Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Подпись проходит проверку при отозванном сертификате у промежуточного УЦ
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.07.2014(UTC) Сообщений: 97 Откуда: Москва Сказал(а) «Спасибо»: 21 раз
|
Здравствуйте! Тестируем один из кейсов нашего ПО, использующего СКЗИ КриптоПРО. Вот в такой конфигурации: Астра Линукс 1.7 SE КриптоПро CSP 5.0 R2 CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 Суть теста – показать заказчику, что если отозвать сертификат у промежуточного УЦ, то подпись, созданная сертификатом, который выпустил этот промежуточный УЦ перестанет успешно проверяться. То есть, на отзыв проверяются все сертификаты в цепочке доверия. Не получается это показать заказчику – подпись успешно проходит проверку невзирая на выпущенный СОС. Вот архив CP-TEST.zip (15kb) загружен 2 раз(а).. Там лежит: root2.cer – сертификат корневого УЦ revoked_int_ca_old.cer – сертификат промежуточного УЦ (подписанный root2.cer) revokeRC.cer – сертификат подписи (подписанный revoked_int_ca.cer) 7A0C731B8A5CF8358D77AF865BC61762605D872B.crl – пустой СОС для промежуточного C68FC47CE56EA2D484A67A5D919CBB2D6346EAA0.crl – СОС для корневого (с отозванным промежуточным УЦ) history2_revokerc.sig – отсоединенная подпись history.txt – данные для этой подписи Если всё установить, то подпись проверку проходит. Никаких ошибок не возникает: Код:
user@astra:/opt/utils/trustedCodeLabel$ /opt/cprocsp/bin/amd64/cryptcp -verify -detached ~/history.txt ~/test.sig -verall
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.
Папка '/home/user/':
/home/user/history.txt... Проверка подписи...
Автор подписи:
Подпись проверена.
[ErrorCode: 0x00000000]
- что мы не так делаем? Пробовал повторить это под Windows 7 / CSP КриптоПРО 4 – получил ошибку проверки сертификата подписи «Сертификат аннулирован (отозван)». А вот под Linux – не получается. Подпись верна… С уважением, Константин Ткачук.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз Поблагодарили: 2053 раз в 1593 постах
|
Здравствуйте.
в 12997 видит отзыв:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2023. Утилита командной строки для подписи и шифрования файлов. // Проверка подписи... Автор подписи: ***** Один из сертификатов в цепочке отозван. Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
в 12000 проверю позже.
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз Поблагодарили: 2053 раз в 1593 постах
|
Цитата:/opt/cprocsp/bin/amd64/cryptcp -verify "/home/andrey/Загрузки/523/history.txt" -f "/home/andrey/Загрузки/523/history2_revokerc.sig" -detached -verall CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Утилита командной строки для подписи и шифрования файлов. Папка '/home/andrey/Загрузки/523/': /home/andrey/Загрузки/523/history.txt... Проверка подписи... Автор подписи: Один из сертификатов в цепочке отозван. Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз Поблагодарили: 2053 раз в 1593 постах
|
соответственно, если разместить файлы в папку с приложением: 12000: Цитата:/opt/cprocsp/bin/amd64$ /opt/cprocsp/bin/amd64/cryptcp -verify -detached history.txt test.sig -verall CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021. Утилита командной строки для подписи и шифрования файлов. Папка './': history.txt... Проверка подписи... Автор подписи: Один из сертификатов в цепочке отозван. Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
Может быть файл test.sig у Вас другой? |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз Поблагодарили: 2053 раз в 1593 постах
|
p.s. у меня не Астра Линукс 1.7 SE |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.07.2014(UTC) Сообщений: 97 Откуда: Москва Сказал(а) «Спасибо»: 21 раз
|
Спасибо, за Ваши ответы, но:
1. 12997 - это НЕ сертифицированная версия CSP. 2. Копировать СОС-ы в подкаталог к утилите, чтобы она корректно работала - это, мягко говоря, оригинальный подход.
С уважением, Константин Ткачук.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз Поблагодарили: 2053 раз в 1593 постах
|
Пробовали очистить кэш crl и поставить с отозванным? |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,718 Сказал «Спасибо»: 500 раз Поблагодарили: 2053 раз в 1593 постах
|
Автор: idtks Спасибо, за Ваши ответы, но:
1. 12997 - это НЕ сертифицированная версия CSP. 2. Копировать СОС-ы в подкаталог к утилите, чтобы она корректно работала - это, мягко говоря, оригинальный подход.
С уважением, Константин Ткачук.
А причём это все? Проверял на 12000, crl в хранилище. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: Андрей * Автор: idtks Спасибо, за Ваши ответы, но:
1. 12997 - это НЕ сертифицированная версия CSP. 2. Копировать СОС-ы в подкаталог к утилите, чтобы она корректно работала - это, мягко говоря, оригинальный подход.
С уважением, Константин Ткачук.
А причём это все? Проверял на 12000, crl в хранилище. Вот эта Ваша фраза и запутала: Автор: Андрей * соответственно, если разместить файлы в папку с приложением: 12000: , хотя здесь Вы под файлами имели ввиду - это сам файл и его подпись.
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Подпись проходит проверку при отозванном сертификате у промежуточного УЦ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close