Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline kkkknarkkkk  
#1 Оставлено : 14 января 2021 г. 15:26:34(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Добрый день. Столкнулся с интересной подписью:
111.jpg (59kb) загружен 43 раз(а).

DSS проверяет подпись положительно, однако есть сомнения в том, что это корректное поведение. Подпись имеет алгоритм хеширования 2012 года, а сама подпись сделана алгоритмом подписи 2001 года.
Так и должно быть? Или я не верно читаю ASN1 код?
Offline Санчир Момолдаев  
#2 Оставлено : 17 января 2021 г. 10:29:42(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 754
Российская Федерация

Сказал(а) «Спасибо»: 64 раз
Поблагодарили: 157 раз в 153 постах
Добрый день!
создайте обращение на портале технической поддержки
приложите туда подпись и укажите чем она была создана,
также укажите ссылку на данную ветку форума
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#3 Оставлено : 18 января 2021 г. 17:57:21(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Создал. Тикет - №35294
Offline Андрей *  
#4 Оставлено : 18 января 2021 г. 18:48:08(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,310
Мужчина
Российская Федерация

Сказал «Спасибо»: 380 раз
Поблагодарили: 1528 раз в 1175 постах
...

у Вас же .. СКЗИ "ViPNet CSP", версия 4.2

Отредактировано пользователем 18 января 2021 г. 18:53:08(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#5 Оставлено : 18 января 2021 г. 18:52:07(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,310
Мужчина
Российская Федерация

Сказал «Спасибо»: 380 раз
Поблагодарили: 1528 раз в 1175 постах
и в 1С - какой CSP выбран, 80 тип?
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#6 Оставлено : 19 января 2021 г. 10:52:27(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Андрей * Перейти к цитате
и в 1С - какой CSP выбран, 80 тип?

Не могу ответить на этот вопрос. Нет возможности связаться с подписчиком.
Offline Андрей *  
#7 Оставлено : 19 января 2021 г. 11:01:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,310
Мужчина
Российская Федерация

Сказал «Спасибо»: 380 раз
Поблагодарили: 1528 раз в 1175 постах
Автор: kkkknarkkkk Перейти к цитате
Автор: Андрей * Перейти к цитате
и в 1С - какой CSP выбран, 80 тип?

Не могу ответить на этот вопрос. Нет возможности связаться с подписчиком.


Подпись проверяется и подпись внутри 2012,
только идентификатор digestEncryptionAlgorithm неправильный.
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#8 Оставлено : 19 января 2021 г. 11:09:02(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Андрей * Перейти к цитате
Автор: kkkknarkkkk Перейти к цитате
Автор: Андрей * Перейти к цитате
и в 1С - какой CSP выбран, 80 тип?

Не могу ответить на этот вопрос. Нет возможности связаться с подписчиком.


Подпись проверяется и подпись внутри 2012,
только идентификатор digestEncryptionAlgorithm неправильный.


Означает ли это, что действительность данной подписи можно оспорить в суде? Если подпись сформирована неверно, можно ли говорить, что она действительна?
Offline Андрей *  
#9 Оставлено : 19 января 2021 г. 11:18:39(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,310
Мужчина
Российская Федерация

Сказал «Спасибо»: 380 раз
Поблагодарили: 1528 раз в 1175 постах
Автор: kkkknarkkkk Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: kkkknarkkkk Перейти к цитате
Автор: Андрей * Перейти к цитате
и в 1С - какой CSP выбран, 80 тип?

Не могу ответить на этот вопрос. Нет возможности связаться с подписчиком.


Подпись проверяется и подпись внутри 2012,
только идентификатор digestEncryptionAlgorithm неправильный.


Означает ли это, что действительность данной подписи можно оспорить в суде? Если подпись сформирована неверно, можно ли говорить, что она действительна?


Можете оспорить в суде.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#10 Оставлено : 19 января 2021 г. 11:56:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,310
Мужчина
Российская Федерация

Сказал «Спасибо»: 380 раз
Поблагодарили: 1528 раз в 1175 постах
Эта область CMS не имеет защиты от изменений и информацию, содержащуюся там можно изменять как угодно.
Соответственно очень просто можно превратить в корректное или наоборот.
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#11 Оставлено : 19 января 2021 г. 12:30:47(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Андрей * Перейти к цитате
Эта область CMS не имеет защиты от изменений и информацию, содержащуюся там можно изменять как угодно.
Соответственно очень просто можно превратить в корректное или наоборот.


Поменял на 1.2.643.7.1.1.1.1 и подпись прошла проверку.
Offline Санчир Момолдаев  
#12 Оставлено : 19 января 2021 г. 14:25:51(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 754
Российская Федерация

Сказал(а) «Спасибо»: 64 раз
Поблагодарили: 157 раз в 153 постах
А где у вас не проходила проверку? В чем вы проверяли?
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#13 Оставлено : 19 января 2021 г. 14:45:02(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
А где у вас не проходила проверку? В чем вы проверяли?


Litoria Desktop 2 ("Газинформсервис"). Хочется понять является ли это багой при проверке.
Понятно, что средство подписание неверно создает подпись, но как быть с проверкой?
Здравый смысл подсказывает, что если хеш сошелся и сертификат действителен на момент подписания - все нормально.
Однако такая подпись противоречит международным стандартам, а в нашей нормативке даны ссылки на международные стандарты.
Получается, что подпись не должна проверяться положительно.
Offline kkkknarkkkk  
#14 Оставлено : 26 января 2021 г. 8:52:53(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Санчир, Вы закрыли мой тикит, но я так и не получил ответа на вопрос: "Это корректное поведение, или это бага, которую Вы поправите в новой версии?"
Offline Санчир Момолдаев  
#15 Оставлено : 26 января 2021 г. 9:39:39(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 754
Российская Федерация

Сказал(а) «Спасибо»: 64 раз
Поблагодарили: 157 раз в 153 постах
Добрый день!
Тикет закрылся автоматически тк не было активности в нем.
Данный вопрос был поднят среди руководства. Пока на обсуждении
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#16 Оставлено : 26 января 2021 г. 9:42:36(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
Тикет закрылся автоматически тк не было активности в нем.
Данный вопрос был поднят среди руководства. Пока на обсуждении

Понял, спасибо.
Offline Санчир Момолдаев  
#17 Оставлено : 26 января 2021 г. 10:10:40(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 754
Российская Федерация

Сказал(а) «Спасибо»: 64 раз
Поблагодарили: 157 раз в 153 постах
Процитирую коллег:
Это точно не ошибка, а скорее неопределенное поведение.
Мы не можем гарантировать, что в будущих версиях это поведение не поменяется, но сейчас алгоритма открытого ключа сертификата достаточно для проверки подписи.
Техническую поддержку оказываем тут
Наша база знаний
Offline kkkknarkkkk  
#18 Оставлено : 26 января 2021 г. 14:54:14(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
Процитирую коллег:
Это точно не ошибка, а скорее неопределенное поведение.
Мы не можем гарантировать, что в будущих версиях это поведение не поменяется, но сейчас алгоритма открытого ключа сертификата достаточно для проверки подписи.


Я прекрасно понимаю, что никакой вендер, никогда не найдет в себе сил признать наличие ошибок в своем софте. В области PKI не может быть неопределенного поведения. Подпись либо верна, либо нет. И от ее верности или неверности зависят факты хозяйственной деятельно: переводятся деньги, меняются права собственности. Очевидно, что алгоритма в сертификате достаточно для проверки подписи, ровно так же, как и очевидно, что подпись создана некорректно, но Ваши продукты проверяют ее положительно.
Offline Максим Коллегин  
#19 Оставлено : 26 января 2021 г. 17:54:15(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,064
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 604 раз в 541 постах
Автор: kkkknarkkkk Перейти к цитате

Я прекрасно понимаю, что никакой вендер, никогда не найдет в себе сил признать наличие ошибок в своем софте.

Это достаточно спорное утверждение. Мы неоднократно признавали ошибки в наших продуктах и искренне благодарили пользователей за сообщения о них.

Что касается данной ситуации, то она не так проста, как кажется на первый взгляд.
Позволю представить ситуацию двумя утверждениями:

  1. Электронная подпись данных математически корректна, хэш данных в сообщении правильно, значение электронной подписи успешно проверяется с помощью вложенного открытого ключа.
  2. PKCS#7-сообщение некорректно и содержит несоответсвующий методическим рекомендациям идентификатор алгоритма подписи.


API для проверки корректности PKCS#7 конвертов мы не предоставляем, если бы оно сущестовало -- тогда можно было бы говорить об ошибке. Метод проверки подписи делает ровно то, что, как нам кажется, должен:

  • сравнивает хэш данных
  • проверяет значение подписи заданным открытым ключом.

Вопрос со звёздочкой: если в конец корректного PKCS#7-конверта добавить нулевые байты -- подпись становится неверной?

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
Андрей * оставлено 26.01.2021(UTC)
Offline kkkknarkkkk  
#20 Оставлено : 27 января 2021 г. 10:22:52(UTC)
kkkknarkkkk

Статус: Участник

Группы: Участники
Зарегистрирован: 27.02.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Санкт-Петербург

Автор: Максим Коллегин Перейти к цитате
Автор: kkkknarkkkk Перейти к цитате

Я прекрасно понимаю, что никакой вендер, никогда не найдет в себе сил признать наличие ошибок в своем софте.

Это достаточно спорное утверждение. Мы неоднократно признавали ошибки в наших продуктах и искренне благодарили пользователей за сообщения о них.

Что касается данной ситуации, то она не так проста, как кажется на первый взгляд.
Позволю представить ситуацию двумя утверждениями:

  1. Электронная подпись данных математически корректна, хэш данных в сообщении правильно, значение электронной подписи успешно проверяется с помощью вложенного открытого ключа.
  2. PKCS#7-сообщение некорректно и содержит несоответсвующий методическим рекомендациям идентификатор алгоритма подписи.


API для проверки корректности PKCS#7 конвертов мы не предоставляем, если бы оно сущестовало -- тогда можно было бы говорить об ошибке. Метод проверки подписи делает ровно то, что, как нам кажется, должен:

  • сравнивает хэш данных
  • проверяет значение подписи заданным открытым ключом.

Вопрос со звёздочкой: если в конец корректного PKCS#7-конверта добавить нулевые байты -- подпись становится неверной?



С точки зрения криптографа - все верно, хэш сошелся, исходный документ не менялся, сертификат подписчика действительный - все хорошо. Но ЭП, это не только про хеши. ЭП лежит на стыке криптографии и юриспруденции. И в случае "неопределенного поведения" появляется неопределенный правовой статус юридически значимого документа. Но мне кажется, что мы зашли в тупик, ГОСТ 34-10-2012 ничего не говорит про формат PKCS#7 и с его точки зрения - все замечательно. Наверное ТК-26 стоило бы выпустить методические рекомендации про формат PKCS#7.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.