agievich
commented
2 years ago Примечание к требованию УБ.3 переписано:
Примечание. Для доказательства владения личным ключом при предъявлении БА пользователь может подписать билет или подпись СИ, вложенную в него. Если личный ключ используется в алгоритмах ЭЦП за пределами инфраструктуры аутентификации, то предварительно следует проверить подпись СИ. Это защитит пользователя от подписи сообщений, навязываемых под видом БА или его частей.
Требование УБ.3 предлагает "Для доказательства пользователь может подписать волатильный запрос ПС, на-пример, БА или подпись СИ, вложенную в этот билет". Считаем, что выработка ЭЦП от поступаемых извне данных является уязвимостью, которая может привести к навязыванию выработки пользователем ЭЦП для со-ставленного злоумышленником электронного документа.