Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.12.2015(UTC)
Сообщений: 40
Сказал(а) «Спасибо»: 1 раз
|
Уважаемые разработчики, подскажите пожалуйста логику работы команды cryptcp -vsignf. Проблема следующая: проверяю подпись с помощью cryptcp -vsignf ... В ответ получаю Код:The certificate revocation status or one of the certificates in the certificate chain is unknown.
Произошло это из-за того, что один из списков отзыва, указанных в сертификате, недоступен. Так вот вопрос: утилита cryptcp считает, что подпись недействительна, если не удалось проверить хотя бы один список отзыва?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805   Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Добрый день. Утилита cryptcp считает, что подпись недействительна, если не удалось проверить хотя бы один сертификат из цепочки сертификата подписанта. Если достоверность ключа проверки подписи не интересует, то можно использовать -nochain не проверять цепочки найденных сертификатов -norev не проверять сертификаты в цепочке на предмет отозванности Отредактировано пользователем 2 марта 2017 г. 18:07:25(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.12.2015(UTC)
Сообщений: 40
Сказал(а) «Спасибо»: 1 раз
|
спасибо eav, уточню немного. Достоверность ключа проверки подписи как раз интересует. Я запускал команду с параметром -norev, и так подпись проверяется успешно, вот только доверять такой подписи нельзя. Задам вопрос по другому. Если представить, что сертификат в цепочке всего один, и в нем несколько ссылок на списки отзыва, причем одна из них недоступна, то cryptcp скажет, что подпись недействительна? Это как-то странно, ведь если списков отзыва несколько, то они обычно дублируются, и достаточно проверить только один из них. Отредактировано пользователем 2 марта 2017 г. 18:32:13(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Цитата:Если представить, что сертификат в цепочке всего один, и в нем несколько ссылок на списки отзыва, причем одна из них недоступна, то cryptcp скажет, что подпись недействительна? При проверке сертификата используются стандартные функции CryptoAPI (механизмы проверки сертификатов в Windows, если речь о работе в Windows). Если revocation provider не сможет получить статус по CDP из сертификата и локально CRL не установлен, то cryptcp вернет ошибку проверки статуса. Отредактировано пользователем 2 марта 2017 г. 19:01:08(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.03.2017(UTC) Сообщений: 9  Поблагодарили: 1 раз в 1 постах
|
Автор: eav  Цитата:Если представить, что сертификат в цепочке всего один, и в нем несколько ссылок на списки отзыва, причем одна из них недоступна, то cryptcp скажет, что подпись недействительна? При проверке сертификата используются стандартные функции CryptoAPI (механизмы проверки сертификатов в Windows, если речь о работе в Windows). Если revocation provider не сможет получить статус по CDP из сертификата и локально CRL не установлен, то cryptcp вернет ошибку проверки статуса. А если у меня не Windows, а обычный linux ? Локально никакие CRL не стоят Когда и как будет использоваться OCSP ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Проверка по ocsp будет осуществляться "идентично" win, при вызове соответствующих функций |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.03.2017(UTC) Сообщений: 9 Поблагодарили: 1 раз в 1 постах
|
Автор: eav Проверка по ocsp будет осуществляться "идентично" win, при вызове соответствующих функций В документации по cryptcp https://www.cryptopro.ru...cryptcp/3-40/cryptcp.pdf про вызов OCSP ничего не сказано, параметров нет. Сейчас ситуация такая, что есть файл с отделенной подписью, и один из списков отзыва в личном сертификате не доступен, при этом нормально работают остальные в этом же сертификате. Там же описан адрес к OCSP (работает!) В остальных сертификатах цепочки со списками всё хорошо. В итоге - проверка падает, но если передать -norev работает нормально. Файлы могу скинуть в личку, но воспроизвести проблему можно и самостоятельно заблокировав доступ через firewall к одному из списков.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Цитата:В итоге - проверка падает, но если передать -norev работает нормально. Уточните версию сборки CSP Так же уточните на каком Linux смотрите. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.03.2017(UTC) Сообщений: 9 Поблагодарили: 1 раз в 1 постах
|
Код:
./csptest -oid -general
CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 12713091
Total: SYS: 0.000 sec USR: 0.040 sec UTC: 0.030 sec
[ErrorCode: 0x00000000]
На основе Debian “jessie” Код:
uname -a
Linux server1 4.4.0-62-generic #83-Ubuntu SMP Wed Jan 18 14:10:15 UTC 2017 x86_64 GNU/Linux
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 805 Откуда: Оттуда Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
|
Цитата:В итоге - проверка падает, но если передать -norev работает нормально. Для отображения детализации в терминале выполните: Код:export CP_PRINT_CHAIN_DETAIL=1
и приложите полностью вывод при выполнении команды в cryptcp |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
