Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 36  Откуда: Москва Сказал «Спасибо»: 7 раз
|
Коллеги, есть предположение, что вы неправильно обрабатываете ASN.1 поле OtherRevocationInfoFormat в CMS подписи: contentInfo/content::[0]/signedData/crls::[1]/other/OtherRevocationInfoFormat При проверке подписи у вас возникает ошибка "Встречено неверное значение тега ASN1" Пример подписи и отсоединённые данные прилагаю...  ~data.txt (1kb) загружен 6 раз(а). ~data.txt.p7s (39kb) загружен 6 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,752  Сказал «Спасибо»: 577 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: Skarvon  Коллеги, есть предположение, что вы неправильно обрабатываете ASN.1 поле OtherRevocationInfoFormat в CMS подписи: contentInfo/content::[0]/signedData/crls::[1]/other/OtherRevocationInfoFormat При проверке подписи у вас возникает ошибка "Встречено неверное значение тега ASN1"Пример подписи и отсоединённые данные прилагаю... ~data.txt (1kb) загружен 6 раз(а). ~data.txt.p7s (39kb) загружен 6 раз(а). Здравствуйте. В каком ПО? cryptcp Код ошибки: 0x2000012d Ошибка: Сертификаты не найдены. КриптоАрм: Snimok ehkrana ot 2023-10-03 15-22-51.png (6kb) загружен 7 раз(а). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 36 Откуда: Москва Сказал «Спасибо»: 7 раз
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,506
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 612 раз в 423 постах
|
Автор: Skarvon Коллеги, есть предположение, что вы неправильно обрабатываете ASN.1 поле OtherRevocationInfoFormat в CMS подписи А какое ПО создало такую подпись? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 36 Откуда: Москва Сказал «Спасибо»: 7 раз
|
Создаю двумя способами:
1. Собственными средствами, по спецификации RFC 5940, Additional Cryptographic Message Syntax (CMS) Revocation Information Choices"
2. Инструментарием "Litoria Desktop 2"
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,506
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 612 раз в 423 постах
|
Сходу видно, что asn1 сделан с ошибками: Код:root@test-x64-deb10:~# dumpasn1 /tmp/_data.txt.bin.p7s 2>&1|grep -i error -B 1 -A 1
8269 0: [0]
: Error: Object has zero length.
8271 15: GeneralizedTime 02/10/2023 07:29:42 GMT
--
13952 0: [0]
: Error: Object has zero length.
13954 15: GeneralizedTime 02/10/2023 07:29:42 GMT
--
0 warnings, 2 errors.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 36 Откуда: Москва Сказал «Спасибо»: 7 раз
|
Коллеги, проблема наверное не в этом. По смещению 8269, это поле статус сертификата CertStatus, вот из RFC 2560: SingleResponse ::= SEQUENCE { certID CertID,
certStatus CertStatus,
thisUpdate GeneralizedTime,
nextUpdate [0] EXPLICIT GeneralizedTime OPTIONAL,
singleExtensions [1] EXPLICIT Extensions OPTIONAL
} CertStatus ::= CHOICE { good [0] IMPLICIT NULL,
revoked [1] IMPLICIT RevokedInfo,
unknown [2] IMPLICIT UnknownInfo
} И это то, что присылает OCSP служба КриптоПро http://testca2012.cryptopro.ru/ocsp2/ocsp.srf, нормальный OCSP ответ. По смещению 13952, тоже самое, но находяйщийся в неподписанным атрибуте revocation-values, 1.2.840.113549.1.9.16.2.24
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,506
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 612 раз в 423 постах
|
Автор: Skarvon Коллеги, проблема наверное не в этом. Возможно, проблема не только в этом, но это точно невалидный asn. Эта ошибка очень популярная, обычно она происходит тогда, когда добавляют "терминирующий ноль", куда попало. |
|
 1 пользователь поблагодарил Русев Андрей за этот пост.
|
nickm оставлено 05.10.2023(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 36 Откуда: Москва Сказал «Спасибо»: 7 раз
|
В данном случае, этот asn мы получаем от OCSP службы КриптоПро, и после проверки добавляем в подпись: - либо весь ответ OCSPResponse в crls PKCS#7 подписи: other/OtherRevocationInfoFormat/OCSPResponse;
- либо BasicOCSPResponse в её неподписываемый атрибут revocation-values. Т.е. НЕ мы добавляем "терминирующий ноль", а OCSP служба КриптоПро, но вроде бы всё в соответствии с RFC 2560P.S. Ошибок в ответе OCSP службы КриптоПро (в ASN.1 структуре OCSPResponse) замечено не было... CertStatus.png (34kb) загружен 9 раз(а).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2012(UTC) Сообщений: 36 Откуда: Москва Сказал «Спасибо»: 7 раз
|
Коллеги, ну так что, по данному вопросу, вы его ещё рассматриваете?
P.S.
Не стоит пользоваться утилитой dumpasn1, она некорректна.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
