Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Павел Богатырёв  
#1 Оставлено : 3 июля 2026 г. 19:29:43(UTC)
Павел Богатырёв

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 18
Российская Федерация
Откуда: Орел

Сказал(а) «Спасибо»: 1 раз
При проверке подписи формата CAdES-C (CAdES-XL) в Java-приложении с использованием КриптоПро JCP 5.0 получаем ошибку, которую КриптоПро CSP и КриптоПро DSS не считают ошибкой.

Код проверки:

System.setProperty("com.sun.security.enableCRLDP", "true");
System.setProperty("com.ibm.security.enableCRLDP", "true");
System.setProperty("ru.CryptoPro.reprov.enableCRLDP", "true");
System.setProperty("ocsp.enable", "true");

// signatureBytes — байты CAdES-подписи (открепленная)
// contentBytes — байты подписанного документа
CAdESSignature signature = new CAdESSignature(signatureBytes, contentBytes, null);
signature.verify(null);

Текст ошибки:

Подпись не верна. Reference for the certificate: sn 3c464324000000000b51, subject CN="ООО \"Сервис\"", ... has been found in complete-certificate-references attribute but is absent in revocation-references attribute

Структура подписи (проверено через https://lapo.it/asn1js/):
- complete-certificate-references (OID 1.2.840.113549.1.9.16.2.21) - 3 записи: сертификат Минцифры России (дважды) и сертификат ООО "Сервис"
- complete-revocation-references (OID 1.2.840.113549.1.9.16.2.22) - 1 запись: только Минцифры России

Для сертификата ООО "Сервис" запись в complete-revocation-references отсутствует.

Результаты проверки той же подписи:
- КриптоПро CSP (Windows) - принимается
- КриптоПро DSS (dss.cryptopro.ru/Verify) - принимается
- КриптоПро JCP 5.0 - отклоняется с ошибкой выше


1. Является ли данное поведение JCP намеренным или это ошибка реализации?
2. Если намеренным - предусмотрена ли настройка (через Options или System.setProperty) для приведения поведения JCP в соответствие с CSP в данном случае? Если да - просим привести пример.
3. Планируется ли устранение несогласованности в следующих версиях JCP?
Offline Евгений Афанасьев  
#2 Оставлено : 5 июля 2026 г. 23:43:45(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 4,091
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 748 раз в 705 постах
Здравствуйте.

2. Попробуйте с настройкой (нужно брать свежую сборку с сайта. Если нужен JCP, его можно установить из состава дистрибутива JCSP).
Код:

cAdESSignature.setOptions(new Options().enableRevocationReferenceSearchByRevocationValue());


1. Если проверится, то порядок следования ссылок на сертификаты не соответствует порядку ссылок на доказательства. Требование такого порядка - намеренное поведение в JCP CAdES, оно соответствует стандарту, поведение в CAdES Plugin отличается.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.