Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.10.2019(UTC) Сообщений: 56 Откуда: Новосибирск Сказал(а) «Спасибо»: 14 раз
|
Здравствуйте! Пытаюсь понять, как можно определить, были ли валидными подписи CAdES-BES с истёкшим сроком сертификата на момент пока сертификат ещё на истёк. Нашёл в 63-ФЗ (ред. от 08.06.2020) "Об электронной подписи": Цитата:2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен; Так вот могу ли я при проверке подписи как-то указать информацию о моменте подписания документа или это технически для CAdES-BES нереализуемо? В доке к JCP найти не удалось. Отредактировано пользователем 29 декабря 2020 г. 17:01:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,037
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 140 раз в 126 постах
|
Технически время подписания включено в CADES-BES. Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.
P.S. "По моему - так" (ц) Винни-Пух.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Автор: basid Технически время подписания включено в CADES-BES. Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.
P.S. "По моему - так" (ц) Винни-Пух. Даже если бы было в подписанных, время берется той машины, на которой производилась подпись. Его можно изменить. Так что если нет TSP-штампа, мне кажется, проверить никак нельзя ... |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2035 раз в 1579 постах
|
Автор: Анатолий Колкочев Автор: basid Технически время подписания включено в CADES-BES. Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.
P.S. "По моему - так" (ц) Винни-Пух. Даже если бы было в подписанных, время берется той машины, на которой производилась подпись. Его можно изменить. Так что если нет TSP-штампа, мне кажется, проверить никак нельзя ... смотрим на ситуацию: сертификат до 01.02.2021, подписываем сегодня. 1) 29.12.2020 - делаем CAdES-BES (что с подписанным атрибутом, что без него, да и можем произвольное время подписания указать, хоть 01.05.2020) 2) 28.01.2021 - проходит месяц - отзываем сертификат в УЦ 3) 30.01.2021 - ставим штамп - получая CAdES-T 4) проверяем подпись 10.02.2021 и обнаруживаем, что УЦ исключил уже истёкший сертификат, который был отозван из актуального CRL и внезапно всё отлично... Комментарии? Может нужно в сторону OCSP? а не просто штампа идти... |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей * Автор: Анатолий Колкочев Автор: basid Технически время подписания включено в CADES-BES. Проблема в том, что оно не включено в подписанные атрибуты, а значит - тривиально подделывается и доверять этому времени нельзя.
P.S. "По моему - так" (ц) Винни-Пух. Даже если бы было в подписанных, время берется той машины, на которой производилась подпись. Его можно изменить. Так что если нет TSP-штампа, мне кажется, проверить никак нельзя ... смотрим на ситуацию: сертификат до 01.02.2021, подписываем сегодня. 1) 29.12.2020 - делаем CAdES-BES (что с подписанным атрибутом, что без него, да и можем произвольное время подписания указать, хоть 01.05.2020) 2) 28.01.2021 - проходит месяц - отзываем сертификат в УЦ 3) 30.01.2021 - ставим штамп - получая CAdES-T 4) проверяем подпись 10.02.2021 и обнаруживаем, что УЦ исключил уже истёкший сертификат, который был отозван из актуального CRL и внезапно всё отлично... Комментарии? Может нужно в сторону OCSP? а не просто штампа идти... УЦ удалил отозванный сертификат из CRL, т.к. срок изначальный действия сертификата закончился? Тут явно проблема. Абсолютно с Вами согласен, что нужно смотреть в сторону OCSP. Там и до XLT1 недалеко, если time stamp обавить Отредактировано пользователем 29 декабря 2020 г. 19:55:40(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Согласен, ocsp надежнее, однако описанный сценарий не должен сработать, так как на момент проставки штампа подпись будет недействительна по списку отзыва/ocsp и создание cades-T должно обломиться. По крайней мере, требование проверять подпись перед дополнительными действиями с подписью в плагине КриптоПро прикрывает этот путь.
Если взять локальный список отзыва до отзыва и отвести на время когда он был действителен, тут уже должен произойти сбой синхронизации при получении метки времени. Поэтому крайне важно чтобы УЦ не выпускал списки со сроком годности на 90 дней и требовались манипуляции времени для сценария.
Допустим УЦ ставит срок списков отзыва не более 2 дней, тогда для сценария надо будет или написать и интегрировать свой tsp клиент (игнорирующий разницу времени локального и на сервере) или сделать собственное добавление метки (игнорирующее необходимость проверки сертификата в подписи перед добавлением метки). Не то чтобы это было невозможно (наметки tsp клиента есть в openssl), но и нужна приличная квалификация.
Кроме того, тут есть еще момент, что системы принимающие cades-T / cades-bes по идее должны ставить свои рамки "насколько свежей" должна быть подпись. При отправке сообщения в СМЭВ реально нет необходимости подписать сообщение и потом месяц "сушить на солнышке" - время подписи должно быть максимально приближен к реальному времени по часам сервера.
В СМЭВ 2 промежуточные сервера ставили свои метки - не xades-T, но мысль аналогичная - наряду с сообщением подписывается некая служебная информация плюс отметка времени сервера. Без разницы как подделает время сообщения отравитель если проверять по метке времени от своего сервера.
В СМЭВ 3 есть генерация метки uuid по часам, метка действительна 48 часов и входит в подписываемые данные. Истекла - подписывай снова. Подделать можно, да, но интервал очень узкий и особо списком отзыва не получится манипулировать, а время проверки самой подписи берется по часам сервера. Еще и целевые ИС ставят рамки - например, разместить информацию в течении 48 часов.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close