Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Срок действия закрытого ключа определяется исходя из локальной даты
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.06.2013(UTC) Сообщений: 141 Откуда: ООО Компания Тензор
Сказал(а) «Спасибо»: 30 раз
|
На ПК неверно установлена настройка даты/времени (в нашем случае 13.10.17 вместо 17.10.17). Генерируем ЭП с использование КриптоПРО CSP 4.0. Сертификат выдается со сроком действия до времени сервера УЦ: сертификат действует до 17 января 2019 г. 14:18:39, закрытая часть тоже (см сертификат). Ставим актуальную дату (17.10.17). Делаем тестирование через КриптоПРО: действителен по 17 января 2019 г. 14:18:39, Срок действия закрытого ключа 12 января 2019 г. 20:18:05. Это приводит к ошибкам при попытке использовать данный ключ в промежутке между реальной датой окончания сертификата, 17.01.19 и 12.01.19. Сценарий , конечно, не стандартный, ноооо есть такие клиенты, которые попались в эту ловушку. Certificate_8120676229C285A72412A29A10C6A51CF4EC0839.cer (3kb) загружен 5 раз(а). Skrinshot 17.10.2017 18-07-58-276.png (63kb) загружен 55 раз(а). Skrinshot 17.10.2017 18-07-58-276.png (63kb) загружен 55 раз(а). Certificate_8120676229C285A72412A29A10C6A51CF4EC0839.cer (3kb) загружен 5 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
Здравствуйте.
На клиенте формируется ключ - дата и время прописана в контейнере. УЦ может выдать сертификат со сроком действия больше, чем действует закрытый ключ, ввести ограничение на период использования ключа.
Всё логично. Что требуется? Чтобы CSP узнавал корректность даты и времени по ... сети? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.06.2013(UTC) Сообщений: 141 Откуда: ООО Компания Тензор
Сказал(а) «Спасибо»: 30 раз
|
Дело в том, что УЦ выдает сертификат со сроком действия одинаковым для всех частей. Но КриптоПРО CSP при указанных условиях считает срок окончания закрытой части иначе. Хочу понять, почему и зачем
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,704 Сказал «Спасибо»: 500 раз Поблагодарили: 2051 раз в 1591 постах
|
Автор: Птаха Дело в том, что УЦ выдает сертификат со сроком действия одинаковым для всех частей. Но КриптоПРО CSP при указанных условиях считает срок окончания закрытой части иначе. Хочу понять, почему и зачем Выбирается минимум. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
В CSP 4.0 появилась возможность задавать политику проверки срока действия ключа в контейнере. По умолчанию - выбирается минимум между расширением в контейнере и сроком в сертификате. Но можно использовать и одну из них. Код:OID: 1.2.643.2.2.37.3.11
Key Time Validity Control Politics:
Do not use PKUP extension from certificate
Do not use PKUP extension from container
Функции кодирования\декодирования мы регистрируем. Используется такая С структура: Код:typedef struct _PRIVATE_KEY_TIME_VALIDITY_CONTROL_MODE {
BOOL useCertificate;
BOOL useContainer;
} PRIVATE_KEY_TIME_VALIDITY_CONTROL_MODE, *PPRIVATE_KEY_TIME_VALIDITY_CONTROL_MODE;
Отредактировано пользователем 18 октября 2017 г. 10:33:04(UTC)
| Причина: Не указана |
|
2 пользователей поблагодарили Максим Коллегин за этот пост.
|
Андрей * оставлено 18.10.2017(UTC), Птаха оставлено 18.10.2017(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.06.2013(UTC) Сообщений: 141 Откуда: ООО Компания Тензор
Сказал(а) «Спасибо»: 30 раз
|
Автор: maxdm В CSP 4.0 появилась возможность задавать политику проверки срока действия ключа в контейнере. По умолчанию - выбирается минимум между расширением в контейнере и сроком в сертификате. Но можно использовать и одну из них. Код:OID: 1.2.643.2.2.37.3.11
Key Time Validity Control Politics:
Do not use PKUP extension from certificate
Do not use PKUP extension from container
Спасибо. Понятно, как. Получается, что срок расширения контейнера ставится при генерации , исходя из локального времени? А почему не по какому-то более надежному источнику? Это не будет меняться?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
Другого источника в общем случае у нас нет. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.06.2013(UTC) Сообщений: 141 Откуда: ООО Компания Тензор
Сказал(а) «Спасибо»: 30 раз
|
Автор: maxdm Другого источника в общем случае у нас нет. Понятно.. конечно, ведь ПО-то оффлайн работать должно .. Спасибо
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.10.2016(UTC) Сообщений: 7 Откуда: Москва
|
Подскажите, каким образом в CSP 4.0 задать политику проверки срока действия ключа в контейнере?
OID: 1.2.643.2.2.37.3.11 Key Time Validity Control Politics: Do not use PKUP extension from certificate Do not use PKUP extension from container
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
Кажется, что всё необходимое описал 5 постами выше. Нужно закодировать политику, например, с помощью CryptEncodeObject и установить расширение в контейнер. |
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Срок действия закрытого ключа определяется исходя из локальной даты
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close