Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline uishnik  
#1 Оставлено : 12 января 2022 г. 19:37:39(UTC)
uishnik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2015(UTC)
Сообщений: 40

Сказал(а) «Спасибо»: 1 раз
Добрый день.

Выполняю проверку отдсоединенной подписи командой

Код:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -errchain -dir ./ file.pdf -f file.pdf.sgn


Проверка проходит успешно

Код:

...
Подпись проверена.
[ErrorCode: 0x00000000]


Но дело в том, что у меня на компьютере установлено всего два корневых сертификата

Код:
1-------
Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject             : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial              : 0x4E6D478B26F27D657F768E025CE3D393
SHA1 Hash           : 4bc6dc14d97010c41a26e058ad851f81c842415a
SubjKeyID           : c254f1b46bd44cb7e06d36b42390f1fec33c9b06
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 06/07/2018  12:18:06 UTC
Not valid after     : 01/07/2036  12:18:06 UTC
PrivateKey Link     : No                  
2-------
Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject             : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Serial              : 0x34681E40CB41EF33A9A0B7C876929A29
SHA1 Hash           : 8cae88bbfd404a7a53630864f9033606e1dc45e2
SubjKeyID           : 8b983b891851e8ef9c0278b8eac8d420b255c95d
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 20/07/2012  12:31:14 UTC
Not valid after     : 17/07/2027  12:31:14 UTC
PrivateKey Link     : No


Сертификат удостоверяющего центра, который выдал сертификат, которым подписан файл, не установлен. Почему же в таком случае проверка цепочки сертификатов проходит успешно, ведь я указываю опцию -errchain? Разве так должно быть?

И еще. Пытался проверить эту же подпись КриптоАрм-ом. КриптоАрм тоже проверяет успешно, причем после проверки в промежуточных центрах сертификации появляется сертификат УЦ, хотя до проверки его не было. А у УЦ вообще статус аккредитации "приостановлена" https://e-trust.gosuslug...dcadetails/1163328067210

Объясните пожалуйста, как это работает. Должны ли cryptcp и КриптоАрм в таких случаях успешно проверять подпись?
Offline Андрей *  
#2 Оставлено : 12 января 2022 г. 20:00:10(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Цепочка строится, потому что есть возможность её построить - Сертификат -> ООО ИСБ -> Минкомсвязь
Техническую поддержку оказываем тут
Наша база знаний
Offline uishnik  
#3 Оставлено : 12 января 2022 г. 21:59:38(UTC)
uishnik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2015(UTC)
Сообщений: 40

Сказал(а) «Спасибо»: 1 раз
Тогда вопрос: если у удостоверяющего центра отобрали аккредитацию, то как перестать доверять подписям, созданным сертификатом этого УЦ?
Offline Андрей *  
#4 Оставлено : 12 января 2022 г. 22:29:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: uishnik Перейти к цитате
Тогда вопрос: если у удостоверяющего центра отобрали аккредитацию, то как перестать доверять подписям, созданным сертификатом этого УЦ?


Прочитать 476, посмотреть реестр прошедших (4 десятка) и при проверке - смотреть, какой УЦ выдал сертификат.


Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Русев  
#5 Оставлено : 13 января 2022 г. 9:51:04(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Автор: uishnik Перейти к цитате
Тогда вопрос: если у удостоверяющего центра отобрали аккредитацию, то как перестать доверять подписям, созданным сертификатом этого УЦ?

А почему вы решили, что это нужно делать? Например, в период аккредитации на этом УЦ был выпущен сертификат, затем им была сформирована подпись. Всё законно. Обычная подпись будет успешно проверяться до окончания срока действия клиентского сертификата (если УЦ продолжит выпускать CRL-и), а xlongtype1 - всегда.
Официальная техподдержка. Официальная база знаний.
Offline Андрей *  
#6 Оставлено : 13 января 2022 г. 9:53:22(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: Андрей Русев Перейти к цитате
Автор: uishnik Перейти к цитате
Тогда вопрос: если у удостоверяющего центра отобрали аккредитацию, то как перестать доверять подписям, созданным сертификатом этого УЦ?

А почему вы решили, что это нужно делать? Например, в период аккредитации на этом УЦ был выпущен сертификат, затем им была сформирована подпись. Всё законно. Обычная подпись будет успешно проверяться до окончания срока действия клиентского сертификата (если УЦ продолжит выпускать CRL-и), а xlongtype1 - всегда.


Вероятно имелось ввиду - для подписей сформированных в 2022, это нарушение 476 ФЗ, а технически - работает, потому что не отзывали сертификаты.
Если подписывали до 2022 - то всё нормально.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.