Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Dmitry4357334  
#1 Оставлено : 19 марта 2020 г. 13:32:54(UTC)
Dmitry4357334

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.01.2020(UTC)
Сообщений: 2
Российская Федерация

добрый день!
Есть проблема с проверкой cades bes подписи (без штампа времени) по просроченным сертификатам.

имеем подпись(sign), сами данные(data), цепочку сертификатов(certChain) и списки отзывов(crls)
проверка осуществляется следующим способом на java:

CAdESSignature cadesSignature = new CAdESSignature(sign, data, null);
cadesSignature.verify(certChain, crls);

1) для действующих на данный момент сертификатов все работает
2) для недействующих на данный момент сертификатов - не работает.
ru.CryptoPro.AdES.exception.AdESException: Error building certification path for ...: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source)
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source)
at ru.CryptoPro.AdES.external.signature.AdESSigner.build(Unknown Source)
Т.е. сообщение, подписанное в прошлом году, уже невозможно проверить.
Если изменить системное время на момент когда сертификат еще был дейстующим, то падает уже с дрогой ошибкой - невозможно получить корректный список отзывов, что логично.

Как проверять подпись по просроченным на данный момент сертификатам(но действующим в момент создания подписи, т.е. подписывали давно)?

версия jcp 2.0.40132
Online Санчир Момолдаев  
#2 Оставлено : 19 марта 2020 г. 14:07:09(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
для таких целей используйте тип подписи X Long Type 1
Техническую поддержку оказываем тут
Наша база знаний
Offline Dmitry4357334  
#3 Оставлено : 19 марта 2020 г. 14:16:36(UTC)
Dmitry4357334

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.01.2020(UTC)
Сообщений: 2
Российская Федерация


К сожалению, бизнес процесс системы таков, что данные могут прийти через год после получения подписи к этим данным, и есть необходимость валидации того что пришло(удостовериться, что давно хранимая подпись соответствует присланным данным). Как быть в этом случае?
Как быть с уже существующими старыми подписями? Их необходимо валидировать.
Offline Евгений Афанасьев  
#4 Оставлено : 19 марта 2020 г. 14:50:09(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
К сожалению, CAdES-BES/T подписи проверяются на текущий момент времени. При долгом хранении необходимо использовать X Long Type 1.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.