Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
Как добавить подпись (CoSignCades) если срок действия сертификата имеющейся подписи истек?
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2046 раз в 1586 постах
|
Автор: bony599 Автор: basid Автор: bony599 на заметку также: сертификат можно перевыпускать хоть каждую минуту, а подписи под электронным документом ставить хоть с интервалом в 100 лет. Можете, конечно. Только проверяющий вовсе не обязан доверять времени, указанному в CADES-BES. Это верно. Но с таким подходом ИОК, а соответственно и ЭДО сейчас в стране вообще не работают, так как ни один сертификат УЦ не имеет штампов времени, не говоря уж об ЭД. Штампы времени есть в ЭП (CADES-T и т.п.). Что подразумеваете под "штамп времени" в сертификате? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,042
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах
|
Автор: bony599 ни один сертификат УЦ не имеет штампов времени, не говоря уж об ЭД. Сертификату штампы времени и не нужны. OCSP-статусы - вполне предусмотрены. Удостоверяющие центры наличие TSP-серверов, может и не рекламируют, но эти сервера существуют, работают и даже отличают подписи "своих" и "чужих". Таким образом, нет технических причин, мешающих формировать CADES-Long. Финансово - да, имеются лишние расходы на формирование "долговременной" подписи.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: basid Автор: bony599 ни один сертификат УЦ не имеет штампов времени, не говоря уж об ЭД. Сертификату штампы времени и не нужны. OCSP-статусы - вполне предусмотрены. Удостоверяющие центры наличие TSP-серверов, может и не рекламируют, но эти сервера существуют, работают и даже отличают подписи "своих" и "чужих". Таким образом, нет технических причин, мешающих формировать CADES-Long. Финансово - да, имеются лишние расходы на формирование "долговременной" подписи. Ок. Т.е. если подпись содержала бы штамп времени, то ошибки построения цепочки сертификатов в методе VerifyCades не возникло?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,042
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах
|
Автор: bony599 Т.е. если подпись содержала бы штамп времени, то ошибки построения цепочки сертификатов в методе VerifyCades не возникло? Если ЭП содержит и штамп времени и "доказательства подлинности", то проверка ( автоматически) выполняется по этим данным и будет валидной до истечения срока действия сертификата какого-либо из УЦ в цепочках подписей и штампов. Сертификаты УЦ выдаются на срок не менее пятнадцати лет, а новые сертификаты нормальный УЦ прекратит выдавать лет за пять до истечения срока действия собственного сертификата. Если нет штампа времени, то выбор момента времени (подписание или проверка) остаётся за проверяющей стороной. И по умолчанию это будет момент проверки. Аналогично, если нет доказательств подлинности, то сбор и проверка этих доказательств ложатся на проверяющую сторону и зависят от выбора момента времени. Таким образом, если в подписи есть статусы сертификатов на момент подписания, а момент подписания заверен штампом времени - возможна долгосрочная проверка подписи в автономной системе. Если в подписи нет статусов сертификатов, но есть штамп времени - требуются или сетевые обращения к OCSP-серверам или загруженные и действующие списки отзывов для всех сертификатов в цепочке. Если нет штампов времени, то требуется (как-то) решить вопрос о выборе момента времени для которого проверяется подпись и далее будет один из двух вариантов - с доказательствами подлинности или без оных. Но, скорее всего, если нет штампов времени, то и статусов тоже не будет. Разумеется, существует "ЭП архивариуса", которая позволяет третьей стороне заверить целостность и документа и его подписи, но, чтобы не иметь ненужных проблем, архивариус должен заверять ещё действующие подписи. Без штампов времени это означает "в течении срок действия сертификата подписанта", хотя конкретная информационная система может разработать и утвердить собственный регламент.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: basid Автор: bony599 Т.е. если подпись содержала бы штамп времени, то ошибки построения цепочки сертификатов в методе VerifyCades не возникло? Если ЭП содержит и штамп времени и "доказательства подлинности", то проверка ( автоматически) выполняется по этим данным и будет валидной до истечения срока действия сертификата какого-либо из УЦ в цепочках подписей и штампов. Метод VerifyCades в этом случае не вызовет исключения, если сертификат КПЭП будет уже недействительным? Cades Plugin <-> CAPICOM <-> WinCryptoAPI <-> КриптоПро CSP + КриптоПро TSP + КриптоПро OCSP это всё умеют делать сами?
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
Как добавить подпись (CoSignCades) если срок действия сертификата имеющейся подписи истек?
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close