Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сертификат с алгоритмом подписи ГОСТ Р 2001 и открытым ключом ГОСТ Р 2012.
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.07.2015(UTC) Сообщений: 74
Сказал(а) «Спасибо»: 30 раз
|
Добрый день.
Подскажите, есть какие-то ограничения по соответствию алгоритмов подписи и открытого ключа сертификата? Другими словами, легитимен ли с правовой точки зрения сертификат, например, с алгоритмом подписи ГОСТ Р 2001 и открытым ключом ГОСТ Р 2012?
КриптоАРМ подписи с таким сертификатом определяет как недействительные. Причем подробностей никаких не отображает.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.07.2015(UTC) Сообщений: 74
Сказал(а) «Спасибо»: 30 раз
|
Хотелось бы получить ответ. Заранее спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Здравствуйте.
Сертификат УЦ должен быть с ГОСТ-2012 тоже.
КриптоАРМ -какой версии и КриптоПРО CSP (версия продукта с вкладки Общие)?
Приложить сертификат или подписанным им (тестовый) документ можете? Можно в ЛС. |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.07.2015(UTC) Сообщений: 74
Сказал(а) «Спасибо»: 30 раз
|
Спасибо за ответ. КриптоПро CSP 4.0.9842, КриптоАРМ 5.4.1.64. Пример сертификата, выпущенного тестовым УЦ, отправил в ЛС. Корневой сертификат ГОСТ 2001 установлен в доверенные, цепочка строится. "Сертификат УЦ должен быть с ГОСТ-2012 тоже." - а это описано где-то в документации или в приказах? Отредактировано пользователем 20 июня 2017 г. 18:10:14(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Пришлите тогда в ЛС подписанный документ этим сертификатом. И снимки от КриптоАРМ-а, где "проблема".
p.s. может вся проблема в том, что КриптоАРМ видит, что сертификат выпущен неаккредитованным УЦ? т.е. алгориты УЦ\Владельца тут не играют роли. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.07.2015(UTC) Сообщений: 74
Сказал(а) «Спасибо»: 30 раз
|
Отправил. Вероятно, Вы правы - КриптоАРМ, наверное, синхронизируется со списком аккредитованных УЦ. Отредактировано пользователем 20 июня 2017 г. 18:34:15(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Автор: georgy111 Отправил. Вероятно, Вы правы - КриптоАРМ, наверное, синхронизируется со списком аккредитованных УЦ. Нет, не в этом дело. Подписи неквалифицированными сертификатами (по ГОСТ-2001) проверяются без проблем, но с ГОСТ-2012 - у него ошибка. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2034 раз в 1578 постах
|
Здравствуйте. Сертификаты в цепочке должны быть с ГОСТ-2012 тоже. Для тестов - можете установить самоподписанный из pfx или сгенерировать самостоятельно с необходимыми параметрами. test2012.zip (126kb) загружен 9 раз(а). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 12.07.2012(UTC) Сообщений: 204 Сказал «Спасибо»: 29 раз Поблагодарили: 55 раз в 34 постах
|
Если ключ сертификата создан по алгоритму ГОСТ 2012 года, а сам сертификат подписан в тестовом УЦ КриптоПро, в котором подпись сертификата создается по алгоритму 2001 года (соответствующий ключ корневого сертификата), то в КриптоАРМ этот сертификат будет успешно проверяться, но подпись, созданная этим сертификатом, проверяться не будет. Это происходит из-за способа поиска провайдера для проверки подписи. Перед проверкой берется сертификат подписчика и по алгоритму подписи под сертификатом ищется провайдер. Потом этим провайдером выполняется проверка подписи. Поскольку алгоритм подписи под сертификатом старый, то КриптоАРМ при поиске находит старый провайдер в котором реализованы только старые алгоритмы, а новые не реализованы. Потом при проверке подписи выясняется, что в провайдере нужного нового алгоритма нет и проверка завершается с ошибкой.
|
1 пользователь поблагодарил svyazist за этот пост.
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сертификат с алгоритмом подписи ГОСТ Р 2001 и открытым ключом ГОСТ Р 2012.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close