Jump to content

Recommended Posts

В 26.03.2019 в 10:05, dazed_A сказал:

Добрый день!

Нужен ли в поле «Улучшенный ключ» сертификата какой-то дополнительный объектный идентификатор (OID) (если нужен, то какой?), чтобы обеспечить работоспособность функции TSP для владельцев внешних сертификатов и на тех информационных системах, что будут требовать при создании электронной подписи создания штампов-меток времени? Разумеется, рассматривается программный комплекс OCSP/TSP от ОАО «ИнфоТеКС».

Добрый день!

Нужен: 

// Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION

#define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8"

Share this post


Link to post
Share on other sites

Правильно ли я понял?

1) Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION означает, что в поле "Использование ключа" должны быть (пишу по-русски) биты Цифровая подпись и Неотрекаемость? В вашем изложении употреблён союз or, т.е. ИЛИ. Оба должны быть или один из них?

2) #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8". Этот ОИД обязательно должен быть в поле «Улучшенный ключ»? До сих пор его у нас не было, но и претензий к работоспособности функции TSP тоже не было. Или нам везло?

Есть вот такое описание этого ОИДа:

Сертификат X 509 может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени.

Где включается значение хэш-функции: у пользователя сертификата при формировании ЭП? на сервере ИС, где проверяют ЭП? на сервере TSP в УЦ?

Share this post


Link to post
Share on other sites
В 27.03.2019 в 15:30, dazed_A сказал:

Правильно ли я понял?

1) Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION означает, что в поле "Использование ключа" должны быть (пишу по-русски) биты Цифровая подпись и Неотрекаемость? В вашем изложении употреблён союз or, т.е. ИЛИ. Оба должны быть или один из них?

2) #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8". Этот ОИД обязательно должен быть в поле «Улучшенный ключ»? До сих пор его у нас не было, но и претензий к работоспособности функции TSP тоже не было. Или нам везло?

Есть вот такое описание этого ОИДа:

Сертификат X 509 может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени.

Где включается значение хэш-функции: у пользователя сертификата при формировании ЭП? на сервере ИС, где проверяют ЭП? на сервере TSP в УЦ?

Эти описания из файла WinCrypt.h и касаются MS CryptoAPI. Для наших продуктов правило следующее:

В назначение сертификата, предназначенного для подписи (всё равно чего, данных, сертификатов или штампов времени) обязательно включается  флаг DIGITAL_SIGNATURE.

Наличие идентификатора szOID_PKIX_KP_TIMESTAMP_SIGNING в сертификате должно проверяться. Уточните, какую версию ViPNet TSP-OCSP Service Вы используете?

Самое главное, что при строгой проверке подписи под штампом времени отсутствие такого назначения может быть интерпретировано как «неправильная подпись». Это зависит на самом деле от прикладной системы и её разработчиков.

 

Share this post


Link to post
Share on other sites
21 час назад, dazed_A сказал:

На Ваш вопрос: ViPNet TSP-OCSP Service 4.6 (0.43099)

Наличие идентификатора szOID_PKIX_KP_TIMESTAMP_SIGNING в данной версии проверяется.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.