Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline georgy111  
#1 Оставлено : 20 июня 2017 г. 16:08:45(UTC)
georgy111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.07.2015(UTC)
Сообщений: 74

Сказал(а) «Спасибо»: 30 раз
Добрый день.

Подскажите, есть какие-то ограничения по соответствию алгоритмов подписи и открытого ключа сертификата?
Другими словами, легитимен ли с правовой точки зрения сертификат, например, с алгоритмом подписи ГОСТ Р 2001 и открытым ключом ГОСТ Р 2012?

КриптоАРМ подписи с таким сертификатом определяет как недействительные. Причем подробностей никаких не отображает.
Offline georgy111  
#2 Оставлено : 20 июня 2017 г. 17:31:24(UTC)
georgy111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.07.2015(UTC)
Сообщений: 74

Сказал(а) «Спасибо»: 30 раз
Хотелось бы получить ответ.
Заранее спасибо.
Offline Андрей Писарев  
#3 Оставлено : 20 июня 2017 г. 17:41:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.

Сертификат УЦ должен быть с ГОСТ-2012 тоже.

КриптоАРМ -какой версии и КриптоПРО CSP (версия продукта с вкладки Общие)?

Приложить сертификат или подписанным им (тестовый) документ можете?
Можно в ЛС.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
georgy111 оставлено 20.06.2017(UTC)
Offline georgy111  
#4 Оставлено : 20 июня 2017 г. 17:56:09(UTC)
georgy111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.07.2015(UTC)
Сообщений: 74

Сказал(а) «Спасибо»: 30 раз
Спасибо за ответ.

КриптоПро CSP 4.0.9842, КриптоАРМ 5.4.1.64.
Пример сертификата, выпущенного тестовым УЦ, отправил в ЛС.
Корневой сертификат ГОСТ 2001 установлен в доверенные, цепочка строится.

"Сертификат УЦ должен быть с ГОСТ-2012 тоже." - а это описано где-то в документации или в приказах?

Отредактировано пользователем 20 июня 2017 г. 18:10:14(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#5 Оставлено : 20 июня 2017 г. 18:23:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Пришлите тогда в ЛС подписанный документ этим сертификатом.
И снимки от КриптоАРМ-а, где "проблема".

p.s.
может вся проблема в том, что КриптоАРМ видит, что сертификат выпущен неаккредитованным УЦ?

т.е. алгориты УЦ\Владельца тут не играют роли.
Техническую поддержку оказываем тут
Наша база знаний
Offline georgy111  
#6 Оставлено : 20 июня 2017 г. 18:32:42(UTC)
georgy111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.07.2015(UTC)
Сообщений: 74

Сказал(а) «Спасибо»: 30 раз
Отправил.
Вероятно, Вы правы - КриптоАРМ, наверное, синхронизируется со списком аккредитованных УЦ.

Отредактировано пользователем 20 июня 2017 г. 18:34:15(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#7 Оставлено : 20 июня 2017 г. 21:19:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: georgy111 Перейти к цитате
Отправил.
Вероятно, Вы правы - КриптоАРМ, наверное, синхронизируется со списком аккредитованных УЦ.


Нет, не в этом дело.

Подписи неквалифицированными сертификатами (по ГОСТ-2001) проверяются без проблем,
но с ГОСТ-2012 - у него ошибка.


Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#8 Оставлено : 23 июня 2017 г. 12:42:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.

Сертификаты в цепочке должны быть с ГОСТ-2012 тоже.

Для тестов - можете установить самоподписанный из pfx или сгенерировать самостоятельно с необходимыми параметрами.

test2012.zip (126kb) загружен 9 раз(а).

Техническую поддержку оказываем тут
Наша база знаний
Offline svyazist  
#9 Оставлено : 23 июня 2017 г. 14:50:05(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 204
Мужчина

Сказал «Спасибо»: 29 раз
Поблагодарили: 55 раз в 34 постах
Если ключ сертификата создан по алгоритму ГОСТ 2012 года, а сам сертификат подписан в тестовом УЦ КриптоПро, в котором подпись сертификата создается по алгоритму 2001 года (соответствующий ключ корневого сертификата), то в КриптоАРМ этот сертификат будет успешно проверяться, но подпись, созданная этим сертификатом, проверяться не будет. Это происходит из-за способа поиска провайдера для проверки подписи. Перед проверкой берется сертификат подписчика и по алгоритму подписи под сертификатом ищется провайдер. Потом этим провайдером выполняется проверка подписи. Поскольку алгоритм подписи под сертификатом старый, то КриптоАРМ при поиске находит старый провайдер в котором реализованы только старые алгоритмы, а новые не реализованы. Потом при проверке подписи выясняется, что в провайдере нужного нового алгоритма нет и проверка завершается с ошибкой.
thanks 1 пользователь поблагодарил svyazist за этот пост.
georgy111 оставлено 23.06.2017(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.