Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2023(UTC) Сообщений: 3 
|
Подписываем pdf файлы через утилиту cppdfutil.exe (версия 2.0.2174.0) с указанием типа подписи CAdES-T. В качестве службы штампов времени используем http://pki.sertum-pro.ru/tsp2012/tsp.srf. После истечения срока действия сертификата, не смотря на тип подписи CAdES-T, подпись становится недействительной при проверке через сервис https://dss.cryptopro.ru/verify/ с ошибкой: Не удалось проверить подпись CAdES-T. Ошибка: [Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле]. Код: [0x800b0101]. Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле. В чем может быть причина? Хотелось бы чтобы подписанные файлы проходили проверку и после истечения срока действия сертификата. Прикладываю пример подписанного файла.  fda32d77-8fd9-44f2-9bd7-c7e7f0745643.pdf (291kb) загружен 2 раз(а).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
|
По истечении срока действия сертификата ЭП проходит проверку CADES-Long.
CADES-T сможет пройти проверку, если и клиент и сервер поддерживают запрос статуса сертификата на заданный момент в прошлом.
Есть у OCSP-серверов такая опция, но это - именно, что опция.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2023(UTC) Сообщений: 3
|
Мне казалось, что штамп времени от TSP сервера подтвержает, что сертификат действует на момнт подписания, и наличие доверенного штампа времени автоматически позволяет подтверждать подпись документа после истечения срока действия сертификата или его отзыва после даты подписания.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
|
Отклик TSP-сервера, внезапно, удостоверяет некоторый момент времени: Да, в я получил "вот такой запрос" в "этот момент времени" и "вот вам доказательства".
Статус сертификата извлекается или из отклика OCSP-сервера (и нужен штамп доверенного времени) или из списка отзыва, если OCSP-сервер недоступен. Хранить в списке отзыва записи на уже истёкшие сертификаты - так себе идея. Возвращать OCSP-статус сертификата на заданный момент в прошлом - нормально. Но это опция, которая требует поддержки и на стороне OCSP-клиента и на стороне OCSP-сервера.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
А вот мне интересно, если штамп прилетает от доверенной третьей стороны (если такие в принципе появятся) или УЦ, который выпустил серт, то это будет считаться подтверждением валидности ЭП в конкретный момент времени, или там будет какой-то другой штамп требоваться от ДТС? С технической точки зрения @basid абсолютно прав, но я думаю, что топикстартер интересуется юридической стороной вопроса, просто начав с технической Отредактировано пользователем 8 ноября 2023 г. 9:25:46(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
|
О каком штампе идёт речь? Отклик TSP-сервера?
Это, повторюсь, доверенное время, которое вообще никак не связано со статусом (сертификата) ЭП.
Статус ЭП возвращает только OCSP и только тот, который прописан в сертификате этой самой ЭП.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: basid  О каком штампе идёт речь? Отклик TSP-сервера?
Это, повторюсь, доверенное время, которое вообще никак не связано со статусом (сертификата) ЭП.
Статус ЭП возвращает только OCSP и только тот, который прописан в сертификате этой самой ЭП. Да вопрос в том, а должен ли, например, УЦ проверять сертификат подписанта перед тем, как выдать штамп? Да, tsp запрос, по хорошему, включает в себя messageImprint (в котором содержится хэш-код от байтов ЭП). Этот запрос отправляется серваку. Но есть же возможность добавлять расличные расширения в tsp запрос. Мне интересно, почему не решились на УЦ возложить задачу проверки сертификата подписанта? Фантазируя, можно привести вот какой пример: - в расширение tsp запроса кладется сертификат подписанта;
- УЦ смотрит, не отозван ли сертификат;
- УЦ возвращает tsp ответ, в котором содержится сертификат подписанта (т.е. этот tsp ответ не будет применим к другому сертификату и другой ЭП
Т.е., на мой взгляд, техническая реализация возможна. И вот у меня вопрос, на самом деле, а почему это не сделано с юридической точки зрения ? Отредактировано пользователем 8 ноября 2023 г. 9:57:31(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2023(UTC) Сообщений: 3
|
А как тогда доказать что подпись в документе действительна? Вот есть например файл с открепленной подписью (пришлось добавить расширение txt, что бы загрузилось), подписанный через систему Контур Диадок. Через сервисы проверки https://dss.cryptopro.ru/verify и через проверку на Госуслугах https://www.gosuslugi.ru/eds они не проходят, а через https://crypto.kontur.ru/verify проходит. Akt na peredachu prav CB-2415 ot 16.11.2021.pdf (97kb) загружен 0 раз(а). Akt na peredachu prav CB-2415 ot 16.11.2021_SGN_1.sgn.txt (7kb) загружен 1 раз(а).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: Илья Б. А как тогда доказать что подпись в документе действительна? Вот есть например файл с открепленной подписью (пришлось добавить расширение txt, что бы загрузилось), подписанный через систему Контур Диадок. Через сервисы проверки https://dss.cryptopro.ru/verify и через проверку на Госуслугах https://www.gosuslugi.ru/eds они не проходят, а через https://crypto.kontur.ru/verify проходит. Akt na peredachu prav CB-2415 ot 16.11.2021.pdf (97kb) загружен 0 раз(а). Akt na peredachu prav CB-2415 ot 16.11.2021_SGN_1.sgn.txt (7kb) загружен 1 раз(а). А кому вы хотите доказать что-то? Логика проверки у Контур.Крипто может отличаться от логики проверок, которая заложена в КриптоПро DSS. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,288  Сказал «Спасибо»: 548 раз
Поблагодарили: 2197 раз в 1715 постах
|
Автор: TolikTipaTut1 Автор: basid О каком штампе идёт речь? Отклик TSP-сервера?
Это, повторюсь, доверенное время, которое вообще никак не связано со статусом (сертификата) ЭП.
Статус ЭП возвращает только OCSP и только тот, который прописан в сертификате этой самой ЭП. Да вопрос в том, а должен ли, например, УЦ проверять сертификат подписанта перед тем, как выдать штамп? Да, tsp запрос, по хорошему, включает в себя messageImprint (в котором содержится хэш-код от байтов ЭП). Этот запрос отправляется серваку. Но есть же возможность добавлять расличные расширения в tsp запрос. Мне интересно, почему не решились на УЦ возложить задачу проверки сертификата подписанта? Фантазируя, можно привести вот какой пример: - в расширение tsp запроса кладется сертификат подписанта;
- УЦ смотрит, не отозван ли сертификат;
- УЦ возвращает tsp ответ, в котором содержится сертификат подписанта (т.е. этот tsp ответ не будет применим к другому сертификату и другой ЭП
Т.е., на мой взгляд, техническая реализация возможна. И вот у меня вопрос, на самом деле, а почему это не сделано с юридической точки зрения ? в ocsp ответе есть время, почему бы на этом и не закончить и выкинуть tsp? tsp(tsa) нужен как независимая третья сторона, так? и задача как можно быстрее отдать ответ с временем, а не идти качать crl\ocsp. А так, все проверки нужно выполнять повторно и после выхода нового (следующего) crl. Может кто-то уже столкнулся и с таким? |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
