Статус: Участник
Группы: Участники
Зарегистрирован: 14.12.2010(UTC)
Сообщений: 18
Откуда: Питер
|
ЭЦП сформирована в отсоединенном виде и передана получателю вместе с документом. Получатель пока ничего не знает об отправителе, но имеет эти 2 файла. Может ли он успешно проверить такую ЭЦП с помощью ПО, используещего CAPICOM ?
1 вопрос. Я знаю, есть 2 вида проверки - проверка подлинности документа и проверка сертификата. Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
2 вопрос. Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? Я так понимаю, если нет - то проверить ничего не получится, пока отправитель не вышлет еще и сертифкат?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,437   Сказал «Спасибо»: 551 раз
Поблагодарили: 2235 раз в 1743 постах
|
PavelK написал:ЭЦП сформирована в отсоединенном виде и передана получателю вместе с документом. Получатель пока ничего не знает об отправителе, но имеет эти 2 файла. Может ли он успешно проверить такую ЭЦП с помощью ПО, используещего CAPICOM ?
1 вопрос. Я знаю, есть 2 вида проверки - проверка подлинности документа и проверка сертификата. Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
2 вопрос. Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? Я так понимаю, если нет - то проверить ничего не получится, пока отправитель не вышлет еще и сертифкат? Цитата:
Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
обе Цитата: Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? а давайте будем все гадать, что же там внутри... ? пример файла отсоединенной ЭЦП где? И этот вопрос нужно задавать автору ЭЦП или разработчикам ПО, с помощью которого создавалась ЭЦП Если есть сложности с публикацией здесь файла с ЭЦП - можно его переименовать с sig на p7b - и открыть - тогда возможно увидеть вложенный(ные) сертификат(ы) p.s. лично я вкладываю при создании сертификат автора и цепочку сертификации до корневого Отредактировано пользователем 2 марта 2012 г. 2:27:47(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
PavelK написал:ЭЦП сформирована в отсоединенном виде и передана получателю вместе с документом. Получатель пока ничего не знает об отправителе, но имеет эти 2 файла. Может ли он успешно проверить такую ЭЦП с помощью ПО, используещего CAPICOM ? Если подпись сформирована в формате PKCS#7 Signed то можно проверить с помощью ПО, используещего CAPICOM. Например, если подпись сформирована с помощью "КриптоАРМ" (она имеет расширение .sig) PavelK написал:1 вопрос. Я знаю, есть 2 вида проверки - проверка подлинности документа и проверка сертификата. Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ? Немного не правильно. 2 вида проверки: проверка целостности документа (то, что документ не был искажён и подпись не искажена) и проверка действительности сертификата подписанта (то, что сертификат издан доверенным УЦ(ЦС), сертификат действует на какой-то момент и т.д.). Никакая проверка не может быть выполнена, если у Вас нет открытого ключа, который находится в сертификате отправителя (подписанта). Вам как минимум (для проверки целостности документа) нужен открытый ключ. А его в подписи нет! PavelK написал:2 вопрос. Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? Я так понимаю, если нет - то проверить ничего не получится, пока отправитель не вышлет еще и сертифкат? Внутри файла .sig (это расширение по умолчанию для файла подписи от программы "КриптоАРМ" www.trusted.ru ) находится подпись в формате PKCS#7 Signed. По умолчанию программа "КриптоАРМ" формирует подпись и вкладывает сертификат подписанта в файл подписи. Открытый ключ в файл подписи никогда не вкладывается! Ещё в файл подписи вкладывается строковые значения комментариев к подписи, локальное время компьютера. Так же могут вкладываться штампы времени и OCSP ответы о статусе сертификата подписанта на момент подписи. Таким образом, если внутри файла .sig нет сертификат отправителя, то проверить ничего не получится, пока отправитель не вышлет еще и сертификат. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Андрей * написал:PavelK написал:ЭЦП сформирована в отсоединенном виде и передана получателю вместе с документом. Получатель пока ничего не знает об отправителе, но имеет эти 2 файла. Может ли он успешно проверить такую ЭЦП с помощью ПО, используещего CAPICOM ?
1 вопрос. Я знаю, есть 2 вида проверки - проверка подлинности документа и проверка сертификата. Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
2 вопрос. Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? Я так понимаю, если нет - то проверить ничего не получится, пока отправитель не вышлет еще и сертифкат? Цитата:
Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
обе Цитата: Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? а давайте будем все гадать, что же там внутри... ? пример файла отсоединенной ЭЦП где? И этот вопрос нужно задавать автору ЭЦП или разработчикам ПО, с помощью которого создавалась ЭЦП Если есть сложности с публикацией здесь файла с ЭЦП - можно его переименовать с sig на p7b - и открыть - тогда возможно увидеть вложенный(ные) сертификат(ы) p.s. лично я вкладываю при создании сертификат автора и цепочку сертификации до корневого Уважаемый! Вы вводите в заблуждение человека, задавшего вопрос!!! Вы не сделаете никакой проверки, пока не получите сертификат подписанта! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,437 Сказал «Спасибо»: 551 раз
Поблагодарили: 2235 раз в 1743 постах
|
Юрий Маслов написал:Андрей * написал:PavelK написал:ЭЦП сформирована в отсоединенном виде и передана получателю вместе с документом. Получатель пока ничего не знает об отправителе, но имеет эти 2 файла. Может ли он успешно проверить такую ЭЦП с помощью ПО, используещего CAPICOM ?
1 вопрос. Я знаю, есть 2 вида проверки - проверка подлинности документа и проверка сертификата. Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
2 вопрос. Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? Я так понимаю, если нет - то проверить ничего не получится, пока отправитель не вышлет еще и сертифкат? Цитата:
Какая из этих проверок может быть успешно выполнена, если получатель специально сертификат отправителя не скачивал из УЦ ?
обе Цитата: Вообще, что находится внутри файла .sig, есть ли там сам сертификат отправителя или хотя бы открытый ключ ? а давайте будем все гадать, что же там внутри... ? пример файла отсоединенной ЭЦП где? И этот вопрос нужно задавать автору ЭЦП или разработчикам ПО, с помощью которого создавалась ЭЦП Если есть сложности с публикацией здесь файла с ЭЦП - можно его переименовать с sig на p7b - и открыть - тогда возможно увидеть вложенный(ные) сертификат(ы) p.s. лично я вкладываю при создании сертификат автора и цепочку сертификации до корневого Уважаемый! Вы вводите в заблуждение человека, задавшего вопрос!!! Вы не сделаете никакой проверки, пока не получите сертификат подписанта! Каюсь... предположил сразу, что файл sig создан в знаменитом ПО КриптоАРМ (СКЗИ) и есть вложенный сертификат, да не написал об этом, в том развернутом виде как Вы. Ушел замаливать ... Отредактировано пользователем 2 марта 2012 г. 14:12:07(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Андрей * написал:Каюсь... предположил сразу, что файл sig создан в знаменитом ПО КриптоАРМ (СКЗИ) и есть вложенный сертификат, да не написал об этом, в том развернутом виде как Вы.
Ушел замаливать ...
Если бы Вы посетили Киргизию, то узнали бы, что слово "сиг" есть матерное слово в киргизском языке. И когда я, будучи в Киргизии, стал рассказывать о файле подписи, формируемом КриптоАРМом, то случился конфуз. С тех пор точно помню, что такое файл .sig ! Не забудьте у монитора воскурить шерсть жертвенного барана :-) А вкладывать сертификат корневого ЦС в подпись не рекомендую. Ибо этот сертификат лежит в неподписываемых атрибутах и может быть заменён на недоверенный сертификат ЦС. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,437 Сказал «Спасибо»: 551 раз
Поблагодарили: 2235 раз в 1743 постах
|
Юрий Маслов написал:Андрей * написал:Каюсь... предположил сразу, что файл sig создан в знаменитом ПО КриптоАРМ (СКЗИ) и есть вложенный сертификат, да не написал об этом, в том развернутом виде как Вы.
Ушел замаливать ...
Если бы Вы посетили Киргизию, то узнали бы, что слово "сиг" есть матерное слово в киргизском языке. И когда я, будучи в Киргизии, стал рассказывать о файле подписи, формируемом КриптоАРМом, то случился конфуз. С тех пор точно помню, что такое файл .sig ! Не забудьте у монитора воскурить шерсть жертвенного барана :-) Познавательно... про расширение .sig Цитата:А вкладывать сертификат корневого ЦС в подпись не рекомендую. Ибо этот сертификат лежит в неподписываемых атрибутах и может быть заменён на недоверенный сертификат ЦС. сертификат автора - тоже... его тоже можно заменить... с тем же открытым ключом, но подписанным другим ЦС (не доверенным !) не исключено же: делается запрос на выпуск и передается двум разным УЦ => сертификата 2 - открытый ключ - один... и тут могут возникнуть проблемы... Отредактировано пользователем 2 марта 2012 г. 14:56:43(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.12.2010(UTC)
Сообщений: 18
Откуда: Питер
|
Юрий Маслов написал:Внутри файла .sig (это расширение по умолчанию для файла подписи от программы "КриптоАРМ" www.trusted.ru ) находится подпись в формате PKCS#7 Signed. По умолчанию программа "КриптоАРМ" формирует подпись и вкладывает сертификат подписанта в файл подписи. Открытый ключ в файл подписи никогда не вкладывается! Ещё в файл подписи вкладывается строковые значения комментариев к подписи, локальное время компьютера. Так же могут вкладываться штампы времени и OCSP ответы о статусе сертификата подписанта на момент подписи. Таким образом, если внутри файла .sig нет сертификат отправителя, то проверить ничего не получится, пока отправитель не вышлет еще и сертификат. Спасибо большое за обстоятельный ответ! То есть внутри подписи открытого ключа нет и в общем случае сертификата тоже. Тогда каким образом криптоапи выяснит чья это подпись при проверке ЭЦП и как определит нужный сертификат из хранилища? Юрий Маслов написал:
По умолчанию программа "КриптоАРМ" формирует подпись и вкладывает сертификат подписанта в файл подписи.
- мне кажется, это очень удобно, т.к. в этом случае получателю не нужно самому скачивать сертификат с сайта УЦ. Но в этом случае, получается, что в ЭЦП все же есть открытый ключ, т.к. есть сертификат, а в нем есть открытый ключ. Что-то я запутался... 
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,437 Сказал «Спасибо»: 551 раз
Поблагодарили: 2235 раз в 1743 постах
|
вкратце: в формате pkcs7 предусмотрена возможность "вложения" сертификатов. сама ЭЦП ( по ГОСТ Р 34.10-2001) (не путать с форматом pkcs7 и другими!) - это лишь зашифрованное (с использованием закрытого ключа автора и случайного числа) значение хеша, вычисленного по ГОСТ Р34.11-94и для проверки ЭЦП(одной или нескольких в pkcs7) - нужен открытый ключ(и) автора(авторов), которые есть в сертификате(ах) Производится вычисление хеша по ГОСТ Р34.11-94, расшифровка значения ЭЦП (зашифрованный хеш) [i] с помощью открытого ключа автора(ов) и сверка локально вычисленного хеша с расшифрованным = если совпадает - значит ЭЦП корректна для указанного автора .. поиск сертификата производится по серийному номеру, который записан в структуре pkcs7 для каждого зашифрованного значения хеша Отредактировано пользователем 2 марта 2012 г. 17:53:52(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,437 Сказал «Спасибо»: 551 раз
Поблагодарили: 2235 раз в 1743 постах
|
PavelK написал:Юрий Маслов написал:
По умолчанию программа "КриптоАРМ" формирует подпись и вкладывает сертификат подписанта в файл подписи.
- мне кажется, это очень удобно, т.к. в этом случае получателю не нужно самому скачивать сертификат с сайта УЦ. Но в этом случае, получается, что в ЭЦП все же есть открытый ключ, т.к. есть сертификат, а в нем есть открытый ключ. Что-то я запутался... не в "самой ЭЦП"... а в сертификате (в pkcs7) Юрий Маслов написал:
Никакая проверка не может быть выполнена, если у Вас нет открытого ключа, который находится в сертификате отправителя (подписанта). Вам как минимум (для проверки целостности документа) нужен открытый ключ. А его в подписи нет!
По умолчанию программа "КриптоАРМ" формирует подпись и вкладывает сертификат подписанта в файл подписи. Открытый ключ в файл подписи никогда не вкладывается!
если в pkcs7 вложен сертификат, значит есть и открытый ключ... все.. (про тот ли это сертификат - отдельная история) Отредактировано пользователем 2 марта 2012 г. 18:16:14(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
