Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Проверка Cades-T после конца действия сертификата возвращает ошибку
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline mon stress  
#1 Оставлено : 7 сентября 2023 г. 15:54:59(UTC)
mon stress

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 5
Российская Федерация
Проверка Cades-T пока сертификат действителен проходит успешно

Если перевести системные часы на время когда сертификат уже не действителен.
Ожидание:
Проверка Cades-T проходит успешно

Реальность:
Проверка Cades-T возвращает ошибку: Ошибка при проверке (0x800b0101: Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.


А как у КриптоПРО было по проекту? Или что-то делается не так?

Версия плагина: 2.0.14892
Версия криптопровайдера: 5.0.12900
Криптопровайдер: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Платформа: Windows
Тип лицензии: демонстрационная


Ни один способ проверки ни даёт успеха:
Код:
VerifyCades(signature, cadesplugin.CADESCOM_CADES_T, true);
VerifyCades(signature, cadesplugin.CADESCOM_CADES_BES, true);
Verify(signature, true, cadesplugin.CAPICOM_VERIFY_SIGNATURE_AND_CERTIFICATE);
Verify(signature, true, cadesplugin.CAPICOM_VERIFY_SIGNATURE_ONLY);
VerifyCades(signature, cadesplugin.CADESCOM_CADES_X_LONG_TYPE_1, true);


Код:
---Исходник такой все данные в base64
try {
yield oSignedData.propset_ContentEncoding(cadesplugin.CADESCOM_BASE64_TO_BINARY);
yield oSignedData.propset_Content(dataToCheck);
yield oSignedData.VerifyCades(signature, cadesplugin.CADESCOM_CADES_T, true);
}
catch (err) {
}
---


Отладка пока сертификат действителен
DEBUG: nmcades_plugin_api.js: Sent message:{"destination":"nmcades","requestid":731,"objid":266,"method":"VerifyCades","params":[{"type":"string","value":"..."},{"type":"number","value":5},{"type":"boolean","value":true}]} nmcades_plugin_api.js:37:25
DEBUG: nmcades_plugin_api.js: Received message: {"data":{"requestid":731,"retval":{"type":"OK","value":"OK"},"type":"result"},"tabid":"71fee534-94ca-72ad-ae46-2ab0b195fc64"}
..
..
DEBUG: nmcades_plugin_api.js: Sent message:{"destination":"nmcades","requestid":735,"objid":304,"get_property":"SigningTime"} nmcades_plugin_api.js:37:25
DEBUG: nmcades_plugin_api.js: Received message: {"data":{"requestid":735,"retval":{"type":"string","value":"2023-09-07T11:54:53.000Z"},"type":"result"},"tabid":"71fee534-94ca-72ad-ae46-2ab0b195fc64"}
DEBUG: nmcades_plugin_api.js: Sent message:{"destination":"nmcades","requestid":1135,"objid":469,"get_property":"SignatureTimeStampTime"} nmcades_plugin_api.js:37:25
DEBUG: nmcades_plugin_api.js: Received message: {"data":{"requestid":1135,"retval":{"type":"string","value":"2023-09-07T11:54:53.000Z"},"type":"result"},"tabid":"71fee534-94ca-72ad-ae46-2ab0b195fc64"} nmcades_plugin_api.js:37:25

[img=https://ibb.co/c21gkpF]Инструменты КриптоПРО[/img]

---

Проверка Cades-T если перевести системные часы когда сертификат уже не действителен, возвращает ошибку:
Ошибка при проверке (0x800b0101: Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.

[img=https://ibb.co/pv1QGVX]Инструменты КриптоПРО (сертификат не действителен)[/img]

Отладка когда сертификат не действителен
DEBUG: nmcades_plugin_api.js: Sent message:{"destination":"nmcades","requestid":864,"objid":321,"method":"VerifyCades","params":[{"type":"string","value":"...."},{"type":"number","value":5},{"type":"boolean","value":true}]} nmcades_plugin_api.js:37:25
DEBUG: nmcades_plugin_api.js: Received message: {"data":{"message":"Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле. (0x800B0101)","requestid":864,"type":"error"},"tabid":"71fee534-94ca-72ad-ae46-2ab0b195fc64"}
..
..
DEBUG: nmcades_plugin_api.js: Sent message:{"destination":"nmcades","requestid":868,"objid":359,"get_property":"SigningTime"} nmcades_plugin_api.js:37:25
DEBUG: nmcades_plugin_api.js: Received message: {"data":{"message":"Объект или свойство не найдено. (0x80092004)","requestid":868,"type":"error"},"tabid":"71fee534-94ca-72ad-ae46-2ab0b195fc64"}
DEBUG: nmcades_plugin_api.js: Sent message:{"destination":"nmcades","requestid":869,"objid":359,"get_property":"SignatureTimeStampTime"} nmcades_plugin_api.js:37:25
DEBUG: nmcades_plugin_api.js: Received message: {"data":{"message":"Объект или свойство не найдено. (0x80092004)","requestid":869,"type":"error"},"tabid":"71fee534-94ca-72ad-ae46-2ab0b195fc64"}
---
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей *  
#2 Оставлено : 7 сентября 2023 г. 16:13:53(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Здравствуйте.

Начните с назначения CAdES T.

Есть возможность создавать CAdES Xlong1 или E-A (архивная)?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline mon stress  
#3 Оставлено : 7 сентября 2023 г. 17:40:41(UTC)
mon stress

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 5
Российская Федерация
Продолжаете повторять эту мантру о том, что Cades-T для этого не была создана... Дак почитайте rfc5126 по cades-t.
4.4.1. Electronic Signature with Time (CAdES-T)
....
Trusted time provides the initial steps towards providing long-term validity.
---


---
The trusted time may be provided by:
- a time-stamp attribute as an unsigned attribute added to the ES;
and
- a time-mark of the ES provided by a Trusted Service Provider.
---
Доверенное время может предоставленно:
с помощью неподписываемого атрибута (signature-time-stamp) включенного в ЭП И с помощью отметки времени ЭТОЙ подписи, представленной поставщиком доверенных услуг (Trusted Service Provider).

---
6.1.1. signature-time-stamp Attribute Definition
"The signature-time-stamp attribute is a TimeStampToken computed on the signature value for a specific signer; it is an unsigned attribute."
---
signature-time-stamp это некое TimeStampToken вычесленное на основе подписи для определенного signer. И да сам по себе атрибут не подписываемый, но это означает лишь то, что этот атрибут можно присоединить к уже существующей подписи.

Теперь сгоняем к rfc3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)
...
A) Time-stamping information needs to be obtained soon after the signature has been produced (e.g., within a few minutes or hours).
1) The signature is presented to the Time Stamping Authority(TSA). The TSA then returns a TimeStampToken (TST) upon that signature.

Временная метках должна быть получена вскоре после того как подпись была сделана (например, в течение нескольких минут или часов).
1) Подпись предоставляется в TSA. TSA возвращает TST для этой подписи.


Таким образом TSA своей подписью подтверждает, что подпись(не документ имеено подпись которую ему должы предоставить) была сделана не позже, чем в определенное время, которое он укажет в TST.

Когда КриптоПро проверяете BES его "не парит", что сертификат может быть отозван, он просто её проверяет исходя из текущего времени и того что цепочка сертификатов проходит проверку на текущее время.

Почему тогда при проверки Cades-T, несмотря на наличие TST, где четко обозначенно это самое время создания подписи и того, что цепочка сертификатов проходит проверку на это время(TST). КриптоПро "пищит" что "вах вах сертификат то просрочен сейсчас, дорогой почему не купил OCSP-клиент...", какая ему разница, что Сертификат сейчас просрочен, если подпись сделана ранее и это подтвердило доверенное лицо у которого сертификат действителен на текущий момент и СОСки все новые.

Да и хрен бы с ним, но КПро упорно не желает заполнить Signers структуру. Таким образом в исполнении КПро Cades-T по полезности сопоставим с Cades-BES.
КриптоПро говорит, что нет ЮР значимости, а на деле она есть, с теми же входными данными: свежие СОСки и текущее время...
Вверх
Offline basid  
#4 Оставлено : 8 сентября 2023 г. 9:50:16(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,123

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Отметка времени в CADES-T это не время подписи.
Подписант может создать CADES-BES, сдвинув время локальной системы и получив желаемую отметку времени в ЭП. После этого можно усовершенствовать ЭП до CADES-T. Да, штамп времени TSP-сервера не должен противоречить отметке времени в ЭП, но доверенный штамп времени никоим образом не является "временем создания подписи".
Создавать ЭП и совершенствовать её могут разные акторы. Если вам требуется ЭП, проверяемая за пределами срока действия сертификата ЭП подписанта, то кроме КРИПТОПРО CSP вам понадобятся OCSP-/TSP-клиенты и CADES-Long.
Если вам не нравится, что КРИПТОПРО продаёт лицензию на OCSP-/TSP-клиентов за отдельные деньги - посмотрите, например, в сторону ViPNet CSP. Там, как помнится, всё в одном комплекте.
Вверх
Offline Андрей *  
#5 Оставлено : 8 сентября 2023 г. 11:10:15(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Автор: mon stress Перейти к цитате
Почему тогда при проверки Cades-T, несмотря на наличие TST, где четко обозначенно это самое время создания подписи и того, что цепочка сертификатов проходит проверку на это время(TST). КриптоПро "пищит" что "вах вах сертификат то просрочен сейсчас, дорогой почему не купил OCSP-клиент...", какая ему разница, что Сертификат сейчас просрочен, если подпись сделана ранее и это подтвердило доверенное лицо у которого сертификат действителен на текущий момент и СОСки все новые


А кто проверял цепочку?

Можно же в ЭП с просроченным или отозванным даже сертификатом добавить штамп .. и?

Сервер штампов ничего не знает про сертификаты на клиенте, он на вход получает алгоритм и хеш.


p.s.
зачем тогда существуют ocsp и xlong1\A..?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Санчир Момолдаев  
#6 Оставлено : 8 сентября 2023 г. 11:20:53(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,223
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 290 раз в 270 постах
Trusted time provides the initial steps towards providing long-term

там же чуть ниже
https://datatracker.ietf...ml/rfc5126#section-4.4.1

Цитата:
NOTE 2: Time-stamp tokens that may themselves include unsigned
attributes required to validate the time-stamp token, such as the
complete-certificate-references and complete-revocation-references
attributes, as defined by the present document.


написано may ... include ... to validate the time-stamp token
речь только про штамп времени. какой был статус у сертификата подписанта ранее неизвестно. да и негде его хранить в этом штампе.

подпись отозванным сертификатом на демостранице https://www.cryptopro.ru...page/cades_t_sample.html
Код:
MIIqFgYJKoZIhvcNAQcCoIIqBzCCKgMCAQExDDAKBggqhQMHAQECAjAlBgkqhkiG9w0BBwGgGAQW
SABlAGwAbABvACAAVwBvAHIAbABkAKCCFy0wggZSMIIF/6ADAgECAhEEmDG2ACWv06JLBY9bg8ul
5TAKBggqhQMHAQEDAjCCAVAxCzAJBgNVBAYTAlJVMRUwEwYFKoUDZAQSCjc3MTcxMDc5OTExIDAe
BgkqhkiG9w0BCQEWEWluZm9AY3J5cHRvcHJvLnJ1MRgwFgYFKoUDZAESDTEwMzc3MDAwODU0NDQx
GDAWBgNVBAgMDzc3INCc0L7RgdC60LLQsDEVMBMGA1UEBwwM0JzQvtGB0LrQstCwMS8wLQYDVQQJ
DCbRg9C7LiDQodGD0YnRkdCy0YHQutC40Lkg0LLQsNC7INC0LiAxODElMCMGA1UECgwc0J7QntCe
ICLQmtCg0JjQn9Ci0J4t0J/QoNCeIjFlMGMGA1UEAwxc0KLQtdGB0YLQvtCy0YvQuSDQs9C+0LvQ
vtCy0L3QvtC5INCj0KYg0J7QntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCeIiDQk9Ce0KHQoiAyMDEy
ICjQo9CmIDIuMCkwHhcNMjIxMDA1MTA1MzIxWhcNMzcxMDA1MTA1MzIxWjCCAVAxCzAJBgNVBAYT
AlJVMRUwEwYFKoUDZAQSCjc3MTcxMDc5OTExIDAeBgkqhkiG9w0BCQEWEWluZm9AY3J5cHRvcHJv
LnJ1MRgwFgYFKoUDZAESDTEwMzc3MDAwODU0NDQxGDAWBgNVBAgMDzc3INCc0L7RgdC60LLQsDEV
MBMGA1UEBwwM0JzQvtGB0LrQstCwMS8wLQYDVQQJDCbRg9C7LiDQodGD0YnRkdCy0YHQutC40Lkg
0LLQsNC7INC0LiAxODElMCMGA1UECgwc0J7QntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCeIjFlMGMG
A1UEAwxc0KLQtdGB0YLQvtCy0YvQuSDQs9C+0LvQvtCy0L3QvtC5INCj0KYg0J7QntCeICLQmtCg
0JjQn9Ci0J4t0J/QoNCeIiDQk9Ce0KHQoiAyMDEyICjQo9CmIDIuMCkwZjAfBggqhQMHAQEBATAT
BgcqhQMCAiMBBggqhQMHAQECAgNDAARAiwlMbRgEHz+ITZMnVpCXjONxXfF++o7Y9KDtah3OrVt5
WrYfaif3z6ta7vDMytKuKRMI0ptUMpas5q6OH0YmPKOCAqcwggKjMA4GA1UdDwEB/wQEAwIBhjAd
BgNVHQ4EFgQUf2tHxSNoGwxZn2s6qzxAzK4I6OwwDwYDVR0TAQH/BAUwAwEB/zAlBgNVHSAEHjAc
MAYGBFUdIAAwCAYGKoUDZHEBMAgGBiqFA2RxAjCCAZAGBSqFA2RwBIIBhTCCAYEMU9Ch0JrQl9CY
ICLQmtGA0LjQv9GC0L7Qn9GA0L4gQ1NQIiDQstC10YDRgdC40Y8gNC4wIFI0ICjQuNGB0L/QvtC7
0L3QtdC90LjQtSAyLUJhc2UpDIGH0J/QkNCaIMKr0KPQtNC+0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQ
uSDRhtC10L3RgtGAIMKr0JrRgNC40L/RgtC+0J/RgNC+INCj0KbCuyDQstC10YDRgdC40LggMi4w
wrsgKNCy0LDRgNC40LDQvdGCINC40YHQv9C+0LvQvdC10L3QuNGPIDkpDE/QodC10YDRgtC40YTQ
uNC60LDRgiDRgdC+0L7RgtCy0LXRgtGB0YLQstC40Y8g4oSWINCh0KQvMTI0LTM5NzEg0L7RgiAx
NS4wMS4yMDIxDE/QodC10YDRgtC40YTQuNC60LDRgiDRgdC+0L7RgtCy0LXRgtGB0YLQstC40Y8g
4oSWINCh0KQvMTI4LTQyNzIg0L7RgiAxMy4wNy4yMDIyMF4GBSqFA2RvBFUMU9Ch0JrQl9CYICLQ
mtGA0LjQv9GC0L7Qn9GA0L4gQ1NQIiDQstC10YDRgdC40Y8gNC4wIFI0ICjQuNGB0L/QvtC70L3Q
tdC90LjQtSAyLUJhc2UpMBEGCSsGAQQBgjcUAgQEDAJDQTASBgkrBgEEAYI3FQEEBQIDBAAEMB8G
CSsGAQQBgjcVBwQSMBAGCCqFAwICLgAAAgEBAgEAMAoGCCqFAwcBAQMCA0EAIxfJlBYQDWqPGKtl
S7t66sQG3NVN8L6wdV8jKGflk1Tba5j2kKfw+IMpNVJULL7SkXpMcR+ruV5iLC8QgurR5zCCCBQw
ggfBoAMCAQICEQQg+GUAe68ikkn3jE2dHViOMAoGCCqFAwcBAQMCMIIBVjEVMBMGBSqFA2QEEgo3
NzE3MTA3OTkxMSAwHgYJKoZIhvcNAQkBFhFpbmZvQGNyeXB0b3Byby5ydTEYMBYGBSqFA2QBEg0x
MDM3NzAwMDg1NDQ0MQswCQYDVQQGEwJSVTEYMBYGA1UECAwPNzcg0JzQvtGB0LrQstCwMRUwEwYD
VQQHDAzQnNC+0YHQutCy0LAxLzAtBgNVBAkMJtGD0LsuINCh0YPRidGR0LLRgdC60LjQuSDQstCw
0Lsg0LQuIDE4MSUwIwYDVQQKDBzQntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iMWswaQYDVQQD
DGLQotC10YHRgtC+0LLRi9C5INC/0L7QtNGH0LjQvdC10L3QvdGL0Lkg0KPQpiDQntCe0J4gItCa
0KDQmNCf0KLQni3Qn9Cg0J4iINCT0J7QodCiIDIwMTIgKNCj0KYgMi4wKTAeFw0yMjEyMzAwNjAx
MTZaFw0yMzEyMzAwNjExMTZaMDExCzAJBgNVBAYTAlJVMRAwDgYDVQQEDAdyZXZva2VkMRAwDgYD
VQQDDAdyZXZva2VkMGYwHwYIKoUDBwEBAQEwEwYHKoUDAgIkAAYIKoUDBwEBAgIDQwAEQDjoqCom
ryPnar5U2g0Gv6dE+Qu5Q1VuSqgyO++FmeGTjP4/gpz2kguo0SBFhXpPOG2vRgAUy+8EJAVVfJz7
IXCjggWEMIIFgDAOBgNVHQ8BAf8EBAMCA/gwHQYDVR0OBBYEFIOGbl18QtPZzV/HAsLFOXuEH5ua
MDQGCSsGAQQBgjcVBwQnMCUGHSqFAwICMgEJhK/ERI7lQ4Tli2CBj71Ig4FIgsIGAgEBAgEAMCYG
A1UdJQQfMB0GCCsGAQUFBwMCBggrBgEFBQcDBAYHKoUDAgIiBjAyBgkrBgEEAYI3FQoEJTAjMAoG
CCsGAQUFBwMCMAoGCCsGAQUFBwMEMAkGByqFAwICIgYwgagGCCsGAQUFBwEBBIGbMIGYMDkGCCsG
AQUFBzABhi1odHRwOi8vdGVzdGNhMjAxMi5jcnlwdG9wcm8ucnUvb2NzcDIvb2NzcC5zcmYwWwYI
KwYBBQUHMAKGT2h0dHA6Ly90ZXN0Y2EyMDEyLmNyeXB0b3Byby5ydS9haWEvODNjMmJjYzlmNjA0
MjFmYTNmY2VlNzVhZTQxNGYxZmI5ZDczMzk2Zi5jcnQwHQYDVR0gBBYwFDAIBgYqhQNkcQIwCAYG
KoUDZHEBMCsGA1UdEAQkMCKADzIwMjIxMjMwMDYwMTE1WoEPMjAyMzEyMzAwNjExMTVaMIIBkAYF
KoUDZHAEggGFMIIBgQxT0KHQmtCX0JggItCa0YDQuNC/0YLQvtCf0YDQviBDU1AiINCy0LXRgNGB
0LjRjyA0LjAgUjQgKNC40YHQv9C+0LvQvdC10L3QuNC1IDItQmFzZSkMgYfQn9CQ0JogwqvQo9C0
0L7RgdGC0L7QstC10YDRj9GO0YnQuNC5INGG0LXQvdGC0YAgwqvQmtGA0LjQv9GC0L7Qn9GA0L4g
0KPQpsK7INCy0LXRgNGB0LjQuCAyLjDCuyAo0LLQsNGA0LjQsNC90YIg0LjRgdC/0L7Qu9C90LXQ
vdC40Y8gOSkMT9Ch0LXRgNGC0LjRhNC40LrQsNGCINGB0L7QvtGC0LLQtdGC0YHRgtCy0LjRjyDi
hJYg0KHQpC8xMjQtMzk3MSDQvtGCIDE1LjAxLjIwMjEMT9Ch0LXRgNGC0LjRhNC40LrQsNGCINGB
0L7QvtGC0LLQtdGC0YHRgtCy0LjRjyDihJYg0KHQpC8xMjgtNDI3MiDQvtGCIDEzLjA3LjIwMjIw
LAYFKoUDZG8EIwwh0KHQmtCX0JggItCa0YDQuNC/0YLQvtCf0YDQviBDU1AiMGAGA1UdHwRZMFcw
VaBToFGGT2h0dHA6Ly90ZXN0Y2EyMDEyLmNyeXB0b3Byby5ydS9jZHAvODNjMmJjYzlmNjA0MjFm
YTNmY2VlNzVhZTQxNGYxZmI5ZDczMzk2Zi5jcmwwDAYFKoUDZHIEAwIBAjCCAZIGA1UdIwSCAYkw
ggGFgBSDwrzJ9gQh+j/O51rkFPH7nXM5b6GCAVikggFUMIIBUDELMAkGA1UEBhMCUlUxFTATBgUq
hQNkBBIKNzcxNzEwNzk5MTEgMB4GCSqGSIb3DQEJARYRaW5mb0BjcnlwdG9wcm8ucnUxGDAWBgUq
hQNkARINMTAzNzcwMDA4NTQ0NDEYMBYGA1UECAwPNzcg0JzQvtGB0LrQstCwMRUwEwYDVQQHDAzQ
nNC+0YHQutCy0LAxLzAtBgNVBAkMJtGD0LsuINCh0YPRidGR0LLRgdC60LjQuSDQstCw0Lsg0LQu
IDE4MSUwIwYDVQQKDBzQntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iMWUwYwYDVQQDDFzQotC1
0YHRgtC+0LLRi9C5INCz0L7Qu9C+0LLQvdC+0Lkg0KPQpiDQntCe0J4gItCa0KDQmNCf0KLQni3Q
n9Cg0J4iINCT0J7QodCiIDIwMTIgKNCj0KYgMi4wKYIRBIg20wAlr/auT5TFJDlfmdEwCgYIKoUD
BwEBAwIDQQB15IgIK8kMuz4585TJ1DUiicmKnprjwyOK26Y5vEr6Nu01I5gfijq+pBvcDuqaIDxR
cHmGYVZRnJ/5ZuCv/SqdMIIIuzCCCGigAwIBAgIRBIg20wAlr/auT5TFJDlfmdEwCgYIKoUDBwEB
AwIwggFQMQswCQYDVQQGEwJSVTEVMBMGBSqFA2QEEgo3NzE3MTA3OTkxMSAwHgYJKoZIhvcNAQkB
FhFpbmZvQGNyeXB0b3Byby5ydTEYMBYGBSqFA2QBEg0xMDM3NzAwMDg1NDQ0MRgwFgYDVQQIDA83
NyDQnNC+0YHQutCy0LAxFTATBgNVBAcMDNCc0L7RgdC60LLQsDEvMC0GA1UECQwm0YPQuy4g0KHR
g9GJ0ZHQstGB0LrQuNC5INCy0LDQuyDQtC4gMTgxJTAjBgNVBAoMHNCe0J7QniAi0JrQoNCY0J/Q
otCeLdCf0KDQniIxZTBjBgNVBAMMXNCi0LXRgdGC0L7QstGL0Lkg0LPQvtC70L7QstC90L7QuSDQ
o9CmINCe0J7QniAi0JrQoNCY0J/QotCeLdCf0KDQniIg0JPQntCh0KIgMjAxMiAo0KPQpiAyLjAp
MB4XDTIyMTAwNTEyMzkwMVoXDTMyMTAwNTEyNDkwMVowggFWMRUwEwYFKoUDZAQSCjc3MTcxMDc5
OTExIDAeBgkqhkiG9w0BCQEWEWluZm9AY3J5cHRvcHJvLnJ1MRgwFgYFKoUDZAESDTEwMzc3MDAw
ODU0NDQxCzAJBgNVBAYTAlJVMRgwFgYDVQQIDA83NyDQnNC+0YHQutCy0LAxFTATBgNVBAcMDNCc
0L7RgdC60LLQsDEvMC0GA1UECQwm0YPQuy4g0KHRg9GJ0ZHQstGB0LrQuNC5INCy0LDQuyDQtC4g
MTgxJTAjBgNVBAoMHNCe0J7QniAi0JrQoNCY0J/QotCeLdCf0KDQniIxazBpBgNVBAMMYtCi0LXR
gdGC0L7QstGL0Lkg0L/QvtC00YfQuNC90LXQvdC90YvQuSDQo9CmINCe0J7QniAi0JrQoNCY0J/Q
otCeLdCf0KDQniIg0JPQntCh0KIgMjAxMiAo0KPQpiAyLjApMGYwHwYIKoUDBwEBAQEwEwYHKoUD
AgIjAQYIKoUDBwEBAgIDQwAEQIJ8C69QmYN/pOph4PkvWjZlRVDLxPv3OkaK2SbmOM1YuE9Tq9QM
FzALw1h4NAeoVFLFax6LPnpXoSHLAjFrXCSjggUKMIIFBjBeBgUqhQNkbwRVDFPQodCa0JfQmCAi
0JrRgNC40L/RgtC+0J/RgNC+IENTUCIg0LLQtdGA0YHQuNGPIDQuMCBSNCAo0LjRgdC/0L7Qu9C9
0LXQvdC40LUgMi1CYXNlKTASBgkrBgEEAYI3FQEEBQIDBAAEMB0GA1UdDgQWBBSDwrzJ9gQh+j/O
51rkFPH7nXM5bzAOBgNVHQ8BAf8EBAMCAYYwEgYDVR0TAQH/BAgwBgEB/wIBADAlBgNVHSAEHjAc
MAYGBFUdIAAwCAYGKoUDZHEBMAgGBiqFA2RxAjBrBggrBgEFBQcBAQRfMF0wWwYIKwYBBQUHMAKG
T2h0dHA6Ly90ZXN0Y2EyMDEyLmNyeXB0b3Byby5ydS9haWEvN2Y2YjQ3YzUyMzY4MWIwYzU5OWY2
YjNhYWIzYzQwY2NhZTA4ZThlYy5jcnQwHwYJKwYBBAGCNxUHBBIwEAYIKoUDAgIuAAECAQECAQAw
ggGQBgUqhQNkcASCAYUwggGBDFPQodCa0JfQmCAi0JrRgNC40L/RgtC+0J/RgNC+IENTUCIg0LLQ
tdGA0YHQuNGPIDQuMCBSNCAo0LjRgdC/0L7Qu9C90LXQvdC40LUgMi1CYXNlKQyBh9Cf0JDQmiDC
q9Cj0LTQvtGB0YLQvtCy0LXRgNGP0Y7RidC40Lkg0YbQtdC90YLRgCDCq9Ca0YDQuNC/0YLQvtCf
0YDQviDQo9Cmwrsg0LLQtdGA0YHQuNC4IDIuMMK7ICjQstCw0YDQuNCw0L3RgiDQuNGB0L/QvtC7
0L3QtdC90LjRjyA5KQxP0KHQtdGA0YLQuNGE0LjQutCw0YIg0YHQvtC+0YLQstC10YLRgdGC0LLQ
uNGPIOKEliDQodCkLzEyNC0zOTcxINC+0YIgMTUuMDEuMjAyMQxP0KHQtdGA0YLQuNGE0LjQutCw
0YIg0YHQvtC+0YLQstC10YLRgdGC0LLQuNGPIOKEliDQodCkLzEyOC00MjcyINC+0YIgMTMuMDcu
MjAyMjBgBgNVHR8EWTBXMFWgU6BRhk9odHRwOi8vdGVzdGNhMjAxMi5jcnlwdG9wcm8ucnUvY2Rw
LzdmNmI0N2M1MjM2ODFiMGM1OTlmNmIzYWFiM2M0MGNjYWUwOGU4ZWMuY3JsMAwGBSqFA2RyBAMC
AQIwggGSBgNVHSMEggGJMIIBhYAUf2tHxSNoGwxZn2s6qzxAzK4I6OyhggFYpIIBVDCCAVAxCzAJ
BgNVBAYTAlJVMRUwEwYFKoUDZAQSCjc3MTcxMDc5OTExIDAeBgkqhkiG9w0BCQEWEWluZm9AY3J5
cHRvcHJvLnJ1MRgwFgYFKoUDZAESDTEwMzc3MDAwODU0NDQxGDAWBgNVBAgMDzc3INCc0L7RgdC6
0LLQsDEVMBMGA1UEBwwM0JzQvtGB0LrQstCwMS8wLQYDVQQJDCbRg9C7LiDQodGD0YnRkdCy0YHQ
utC40Lkg0LLQsNC7INC0LiAxODElMCMGA1UECgwc0J7QntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCe
IjFlMGMGA1UEAwxc0KLQtdGB0YLQvtCy0YvQuSDQs9C+0LvQvtCy0L3QvtC5INCj0KYg0J7QntCe
ICLQmtCg0JjQn9Ci0J4t0J/QoNCeIiDQk9Ce0KHQoiAyMDEyICjQo9CmIDIuMCmCEQSYMbYAJa/T
oksFj1uDy6XlMAoGCCqFAwcBAQMCA0EAUSSbDJ49XApNMKQeawsfIndjQmhtNVHbQVf+6d5I+UH9
wPFSrrubtWQLS1jlGOyS/TujWTjmmKpELOLOvSg8WjGCEpYwghKSAgEBMIIBbTCCAVYxFTATBgUq
hQNkBBIKNzcxNzEwNzk5MTEgMB4GCSqGSIb3DQEJARYRaW5mb0BjcnlwdG9wcm8ucnUxGDAWBgUq
hQNkARINMTAzNzcwMDA4NTQ0NDELMAkGA1UEBhMCUlUxGDAWBgNVBAgMDzc3INCc0L7RgdC60LLQ
sDEVMBMGA1UEBwwM0JzQvtGB0LrQstCwMS8wLQYDVQQJDCbRg9C7LiDQodGD0YnRkdCy0YHQutC4
0Lkg0LLQsNC7INC0LiAxODElMCMGA1UECgwc0J7QntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCeIjFr
MGkGA1UEAwxi0KLQtdGB0YLQvtCy0YvQuSDQv9C+0LTRh9C40L3QtdC90L3Ri9C5INCj0KYg0J7Q
ntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCeIiDQk9Ce0KHQoiAyMDEyICjQo9CmIDIuMCkCEQQg+GUA
e68ikkn3jE2dHViOMAoGCCqFAwcBAQICoIICMTAYBgkqhkiG9w0BCQMxCwYJKoZIhvcNAQcBMBwG
CSqGSIb3DQEJBTEPFw0yMzA5MDgwODA2MDFaMC8GCSqGSIb3DQEJBDEiBCBhL8GZU8yEYLU8b2aO
VrWXK3sMpNhAv2fWVBQsSUr7bTCCAcQGCyqGSIb3DQEJEAIvMYIBszCCAa8wggGrMIIBpzAKBggq
hQMHAQECAgQgIJcqLgSXXe6xXpISu8/UKo99AWbxduzKZvRc/gxPXIcwggF1MIIBXqSCAVowggFW
MRUwEwYFKoUDZAQSCjc3MTcxMDc5OTExIDAeBgkqhkiG9w0BCQEWEWluZm9AY3J5cHRvcHJvLnJ1
MRgwFgYFKoUDZAESDTEwMzc3MDAwODU0NDQxCzAJBgNVBAYTAlJVMRgwFgYDVQQIDA83NyDQnNC+
0YHQutCy0LAxFTATBgNVBAcMDNCc0L7RgdC60LLQsDEvMC0GA1UECQwm0YPQuy4g0KHRg9GJ0ZHQ
stGB0LrQuNC5INCy0LDQuyDQtC4gMTgxJTAjBgNVBAoMHNCe0J7QniAi0JrQoNCY0J/QotCeLdCf
0KDQniIxazBpBgNVBAMMYtCi0LXRgdGC0L7QstGL0Lkg0L/QvtC00YfQuNC90LXQvdC90YvQuSDQ
o9CmINCe0J7QniAi0JrQoNCY0J/QotCeLdCf0KDQniIg0JPQntCh0KIgMjAxMiAo0KPQpiAyLjAp
AhEEIPhlAHuvIpJJ94xNnR1YjjAKBggqhQMHAQEBAQRA7WUMxi1MH3XFm8J98pcyFigeUuR0Pe+A
ibPflUltVuqla5Nmh1pxTdzEkNJVXmJucdW8moS+ZquT+drJpqy5W6GCDoswgg6HBgsqhkiG9w0B
CRACDjGCDnYwgg5yBgkqhkiG9w0BBwKggg5jMIIOXwIBAzEOMAwGCCqFAwcBAQICBQAwegYLKoZI
hvcNAQkQAQSgawRpMGcCAQEGCCkBAQEBAQEBMC4wCgYIKoUDBwEBAgIEIOH+8KFZ10a+U4qkQB29
xSmB6R2/BCVNHtOUVz96WrB4Ag0Bu1LxBQAAAAAACwFPGA8yMDIzMDkwODA4MDYzMloCCCnnUwNK
oIZBoIIIKzCCCCcwggfUoAMCAQICEQRAgtMAJa+mukGr5YVd6WovMAoGCCqFAwcBAQMCMIIBVjEV
MBMGBSqFA2QEEgo3NzE3MTA3OTkxMSAwHgYJKoZIhvcNAQkBFhFpbmZvQGNyeXB0b3Byby5ydTEY
MBYGBSqFA2QBEg0xMDM3NzAwMDg1NDQ0MQswCQYDVQQGEwJSVTEYMBYGA1UECAwPNzcg0JzQvtGB
0LrQstCwMRUwEwYDVQQHDAzQnNC+0YHQutCy0LAxLzAtBgNVBAkMJtGD0LsuINCh0YPRidGR0LLR
gdC60LjQuSDQstCw0Lsg0LQuIDE4MSUwIwYDVQQKDBzQntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg
0J4iMWswaQYDVQQDDGLQotC10YHRgtC+0LLRi9C5INC/0L7QtNGH0LjQvdC10L3QvdGL0Lkg0KPQ
piDQntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iINCT0J7QodCiIDIwMTIgKNCj0KYgMi4wKTAe
Fw0yMjEwMDUxMjQwMDVaFw0yNDAxMDUxMjUwMDVaMIH4MRUwEwYFKoUDZAQSCjc3MTcxMDc5OTEx
GDAWBgUqhQNkARINMTAzNzcwMDA4NTQ0NDElMCMGA1UECgwc0J7QntCeICLQmtCg0JjQn9Ci0J4t
0J/QoNCeIjEwMC4GA1UECQwn0YPQuy4g0KHRg9GJ0LXQstGB0LrQuNC5INCS0LDQuywg0LQuIDE4
MRUwEwYDVQQHDAzQnNC+0YHQutCy0LAxGDAWBgNVBAgMDzc3INCc0L7RgdC60LLQsDELMAkGA1UE
BhMCUlUxLjAsBgNVBAMMJdCi0LXRgdGC0L7QstGL0Lkg0L7Qv9C10YDQsNGC0L7RgCBUU1AwZjAf
BggqhQMHAQEBATATBgcqhQMCAiMBBggqhQMHAQECAgNDAARAaXg+njXAiEjY99MPYlA9/Ki44bBn
UGn4ge8S7PFM0xAySy7GZzQXYwJ2L7nVxRvV3hYP3ZofxYeJ6QhJ7qlzp6OCBM8wggTLMBYGA1Ud
JQEB/wQMMAoGCCsGAQUFBwMIMB0GA1UdIAQWMBQwCAYGKoUDZHECMAgGBiqFA2RxATBdBgUqhQNk
bwRUDFLQodCa0JfQmCAi0JrRgNC40L/RgtC+0J/RgNC+IENTUCIgKNCy0LXRgNGB0LjRjyA0LjAp
ICjQuNGB0L/QvtC70L3QtdC90LjQtSAyLUJhc2UpMA4GA1UdDwEB/wQEAwIGwDAdBgNVHQ4EFgQU
gg6FimAOcnb4S6YWwitB05Imz/QwgagGCCsGAQUFBwEBBIGbMIGYMDkGCCsGAQUFBzABhi1odHRw
Oi8vdGVzdGNhMjAxMi5jcnlwdG9wcm8ucnUvb2NzcDIvb2NzcC5zcmYwWwYIKwYBBQUHMAKGT2h0
dHA6Ly90ZXN0Y2EyMDEyLmNyeXB0b3Byby5ydS9haWEvODNjMmJjYzlmNjA0MjFmYTNmY2VlNzVh
ZTQxNGYxZmI5ZDczMzk2Zi5jcnQwNQYJKwYBBAGCNxUHBCgwJgYeKoUDAgIyAQmBidBNh7O1VYSx
mT+Gg6Zogvoyg4UbAgEBAgEAMIIBGgYFKoUDZHAEggEPMIIBCww00KHQmtCX0JggItCa0YDQuNC/
0YLQvtCf0YDQviBDU1AiICjQstC10YDRgdC40Y8gNC4wKQwx0J/QkNCaICLQmtGA0LjQv9GC0L7Q
n9GA0L4g0KPQpiIg0LLQtdGA0YHQuNC4IDIuMAxP0KHQtdGA0YLQuNGE0LjQutCw0YIg0YHQvtC+
0YLQstC10YLRgdGC0LLQuNGPIOKEliDQodCkLzEyNC0zOTcxINC+0YIgMTUuMDEuMjAyMQxP0KHQ
tdGA0YLQuNGE0LjQutCw0YIg0YHQvtC+0YLQstC10YLRgdGC0LLQuNGPIOKEliDQodCkLzEyOC0z
ODcwINC+0YIgMjMuMDcuMjAyMDBgBgNVHR8EWTBXMFWgU6BRhk9odHRwOi8vdGVzdGNhMjAxMi5j
cnlwdG9wcm8ucnUvY2RwLzgzYzJiY2M5ZjYwNDIxZmEzZmNlZTc1YWU0MTRmMWZiOWQ3MzM5NmYu
Y3JsMAwGBSqFA2RyBAMCAQIwggGSBgNVHSMEggGJMIIBhYAUg8K8yfYEIfo/zuda5BTx+51zOW+h
ggFYpIIBVDCCAVAxCzAJBgNVBAYTAlJVMRUwEwYFKoUDZAQSCjc3MTcxMDc5OTExIDAeBgkqhkiG
9w0BCQEWEWluZm9AY3J5cHRvcHJvLnJ1MRgwFgYFKoUDZAESDTEwMzc3MDAwODU0NDQxGDAWBgNV
BAgMDzc3INCc0L7RgdC60LLQsDEVMBMGA1UEBwwM0JzQvtGB0LrQstCwMS8wLQYDVQQJDCbRg9C7
LiDQodGD0YnRkdCy0YHQutC40Lkg0LLQsNC7INC0LiAxODElMCMGA1UECgwc0J7QntCeICLQmtCg
0JjQn9Ci0J4t0J/QoNCeIjFlMGMGA1UEAwxc0KLQtdGB0YLQvtCy0YvQuSDQs9C+0LvQvtCy0L3Q
vtC5INCj0KYg0J7QntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCeIiDQk9Ce0KHQoiAyMDEyICjQo9Cm
IDIuMCmCEQSINtMAJa/2rk+UxSQ5X5nRMAoGCCqFAwcBAQMCA0EAkk5/5eMIF1Jif5U8KyRMfqft
7yYgPuymTwvWDElSNu2YnLay8xS9gWTCXx9WL/0M+ahBOhUMoWJsATE96DVzQjGCBZ0wggWZAgEB
MIIBbTCCAVYxFTATBgUqhQNkBBIKNzcxNzEwNzk5MTEgMB4GCSqGSIb3DQEJARYRaW5mb0Bjcnlw
dG9wcm8ucnUxGDAWBgUqhQNkARINMTAzNzcwMDA4NTQ0NDELMAkGA1UEBhMCUlUxGDAWBgNVBAgM
Dzc3INCc0L7RgdC60LLQsDEVMBMGA1UEBwwM0JzQvtGB0LrQstCwMS8wLQYDVQQJDCbRg9C7LiDQ
odGD0YnRkdCy0YHQutC40Lkg0LLQsNC7INC0LiAxODElMCMGA1UECgwc0J7QntCeICLQmtCg0JjQ
n9Ci0J4t0J/QoNCeIjFrMGkGA1UEAwxi0KLQtdGB0YLQvtCy0YvQuSDQv9C+0LTRh9C40L3QtdC9
0L3Ri9C5INCj0KYg0J7QntCeICLQmtCg0JjQn9Ci0J4t0J/QoNCeIiDQk9Ce0KHQoiAyMDEyICjQ
o9CmIDIuMCkCEQRAgtMAJa+mukGr5YVd6WovMAwGCCqFAwcBAQICBQCgggPFMBoGCSqGSIb3DQEJ
AzENBgsqhkiG9w0BCRABBDAvBgkqhkiG9w0BCQQxIgQg+uMW+imIEXBZkfrBEz7uqk4q46ptgKE5
G5a6f38B4hAwggGsBgsqhkiG9w0BCRACDDGCAZswggGXMIIBkzCCAY8EFKC9IJ0XZMFVb32pK4MY
gU8kShE5MIIBdTCCAV6kggFaMIIBVjEVMBMGBSqFA2QEEgo3NzE3MTA3OTkxMSAwHgYJKoZIhvcN
AQkBFhFpbmZvQGNyeXB0b3Byby5ydTEYMBYGBSqFA2QBEg0xMDM3NzAwMDg1NDQ0MQswCQYDVQQG
EwJSVTEYMBYGA1UECAwPNzcg0JzQvtGB0LrQstCwMRUwEwYDVQQHDAzQnNC+0YHQutCy0LAxLzAt
BgNVBAkMJtGD0LsuINCh0YPRidGR0LLRgdC60LjQuSDQstCw0Lsg0LQuIDE4MSUwIwYDVQQKDBzQ
ntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iMWswaQYDVQQDDGLQotC10YHRgtC+0LLRi9C5INC/
0L7QtNGH0LjQvdC10L3QvdGL0Lkg0KPQpiDQntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iINCT
0J7QodCiIDIwMTIgKNCj0KYgMi4wKQIRBECC0wAlr6a6QavlhV3pai8wggHEBgsqhkiG9w0BCRAC
LzGCAbMwggGvMIIBqzCCAacwCgYIKoUDBwEBAgIEIP8ebiL2Xu2qXEkkaAQVbwQwOqZeDGvolaKQ
PqFK8NCOMIIBdTCCAV6kggFaMIIBVjEVMBMGBSqFA2QEEgo3NzE3MTA3OTkxMSAwHgYJKoZIhvcN
AQkBFhFpbmZvQGNyeXB0b3Byby5ydTEYMBYGBSqFA2QBEg0xMDM3NzAwMDg1NDQ0MQswCQYDVQQG
EwJSVTEYMBYGA1UECAwPNzcg0JzQvtGB0LrQstCwMRUwEwYDVQQHDAzQnNC+0YHQutCy0LAxLzAt
BgNVBAkMJtGD0LsuINCh0YPRidGR0LLRgdC60LjQuSDQstCw0Lsg0LQuIDE4MSUwIwYDVQQKDBzQ
ntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iMWswaQYDVQQDDGLQotC10YHRgtC+0LLRi9C5INC/
0L7QtNGH0LjQvdC10L3QvdGL0Lkg0KPQpiDQntCe0J4gItCa0KDQmNCf0KLQni3Qn9Cg0J4iINCT
0J7QodCiIDIwMTIgKNCj0KYgMi4wKQIRBECC0wAlr6a6QavlhV3pai8wCgYIKoUDBwEBAQEEQMu0
0FaFelfIVINE6z9SCvc59FbmCUKrzRWq5xX2Ma8HSZWxNd72RTCh8PJGfdzdgRmBZgKv2n7kqwmu
0/CsOfM=


в cades-t штамп времени на подпись. т.е. это означает что в доверенный момент времени это значение подписи существовало. сразу было это при создании или позже при усовершенствовании - не важно.

Отредактировано пользователем 8 сентября 2023 г. 11:21:56(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline mon stress  
#7 Оставлено : 18 сентября 2023 г. 14:04:00(UTC)
mon stress

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 5
Российская Федерация
Автор: basid Перейти к цитате
Отметка времени в CADES-T это не время подписи.
Подписант может создать CADES-BES, сдвинув время локальной системы и получив желаемую отметку времени в ЭП. После этого можно усовершенствовать ЭП до CADES-T. Да, штамп времени TSP-сервера не должен противоречить отметке времени в ЭП, но доверенный штамп времени никоим образом не является "временем создания подписи".

Я веду речь только о заверенном штампе времени.

Спора о том, что "доверенный штамп времени никоим образом не является временем создания подписи" и не идёт.
Судя по протоколу TSP, это время когда TS сервер получил подпись (соответственно заверил [подпись + свое текущее время]). Т.е. мы точно можем сказать что в этот момент (время в штампе), подпись уже стояла, потому что мы доверяем времени TS.
Неважно переводил ли кто-то время до/после подписи и/или до/после усовершенствования, в штампе будет реальное время когда TS сервер получил подпись.

Время в TS говорит, что подпись была сделана НЕ позже этого времени. Но этого достаточно чтобы сказать был ли сертификат действительным на этот момент.

Поповоду СОС, OCSP в случае Cades-T.
Если я перевожу системное время назад и делаю проверку подписи, то проверка Cades-T проходит успешно, т.е. получается что другие проверки проходят (кроме времени действия сертификата).

Внимание вопрос: у нас есть подпись которая проходит проверку на время X, есть подтвержденный факт, что сертификатом воспользовались не позже чем X (TSP).
Почему же мы не можем сказать, что подпись была сделана действительным сертификатом.


Если мне выдали сертификат действие, которого начнется в будущем и я отмотал время вперед и поставил подпись. А потом поставил TS. То время TST покажет что я использовал недействительный сертификат (действие его не настало).
Если я подождал пока сертификат стал действительным и потом заверил подпись TS. То всё нормано в это время мой сертификат уже действителен, неважно когда подпись была сделана если на этот момент сертификат дейсвтитен.
Вверх
Offline mon stress  
#8 Оставлено : 18 сентября 2023 г. 14:11:15(UTC)
mon stress

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 5
Российская Федерация
Автор: Андрей * Перейти к цитате

А кто проверял цепочку?

Ну дак и проверяйте цепочку на время TS. Кто мешает то. Если я часы назад перевожу проблем, то не возникает. Кто то её проверяет...

Автор: Андрей * Перейти к цитате

Можно же в ЭП с просроченным или отозванным даже сертификатом добавить штамп .. и?
Сервер штампов ничего не знает про сертификаты на клиенте, он на вход получает алгоритм и хеш.
p.s.

И что... Ну не знает... Это не означает, что Cades-T признаётся недействительной, если сейчас у сертификата вышел срок. СОС + TS покажет был ли сертификат отозван в момент TS.
Если время реально вышло значит в штампе уже время когда сертификат не действителен. Опять нужно просто проверить не на сейчас, а на момент TS.

Автор: Андрей * Перейти к цитате

зачем тогда существуют ocsp и xlong1\A..?

Они позволяют БЕЗ обращения куда либо здесь и сейчас сказать, что подпись была сделана действительным сертификатом. Они содержат в себе подписанные ответы о статусах сертификатов всей цепочки.
Вверх
Offline TolikTipaTut1  
#9 Оставлено : 18 сентября 2023 г. 15:39:41(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Код:
         +----------------------------+----------------------------+----------------------------+
         |                            |                            |                            |
         v                            v                            v                            v
     Выпуск СОС 1             Отзыв сертификата           Формирование CAdES-T             Выпуск СОС 2


Если у вас есть все СОСы, то никакой проблемы в проверке ЭП у вас не возникнет. Но проверяйте в этом случае вручную :)
Парсите все СОСы, смотрите, не был ли отозван серт, "проверяйте" штамп, и математическую корректность подписи.
GithHub: https://github.com/anatolkavassermann/
Вверх
Offline mon stress  
#10 Оставлено : 19 сентября 2023 г. 8:41:26(UTC)
mon stress

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 5
Российская Федерация
Автор: TolikTipaTut1 Перейти к цитате
Код:

+----------------+-------------------+------------П1----------+-----------------П2-------------
|                |                   |                        |
v                v                   v                        v
c1               c2                  c3                       c4
Выпуск СОС 1     Отзыв сертификата   Формирование CAdES-T     Выпуск СОС 2

Вас смушает, что между c3 и c4, проверка возвращает положительный результат?

Замените Cades-T на Cades-BES (на самую обычную подпись) и расположитесь в рамках действия сертификата, остальное оставьте как есть.
Код:

---------------------Время действия сертификата------------------------------------------------
+----------------+-------------------+------------П1----------+-----------------П2-------------
|                |                   |                        |
v                v                   v                        v
c1               c2                  c3                       c4
Выпуск СОС 1     Отзыв сертификата   Формирование CAdES-Bes   Выпуск СОС 2

Легенда:
с1-с4 - состояния во времени
П1-П2 проверка подписи во времени.


Как ощущения? Почему-то когда речь идет о подписях простого типа в рамках действия сертификата вас такая ситуация устраивает (в рамка проверки подписи вызовом функции для "проверки подписи"), и вы прекрасно понимаете, что функция проверки работает так как и должна и в момент П1 возвращает Положительный ответ, а в момент П2 - Отрицательный.
Но как только кто-то достаёт красную тряпку "Cades-T" тут же начинают повторять что "это другое, это так не работает, это не должно работать". Почему? Это же таже сама ситуация!
Это пример не в тему, зачем вы смешали понятие время дейсвтия сертификата и СОС (отозван он или нет).
В СОС нет сертификатов у которых вышло действие. Проверка по СОС это ответ на вопрос отзывался или нет, ну и когда если нас время интерисует.
Да Cades-T, как Cades-BES не позволяют решить эту проблему (без дополнительных запросов), но это не мешает использовать Cades-BES и Cades-T на практике.

Как итог: описаная проблема выше это не повод рубить валидность Cades-T, иначе Cades-BES тоже НЕ имеет право использование...



Автор: TolikTipaTut1 Перейти к цитате

Если у вас есть все СОСы, то никакой проблемы в проверке ЭП у вас не возникнет.
Парсите все СОСы, смотрите, не был ли отозван серт, "проверяйте" штамп, и математическую корректность подписи.

Ни у кого не возникнет проблемы доказать юр. значимость без КП, проблема в том что использование "КП браузер плагин" странным образом ограничено, что не позволяет использовать его на стороне клиента для проверки подписи или получения информации о ней. Этот вопрос несколько лет возникает на форуме, но ранее им попадались "ленивцы", которым говорят, что "этот тип подписи для этого не предназначен" и они уходят потому что документы никто читать не хочет. Хотя это утверждение неверное судя по RFC для Cades* и TSP, где ч по б написано, что это всё придуманно как раз для "продления срока действия подписи" после окончания действия сертификата.

Автор: TolikTipaTut1 Перейти к цитате
Но проверяйте в этом случае вручную :)
Парсите все СОСы, смотрите, не был ли отозван серт, "проверяйте" штамп, и математическую корректность подписи.

Зачем мне изобретать велосипед. Есть отличный сертифицированные инструменты, уже всё реализовано в том числе в КП, есть только искуственное ограничение на использование. Кроме того, в браузере с помощью плагина КП это сделать невозможно. А этот ответ в стиле: "нас рать".

Лично я поднял вопрос в бесполезности реализации Cades-T в рамках криптоПРО+криптоПРО плагин Browser. В случае с CADES-T он не позволяет ничего проверить и/или получить доп. информацию (время штампа например) по подписи, если у сертификата просто закончилось его действие. Ни мат значимость, ни узнать время TS, ничего... Ну кто мешает при отрицательном ответе заполнить всю структуру по Signers, ведь Signer есть, и подпись его соответствует документу, и штамп есть.
Невозможно сказать что функция проверки работает неправильно, потому что разработчик планировал разработать велосипед, который умеет ездить только прямо. Я тут пытаюсь донести до разработчика, что вроде как нигде в документациях нет таких ограничений, также нет никаких логических и юридических причин делать такое ограничение.

---
На затравочку выдержка из RFC по OCSP протоколу:
1. The "good" state indicates a positive response to the status inquiry.
2. At a minimum, this positive response indicates that no certificate
3. with the requested certificate serial number currently within its
4. validity interval is revoked.
5. This state does not necessarily mean
6. that the certificate was ever issued or that the time at which the
7. response was produced is within the certificate's validity interval.

1. Состояние "хорошо" это положительный ответ на запрос.
2-4. Как минимум, этот положительный ответ указывает на то, что ни один сертификат в настоящее время в пределах срока его действия не отозван.
5-7. Это состояние не обязательно означает, что сертификат когда-либо был выдан или что время получения ответа находится в пределах срока действия сертификата.

Это означает, что:
- OCSP выдаёт положительный ответ для сертификатов которые не отзывали (на текущее время).
- OCSP выдаёт положительный ответ для сертификатов у которых уже вышел срок действия или не наступил.
И это очередное доказательство тому, что всё было очень хорошо продумано для всех типов подписей и ситуаций.

Все иструменты по RFC предпологали работу в режиме когда у сертификата закончился срок действия.

Все проверки которые уже реализованы по RFC можно проводить и для сертификатов с истекшим сроком.
---

На самом деле ничего изобретать не надо (парсить вручную сос, мат корректность и пр). Все средства проверки уже реализованы и хорошо работают в рамках тех процессов, которые описаны в разных RFC. Зачем было делать искуственное ограничения в своей реализации на проверку подписи мне непонятно, но так видимо было задумано.
Если это не так, то дайте возможность получать полный протокол проверки подписи и ваш продкут станет гибче и лучше.


Обсуждение можно закончить и тему закрыть. Я отписываюсь. Надеюсь разработчкики почитают и сделают выводы. Всем спасибо за обсуждение!
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET