TSP/OCSP Service

[BRV]

В 26.03.2019 в 10:05, dazed_A сказал:

Добрый день!

Нужен ли в поле «Улучшенный ключ» сертификата какой-то дополнительный объектный идентификатор (OID) (если нужен, то какой?), чтобы обеспечить работоспособность функции TSP для владельцев внешних сертификатов и на тех информационных системах, что будут требовать при создании электронной подписи создания штампов-меток времени? Разумеется, рассматривается программный комплекс OCSP/TSP от ОАО «ИнфоТеКС».

Добрый день!

Нужен: 

// Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION

#define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8"

[dazed_A]

Правильно ли я понял?

1) Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION означает, что в поле "Использование ключа" должны быть (пишу по-русски) биты Цифровая подпись и Неотрекаемость? В вашем изложении употреблён союз or, т.е. ИЛИ. Оба должны быть или один из них?

2) #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8". Этот ОИД обязательно должен быть в поле «Улучшенный ключ»? До сих пор его у нас не было, но и претензий к работоспособности функции TSP тоже не было. Или нам везло?

Есть вот такое описание этого ОИДа:

Сертификат X 509 может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени.

Где включается значение хэш-функции: у пользователя сертификата при формировании ЭП? на сервере ИС, где проверяют ЭП? на сервере TSP в УЦ?

[BRV]

В 27.03.2019 в 15:30, dazed_A сказал:

Правильно ли я понял?

1) Consistent key usage bits: DIGITAL_SIGNATURE or NON_REPUDIATION означает, что в поле "Использование ключа" должны быть (пишу по-русски) биты Цифровая подпись и Неотрекаемость? В вашем изложении употреблён союз or, т.е. ИЛИ. Оба должны быть или один из них?

2) #define szOID_PKIX_KP_TIMESTAMP_SIGNING "1.3.6.1.5.5.7.3.8". Этот ОИД обязательно должен быть в поле «Улучшенный ключ»? До сих пор его у нас не было, но и претензий к работоспособности функции TSP тоже не было. Или нам везло?

Есть вот такое описание этого ОИДа:

Сертификат X 509 может использоваться для включения значения хэш-функции при создании штампа времени на документы в Службе штампов времени.

Где включается значение хэш-функции: у пользователя сертификата при формировании ЭП? на сервере ИС, где проверяют ЭП? на сервере TSP в УЦ?

Эти описания из файла WinCrypt.h и касаются MS CryptoAPI. Для наших продуктов правило следующее:

В назначение сертификата, предназначенного для подписи (всё равно чего, данных, сертификатов или штампов времени) обязательно включается  флаг DIGITAL_SIGNATURE.

Наличие идентификатора szOID_PKIX_KP_TIMESTAMP_SIGNING в сертификате должно проверяться. Уточните, какую версию ViPNet TSP-OCSP Service Вы используете?

Самое главное, что при строгой проверке подписи под штампом времени отсутствие такого назначения может быть интерпретировано как «неправильная подпись». Это зависит на самом деле от прикладной системы и её разработчиков.

 

[dazed_A]

На Ваш вопрос: ViPNet TSP-OCSP Service 4.6 (0.43099)

[BRV]

21 час назад, dazed_A сказал:

На Ваш вопрос: ViPNet TSP-OCSP Service 4.6 (0.43099)

Наличие идентификатора szOID_PKIX_KP_TIMESTAMP_SIGNING в данной версии проверяется.

[dazed_A]

Спасибо за пояснения. Обдумываю.