Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата (не закрытого ключа)
Статус: Активный участник
Группы: Участники
Зарегистрирован: 12.07.2012(UTC) Сообщений: 205 Сказал «Спасибо»: 29 раз Поблагодарили: 56 раз в 35 постах
|
Автор: maxdm Этим ключом нельзя будет подписывать ( это ограничение уже реализовало в CSP 4.0 ), но можно расшифровывать. Да, очень полезный функционал, жаль, что он был реализован только спустя 5 лет с момента выхода 796-ФСБ. В соответствии с пунктом 37 Требований к средствам ЭП, утвержденных приказом ФСБ России от 27.12.2011 № 796, требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП данным Требованиям. Согласно Руководству администратора. Общая часть. КриптоПро CSP v. 4.0 (ЖТЯИ.00087-01 91 01, ЖТЯИ.00088-01 91 01) при формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от настроек групповой политики возможны различные варианты использования этого ключа. При этом срок действия ключа берется из (в порядке уменьшения приоритета): расширения контейнера ключа; расширения сертификата ключа; даты создания ключа + 1 год 3 месяца. А вот в Требованиях к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденных приказом ФСБ России от 27.12.2011 № 795, отсутствует требования об использовании дополнения privateKeyUsagePeriod «Срок действия закрытого ключа» (объектный идентификатор 2.5.29.16) в составе структуры квалифицированного сертификата ключа проверки электронной подписи, при этом про механизм контроля срока использования ключа ЭП говорится в 796-ФСБ. Как я уже ранее писал, признание квалифицированной ЭП установлено статьей 11 Закона 63-ФЗ. При этом в перечне условий признания квалифицированной ЭП не установлено условие, при котором ключ электронной подписи, предназначенный для создания квалифицированной ЭП, должен использоваться только в период, который указан в квалифицированном сертификате ключа проверки ЭП.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
И всё-таки - хотелось бы услышать ответ на первоначально поставленный вопрос: Какой смысл несёт срок действия сертификата (не закрытого ключа, а именно сертификата). Прошу компетентных сотрудников компании-разработчика средств ЭП (в данном случае ООО Крипто-Про) ответить на данный вопрос...
|
|
|
|
Статус: Эксперт
Группы: Администраторы, Участники Зарегистрирован: 01.12.2008(UTC) Сообщений: 54 Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 14 раз в 9 постах
|
Срок действия сертификата - это время, в течении которого УЦ обязуется отслеживать статус сертификата. Если срок действия сертификата истёк, информация, которая в нём содержится, уже не может считаться достоверной.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
pavelvnСпасибо. Остаются такие вопросы:
- Что значит обязывается отслеживать статус сертификата? Автоматически должен будет внести его в список отозванных? Или удалить его из своей БД?
- Как может быть использован сертификат пользователя, если срок действия закрытого ключа истёк но срок действия сертификата не истёк? (в том случае если один срок меньше второго)
- Каков будет статус усовершенствованной ЭП (с ответами OCSP и TSP серверов) после истечения срока действия всех сертификатов, участвующих в ЭП?
(сроки действия сертификатов - 1-2 года, что гораздо меньше срока хранения документов ~15 лет.)
|
|
|
|
Статус: Эксперт
Группы: Администраторы, Участники Зарегистрирован: 01.12.2008(UTC) Сообщений: 54 Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 14 раз в 9 постах
|
- В течении срока действия сертификата УЦ предоставляет сведения об отзыве посредством списка отозванных сертификатов, либо посредством службы актуальных статусов. Когда сертификат истекает, УЦ исключает информацию о его статусе из последующих списков отзыва.
- Может быть использован для проверки подписи.
- Усовершенствованная ЭП (здесь идёт речь об её варианте CAdES X Long Type 1) позволяет признать подпись подлинной, даже если с момента создания подписи сертификат подписанта истёк или был отозван, либо истекли или были отозваны сертификаты и ответы служб актуальных статусов, использовавшиеся при проверке подписи. Но сертификат службы штампов времени, которая выпустила внешний штамп времени на подпись и на доказательства её подлинности, должен действовать на момент проверки усовершенствованной ЭП. По этой причине, рекомендуется использовать для сертификатов службы штампов времени максимально возможный срок действия. Для КриптоПро CSP 4.0 срок действия открытого ключа ЭП - 15 лет после окончания срока действия закрытого.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2019(UTC) Сообщений: 3
Поблагодарили: 1 раз в 1 постах
|
Автор: Максим Коллегин Этим ключом нельзя будет подписывать ( это ограничение уже реализовало в CSP 4.0 ), но можно расшифровывать. Коллеги, приветствую всех. Можно немного реанимировать тему? :) Правильно ли я понимаю, что если, срок действия закрытого ключа - 1 год, а сертификата - 5 лет, то по истечению срока действия закрытого ключа (допустим через 2 года после генерации) останется возможность расшифровать файлы, которые были зашифрованы на 5-летний сертификат ? Кейс заключается в том, что зашифровать на сертификат точно можно, а вот расшифровать с помощью КриптоАрм не получается.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2019(UTC) Сообщений: 3
Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Скорее всего это неправильная работа КриптоАрм-а, напишите им.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.03.2019(UTC) Сообщений: 3
Поблагодарили: 1 раз в 1 постах
|
Коллеги, приветствую. Победил проблему связанную с тем, что зашифрованные файлы (зашифровывались на валидный сертификат. со сроком действия 5 лет) не могли расшифровываться закрытым ключом, срок действия которого истёк (срок действия был 1 год).
Решение: Необходимо отключить режим усиленного контроля ключа в КриптоПро CSP во вкладке «Безопасность» и создать в Реестре ОС параметр "ControlKeyTimeValidity" со значением "0". (При этом подпись истекшим ключом будет разрешена и расшифрование должно будет выполниться) Пути в реестре: 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity
|
1 пользователь поблагодарил Сергей_123 за этот пост.
|
lab2 оставлено 26.03.2019(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.01.2017(UTC) Сообщений: 37 Откуда: spb Поблагодарили: 2 раз в 2 постах
|
Здорово. Большое спасибо, ибо проблема эта была. Будем пробовать.
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата (не закрытого ключа)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close