Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline AIvanov  
#1 Оставлено : 31 августа 2017 г. 15:59:00(UTC)
AIvanov

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Коллеги, доброго дня.

Возник вопрос проверки цепочки сертификатов.

Предполагается, что пользователь ИС подписывает некие данные (PKCS7) и передает их в ИС, которая в свою очередь должна проверить цепочку от сертификата подписанта до ГУЦ.

В качестве криптопровайдера используем КриптоПро JCP 2.0.

В CMSSignedData.getCertificates() получаем только сертификат подписанта, сертификат УЦ отсутствует. В этом случае выходом является грузить в хранилище сертификаты всех аккредитованных УЦ.

Вопрос заключается в следующем.

1. Есть ли способ проверять цепочку не загружая при этом сертификаты всех УЦ (http://e-trust.gosuslugi.ru/CA) в хранилище сертификатов?

2. Какой самый оптимальный вариант проверки цепочки в нашем случае?
Offline Евгений Афанасьев  
#2 Оставлено : 1 сентября 2017 г. 14:56:06(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
Автор: AIvanov Перейти к цитате

1. Есть ли способ проверять цепочку не загружая при этом сертификаты всех УЦ (http://e-trust.gosuslugi.ru/CA) в хранилище сертификатов?
2. Какой самый оптимальный вариант проверки цепочки в нашем случае?

Если только проверять в расширениях сертификата наличие сведений о центре сертификации и грузить по ссылке. В кадесе мы, например, полагаем, что корневые сертификаты находятся в cacerts, а остальные (промежуточные, сертификат подписи) либо будут получены из подписи, либо их предоставит тот, кто проверяет подпись.


Offline AIvanov  
#3 Оставлено : 1 сентября 2017 г. 22:56:02(UTC)
AIvanov

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Автор: afev Перейти к цитате
Здравствуйте.
Автор: AIvanov Перейти к цитате

1. Есть ли способ проверять цепочку не загружая при этом сертификаты всех УЦ (http://e-trust.gosuslugi.ru/CA) в хранилище сертификатов?
2. Какой самый оптимальный вариант проверки цепочки в нашем случае?

Если только проверять в расширениях сертификата наличие сведений о центре сертификации и грузить по ссылке. В кадесе мы, например, полагаем, что корневые сертификаты находятся в cacerts, а остальные (промежуточные, сертификат подписи) либо будут получены из подписи, либо их предоставит тот, кто проверяет подпись.




1. Так ведь сведения о центре сертификации в конечном пользовательском сертификате не являются обязательными и ссылка может отсутствовать, насколько я понимаю. Таким образом такая проверка возможна, но результат не гарантированный. Если ошибаюсь, поправьте пожалуйста.

2. Каким образом промежуточные сертификаты могут быть получены из подписи? Подписываем данные cryptcp -sign -umy -dn "Сертификат" -der test.txt test.sig, но при проверке подписи, возможно извлечь только сертификат подписанта, промежуточные сертификаты (сертификат УЦ, УЦ 1 ИС ГУЦ и т.д.) отсутствуют.

PS. Для построения цепочки используем CertPathBuilder.
Offline Евгений Афанасьев  
#4 Оставлено : 5 сентября 2017 г. 11:56:31(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Если сертификаты отсутствуют и не могут быть получены по ссылкам или из подписи (был добавлен только сертификат подписи, а не цепочка), то придется их как-то получать и где-то хранить, чтобы передавать затем для построения цепочки (например, корневые сертификаты в одном хранилище, промежуточные в другом).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.