Несколько общих вопросов по работе с сертификатами и ЭЦП- Page 5

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

5 Страницы«<3 45

Несколько общих вопросов по работе с сертификатами и ЭЦП

Опции

Предыдущая тема Следующая тема

Stalker4		#41 Оставлено : 9 марта 2013 г. 21:13:01(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 19.02.2013(UTC) Сообщений: 30 Сказал(а) «Спасибо»: 1 раз		Автор: Андрей * Автор: Stalker4 Автор: Юрий а также возможно создавать их на флешке Вопрос: Как можно создать контейнер на флешке ? Рекомендую, все же скачать SDK - там есть примеры по работе с CryptoAPI \sdk\samples\CSP\CreatingKeyContainer\CreatingKeyContainer.c Какой именно SDK ? КриптоПро ЭЦП SDK КриптоПро OCSP SDK КриптоПро TSP SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#42 Оставлено : 9 марта 2013 г. 21:21:58(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,766 Сказал «Спасибо»: 579 раз Поблагодарили: 2307 раз в 1807 постах		http://www.cryptopro.ru/products/csp/downloads Цитата: Документация для разработчиков и примеры (SDK) В разделе КриптоПро CSP 3.6 R3
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Stalker4		#43 Оставлено : 11 марта 2013 г. 15:23:40(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 19.02.2013(UTC) Сообщений: 30 Сказал(а) «Спасибо»: 1 раз		Автор: Андрей * Автор: Stalker4 Автор: Юрий а также возможно создавать их на флешке Вопрос: Как можно создать контейнер на флешке ? Рекомендую, все же скачать SDK - там есть примеры по работе с CryptoAPI \sdk\samples\CSP\CreatingKeyContainer\CreatingKeyContainer.c Посмотрел. Я делаю примерно так же. Но что то не хочет контейнер создаваться по заданному пути: Код: const // K: это диск флешки (пробовал и диск HDD). MY_CONTAINER = 'K:\EDS_DEMO'; CRYPTO_PROVIDER = 'Microsoft Enhanced Cryptographic Provider v1.0'; var hProv :HCRYPTPROV; hSignKey :HCRYPTKEY; dwFlags :DWORD; Win32Check(CryptAcquireContext(hProv, MY_CONTAINER, CRYPTO_PROVIDER, PROV_RSA_FULL, CRYPT_NEWKEYSET)) dwFlags := (1024 shl 16) or CRYPT_EXPORTABLE; Win32Check(CryptGenKey(hProv, AT_SIGNATURE, dwFlags, hSignKey)); Win32Check(CryptDestroyKey(hSignKey)); Win32Check(CryptReleaseContext(hProv, 0)); После выполнения этого кода, на диске K: не появляется файл EDS_DEMO. Может создавать контейнер по заданому пути умеют не все криптопровайлеры ? P.S. Хотя сам контейнер все же создается, но где то внутри самой винды, я его по имени не смог найти ни на диске C: ни в реестре.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Stalker4		#44 Оставлено : 11 марта 2013 г. 15:34:30(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 19.02.2013(UTC) Сообщений: 30 Сказал(а) «Спасибо»: 1 раз		Автор: Андрей * Автор: Stalker4 4) Присутствует ли дата подписи в подписи издателя под сертификатом пользователя ? Если да, то надо ли ее проверять, в смысле надо ли проверять что сертификат пользователя был подписан в период действия сертификата издателя ? Или такие проверки не делаются, а весь вопрос заключается в том, доверяем ли мы издателю (СЦ) или нет ? Дата не присутствует. Определить, что сертификат был издан в период действия сертификата УЦ - ... по дате начала действия пользовательского сертификата... она должна быть позже начала действия сертификата УЦ... и раньше окончания срока действия сертификата УЦ (точнее, думаю, раньше окончания срока действия закрытого ключа УЦ, обычно, 1 год) А разве у закрытого ключа есть параметр (атрибут)"срок действия ключа" ? Автор: Андрей * Автор: Stalker4 5) Как проверить, что файл подписан во время действия сертификата я знаю - берем из подписи ранее сохраненную туда дату подписи и сравниваем ее с периодом действия сертификата. Здесь нельзя доказать, что время в подписи "корректно". Что мешает пользователю с просроченным сертификатом изменить локальное время и сделать подписание "в прошлом", когда сертификат действовал? Для решения этой "проблемы" - есть штампы времени В общем то Вы правы, единственное что - дата подписи в моей ИС может браться не с компа пользователя, а с сервера БД, куда пользователь прямого доступа не имеет и следовательно дату поменять там не сможет.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Stalker4		#45 Оставлено : 11 марта 2013 г. 16:00:33(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 19.02.2013(UTC) Сообщений: 30 Сказал(а) «Спасибо»: 1 раз		Автор: Андрей * Автор: Stalker4 Вопрос: А вот как проверить, что на момент подписания файла сертификат не был отозван ? Может у отозванных сертификатов есть что то типа "даты отзыва" ? 2 варианта: 1) CRL (дата\время и причина отзыва) - по текущему локальному или полученному от УЦ - для проверки наличия в отозванных... 2) Online Certificate Status Protocol Правильно ли я понимаю, что список отозванных сертификатов и возможность использовать OCSP (этот сервис наверное не бесплатен) мне может предоставить ЦС, который выдает мне сертификат ?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#46 Оставлено : 11 марта 2013 г. 20:50:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,766 Сказал «Спасибо»: 579 раз Поблагодарили: 2307 раз в 1807 постах		Автор: Stalker4 Автор: Андрей * Автор: Stalker4 Вопрос: А вот как проверить, что на момент подписания файла сертификат не был отозван ? Может у отозванных сертификатов есть что то типа "даты отзыва" ? 2 варианта: 1) CRL (дата\время и причина отзыва) - по текущему локальному или полученному от УЦ - для проверки наличия в отозванных... 2) Online Certificate Status Protocol Правильно ли я понимаю, что список отозванных сертификатов и возможность использовать OCSP (этот сервис наверное не бесплатен) мне может предоставить ЦС, который выдает мне сертификат ? Да. CRL\OCSP, обычно, указываются в выданных сертификатах... Для УЦ - у КриптоПРО есть стоимость. + http://www.cryptopro.ru/buy/price#other
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#47 Оставлено : 11 марта 2013 г. 20:52:39(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,766 Сказал «Спасибо»: 579 раз Поблагодарили: 2307 раз в 1807 постах		Автор: Stalker4 А разве у закрытого ключа есть параметр (атрибут)"срок действия ключа" ? У самих ключей нет "дат\сроков", есть сроки в издаваемом сертификате. И может быть указан срок действия как сертификата открытого ключа, так и период использования закрытого ключа... Пользователь Андрей * прикрепил следующие файлы: Сертификат.png (63kb) загружен 18 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

5 Страницы«<3 45

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close