Отключение проверки цепочки на отзыв

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Отключение проверки цепочки на отзыв

Опции

Предыдущая тема Следующая тема

Noskov Roman		#1 Оставлено : 25 октября 2018 г. 18:31:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2018(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 2 раз		Добрый день! Имеется приложение, которое обрабатывает подписанные файлы (вложенная подпись), соответственно один из шагов работы заключается в валидации подписи файла. Валидация подписи производится с помощью объекта CAdESSignature (используется сертифицированная версия jcp 2.0.39014) следующим образом: Код: `CAdESSignature cadesSignature = new CAdESSignature(dataStream, null, null); cadesSignature.verify(null);` В случае присутствия в цепочках расширения с точками распространения СОС, во время валидации приложение пытается установить статус цепочки сертификата, с помощью которого подписывался файл, и проверить сертификат на отзыв. Проблема заключается в том, что работа приложения происходит полностью в оффлайн режиме и jcp требует либо включить онлайн проверку (соответственно дать выход к точке распространения СОС), либо методу verify передать crl-файл, срок жизни которого очень короткий в рамках рассматриваемой задачи. Вопросы: 1) есть ли возможность отключить проверку цепочки на отзыв в jcp при валидации подписи так, как это можно сделать в рамках модуля КриптоПро JTLS? 2) является ли это особенностью JCP или данная проверка свойственна также cryptcp и JCSP? Иначе говоря, можно ли уйти от данной проблемы с онлайн-проверкой (или подкладыванием crl-файлов) цепочки на отзыв, используя альтернативу в виде JCSP или cryptcp? 3) какие есть альтернативные пути решения данной проблемы? Отредактировано пользователем 25 октября 2018 г. 18:35:52(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Евгений Афанасьев		#2 Оставлено : 26 октября 2018 г. 12:30:38(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 704 раз в 665 постах		Здравствуйте. Автор: Noskov Roman В случае присутствия в цепочках расширения с точками распространения СОС, во время валидации приложение пытается установить статус цепочки сертификата, с помощью которого подписывался файл, и проверить сертификат на отзыв. Проблема заключается в том, что работа приложения происходит полностью в оффлайн режиме и jcp требует либо включить онлайн проверку (соответственно дать выход к точке распространения СОС), либо методу verify передать crl-файл, срок жизни которого очень короткий в рамках рассматриваемой задачи. Вопросы: 1) есть ли возможность отключить проверку цепочки на отзыв в jcp при валидации подписи так, как это можно сделать в рамках модуля КриптоПро JTLS? 2) является ли это особенностью JCP или данная проверка свойственна также cryptcp и JCSP? Иначе говоря, можно ли уйти от данной проблемы с онлайн-проверкой (или подкладыванием crl-файлов) цепочки на отзыв, используя альтернативу в виде JCSP или cryptcp? 3) какие есть альтернативные пути решения данной проблемы? 1) Нет, отключить возможности нет. Это общее требование. 2) JCP и JCSP - только провайдеры, в случае CAdES они только хешируют и подписывают данные и поэтому взаимозаменяемы. Это особенность алгоритма создания подписи CAdES с помощью CAdES.jar. В cades из CSP тоже есть проверка цепочки сертификатов по установленным CRL. На счет cryptcp лучше задать запрос в другой ветке. JCSP заменит JCP только как провайдер, на создание CAdES это не повлияет, проверка останется. 3) Если критичен именно этот момент, то можно попробовать сделать свою проверку (если у вас BES, T) - на основе кода примера CMSVerify в пакете CMS_samples в samples-sources.jar.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Noskov Roman		#3 Оставлено : 13 ноября 2018 г. 12:29:50(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2018(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 2 раз		Спасибо за ответ P.S. На будущее, если кто-то забредет в эту тему, в cryptcp есть флаг, позволяющий отключить проверку сертификатов на отзыв.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

BlackDox		#4 Оставлено : 16 мая 2019 г. 13:49:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 03.04.2019(UTC) Сообщений: 10 Откуда: Новосибирск		актуально, что за флаг?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Armansapc		#5 Оставлено : 16 августа 2022 г. 9:35:25(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.08.2022(UTC) Сообщений: 1		BlackDox, как отключить проверку на отзыв в криптопро (СОС), галочка находится в программе "КриптоПро CSP" в закладке "Настройка TLS" - "Клиент" и "Сервер" - ☑ Не проверять сертификат клиента\сервера на отзыв


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close