Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline niq  
#1 Оставлено : 26 августа 2008 г. 17:40:36(UTC)
niq

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.08.2008(UTC)
Сообщений: 5
Мужчина
Откуда: Ижевск

При проверке подписи, к которой добавлен штамп времени, согласно rfc3161 нужно верифицировать сам штамп (20с пункт B1), то есть его подпись и доверие к сертификату службы штампов, которым он подписан. При этом доверие к сертификату, которым подписан штамп, должно проверяться на дату выдачи штампа(с 13-14 пункт 4.1-4.2) (при условии что он не отозван как скомпрометированный и т.п.). Учитывают ли ITSPStamp.VerifyCertificate и VerifyStamp дату выдачи штампа при проверке? Или нужно такую проверку делать самому?

Отредактировано пользователем 26 августа 2008 г. 17:43:55(UTC)  | Причина: Не указана

Offline Павел Смирнов  
#2 Оставлено : 26 августа 2008 г. 23:54:07(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Сертификат службы штампов при проверке штампа проверяется на текущий момент и тому есть следующее обоснование. Срок действия сертификата службы штампов не должен закончиться на момент проверки. Если сертификат уже истёк, то факт его прижизненной компрометации уже не будет отражён в текущих CRL/OCSP-ответах. Кроме того, даже если эта доступна история изменения статуса сертификата, злоумышленник к этому моменту мог осуществить неявную компрометацию ключа и создать произвольный штамп времени.

Различие по причинам отзыва мы не обрабатываем, поскольку семантика использования различных кодов причин отзыва не определена в основополагающих документах X.509/RFC5280.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline niq  
#3 Оставлено : 29 августа 2008 г. 21:05:27(UTC)
niq

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.08.2008(UTC)
Сообщений: 5
Мужчина
Откуда: Ижевск

С обоснованием сложно не согласиться, но тогда получается что задача продления срока действия ЭЦП за счет штампов времени не работает, а точнее работает только на время действия сертификата, которым подписывает штампы служба сертификации? Или же где-то описано, что такие сертификаты выдаются на длительный срок?
Offline Павел Смирнов  
#4 Оставлено : 12 сентября 2008 г. 13:15:39(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Прошу прощения за задержку с ответом. Почему-то не пришло письмо с оповещением.

Действительно, обычно сертификаты службы штампов времени выдаются на длительные сроки, в отличие от сертификатов пользователей. Кроме того, остаётся возможность добавить в подпись новый штамп времени, охватывающий все хранящиеся там атрибуты, включая уже имеющиеся штампы. Если это сделать до истечения срока действия сертификата имеющегося в подписи штампа, то мы продлим срок жизни такой ЭЦП на срок действия сертификата нового штампа. Подробнее формат описан в ETSI 101 733 (CAdES), формат CAdES-A.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline niq  
#5 Оставлено : 12 сентября 2008 г. 13:30:03(UTC)
niq

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.08.2008(UTC)
Сообщений: 5
Мужчина
Откуда: Ижевск

Теперь стало понятно, спасибо за разъяснение
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.