 г. 15:30:31(UTC)
Randoom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"

Смирнов написал:
RP в вашем случае удобнее. Вы будете просто проверять цепочку штатно с помощью класса X509Chain, а оно чудесным образом проверится с помощью OCSP (если получится).

А можно чуть подробнее, особенно про "если получится"?

1) Насколько я понимаю X509Chain позволяет получить информацию о цепочке сертификатов, каким образом (и насколько в этом можно быть уверенным) CSP сама проверит текущее состояние и выведет его именно 100% актуальным?

1.1) Какие настройки\инсталлированные продукты (кроме RTE шарпея и CSP) требуются на конечном клиенте для обеспечения 100% вероятности проверки сертификата?

2) Достаточно ли просто получить цепочку через X509Chain при установленном CSP и убедиться что она заканчивается корневым сертификатом криптопро или это не является полной гарантией актуальности сертификата?
Offline Павел Смирнов  
#6 Оставлено : 26 июня 2009 г. 18:12:10(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.

Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).

Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:
1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.
или
2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.

Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true.

Отредактировано пользователем 26 июня 2009 г. 18:16:19(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline Randoom  
#7 Оставлено : 26 июня 2009 г. 18:43:57(UTC)
Randoom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"

Смирнов написал:
Формулировку про "100% вероятность проверки сертификата" я не очень понимаю. Попробую пояснить так.

Если вы зовёте метод X509Chain.Build() и при этом в ChainPolicy не отключена проверка статусов, то true на выходе означает, что с сертификатом всё в порядке: он не отозван и ему можно доверять (цепочка заканчивается сертификатом, имеющимся в хранилище Root).

Чтобы гарантировать, что проверка ведётся только по OCSP при установленном RP вы можете:
1. Запретить для RP использование дополнительного Revocation Provider в групповой политике.
или
2. Использовать сертификаты, в которых в расширении CDP ничего нет, при этом должна быть исключена возможность попадания подходящего к данному сертификату CRL в локальное хранилище сертификатов.

Если ни одно из этих условий не выполнено, а проверка по OCSP не удалась, то RP попробует проверить сертификат по CRL, и у него это может получиться, при этом X509Chain.Build() также вернёт true.

Про проверку понятно, спасибо.
Про 100% имелось ввиду взаимодействие X509Chain и CSP, я так понимаю оно происходит автоматически при инсталляции RTE Шарпея.
Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ?
Offline Павел Смирнов  
#8 Оставлено : 26 июня 2009 г. 18:53:34(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен.
Цитата:
Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ?

Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Randoom  
#9 Оставлено : 26 июня 2009 г. 20:10:11(UTC)
Randoom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.06.2009(UTC)
Сообщений: 89
Откуда: Уфа, РРЦ "АйТи"

Смирнов написал:
Вообще X509Chain пользуется CryptoAPI. Если на машине не будет CSP, то цепочка в любом случае не проверится. Возможно, Шарпей даже не нужен.
Цитата:
Т.е. говоря иначе вызов X509Chain.Build() при условии ch.ChainPolicy.RevocationMode = X509RevocationMode.Online; всегда будет провоцировать хождение RP к ЦС и проверку каждого из сертификатов в цепочке на возможные проблемы - так ?

Если быть точным, то при условии корректного построения цепочки этот вызов будет провоцировать проверку статусов, для чего будет позван RP с флагом online. КриптоПро Revocation Provider в этом случае в первую очередь попробует обратиться к службе OCSP.

Вот, хорошо. А что случится если например будет отсутствовать соединение с интернет? X509Chain.Build() в связке с CSP вернет false?
Offline Павел Смирнов  
#10 Оставлено : 29 июня 2009 г. 15:35:42(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Именно так.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.