Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.01.2019(UTC) Сообщений: 43  Откуда: Москва Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
|
Доброго всем. Возникло некоторое непонимание при создании CAdES-t подписи с помощью CryptoAPI Прочитав https://www.ietf.org/rfc/rfc5126.html реализовал добавление ответа TSP сервера с созданную CAdES-BES подпись. Проблема в проверке созданного контейнера: сервис https://www.justsign.me/verifyqca/Verify/ отвечает Цитата: Подпись имеет признаки подписи формата CAdES-T, но не соответствует им полностью. Не удалось проверить подпись CAdES-T. Ошибка: [Элемент не найден]. Код: [0x80070490]. Что характерно та же ошибка пишется и на CMS созданный тестовым контуром CryptoPro. Как понять чего ему не хватает? Примеры  signatures.zip (6kb) загружен 3 раз(а).cades_cp.p7 - сообщение созданное плагином cades-t.PKCS7 - мое
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.01.2019(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
|
в догонку... Подпись созданная КриптоАРМ тоже не валидируется сервисом криптоПро. 
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,755  Сказал «Спасибо»: 504 раз
Поблагодарили: 2064 раз в 1603 постах
|
Здравствуйте. Автор: migel  Доброго всем. Возникло некоторое непонимание при создании CAdES-t подписи с помощью CryptoAPI Прочитав https://www.ietf.org/rfc/rfc5126.html реализовал добавление ответа TSP сервера с созданную CAdES-BES подпись. Проблема в проверке созданного контейнера: сервис https://www.justsign.me/verifyqca/Verify/ отвечает Цитата: Подпись имеет признаки подписи формата CAdES-T, но не соответствует им полностью. Не удалось проверить подпись CAdES-T. Ошибка: [Элемент не найден]. Код: [0x80070490]. Что характерно та же ошибка пишется и на CMS созданный тестовым контуром CryptoPro. Как понять чего ему не хватает? Примеры signatures.zip (6kb) загружен 3 раз(а).cades_cp.p7 - сообщение созданное плагином cades-t.PKCS7 - мое КриптоАРМ выдает ошибку на cades-t.PKCS7, верно? А вот cades_cp.p7 - успешно проверяется штамп. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.01.2019(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
|
Автор: Андрей * Здравствуйте.
КриптоАРМ выдает ошибку на cades-t.PKCS7, верно?
А вот cades_cp.p7 - успешно проверяется штамп. Доброго.. да так, за одним но - я точно знаю что я подписывал просроченым ключом.. и с формированием ASN1 у меня могут быть проблемы. Вопрос в чем заковыка при проверке на сайте того же cades_cp.p7? Ему не хватает перечисления алгоритмов дайджеста? или еще чего? Отредактировано пользователем 31 марта 2023 г. 14:58:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.01.2019(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
|
Продолжаем изыскания. Сервис DSS валидирует cades-cp.p7s (созданный плагином) с этим понятно. Созданный мною по rfc5126 не хочет. Раскапывая cades-cp.p7s обнаружил что штамп времени расширен неподписываемыми атрибутами: 1.2.840.113549.1.9.16.2.21 1.2.840.113549.1.9.16.2.22 1.2.840.113549.1.9.16.2.24 1.2.840.113549.1.9.16.2.23 В ответе от http://testca.cryptopro.ru/tsp/tsp.srf на мой запрос этого нет Следовательно возникает вопрос - эти атрибуты нужно добавлять к штампу времени на стороне клиента? И если так то на основании какого стандарта? В приложеном архиве сформированая подпись + ответ сервера TSP asn.zip (4kb) загружен 0 раз(а).Отредактировано пользователем 4 апреля 2023 г. 18:13:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,755 Сказал «Спасибо»: 504 раз
Поблагодарили: 2064 раз в 1603 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.01.2019(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
|
Автор: Андрей * Дабы соблюсти чистоту эксперимента - плагин использовал этот сервер... но это мелочи - откуда атрибуты в штампе то?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 30.01.2019(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 5 раз в 5 постах
|
Продолжаем продолжать
если убрать неподписываемые атрибуты со штампа времени с cades-cp.p7s то сервис валидации выдает следующее
"Подпись успешно проверена. В подписи есть признаки формата CAdES-T, но подпись не соответствует всем требованиям формата. Подпись была проверена без учёта формата CAdES-T. Не удалось проверить подпись CAdES-T. Ошибка: [Элемент не найден]. Код: [0x80070490]. "
Отсюда следует вывод о том, что штамп времени должен быть сам подписан подписью CAdES-X LongType (кмк).
Вопрос где почитать про это требование?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
