Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline c5005  
#1 Оставлено : 2 сентября 2019 г. 10:40:41(UTC)
c5005

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Существует проблема: есть сертификат выданный Казначейством сроком на два года,
с 20.02.2018 до 19.02.2020, после токо как сертификату исполнился год - Крипто Про
не хочет его подписывать, соответственно соединение с Континент-АП не происходит,
если поменять системную дату на 01.02.2019 - то все начинает работать.
Переход с КриптоПро 4 на версию 5 - ничего не дал.
Вопрос: как с этой проблемой разобраться, не сложно крутить даты туда-сюда,
но есть ощущение что так быть не должно.
Offline Александр Лавник  
#2 Оставлено : 2 сентября 2019 г. 10:47:46(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: c5005 Перейти к цитате
Существует проблема: есть сертификат выданный Казначейством сроком на два года,
с 20.02.2018 до 19.02.2020, после токо как сертификату исполнился год - Крипто Про
не хочет его подписывать, соответственно соединение с Континент-АП не происходит,
если поменять системную дату на 01.02.2019 - то все начинает работать.
Переход с КриптоПро 4 на версию 5 - ничего не дал.
Вопрос: как с этой проблемой разобраться, не сложно крутить даты туда-сюда,
но есть ощущение что так быть не должно.

Здравствуйте.

См., например, п. 6.8. Сроки действия пользовательских ключей документа ЖТЯИ.00087-03 91 01. КриптоПро CSP. Руководство администратора безопасности.Общая часть из состава документации КриптоПро CSP 4.0 R4 KC1.
Техническую поддержку оказываем тут
Наша база знаний
Offline c5005  
#3 Оставлено : 2 сентября 2019 г. 11:07:08(UTC)
c5005

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Спасибо за ответ,
расшифруйте пожалуйста для меня, непонятливого,
максимальный срок действия ключа (закрытого) - 1 год 3 месяца,
скорректировать это невозможно, зачем-же Казначейство выдает двухлетние ключи?
В КриптоПро-5 такой-же срок жизни установлен?
Offline Александр Лавник  
#4 Оставлено : 2 сентября 2019 г. 11:14:25(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: c5005 Перейти к цитате
Спасибо за ответ,
расшифруйте пожалуйста для меня, непонятливого,
максимальный срок действия ключа (закрытого) - 1 год 3 месяца,
скорректировать это невозможно, зачем-же Казначейство выдает двухлетние ключи?
В КриптоПро-5 такой-же срок жизни установлен?

1) Да, максимальный срок действия закрытого ключа - 1 год и 3 месяца.

2) Скорректировать его нельзя, но можно, нарушив условия эксплуатации КриптоПро CSP, отключить проверку этого срока, как описано в приведенном выше документе.

3) Зачем Казначейство выдает двухлетние сертификаты (а не ключи) - нужно уточнять в Казначействе.

4) В КриптоПро CSP 5.0 установлен такой же максимальный срок действия закрытого ключа.
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#5 Оставлено : 2 сентября 2019 г. 11:32:21(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: Александр Лавник Перейти к цитате
2) Скорректировать его нельзя, но можно, нарушив условия эксплуатации КриптоПро CSP, отключить проверку этого срока, как описано в приведенном выше документе.
На самом деле, не все так просто - в неквалифицированных сертификатах для Континента-АП обычно не установлено срока действия закрытого ключа, то есть пересоздав контейнер можно сместить точку отсчета в контейнере без отключения проверки срока.

В квалифицированных же такая информация есть и также не превышает год и 3 месяца, но можно выиграть дни разницы стерев срок в контейнере. Заметьте, для двухлетнего сертификата без срока закрытого ключа стирать отметку в контейнере бесполезно, нужно смещать дату отметки.
Цитата:
зачем-же Казначейство выдает двухлетние ключи?
Вам еще повезло у каком-то регионе выдавали пятилетние сертификаты для Континента. Суть в том, что сертификаты для континента неквалифицированные и по логике ФК такие сертификаты не обязаны следовать всем требованиям, а КриптоПро их считает как квалифицированные с требованиями по закону.
Пересоздать контейнер можно, например, экспортировав сертификат и закрытый ключ в формат p12/pfx, потом правой кнопкой по файлу pfx, выбрать "Установить PFX", задать расположение нового контейнера, пароль, потом установить сертификат с привязкой к новому контейнеру, а старый убрать в надежное место.

Отредактировано пользователем 2 сентября 2019 г. 11:40:39(UTC)  | Причина: Не указана

Offline c5005  
#6 Оставлено : 2 сентября 2019 г. 11:34:11(UTC)
c5005

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

не могу найти строку:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

может какой-то другой путь в 5 версии?
Offline Александр Лавник  
#7 Оставлено : 2 сентября 2019 г. 11:50:22(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: c5005 Перейти к цитате
не могу найти строку:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

может какой-то другой путь в 5 версии?

По умолчанию такого параметра нет.

При необходимости создайте его (тип DWORD).
Техническую поддержку оказываем тут
Наша база знаний
Offline c5005  
#8 Оставлено : 2 сентября 2019 г. 13:25:40(UTC)
c5005

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Большое Спасибо,
был создан параметр в реестре,
после перезагрузки Континент загрузился.
Offline Be100JIo4b  
#9 Оставлено : 3 сентября 2019 г. 9:33:54(UTC)
Be100JIo4b

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.03.2018(UTC)
Сообщений: 2
Российская Федерация

Автор: two_oceans Перейти к цитате

Пересоздать контейнер можно, например, экспортировав сертификат и закрытый ключ в формат p12/pfx, потом правой кнопкой по файлу pfx, выбрать "Установить PFX", задать расположение нового контейнера, пароль, потом установить сертификат с привязкой к новому контейнеру, а старый убрать в надежное место.

А для квалифицированных сертификатов этот метод также допускается применять? Не будет нарушения каких-либо требований ФСБ или разработчика? Хотелось бы ответ от разработчика получить.
Offline two_oceans  
#10 Оставлено : 3 сентября 2019 г. 13:32:30(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Мнение тогда уж лучше спрашивать у ФСБ или ФСТЭК. Пока выскажу некоторые соображения.
1) Квалифицированные сертификаты со сроком более 1 года 3 месяца найти достаточно сложно, так как более длительные сроки разрешены в основном для неизвлекаемых ключей. Легко догадаться, что пересоздать неизвлекаемый ключ по данному способу не выйдет, так как экспортировать его в PFX нельзя. Если ключ хранится в облаке, также не сработает перевод времени. Тут все честно, смухлевать не получится.

2) В квалифицированных сертификатах как правило указано расширение "Период действия закрытого ключа" в сертификате (и срок не превышает 1 года и 3 месяцев), пересоздание контейнера не даст прыгнуть дальше этой даты. Однако если есть разница несколько дней между конечной датой закрытого ключа в сертификате и конечной датой сертификата способ с переводом времени все еще работает. Несколько дней можно перетерпеть с отключенным контролем времени (главное, не забыть потом включить обратно) или с переводом времени. Или просто выбирать УЦ, который выдает сертификаты без такой разницы. В новых сертификатах даже УЦ ФК разницу свел к нулю, но разница следующего пункта осталась.

3) Разница между конечной датой закрытого ключа в сертификате и конечной датой закрытого ключа в контейнере устраняется либо стиранием конечной даты в контейнере либо пересозданием контейнера. В квалифицированном сертификате дату проставляет УЦ при соблюдении требований закона.
Другими словами, в 99,9% случаев можно считать, что регулярное использование ключа началось с момента выпуска сертификата. Соответственно, продление на несколько дней на дату указанную в сертификате (на мой взгляд) не противоречит закону.

В итоге, для квалифицированных сертификатов с указанным периодом использования закрытого ключа речь идет о днях, срок не достигнет даже 16 месяцев с момента генерации ключа как ни манипулируй датами.

Риск что-то нарушить будет только с квалифицированными сертификатами без расширения период использования закрытого ключа, выпущенными сроком более 15 месяцев, контейнеры для которых с извлекаемыми ключами и носители не сертифицированы по требованиям для длительного хранения ключей. Повторюсь, просто не выберайте УЦ с такими сертификатами.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.