Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2017(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Добрый день. В результате умышленного перевода системного времени вперед на 4 года при проверке подписанного документа возникает такая ошибка. Хотя при нормальной дате все в порядке. С чем может быть связано? Что не так делаю? 1.jpg (57kb) загружен 31 раз(а). 3.jpg (51kb) загружен 26 раз(а). 4.jpg (64kb) загружен 25 раз(а).Отредактировано пользователем 22 мая 2017 г. 15:47:50(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Можете приложить подпись? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2017(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Novyjj tekstovyjj dokument.txt.sig (55kb) загружен 7 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Цепочка сертификатов штампа времени на доказательства проверяется на "текущее время". При переводе часов сильно вперед у вас нет CRL что бы проверить статус промежуточных сертификатов т.к. те которые приходят по CDP уже истекли по вашему времени. |
|
1 пользователь поблагодарил Анатолий Беляев за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2017(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Как можно исправить ситуацию? Задача иметь через 5 лет юридически значимый документ. Я правильно понимаю, что если не переводить часы и проверять в будущем подписанный документ, при получении на ту дату CRL проблем с проверкой не будет? То есть способ проверки путем перевода времени вперед из-за CRL некорректный? Отредактировано пользователем 24 мая 2017 г. 12:50:04(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Цитата:Как можно исправить ситуацию? Задача иметь через 5 лет юридически значимый документ. Я правильно понимаю, что если не переводить часы и проверять в будущем подписанный документ, при получении на ту дату CRL проблем с проверкой не будет? То есть способ проверки путем перевода времени вперед из-за CRL некорректный? Да, все верно. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Если вы возмете службу штампов времени с короткой цепочкой (корнейвой сертификат + сертификат службы штампов времени) трюк с переводом времени сработает. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2017(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
А есть какая-то возможность уйти от необходимости проверять revocation list на момент проверки подписи? Суть ведь, насколько я понимаю, сводится к тому, чтобы удостовериться в подлинности подписи в любое время на момент ее формирования. То есть получен штамп времени, получено доказательство подлинности от OCSP сервера, все. А так, получается, что если через 5 лет любой сертификат из цепочки попал в CRL, то подпись становится неверна. Но она же на момент создания была верна и вся цепочка была валидна. Это можно как-то зафиксировать и избежать инцидентов, при которых попадание одного из сертификатов в CRL автоматически делает подпись недействительной?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Для того что бы доказательства полученные при создании подписи не могли быть изменены, они заверяются штампом времени. У вас не проверяется цепочка именно этого штампа времени. Это означает что нет доверия этому штампу времени => нет доверия доказательствам которые лежат в подписи => нельзя проверить подпись по этим доказательствам. Остальные сертификаты будут проверятся по вложенным доказательствам, и для них дальнейшее попадание в CRL не влияет на статус проверки. Отредактировано пользователем 25 мая 2017 г. 15:45:22(UTC)
| Причина: Не указана |
|
1 пользователь поблагодарил Анатолий Беляев за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2017(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Благодарю! А что надо сделать чтобы цепочка штампа проверялась? Это какие-то локальные настройки Крипто-Арма? Или что-то другое?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close