logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#21 Оставлено : 13 апреля 2020 г. 6:02:58(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 975
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 62 раз
Поблагодарили: 219 раз в 206 постах
Автор: ks123 Перейти к цитате
Автор: two_oceans Перейти к цитате
... Ну или 3) серверу времени, который управляется мошенниками (или мошенники имею доступ к закрытому ключу), доверять нельзя.
А в чем тогда отличие от CAdES_X_Long_Type_1? Если я правильно понял что тут написано: https://www.strozhevsky.com/free_docs/CAdES.pdf добавляется "long-term-validation" аттрибут, который закрывает возможность манипуляций меткой времени? (ну помимо того что там должны присутствовать все данные для проверки доказательств)
Пожалуйста. Если в двух словах - то согласно 3) если компрометируется сертификат сервера доверенного времени, то метки времени от него в CADES-T будут недействительны и достоверность подписи будет сомнительна. Новые ответы от удостоверяющего центра уже будут показывать что сертификат сервера доверенного времени отозван.

Чтобы обойти эту ситуацию в подпись включаются доказательства - а именно ответы удостоверяющего центра на момент создания подписи. Этакая "машина времени". Они подписаны сертификатом УЦ, то есть компрометация сервера доверенного времени их не коснется и это подтвердит что на такой-то момент времени сертификат сервера доверенногго времени не был отозван. Такая подпись будет действовать пока действителен сертификат УЦ, который выдавал сертификат сервера доверенного времени.

Кроме того, могут быть включены и доказательства на клиентский сертификат. Меток времени может быть несколько чтобы компрометация одного сервера доверенного времени не тянула "эффектом домино" недействительность множества подписей. Тут уже можно теоретически попробовать включить метки разных алгоритмов.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
ks123 оставлено 13.04.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.