BRV Опубликовано 27 Марта 2019 Жалоба Поделиться Опубликовано 27 Марта 2019 В 26.03.2019 в 10:05, dazed_A сказал: Добрый день! Нужен ли в поле «Улучшенный ключ» сертификата какой-то дополнительный объектный идентификатор (OID) (если нужен, то какой?), чтобы обеспечить работоспособность функции TSP для владельцев внешних сертификатов и на тех информационных системах, что будут требовать при создании электронной подписи создания штампов-меток времени? Разумеется, рассматривается программный комплекс OCSP/TSP от ОАО «ИнфоТеКС». Добрый день! Нужен: // Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8" Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dazed_A Опубликовано 27 Марта 2019 Жалоба Поделиться Опубликовано 27 Марта 2019 Правильно ли я понял? 1) Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION означает, что в поле "Использование ключа" должны быть (пишу по-русски) биты Цифровая подпись и Неотрекаемость? В вашем изложении употреблён союз or, т.е. ИЛИ. Оба должны быть или один из них? 2) #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8". Этот ОИД обязательно должен быть в поле «Улучшенный ключ»? До сих пор его у нас не было, но и претензий к работоспособности функции TSP тоже не было. Или нам везло? Есть вот такое описание этого ОИДа: Сертификат X 509 может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени. Где включается значение хэш-функции: у пользователя сертификата при формировании ЭП? на сервере ИС, где проверяют ЭП? на сервере TSP в УЦ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
BRV Опубликовано 3 Апреля 2019 Жалоба Поделиться Опубликовано 3 Апреля 2019 В 27.03.2019 в 15:30, dazed_A сказал: Правильно ли я понял? 1) Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION означает, что в поле "Использование ключа" должны быть (пишу по-русски) биты Цифровая подпись и Неотрекаемость? В вашем изложении употреблён союз or, т.е. ИЛИ. Оба должны быть или один из них? 2) #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8". Этот ОИД обязательно должен быть в поле «Улучшенный ключ»? До сих пор его у нас не было, но и претензий к работоспособности функции TSP тоже не было. Или нам везло? Есть вот такое описание этого ОИДа: Сертификат X 509 может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени. Где включается значение хэш-функции: у пользователя сертификата при формировании ЭП? на сервере ИС, где проверяют ЭП? на сервере TSP в УЦ? Эти описания из файла WinCrypt.h и касаются MS CryptoAPI. Для наших продуктов правило следующее: В назначение сертификата, предназначенного для подписи (всё равно чего, данных, сертификатов или штампов времени) обязательно включается флаг DIGITAL_SIGNATURE. Наличие идентификатора szOID_PKIX_KP_TIMESTAMP_SIGNING в сертификате должно проверяться. Уточните, какую версию ViPNet TSP-OCSP Service Вы используете? Самое главное, что при строгой проверке подписи под штампом времени отсутствие такого назначения может быть интерпретировано как «неправильная подпись». Это зависит на самом деле от прикладной системы и её разработчиков. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dazed_A Опубликовано 3 Апреля 2019 Жалоба Поделиться Опубликовано 3 Апреля 2019 На Ваш вопрос: ViPNet TSP-OCSP Service 4.6 (0.43099) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
BRV Опубликовано 4 Апреля 2019 Жалоба Поделиться Опубликовано 4 Апреля 2019 21 час назад, dazed_A сказал: На Ваш вопрос: ViPNet TSP-OCSP Service 4.6 (0.43099) Наличие идентификатора szOID_PKIX_KP_TIMESTAMP_SIGNING в данной версии проверяется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dazed_A Опубликовано 4 Апреля 2019 Жалоба Поделиться Опубликовано 4 Апреля 2019 Спасибо за пояснения. Обдумываю. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.