Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы«<2345>
Опции
К последнему сообщению К первому непрочитанному
Offline alex61  
#31 Оставлено : 25 июня 2019 г. 16:18:19(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Модуль ЭП будет сторонней разработки. Встраиваемый в ЭДО.

Я параллельно проверял на КриптоПро Office signature. Могу еще проверить КП PDF.

При создании ЭП в обеих программах (сторонний модуль и КП OS) и отсутствии локального CRL на компьютере пользователя и при условии что сертификат отозван (или был отозван после подписания) выдает что подпись верна. Таким образом связка из OCSP-server + RevoPro не работает.

я это описывал в посту выше вместе с скриншотами.

Цитата:
А что в итоге вы хотите получить?


невозможность использования отозванным сертификатом для создания ЭП в реальном времени. хотя бы через уведомление о том что подпись неверна, так как сертификат отозван. то есть чтобы связка из OCSP-server + RevoPro работала так же как и локальный CRL, только по БД ЦР.

Отредактировано пользователем 25 июня 2019 г. 16:20:02(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#32 Оставлено : 25 июня 2019 г. 16:31:12(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: alex61 Перейти к цитате
Модуль ЭП будет сторонней разработки. Встраиваемый в ЭДО.

Я параллельно проверял на КриптоПро Office signature. Могу еще проверить КП PDF.

При создании ЭП в обеих программах (сторонний модуль и КП OS) и отсутствии локального CRL на компьютере пользователя и при условии что сертификат отозван (или был отозван после подписания) выдает что подпись верна. Таким образом связка из OCSP-server + RevoPro не работает.

я это описывал в посту выше вместе с скриншотами.


Т.е. вы тестируете работу нашего КриптоПро Revocation Provider. И судя по описанию, он у вас не корректно работает.
Опишите используемый стенд для воспроизведения. Укажите ОС, версию CSP, версию клиента OCSP.

Автор: alex61 Перейти к цитате
Цитата:
А что в итоге вы хотите получить?


невозможность использования отозванным сертификатом для создания ЭП в реальном времени. хотя бы через уведомление о том что подпись неверна, так как сертификат отозван. то есть чтобы связка из OCSP-server + RevoPro работала так же как и локальный CRL, только по БД ЦР.


Но это зависит как сторонние разработчики все рализуют. КриптоАРМ вроде справляется с этой задачей.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#33 Оставлено : 25 июня 2019 г. 16:40:57(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Windows 10. CSP 4.0 R3. OCSP Client 2.0.

Сторонние разработчики реализовали только проверку по локальному crl. Исходя из описания revopro он создан для того, чтобы перехватывать запросы проверки по crl и проверять по ocsp протоколу в реальном времени. Тестируется перехват как в стороннем модуле так и в криптопро office signature. Чтоб исключить косяк со стороны модуля. И действительно симптомы идентичные.

Насколько я понимаю revopro не возвращает ответ приложению, которое запросило проверку по crl. Причем обоим с которыми тестируем.

Насчет криптоарм, я описал как он у меня работает. Причин почему так я не знаю. Разбираться в глюках программы, которая не планируется к использованию времени пока нет.
Offline Захар Тихонов  
#34 Оставлено : 25 июня 2019 г. 16:58:54(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: alex61 Перейти к цитате
Windows 10. CSP 4.0 R3. OCSP Client 2.0.


Проверим работу и сообщим.

Автор: alex61 Перейти к цитате
Сторонние разработчики реализовали только проверку по локальному crl. Исходя из описания revopro он создан для того, чтобы перехватывать запросы проверки по crl и проверять по ocsp протоколу в реальном времени. Тестируется перехват как в стороннем модуле так и в криптопро office signature. Чтоб исключить косяк со стороны модуля. И действительно симптомы идентичные.

Насколько я понимаю revopro не возвращает ответ приложению, которое запросило проверку по crl. Причем обоим с которыми тестируем.

Насчет криптоарм, я описал как он у меня работает. Причин почему так я не знаю. Разбираться в глюках программы, которая не планируется к использованию времени пока нет.


Какая версия КриптоАРМ?
Т.е. сейчас у вас, как на скриншоте 1.png (95kb) загружен 5 раз(а)., не воспроизводится (приложите скриншот). Хотя выше вы писали, что при подписании отозванным сертификатом, КриптоАРМ ругается
Цитата:
Я подписываю документ сразу отозванным сертификатом. КриптоАрм его подписывает и выдает предупреждение, что сертификат отозван.

Отредактировано пользователем 25 июня 2019 г. 16:59:38(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#35 Оставлено : 26 июня 2019 г. 9:36:30(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: Захар Тихонов Перейти к цитате
Автор: alex61 Перейти к цитате
Windows 10. CSP 4.0 R3. OCSP Client 2.0.


Проверим работу и сообщим.


Проверил на сборке Windows 1809.
Проверял в несколько этапов.
1. Сертификат действительный. Проверка на ПК с установленным КриптоПро Revocation Provide.
Цитата:
PS C:\Users\Администратор\Desktop\TEST> .\cryptcp.x64.exe -verify .\TEST.txt.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Цепочки сертификатов проверены.
Папка '.\':
.\TEST.txt.sig... Проверка подписи...
Автор подписи: test ocsp 26-06-19, RU
Подпись проверена.
[ErrorCode: 0x00000000]

В журнал службы OCSP приходят запросы на проверку статуса сертификата.

2. Сертификат отозван. CRL не перевыпушены, т.е. серийного номера отозванного сертификата в CRL нет. Проверка на ПК с установленным КриптоПро Revocation Provide.
Цитата:
PS C:\Users\Администратор\Desktop\TEST> .\cryptcp.x64.exe -verify .\TEST.txt.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:test ocsp 26-06-19, RU
Действителен с 26.06.2019 05:37:59 по 26.09.2019 05:47:59
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y
Цепочки сертификатов проверены.
Папка '.\':
.\TEST.txt.sig... Проверка подписи...
Автор подписи: test ocsp 26-06-19, RU
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y
Подпись проверена.
[ErrorCode: 0x00000000]

В журнал службы OCSP приходят запросы на проверку статуса сертификата.

3. Сертификат отозван. CRL не перевыпушены, т.е. серийного номера отозванного сертификата в CRL нет. Проверка на ПК без установленого КриптоПро Revocation Provide.
Цитата:
PS A:\qqq\CryptCP> .\cryptcp.x64.exe -verify .\TEST.txt.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Цепочки сертификатов проверены.
Папка '.\':
.\TEST.txt.sig... Проверка подписи...
Автор подписи: test ocsp 26-06-19, RU
Подпись проверена.
[ErrorCode: 0x00000000]


4. Сертификат отозван. CRL перевыпушены, т.е. серийный номер отозванного сертификата в CRL присутствует. Проверка на ПК без установленого КриптоПро Revocation Provide.
Цитата:
PS A:\qqq\CryptCP> .\cryptcp.x64.exe -verify .\TEST.txt.sig
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:test ocsp 26-06-19, RU
Действителен с 26.06.2019 05:37:59 по 26.09.2019 05:47:59
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y
Цепочки сертификатов проверены.
Папка '.\':
.\TEST.txt.sig... Проверка подписи...
Автор подписи: test ocsp 26-06-19, RU
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?y
Подпись проверена.
[ErrorCode: 0x00000000]


Судя по приложенному описанию теста КриптоПро Revocation Provider работает исправно. Если установлен КриптоПро Revocation Provider, то за проверкой статуса сертификата идет обращение на службу OCSP. Без установленного КриптоПро Revocation Provider, проверка статуса сертификата проходит по CRL.


Если по вашему мнению тест требует корректировки, пожалуйста, укажите это.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#36 Оставлено : 4 июля 2019 г. 10:23:08(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Добрый день.

Был небольшой перерыв в работе.

Ситуация следующая:

После крайней проверки, когда все не работало, несмотря на отозванный сертификат, подпись была верна и в стороннем модуле и в office signature, при этом подчеркиваю, что в журнале работы OCSP службы было написано, что 1-ПОДПИСЬ ВЕРНА! и 2-Статус сертификата-ОТОЗВАН!
3.PNG (14kb) загружен 7 раз(а).

На следующий день внезапно обнаружил, что и сторонний модуль и office signature стали показывать, что подпись неверна! и сертификат отозван! В настройках при этом ничего не менялось и никаких действий не было произведено. В журнале работы OCSP службы было написано, что 1-ПОДПИСЬ ВЕРНА! и 2-Статус сертификата-ОТОЗВАН! и так пишется всегда, не зависимо от статуса который показывают модули.
Это было до перерыва.

Вчера вечером с разочарованием обнаружил что ситуация опять повторяется. После отзыва сертификата подпись остается верной и статус ОК! Записи в журнале же показывают, что подпись верна но сертификат отозван.

Однако утром подпись в обоих модулях стала неверной, так как сертификат отозван. Единственное, что изменилось за это время, это был выпущен разностный CRL вчера в 18:00. Что совсем вводит в заблуждение, так как OCSP сервер работает по БД ЦР, никакие CRL он не смотрит судя по настройкам и на компьютерах пользователей CRL не установлены.

То есть CRL нигде нет, кроме как на cdp, но только после того как в нем появился номер отозванного сертификата, модули стали показывать что подпись неверна, хотя работает revocation provider и исправно шлет запросы на ocsp-сервер.

Сегодня повторил проверку. Новый сертификат после отзыва все равно подпись верна и статус ОК!. В 12:00 будет выпущен CRL и если статус подписи изменится, то будет повторяемость и возможно не корректно настроена служба или не корректно работает revopro в части возвращения ответа приложению.

По-поводу вашей проверки, насколько я понял, вы проверяли через cryptcp. Возможно ли проверить в любом из модулей для подписания от КриптоПро? К примеру в том же самом Office Signature. По следующим алгоритмам:
1) Подписываем - Смотрим статус - Отзываем - Смотрим статус - Проверяем журнал запросов и главное ответов OCSP
2) Отзываем - Подписываем - Смотрим статус



Offline Захар Тихонов  
#37 Оставлено : 4 июля 2019 г. 10:51:55(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Т.е. вас интересует комбинация - КриптоПро Office Signature и КриптоПро Revocation Provider. Хотя в работе вы не будете использовать КриптоПро Office Signature, т.к. у вас ПО написанное сторонними разработчиками - верно?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#38 Оставлено : 4 июля 2019 г. 10:55:16(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Да, верно. Но в данный момент и сторонний модуль и office signature ведут себя одинаково. Все что я описывал происходит с двумя приложениями на двух разных компьютерах с разными ос.
Offline alex61  
#39 Оставлено : 4 июля 2019 г. 15:18:24(UTC)
alex61

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 47
Российская Федерация
Откуда: РнД

Сказал(а) «Спасибо»: 2 раз
Провел еще две проверки по стандартной схеме: Подписал - Проверил - Отозвал - Проверил.

После отзыва подпись при проверке все равно верна. Когда выходит разностный CRL, она становится неверной и указывается, что сертификат отозван. CRL только публикуется в cdp, на компьютеры не устанавливается.

При этом в журнале OCSP службы приходят запросы и выдаются ответы. Может быть проблема в настройке? Насколько я понял RevoPro вообще не настраивается. Может я что-то неправильно указал при развертывании?
Offline Захар Тихонов  
#40 Оставлено : 5 июля 2019 г. 14:49:46(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,176
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Проверим работу с другим ПО.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы«<2345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.