Статус: Участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC)
Сообщений: 14
Сказал(а) «Спасибо»: 3 раз
|
Как проверить с помощью серверной версии криптопро подпись, у которой устарел сертификат? Нужно проверить корректность подписи на определенную дату (допустим, пол года назад). Проверяю командой: Код:cryptcp -verify -norev -errchain -detached msg.txt message.sig -f message.sig
Мне возвращается ошибка: This certificate or one of the certificates in the certificate chain is not time valid. [ErrorCode: 0x20000133] В документации видел параметр -sd[количество часов], но он не работает (cryptcp: unrecognized option `-sd3'). Хочется указать определенную дату или срок, и получить в результате [ErrorCode: 0x00000000]
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,654
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 458 раз в 432 постах
|
Как вариант в командном сценарии, перед проверкой, устанавливать нужную дату с помощью date, после возвращать актуальную.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
|
Очень плохой вариант - по умолчанию смена времени требует административных привилегий, а скачки времени много чего сломают.
И, кстати, не будет работать, если в сертификате есть ссылка на OCSP, а он не умеет возвращать статус ЭП на заданную дату.
Если только изолированная среда (виртуалка).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: basid  Очень плохой вариант - по умолчанию смена времени требует административных привилегий, а скачки времени много чего сломают.
И, кстати, не будет работать, если в сертификате есть ссылка на OCSP, а он не умеет возвращать статус ЭП на заданную дату.
Если только изолированная среда (виртуалка). Плюсую. С ocsp можно попытаться ещё "подшаманить" и поднять свой ocsp (на том же openssl):
OCSP responses can be of various types. An OCSP response consists of a response type and the bytes of the actual response. There is one basic type of OCSP response that MUST be supported by all OCSP servers and clients. The rest of this section pertains only to this basic response type.
All definitive response messages SHALL be digitally signed. The key used to sign the response MUST belong to one of the following:
- the CA who issued the certificate in question
- a Trusted Responder whose public key is trusted by the requestor
- a CA Designated Responder (Authorized Responder, defined in Section 4.2.2.2) who holds a specially marked certificate issued directly by the CA, indicating that the responder may issue OCSP responses for that CA
Если есть перечень всех crl, то тоже можно попытаться проверить. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,654
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 458 раз в 432 постах
|
Автор: basid Очень плохой вариант - по умолчанию смена времени требует административных привилегий, а скачки времени много чего сломают. Всё верно, поэтому и звучит: Автор: nickm Как вариант и как раз предполагает: Автор: basid Если только изолированная среда (виртуалка). Автор: basid И, кстати, не будет работать, если в сертификате есть ссылка на OCSP, а он не умеет возвращать статус ЭП на заданную дату. В вопросе про "OCSP" не звучало. И да, по тому, что было написано в вопросе, предположил, что просто требуется проверить, что некоторые файлы не были изменены/ повреждены после прошествии какого-либо промежутка времени, ведь валидность самого сертификата не проверяется.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Мне кажется, что если требуется проверить чисто математическую корректность ЭП, то смысла менять дату нет: 1) извлекаем подписываемые атрибуты; 2) извлекаем подпись; 3) юзаем csptest -verify <параметры>. Она как раз и проверяет математическую корректность подписи. P.S. Могу быть неправ, так как там указывается серт. Скорее всего, тоже проверяется дата... Отредактировано пользователем 1 сентября 2023 г. 9:13:05(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,734   Сказал «Спасибо»: 574 раз
Поблагодарили: 2304 раз в 1805 постах
|
Автор: mikl92 Как проверить с помощью серверной версии криптопро подпись, у которой устарел сертификат? Нужно проверить корректность подписи на определенную дату (допустим, пол года назад). Проверяю командой: Код:cryptcp -verify -norev -errchain -detached msg.txt message.sig -f message.sig
Мне возвращается ошибка: This certificate or one of the certificates in the certificate chain is not time valid. [ErrorCode: 0x20000133] В документации видел параметр -sd[количество часов], но он не работает (cryptcp: unrecognized option `-sd3'). Хочется указать определенную дату или срок, и получить в результате [ErrorCode: 0x00000000] -nochain -norev успешно проверил ЭП с истекшим сертификатом в 2018. |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
mikl92 оставлено 01.09.2023(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2022(UTC) Сообщений: 11
|
Автор: Андрей *
-nochain -norev
успешно проверил ЭП с истекшим сертификатом в 2018.
Эта команда успешно проверит что угодно в том числе нелигитимную подпись, выпущенную тестовым сертификатом. Вопрос остается открытым - как убедиться в легитимности подписи на момент времени Х.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,734 Сказал «Спасибо»: 574 раз
Поблагодарили: 2304 раз в 1805 постах
|
Автор: dimzon541 Автор: Андрей *
-nochain -norev
успешно проверил ЭП с истекшим сертификатом в 2018.
Эта команда успешно проверит что угодно в том числе нелигитимную подпись, выпущенную тестовым сертификатом. Вопрос остается открытым - как убедиться в легитимности подписи на момент времени Х. Вы бы для начала больше информации предоставили. Что есть "на руках"? Сертификат и текущий crl? От себя добавлю, что АУЦ, например, удаляют истекшие сертификаты из crl. И вчера отозванный, но сегодня истекший, при публикации нового crl завтра исчезнет из crl, это учитывается в решении задачи? Арм РКС и УЦ привлекать, если есть возможность, для полноценного ответа. Либо хранить историческую информацию, проверяя периодически необходимые url crl |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
