Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline klukin  
#1 Оставлено : 13 июля 2011 г. 17:33:26(UTC)
klukin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.07.2011(UTC)
Сообщений: 4
Откуда: PTZ

Имеется
1) Текстовый файл для подписи
2) ЭЦП
3) TSP

ЭЦП проверяется командой cryptcp -vsignf data.txt - проверку проходит
в data.txt - текстовый файл для подписи

data.txt... OK.
[ReturnCode: 0]

TSP такой же командой выдает - неверное значение хэша
в data.txt - ЭЦП в base64

data.txt... Ошибка: Неправильное значение хеша.
(0x80091007)
[ErrorCode: 0x80091007]

Можно ли вообще проверять TSP как ЭЦП или может другая команда нужна?
Offline rozhkov  
#2 Оставлено : 13 июля 2011 г. 18:16:56(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

>Можно ли проверять TSP как обычную ЭЦП?
Если Вы имеете ввиду усовершенствованную подпись, то нет.
И cryptcp не может проверять усовершенствованную подпись.
Offline Павел Смирнов  
#3 Оставлено : 13 июля 2011 г. 18:58:47(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
С помощью cryptcp можно сделать и проверить подпись со штампом времени. См. ключи -sd и -ss. Но при создании штамп времени попадёт в атрибуты подписи, а не в отдельный файл. Соответственно, там же будет искаться штамп времени при проверке.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline klukin  
#4 Оставлено : 13 июля 2011 г. 20:30:09(UTC)
klukin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.07.2011(UTC)
Сообщений: 4
Откуда: PTZ

установка ключей -sd и -ss не повлияла, ошибка такая же
data.txt... Ошибка: Неправильное значение хеша.
(0x80091007)
[ErrorCode: 0x80091007]

В чем причина может быть?

data.txt - данные для подписи
data.txt.sgn - подпись со штампом времени
data.tsr - подпись со штампом времени для просмотра

Отредактировано пользователем 13 июля 2011 г. 20:32:35(UTC)  | Причина: Не указана

Вложение(я):
data.tsr (3kb) загружен 17 раз(а).
data.txt (3kb) загружен 17 раз(а).
data.txt.sgn (3kb) загружен 14 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Павел Смирнов  
#5 Оставлено : 13 июля 2011 г. 22:26:59(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Файл data.tsr идентичен файлу data.txt.sgn. Содержимое файла data.tsr является штампом времени, поэтому data.txt.sgn не может содержать подпись со штампом времени.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline klukin  
#6 Оставлено : 14 июля 2011 г. 0:27:50(UTC)
klukin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.07.2011(UTC)
Сообщений: 4
Откуда: PTZ

Да, data.tsr и data.txt.sgn это одно и тоже, я просто расширение поменял чтобы можно было быстро запустить.

Почему data.txt.sgn не может содержать подпись со штампом времени? Откуда это видно? Чтоже это такое? Просто штамп времени?
Объясните тогда пожалуйста мне его смысл если его нельзя никак проверить? К какой информации он имеет отношение?

Давайте я сформулирую задачу. Думаю будет полезна многим, т.к. ноги у нее с РЖД, а пользователей у этой системы 25000. К сожалению она не документирована.

Поставщик документа выдает мне 3 отдельных файла - исходный текстовый документ (допустим файл 1.txt), ЭЦП в формате base 64 (файл 2.txt), TSP в формате base64 (файл 3.txt).
Мои действия:
1) я проверяю ЭЦП (2.txt) и сертификаты из нее подав на вход данные из файла 1.txt - все ОК.
2) Что мне делать с TSP (3.txt) ? я ж должен как то определить что эта метка времени приделана к этим же данным (1.txt) ? Мне сказали что нужно ее проверить подав на вход в качестве данных ЭЦП (2.txt) - в результате ошибка неверный хэш.

Извините за тупизм, но чего то я не понимаю в этой усовершенствованной ЭЦП.

Отредактировано пользователем 14 июля 2011 г. 0:41:18(UTC)  | Причина: Не указана

Offline Павел Смирнов  
#7 Оставлено : 14 июля 2011 г. 14:35:18(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
klukin написал:
Почему data.txt.sgn не может содержать подпись со штампом времени? Откуда это видно? Чтоже это такое? Просто штамп времени?

Просто по факту показа штампа времени при открытие этого файла с расширением .tsr можно сделать вывод, что это штамп времени. Штамп времени - это, конечно, тоже сообщение CMS SignedData, но вот содержимое самого сообщения представляет опредённый формат и всегда делается в виде совмещённой подписи.

klukin написал:
Объясните тогда пожалуйста мне его смысл если его нельзя никак проверить? К какой информации он имеет отношение?

Проверить его можно, если знать к какой информации он имеет отношение.

klukin написал:
Поставщик документа выдает мне 3 отдельных файла - исходный текстовый документ (допустим файл 1.txt), ЭЦП в формате base 64 (файл 2.txt), TSP в формате base64 (файл 3.txt).
Мои действия:
1) я проверяю ЭЦП (2.txt) и сертификаты из нее подав на вход данные из файла 1.txt - все ОК.
2) Что мне делать с TSP (3.txt) ? я ж должен как то определить что эта метка времени приделана к этим же данным (1.txt) ? Мне сказали что нужно ее проверить подав на вход в качестве данных ЭЦП (2.txt) - в результате ошибка неверный хэш.

Лучше всего уточнить у РЖД на что же они всё-таки этот штамп получают. Может быть, на файл 2.txt. Может быть, целиком на отделённую ЭЦП, но в бинарном формате. Может быть, вслед за международными рекомендациями и стандартами, на значение ЭЦП (предпочтительный вариант). В последнем случае удобно штамп времени вкладывать в подпись в качестве неподписанного атрибута.

Проверять штамп можно также с помощью КриптоПро TSPUTIL. Для этого используется команда tsputil stampinfo с опциями --cms или --verify-data.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline klukin  
#8 Оставлено : 14 июля 2011 г. 15:36:10(UTC)
klukin

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.07.2011(UTC)
Сообщений: 4
Откуда: PTZ

Спасибо за столь подробные разъяснения. Становится более понятно.
Конечно мы пытались получить разъяснения на РЖД - не получилось.
Можно я еще задам еще вопросы?

1) tsputil --verify-data это тоже самое что и cryptcp -vsignf ? Штамп должен в теории проходить проверку обеими утилитами?
2) Вы сказали что есть три варианта на что может быть теоретически сформирован штамп
1 - на файл 2.txt - это отделенная ЭЦП в формате base64 - пробовал - не проходит
2 - на отделенную ЭЦП в бинари - пробовал - не проходит
3 - на значение ЭЦП - что это? где это взять?

Отредактировано пользователем 25 июля 2011 г. 15:38:57(UTC)  | Причина: Не указана

Offline Павел Смирнов  
#9 Оставлено : 25 июля 2011 г. 19:19:44(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
klukin написал:
1) tsputil --verify-data это тоже самое что и cryptcp -vsignf ? Штамп должен в теории проходить проверку обеими утилитами?

Эти команды делают разное. tsputil --verify-data проверяет штамп времени и соответствие штампа исходным данным. cryptcp -vsignf проверяет отделённую подпись на данные и, при указании дополнительных ключей, штамп времени на подпись. Причём штамп времени считается именно на значение подписи, как предписывает RFC3161.
klukin написал:
2) Вы сказали что есть три варианта на что может быть теоретически сформирован штамп
1 - на файл 2.txt - это отделенная ЭЦП в формате base64 - пробовал - не проходит
2 - на отделенную ЭЦП в бинари - пробовал - не проходит
3 - на значение ЭЦП - что это? где это взять?

Я проверил последний вариант на присланных файлах. Не подошло. Такую проверку умеет делать команда tsputil stampinfo с ключом --cms.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.