olegotory
commented
6 years ago Как я понимаю, для служб OCSP, СШВ, СЗД в их ответах содержится информация, котороя позволяет однозначно определить открытый ключ (или сертификат), соответствующий личному ключу подписи (например, атрибут SigningCertificateV2 для ответа СШВ). Поэтому включение сертификата в ответ может потребоваться, фактически, только для распределения сертификата, которое нужно выполнить один раз для запрашивающей стороны (для распределения может использоваться другой механизм, например, такой же как для СОС). Включение сертификата в каждый ответ только увеличивает размер ответа. Считаю, что так как СОС и ответы_OCSP не включаются, то и большого смысла во включении СОК нет. А для распределения СОК следует использовать механизм, аналогичный распределению СОС.
agievich
Развитие темы #14.
В BPKI выпускаются следующие аттестаты (в терминологии СТБ.34.101.ades):
Эти аттестаты могут (и будут) вкладываться в документы с расширенными ЭЦП, подтверждая время выпуска документа, действительность других аттестатов, действительность самого документа.
Последние три аттестата могут включать сертификаты, последние два -- еще и СОС / ответы_OCSP. Следует понимать, что даже если аттестат не включает необходимых подчиненных аттестатов, это не проблема -- нужные аттестаты могут быть предъявлены отдельно или перенесены в верхние документы / аттестаты. Тем не менее необходима ясная политика, регулирующая включение СОК / СОС / ответы_OCSP в аттестаты.
В BPKI эта политика радикальна:
Первый пункт обсуждать не стоит, другие варианты нежизнеспособны. Но вот включение СОК в ответы-аттестаты вполне удобный канал распространения СОК. В случае штампов времени канал еще и регулируется клиентом: клиент может явно запросить СОК.
Итак, предлагается обсудить следующую развилку: