diff --git a/IT/CADES/tsl_2.md b/IT/CADES/tsl_2.md index 64ef089f..c7317c9c 100644 --- a/IT/CADES/tsl_2.md +++ b/IT/CADES/tsl_2.md @@ -1,4 +1,5 @@ ## TSL.xml vs CADES-XL +Алиса ## 1 "Файл TSL.xml (Trust-service Status List) содержит список аккредитованных удостоверяющих центров (УЦ), их сертификатов и связанных данных, необходимых для проверки квалифицированных электронных подписей. Без этого файла невозможно корректно верифицировать подпись, так как он служит основой для определения доверия к сертификатам." Применительно к проверке подписи CADES-XL зачем нужен TSL.xml? Ведь OSCP сервис или вложенные CRL гарантирует наличие действующего сертификата как подписанта, так и всех промежуточных УЦ. @@ -96,4 +97,60 @@ CADES-XL разве не содержит в себе все необходим - Документации КриптоПро и других поставщиков криптографических решений. - Нормативным актам, регулирующим электронную подпись в России (например, ФЗ-63 «Об электронной подписи»). +## 3 +Для проверки подписи CAdES-XL мы должны установить сертификат Корневого УЦ в доверенном хранилище пользователя и скачать tsl.xml? Например, Корневой УЦ - это Минцифры России, который аккредитовал УЦ "Контур". Мы устанавливаем Корневой УЦ Минцифры России как доверенный, а сертификат УЦ "Контур устанавливать не нужно, т.к. информация о его статусе содержится в tsl.xml? + +Для проверки подписи CAdES-XL действительно требуется установка корневого сертификата доверенного УЦ (например, Минцифры России) в хранилище «Доверенные корневые центры сертификации» и использование TSL.xml. Однако установка сертификата УЦ «Контур» как промежуточного также важна для построения полной цепочки доверия. Рассмотрим детали. + +## Роль корневого сертификата и TSL.xml + +1. **Корневой сертификат Минцифры России** устанавливается в хранилище «Доверенные корневые центры сертификации». Это позволяет системе распознавать его как доверенный источник и строить цепочку доверия для сертификатов, выданных аккредитованными УЦ. [```1```](https://learn.microsoft.com/ru-ru/windows-hardware/drivers/install/trusted-root-certification-authorities-certificate-store)[```2```](https://taxcom.ru/support/ustanovka-kornevogo/) + +2. **TSL.xml** содержит: + - Список аккредитованных УЦ, включая «Контур». + - Данные о корневых и промежуточных сертификатах. + - Ссылки на актуальные CRL и параметры OCSP-серверов. + - Правила валидации подписей. [```6```](https://www.cryptopro.ru/sites/default/files/products/svs/2/2828/cryptopro_svs_admin_guide.pdf) + +TSL.xml подтверждает, что УЦ «Контур» аккредитован и имеет право выпускать сертификаты. Однако сам по себе он не заменяет установку сертификатов в системе. + +## Установка сертификатов УЦ + +**Промежуточный сертификат УЦ «Контур»** должен быть установлен в хранилище «Промежуточные центры сертификации». Это необходимо для: +- Построения полной цепочки доверия от сертификата подписанта до корневого УЦ. +- Проверки целостности и валидности всей цепочки сертификатов. [```2```](https://taxcom.ru/support/ustanovka-kornevogo/)[```3```](https://saby.ru/help/ep/workplace/esia/inst_corn) + +Без промежуточного сертификата система не сможет связать сертификат подписанта с доверенным корневым сертификатом, даже если TSL.xml подтверждает аккредитацию УЦ. + +## Процесс проверки подписи CAdES-XL + +1. **Проверка цепочки сертификатов**: + - Система использует корневой сертификат Минцифры России для верификации промежуточного сертификата УЦ «Контур». + - Промежуточный сертификат, в свою очередь, используется для проверки сертификата подписанта. + +2. **Использование TSL.xml**: + - TSL.xml подтверждает, что УЦ «Контур» аккредитован и его сертификаты доверенны. + - Система сверяет данные из TSL.xml с информацией в цепочке сертификатов. + +3. **Проверка статуса сертификатов**: + - OCSP или CRL используются для определения текущего статуса сертификатов (активен/отозван). [```7```](https://forum.rutoken.ru/topic/3665/) + +## Сравнение подходов + +| Элемент | Назначение | +|---------|------------| +| Корневой сертификат Минцифры России | Основа доверия для всей цепочки. [```1```](https://learn.microsoft.com/ru-ru/windows-hardware/drivers/install/trusted-root-certification-authorities-certificate-store) | +| Промежуточный сертификат УЦ «Контур» | Связывает сертификат подписанта с корневым сертификатом. [```2```](https://taxcom.ru/support/ustanovka-kornevogo/) | +| TSL.xml | Подтверждает аккредитацию УЦ и правила валидации. [```6```](https://www.cryptopro.ru/sites/default/files/products/svs/2/2828/cryptopro_svs_admin_guide.pdf) | +| OCSP/CRL | Проверяют статус сертификатов в цепочке. [```7```](https://forum.rutoken.ru/topic/3665/) | + +## Вывод + +Для проверки подписи CAdES-XL необходимо: +1. Установить корневой сертификат Минцифры России в хранилище «Доверенные корневые центры сертификации». +2. Установить промежуточный сертификат УЦ «Контур» в хранилище «Промежуточные центры сертификации». +3. Использовать TSL.xml для подтверждения аккредитации УЦ. +4. Применять OCSP или CRL для проверки статуса сертификатов. + +Таким образом, TSL.xml дополняет, но не заменяет установку сертификатов в системе. Он обеспечивает юридическую значимость и соответствие законодательным требованиям, а сертификаты — техническую возможность построения цепочки доверия.