Отключение проверки цепочки на отзыв

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Отключение проверки цепочки на отзыв

Опции

Предыдущая тема Следующая тема

Noskov Roman		#1 Оставлено : 25 октября 2018 г. 18:31:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2018(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 2 раз		Добрый день! Имеется приложение, которое обрабатывает подписанные файлы (вложенная подпись), соответственно один из шагов работы заключается в валидации подписи файла. Валидация подписи производится с помощью объекта CAdESSignature (используется сертифицированная версия jcp 2.0.39014) следующим образом: Код: `CAdESSignature cadesSignature = new CAdESSignature(dataStream, null, null); cadesSignature.verify(null);` В случае присутствия в цепочках расширения с точками распространения СОС, во время валидации приложение пытается установить статус цепочки сертификата, с помощью которого подписывался файл, и проверить сертификат на отзыв. Проблема заключается в том, что работа приложения происходит полностью в оффлайн режиме и jcp требует либо включить онлайн проверку (соответственно дать выход к точке распространения СОС), либо методу verify передать crl-файл, срок жизни которого очень короткий в рамках рассматриваемой задачи. Вопросы: 1) есть ли возможность отключить проверку цепочки на отзыв в jcp при валидации подписи так, как это можно сделать в рамках модуля КриптоПро JTLS? 2) является ли это особенностью JCP или данная проверка свойственна также cryptcp и JCSP? Иначе говоря, можно ли уйти от данной проблемы с онлайн-проверкой (или подкладыванием crl-файлов) цепочки на отзыв, используя альтернативу в виде JCSP или cryptcp? 3) какие есть альтернативные пути решения данной проблемы? Отредактировано пользователем 25 октября 2018 г. 18:35:52(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Евгений Афанасьев		#2 Оставлено : 26 октября 2018 г. 12:30:38(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,922 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 688 раз в 649 постах		Здравствуйте. Автор: Noskov Roman В случае присутствия в цепочках расширения с точками распространения СОС, во время валидации приложение пытается установить статус цепочки сертификата, с помощью которого подписывался файл, и проверить сертификат на отзыв. Проблема заключается в том, что работа приложения происходит полностью в оффлайн режиме и jcp требует либо включить онлайн проверку (соответственно дать выход к точке распространения СОС), либо методу verify передать crl-файл, срок жизни которого очень короткий в рамках рассматриваемой задачи. Вопросы: 1) есть ли возможность отключить проверку цепочки на отзыв в jcp при валидации подписи так, как это можно сделать в рамках модуля КриптоПро JTLS? 2) является ли это особенностью JCP или данная проверка свойственна также cryptcp и JCSP? Иначе говоря, можно ли уйти от данной проблемы с онлайн-проверкой (или подкладыванием crl-файлов) цепочки на отзыв, используя альтернативу в виде JCSP или cryptcp? 3) какие есть альтернативные пути решения данной проблемы? 1) Нет, отключить возможности нет. Это общее требование. 2) JCP и JCSP - только провайдеры, в случае CAdES они только хешируют и подписывают данные и поэтому взаимозаменяемы. Это особенность алгоритма создания подписи CAdES с помощью CAdES.jar. В cades из CSP тоже есть проверка цепочки сертификатов по установленным CRL. На счет cryptcp лучше задать запрос в другой ветке. JCSP заменит JCP только как провайдер, на создание CAdES это не повлияет, проверка останется. 3) Если критичен именно этот момент, то можно попробовать сделать свою проверку (если у вас BES, T) - на основе кода примера CMSVerify в пакете CMS_samples в samples-sources.jar.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Noskov Roman		#3 Оставлено : 13 ноября 2018 г. 12:29:50(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.08.2018(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 2 раз		Спасибо за ответ P.S. На будущее, если кто-то забредет в эту тему, в cryptcp есть флаг, позволяющий отключить проверку сертификатов на отзыв.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

BlackDox		#4 Оставлено : 16 мая 2019 г. 13:49:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 03.04.2019(UTC) Сообщений: 10 Откуда: Новосибирск		актуально, что за флаг?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Armansapc		#5 Оставлено : 16 августа 2022 г. 9:35:25(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.08.2022(UTC) Сообщений: 1		BlackDox, как отключить проверку на отзыв в криптопро (СОС), галочка находится в программе "КриптоПро CSP" в закладке "Настройка TLS" - "Клиент" и "Сервер" - ☑ Не проверять сертификат клиента\сервера на отзыв


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close