Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Алексей Черенцов  
#1 Оставлено : 29 декабря 2020 г. 16:57:15(UTC)
Алексей Черенцов

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.10.2019(UTC)
Сообщений: 56
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 14 раз
Здравствуйте!

Пытаюсь понять, как можно определить, были ли валидными подписи CAdES-BES с истёкшим сроком сертификата на момент пока сертификат ещё на истёк. Нашёл в 63-ФЗ (ред. от 08.06.2020) "Об электронной подписи":
Цитата:
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;

Так вот могу ли я при проверке подписи как-то указать информацию о моменте подписания документа или это технически для CAdES-BES нереализуемо?
В доке к JCP найти не удалось.

Отредактировано пользователем 29 декабря 2020 г. 17:01:32(UTC)  | Причина: Не указана

Offline basid  
#2 Оставлено : 29 декабря 2020 г. 18:25:57(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Технически время подписания включено в CADES-BES.
Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.

P.S.
"По моему - так" (ц) Винни-Пух.
Offline Анатолий Колкочев  
#3 Оставлено : 29 декабря 2020 г. 18:30:24(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: basid Перейти к цитате
Технически время подписания включено в CADES-BES.
Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.

P.S.
"По моему - так" (ц) Винни-Пух.


Даже если бы было в подписанных, время берется той машины, на которой производилась подпись. Его можно изменить. Так что если нет TSP-штампа, мне кажется, проверить никак нельзя ...
Online Андрей *  
#4 Оставлено : 29 декабря 2020 г. 19:22:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: Анатолий Колкочев Перейти к цитате
Автор: basid Перейти к цитате
Технически время подписания включено в CADES-BES.
Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.

P.S.
"По моему - так" (ц) Винни-Пух.


Даже если бы было в подписанных, время берется той машины, на которой производилась подпись. Его можно изменить. Так что если нет TSP-штампа, мне кажется, проверить никак нельзя ...


смотрим на ситуацию: сертификат до 01.02.2021, подписываем сегодня.

1) 29.12.2020 - делаем CAdES-BES (что с подписанным атрибутом, что без него, да и можем произвольное время подписания указать, хоть 01.05.2020)
2) 28.01.2021 - проходит месяц - отзываем сертификат в УЦ Dancing
3) 30.01.2021 - ставим штамп - получая CAdES-T Applause
4) проверяем подпись 10.02.2021 и обнаруживаем, что УЦ исключил уже истёкший сертификат, который был отозван из актуального CRL и внезапно всё отлично...

Комментарии? Boo hoo!

Может нужно в сторону OCSP? а не просто штампа идти...
Техническую поддержку оказываем тут
Наша база знаний
Offline Анатолий Колкочев  
#5 Оставлено : 29 декабря 2020 г. 19:53:34(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Автор: Андрей * Перейти к цитате
Автор: Анатолий Колкочев Перейти к цитате
Автор: basid Перейти к цитате
Технически время подписания включено в CADES-BES.
Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.

P.S.
"По моему - так" (ц) Винни-Пух.


Даже если бы было в подписанных, время берется той машины, на которой производилась подпись. Его можно изменить. Так что если нет TSP-штампа, мне кажется, проверить никак нельзя ...


смотрим на ситуацию: сертификат до 01.02.2021, подписываем сегодня.

1) 29.12.2020 - делаем CAdES-BES (что с подписанным атрибутом, что без него, да и можем произвольное время подписания указать, хоть 01.05.2020)
2) 28.01.2021 - проходит месяц - отзываем сертификат в УЦ Dancing
3) 30.01.2021 - ставим штамп - получая CAdES-T Applause
4) проверяем подпись 10.02.2021 и обнаруживаем, что УЦ исключил уже истёкший сертификат, который был отозван из актуального CRL и внезапно всё отлично...

Комментарии? Boo hoo!

Может нужно в сторону OCSP? а не просто штампа идти...


УЦ удалил отозванный сертификат из CRL, т.к. срок изначальный действия сертификата закончился?
Тут явно проблема. Абсолютно с Вами согласен, что нужно смотреть в сторону OCSP. Там и до XLT1 недалеко, если time stamp обавить

Отредактировано пользователем 29 декабря 2020 г. 19:55:40(UTC)  | Причина: Не указана

Offline two_oceans  
#6 Оставлено : 30 декабря 2020 г. 14:03:19(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Согласен, ocsp надежнее, однако описанный сценарий не должен сработать, так как на момент проставки штампа подпись будет недействительна по списку отзыва/ocsp и создание cades-T должно обломиться. По крайней мере, требование проверять подпись перед дополнительными действиями с подписью в плагине КриптоПро прикрывает этот путь.

Если взять локальный список отзыва до отзыва и отвести на время когда он был действителен, тут уже должен произойти сбой синхронизации при получении метки времени. Поэтому крайне важно чтобы УЦ не выпускал списки со сроком годности на 90 дней и требовались манипуляции времени для сценария.

Допустим УЦ ставит срок списков отзыва не более 2 дней, тогда для сценария надо будет или написать и интегрировать свой tsp клиент (игнорирующий разницу времени локального и на сервере) или сделать собственное добавление метки (игнорирующее необходимость проверки сертификата в подписи перед добавлением метки). Не то чтобы это было невозможно (наметки tsp клиента есть в openssl), но и нужна приличная квалификация.

Кроме того, тут есть еще момент, что системы принимающие cades-T / cades-bes по идее должны ставить свои рамки "насколько свежей" должна быть подпись. При отправке сообщения в СМЭВ реально нет необходимости подписать сообщение и потом месяц "сушить на солнышке" - время подписи должно быть максимально приближен к реальному времени по часам сервера.

В СМЭВ 2 промежуточные сервера ставили свои метки - не xades-T, но мысль аналогичная - наряду с сообщением подписывается некая служебная информация плюс отметка времени сервера. Без разницы как подделает время сообщения отравитель если проверять по метке времени от своего сервера.

В СМЭВ 3 есть генерация метки uuid по часам, метка действительна 48 часов и входит в подписываемые данные. Истекла - подписывай снова. Подделать можно, да, но интервал очень узкий и особо списком отзыва не получится манипулировать, а время проверки самой подписи берется по часам сервера. Еще и целевые ИС ставят рамки - например, разместить информацию в течении 48 часов.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.