Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ivanko  
#1 Оставлено : 19 ноября 2020 г. 15:50:05(UTC)
ivanko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.11.2016(UTC)
Сообщений: 59
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 3 раз в 2 постах
В ранних версиях УЦ CryptoPro поставлялась утилита публикации crl, которая попутно конвертировала crl в формат, несовместимый со стандартами представления CRL - публикуемый ею формат отличался от стандартного PEM отсутствием заголовков (BEGIN X509 CRL и END X509 CRL). Со временем, УЦ перешел на формат DER, однако, CRL опубликованные в неправильном формате продолжают быть.

Вопрос в том, что при работе с CRL из JCSP эти самые CRL получают классы JDK, которые ломаются на этих самых неправильных CRL, но при той же работе через CSP они обрабатываются нормально. Вопрос, как при проверке подписи в JCSP перевести разбор получаемых CRL в область работы CSP, а не Java CSP?
Offline Евгений Афанасьев  
#2 Оставлено : 19 ноября 2020 г. 16:40:32(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.

Автор: ivanko Перейти к цитате
В ранних версиях УЦ CryptoPro поставлялась утилита публикации crl, которая попутно конвертировала crl в формат, несовместимый со стандартами представления CRL - публикуемый ею формат отличался от стандартного PEM отсутствием заголовков (BEGIN X509 CRL и END X509 CRL). Со временем, УЦ перешел на формат DER, однако, CRL опубликованные в неправильном формате продолжают быть.

Вопрос в том, что при работе с CRL из JCSP эти самые CRL получают классы JDK, которые ломаются на этих самых неправильных CRL, но при той же работе через CSP они обрабатываются нормально. Вопрос, как при проверке подписи в JCSP перевести разбор получаемых CRL в область работы CSP, а не Java CSP?



Что значит "в неправильном формате"? Можете привести пример?
CRL и сертификаты в java всегда декодируются с помощью алгоритма X.509, который может реализовать любой провайдер, например, Sun, IBM, BC. JCSP/JCP его не реализуют. К ГОСТ-провайдеру java может обратиться в случае, например, открытого ключа на ГОСТ алгоритме и т.п. В область CSP никак не перевести, т.к. в java для декодирования CRL/сертификата предполагается использование стандартных интерфейсов java.

Отредактировано пользователем 19 ноября 2020 г. 16:41:13(UTC)  | Причина: Не указана

Offline ivanko  
#3 Оставлено : 19 ноября 2020 г. 22:02:10(UTC)
ivanko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.11.2016(UTC)
Сообщений: 59
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 3 раз в 2 постах
Примеры можно посмотреть вот здесь
http://www.atsenergo.ru/...45807e8abe657d4dc51f.crl
http://www.atsenergo.ru/...1fd530b099eef5ea1722.crl
http://www.atsenergo.ru/...a1367fe012c57a9721e8.crl
http://www.atsenergo.ru/...df5c87abe88b59f200ea.crl
При получении CRL Java производит разбор полученного потока байт и там два варианта - DER или PEM(base64 кодированный DER). Так вот, утилита генерила PEM без заголовков, что в стандартном разборщике CRL в java создавал Exception.

Речь идет не о разборе ASN.1 кодировки, а о разборе упаковки потока байт в base64.
Offline ivanko  
#4 Оставлено : 1 января 2021 г. 17:27:54(UTC)
ivanko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.11.2016(UTC)
Сообщений: 59
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 3 раз в 2 постах
Есть какие-то варианты?
Offline Санчир Момолдаев  
#5 Оставлено : 1 января 2021 г. 18:39:59(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
попробуйте скачать их. перекодировать из base64. подать в нужный метод JCSP, к примеру в verify

ознакомьтесь с этой информацией

Отредактировано пользователем 1 января 2021 г. 18:41:57(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.