Οδηγίες για τη δημιουργία ενός ηλεκτρονικού κλειδιού υπογραφής. Οδηγίες για τη δημιουργία του κλειδιού ηλεκτρονικής υπογραφής Δημιουργήστε ένα κέντρο πιστοποίησης

Σήμερα θα μιλήσουμε για:

  • Το ενδιαφέρον το θέμα της κρυπτογράφησης και της ηλεκτρονικής υπογραφής σήμερα.
  • Ποιες κανονισμοί λειτουργούν επί του παρόντος σε αυτό το θέμα.
  • Ποιες είναι οι δυνατότητες της κρυπτογράφησης που εφαρμόζονται στην πλατφόρμα 1C.
  • Πώς να επεκτείνετε αυτές τις δυνατότητες χρησιμοποιώντας εξωτερικά εξαρτήματα.
  • Ας μιλήσουμε για το υποσύστημα "Ηλεκτρονική υπογραφή" στο BSP.
  • σχετικά με την εφαρμογή των υπηρεσιών "1C-EDO" και "1C: DirectBank", την ανάπτυξη της οποίας επιβλέπω.
  • Θα αγγίξουμε το ζήτημα της ανάπτυξης των δικών μας λύσεων για να συνεργαστούμε με την κρυπτογραφία στην πλατφόρμα 1C: Enterprise.
  • Εξετάστε τα τυπικά προβλήματα που προκύπτουν στην εισαγωγή του EDO στην επιχείρηση - θα σας πω πώς να τα λύσω.

Θέλω να δώσω προσοχή στους δύο όρους που θα χρησιμοποιηθούν στην κύρια τάξη.

  • Το πρώτο είναι EDO, ηλεκτρονική ροή εγγράφων. Κάτω από αυτό, κατανοούμε την εσωτερική ηλεκτρονική ροή εγγράφων στην επιχείρηση και εξωτερικά με αντισυμβαλλόμενα τρίτων.
  • Η δεύτερη συντομογραφία είναι Ep. Στο Διαδίκτυο υπάρχουν αποκωδικοποιητές: "Ηλεκτρονική Κυβέρνηση" και "Ηλεκτρική μονάδα δίσκου". Θα το έχουμε Ηλεκτρονική Υπογραφή.

Γιατί οι κρυπτογραφικές και ηλεκτρονικές υπογραφές σχετίζονται με την τρέχουσα στιγμή;

  • Για τη σύγχρονη επιχείρηση Η ταχύτητα των επιχειρηματικών διαδικασιών είναι ένα από τα ανταγωνιστικά πλεονεκτήματα.. Κατά την εφαρμογή της ηλεκτρονικής διαχείρισης εγγράφων, ο χρόνος που δαπανάται για τις στατιστικές μειώνεται κατά 75%.
  • Κατά την εναλλαγή σε ηλεκτρονικό έγγραφο που παρουσιάζεται Εξοικονόμηση των δικών μας πόρων (κασέτες χαρτιού για εκτυπωτές, έγγραφα για την αποθήκευση εγγράφων, χρόνο προσωπικού για την οργάνωση της διαχείρισης εγγράφων χαρτιού). Όλα αυτά βοηθούν έντονα την εταιρεία.
  • Σχεδόν κάθε επιχείρηση χρησιμοποιεί τώρα απομακρυσμένα τραπεζικά κανάλια, και Ασφάλεια απομακρυσμένων πληρωμών Σήμερα πολύ σημαντική.
  • Όλοι οι μεγάλοι φορολογούμενοι περιλαμβάνουν τώρα τις περιλήψεις που αν θέλετε να συνεργαστείτε με αυτά - μοιράζονται έγγραφα σε ηλεκτρονική μορφή. Όλα πηγαίνουν σε ηλεκτρονικό- Ηλεκτρονικά τιμολόγια, ηλεκτρονικές παραγγελίες κ.λπ. Θέλετε να συμμετάσχετε στη δημοπρασία - θα πρέπει να έχετε ηλεκτρονική υπογραφή.
  • Όλα αυτά είναι σταδιακά γίνεται μάζαΑλλά, παρά το γεγονός αυτό, ο πληθυσμός μας δεν ενημερώνεται. Αυτό αντιπροσωπεύει μια σοβαρή παράλειψη και ως εκ τούτου ο σκοπός αυτής της αναθεώρησης είναι να σας ρωτήσω ένα μάθημα που θα σας βοηθήσει να πλοηγηθείτε σε αυτά τα θέματα και να καταλάβετε τι μπορεί να μελετηθεί και πού μπορείτε να δείτε.

Ρυθμιστικό πλαίσιο, πρακτική

Τι έννοιες θα εξετάσουμε;

Ηλεκτρονικό έγγραφο

Το ηλεκτρονικό έγγραφο είναι οποιαδήποτε πληροφορία που παρουσιάζονται σε ηλεκτρονική μορφή:

  • Φωτογραφήσατε το αυτοκίνητό σας - αυτή η εικόνα είναι ένα ηλεκτρονικό έγγραφο.
  • Στείλαμε μια δήλωση στον επικεφαλής του ηλεκτρονικού ταχυδρομείου - αυτό είναι επίσης ένα ηλεκτρονικό έγγραφο.

Κάθε έγγραφο μπορεί να μεταφραστεί στο "ψηφίο", αλλά όχι κάθε ηλεκτρονικό έγγραφο μπορεί να αναγνωριστεί χωρίς τη συμμετοχή του ανθρώπου.

Η επεξεργασία μηχανών είναι πιο ελπιδοφόρα, τόσα πολλά έγγραφα μπορούν να χωριστούν Κατασκευασμένα και εξισορροπημένα ηλεκτρονικά έγγραφα.

  • Κάτω από ένα εξιστωμένο έγγραφο, καταλαβαίνουμε ότι ένα άτομο κοιτάζει τη φωτογραφία και βλέπει ότι ο αριθμός του αυτοκινήτου είναι έτσι.
  • Και για τα επίσημα ηλεκτρονικά έγγραφα, δημιουργούνται συνήθως τα συστήματα, όπου συνταγογραφείται η σύνθεση των πεδίων, των περιορισμών, η δέσμευση ή προαιρετική κ.λπ. κλπ. Αυτά τα τυποποιημένα έγγραφα μπορούν να αναγνωριστούν αυτόματα.

Προοπτική για επίσημα ηλεκτρονικά έγγραφα. Τα τμήματα μεταφέρουν σταδιακά σε νέες ράγες. Πολλοί από αυτούς παράγουν τους κανονισμούς τους που περιγράφουν σε ποια μορφή μπορούν να ανταλλάσσονται πληροφορίες.

  • Για παράδειγμα, η δοκιμή Arbitral δέχεται έγγραφα μόνο σε μορφή PDF.
  • Και τα ηλεκτρονικά τιμολόγια πρέπει να μεταδίδονται σε μορφή XML και υπάρχει ένα ειδικό ρυθμιστικό πλαίσιο με περιγραφή των απαιτούμενων πεδίων τους. Οι φορολογούμενοι που θέλουν να μοιράζονται τιμολόγια σε ηλεκτρονική μορφή πρέπει να συμμορφώνονται με αυτές τις απαιτήσεις.

Προηγουμένως, υπήρξε ένα πρόβλημα ότι το FTS υποχρεώνει να μετακινηθεί σε μια νέα μορφή ηλεκτρονικών εγγράφων είναι περίπου το ίδιο με μια νέα μορφή ηλεκτρονικής αναφοράς - από την 1η Μαρτίου θα υπάρχει μια νέα μορφή, και στη συνέχεια "ακόμα και το γρασίδι δεν αναπτύσσεται ". Τώρα, μετά από μερικά χρόνια, δημοσιεύουν τη μορφή, περιμένοντας τα σχόλια και στη συνέχεια προειδοποιούν ότι είναι απαραίτητο να περάσουν ομαλά να περάσουν φέτος. Ταυτόχρονα, τόσο παλιές όσο και νέες μορφές γίνονται αποδεκτές παράλληλα. Η φορολογική υπηρεσία θα πρέπει πάντα να λαμβάνει έγγραφα σε οποιαδήποτε μορφή, διότι τα έγγραφα μπορούν να είναι πέντε ετών και σε ηλεκτρονική μορφή πρέπει να γίνονται δεκτά.

Ηλεκτρονική Υπογραφή

Ο νόμος αριθ. 63-FZ εισάγει την έννοια της ηλεκτρονικής υπογραφής. Προηγουμένως, υπήρξε η έννοια της "ηλεκτρονικής ψηφιακής υπογραφής" (EDS), τώρα είναι πιο σωστή η χρήση του όρου "Ηλεκτρονική υπογραφή". Υπάρχει νόμος Τρεις τύποι ηλεκτρονικής υπογραφής.

  • Η πρώτη άποψη είναι Απλή ηλεκτρονική υπογραφή. Για παράδειγμα, όταν χρησιμοποιείτε μια κινητή τράπεζα, λαμβάνετε ένα SMS με έναν πρόσφατο κωδικό πρόσβασης και κάνετε επιβεβαίωση - αυτό είναι ένα ανάλογο μιας απλής ηλεκτρονικής υπογραφής. Με μια τέτοια υπογραφή, μπορείτε να καθορίσετε μόνο τον συγγραφέα.
  • Το δεύτερο και το τρίτο είδος είναι Ενισχυμένη ηλεκτρονική υπογραφή. "Ενισχυμένη" σημαίνει ότι χρησιμοποιείται κάποιο είδος κρυπτοποίησης. Η ενισχυμένη υπογραφή χωρίζεται σε Ανεξέλεγκτη και προσόντα.

Μια ενισχυμένη εξειδικευμένη ηλεκτρονική υπογραφή ονομάζεται μερικές φορές απλά ειδικευμένη ηλεκτρονική υπογραφή (CEP). Πρόκειται για ηλεκτρονική υπογραφή βάσει πιστοποιητικού, το οποίο εκδίδεται από ένα διαπιστευμένο κέντρο πιστοποιητικών. Το Υπουργείο Επικοινωνίας διεξάγεται από τον κατάλογο των κέντρων πιστοποίησης που παρέχουν πιστοποιητικά ηλεκτρονικής υπογραφής.

Πιστοποιητικό ηλεκτρονικής υπογραφής (Μπορεί ακόμα να ονομάζεται πιστοποιητικό κλειδιού ηλεκτρονικής υπογραφής) - αυτό Χαρτί ή ηλεκτρονικό έγγραφο, καθορίζοντας σαφώς ποιος κατέχει αυτή την υπογραφή.

Η ειδική ηλεκτρονική υπογραφή ισχύει πιο ευρέως. Ο κύριος σκοπός του είναι ότι επιβεβαιώνει τη συγγραφέα, εγγυάται μη πιο κοντά και εξασφαλίζει την ακεραιότητα των υπογεγραμμένων δεδομένων. Αυτό σημαίνει ότι αν υπογράψατε ένα ηλεκτρονικό τιμολόγιο από μια εξειδικευμένη ηλεκτρονική υπογραφή, τότε:

  • Δεν μπορείτε να πείτε ότι αυτό δεν είναι η υπογραφή σας.
  • Δεν μπορείτε να το αρνηθείτε (να αποσύρετε).
  • Μπορείτε να ελέγξετε αν οι αλλαγές που έγιναν σε αυτό το έγγραφο αφού το υπογράψατε.

Εάν μιλάτε pro Εφαρμογή ηλεκτρονικών υπογραφών, Αξίζει να τους χωρίσετε σε τοπικό και σύννεφο.

  • Τοπική ηλεκτρονική υπογραφή - Κατάσταση κατά την υπογραφή οποιωνδήποτε εγγράφων στον υπολογιστή σας. Σε αυτή την περίπτωση, απαιτείται κρυπτοποίηση, η εγκατάσταση του πιστοποιητικού είναι πολλές δυσκολίες.
  • Σύννεφο ηλεκτρονική υπογραφή - Η κατάσταση όταν εμπιστεύεστε την αποθήκη κλειστών κλειδιών σε μια συγκεκριμένη κάτοψη στο "σύννεφο" και να υπογράψετε το έγγραφο, είναι απαραίτητο να το μεταφέρετε πριν από αυτό το σύννεφο. Πιθανότατα, ένας κωδικός μιας χρήσης θα έρθει στο τηλέφωνό σας για να επιβεβαιωθεί. Και μετά την επιβεβαίωση, η ηλεκτρονική υπογραφή θα διαμορφωθεί στο διακομιστή στο σύννεφο και θα λάβετε ένα υπογεγραμμένο έγγραφο.

Το FSB έχει κυκλοφορήσει μια επεξηγηματική επιστολή στην οποία το εξήγησε Η ηλεκτρονική υπογραφή σύννεφων δεν είναι κατάλληλη. Ως εκ τούτου, εάν ο νόμος λέει ότι το έγγραφο πρέπει να υπογραφεί από μια εξειδικευμένη ηλεκτρονική υπογραφή και έχετε ένα έγγραφο που υπογράφεται στο "σύννεφο", τότε λάβετε υπόψη ότι αυτό μπορεί να έχει προβλήματα - σε αυτό πρέπει να προσεγγίσετε πολύ προσεκτικά.

Τι άλλο μπορώ να πω μια ενδιαφέρουσα νομοθεσία που θα μας ενδιαφέρει;

  • Το 2016 εμφανίστηκε ένα ενιαίο κέντρο πιστοποίησης του Υπουργείου Επικοινωνιών της Ρωσίας, το οποίο σας επιτρέπει να δημιουργήσετε μια αλυσίδα εμπιστοσύνης μέχρι οποιοδήποτε πιστοποιητικό. Το κέντρο πιστοποίησης του κεφαλαίου του Υπουργείου Επικοινωνιών επικοινωνίας, εκδίδει πιστοποιητικά σε διαπιστευμένα κέντρα πιστοποίησης και έχουν ήδη εκδοθεί σε ιδιώτες και νομικά πρόσωπα. Επομένως, για οποιαδήποτε ηλεκτρονική υπογραφή μπορείτε πάντα να χτίσετε μια αλυσίδα εμπιστοσύνης. Είναι πολύ βολικό, επειδή ήταν δύσκολο να ελέγξει στην πράξη ότι η υπογραφή από ένα άλλο κέντρο πιστοποίησης της Validna.
  • Το μεγαλύτερο μέρος της νέας - στις αρχές του 2017, το Υπουργείο Συγκοινωνιών έκανε μια νομοθετική πρωτοβουλία για την έκδοση όλων των ειδικευμένων ηλεκτρονικών υπογραφών για να δώσουν στο κρατικό μονοπώλιο. Στην κεντρική αυτή τράπεζα και το Υπουργείο Οικονομικής Ανάπτυξης, κυριολεκτικά τον Ιούλιο απάντησε ότι ήταν αδύνατο να γίνει αυτό, διότι θα χρειαστούν τις δουλειές και θα καταστρέψουν αυτό που εργάστηκαν εδώ και χρόνια. Πιθανότατα, αυτή η νομοθετική πρωτοβουλία δεν θα προχωρήσει περαιτέρω, αλλά μια τέτοια σκέψη ήταν.

Χαρακτηριστικά της χρήσης EDO με EP σε εταιρείες

Ποια είναι τα χαρακτηριστικά της χρήσης της ηλεκτρονικής διαχείρισης εγγράφων σε εταιρείες; Παρακαλείστε να σημειώσετε ότι όταν ξεκινάτε έργα που σχετίζονται με την ηλεκτρονική υπογραφή και την κρυπτογραφία, οι συμβουλευτικές υπηρεσίες είναι πολύ σημαντικές.

Αν ένα Η εταιρεία εγκαινιάζει ηλεκτρονική ροή εγγράφων, έπειτα:

  • Το πρώτο καθήκον είναι να ορίσετε τη χρήση της ηλεκτρονικής διαχείρισης εγγράφων στις λογιστικές πολιτικές ·
  • Επόμενη ανάγκη να εκδώσει μια εντολή στην επιχείρησηΠού να καθορίσετε ποια πρόσωπα μπορούν να υπογράψουν έγγραφα.
  • Εάν ανταλλάσσετε έναν αντισυμβαλλόμενο, πρέπει να έχετε μια συμφωνία στην οποία είναι γραμμένη πώς θα ακυρώσετε και θα προσαρμόσετε τα έγγραφα. Για παράδειγμα, αν δεν σας αρέσει κάποιο έγγραφο χαρτιού, μπορείτε να συμφωνήσετε με τον αντισυμβαλλόμενο και να το σπάσετε και όλα θα είναι καλά. Και σε ηλεκτρονική μορφή όλα είναι πιο περίπλοκα, επειδή ο αριθμός των αντιγράφων του εγγράφου που δημιουργήσατε και υπογεγραμμένος μπορεί να είναι απεριόριστος. Και ακόμα κι αν εσείς και ο αντισυμβαλλόμενος σας συμφώνησε να ακυρώσετε αυτό το έγγραφο, τότε το ισοδύναμο ηλεκτρονικού ταχυδρομείου του δεν είναι αρκετό για να αφαιρέσετε απλά από τη βάση σας. Για να προσαρμόσετε το ηλεκτρονικό έγγραφο ή να το απορρίψετε, πρέπει να δημιουργήσετε ένα νέο ηλεκτρονικό έγγραφο στη βάση του και να το καθορίσετε ήδη πώς η συμφωνία σας κοιτάζει τώρα. Και μόνο αφού υπογράψετε αυτό το νέο ηλεκτρονικό έγγραφο και στις δύο πλευρές, οι πληροφορίες συναλλαγών θα καθοριστούν με τη φόρμα που χρειάζεστε.

Όλα αυτά πρέπει να συνταγογραφούνται και να χρησιμοποιηθούν.

Η ετοιμότητα του κανονιστικού πλαισίου

Θα εκτιμούσα την ετοιμότητα του ρυθμιστικού μας πλαισίου - ήδη υπάρχει κάποιο είδος "κτιρίου", αλλά πρέπει να είναι πιο ακριβής.

  • Για παράδειγμα, Δεν υπάρχει καμία κατανόηση του τρόπου με τον οποίο θα ελέγξουμε την ηλεκτρονική υπογραφή στο αρχείο ηλεκτρονικών εγγράφων σε πέντε χρόνια. Επειδή το πιστοποιητικό ζει ένα χρόνο, και όταν τελειώσει η περίοδος ισχύος, η υπογραφή θα είναι vivend - δεν είναι σαφές πώς να ελέγξετε.
  • Δεν είναι σαφές ποια είναι η "ημερομηνία υπογραφής". Για ορισμένα λογιστικά έγγραφα, είναι σημαντικό να γνωρίζουμε ποιο χρονικό διάστημα υπογράφηκε το έγγραφο. Τώρα, κατά την υπογραφή του εγγράφου, μπορείτε να "mukhlove" - \u200b\u200bνα μεταφερθεί η ημερομηνία του υπολογιστή, η υπογραφή και θα μοιάζει με ένα έγγραφο που υπογράφεται από το "πίσω". Ως εκ τούτου, προκειμένου να αναφερθεί σαφώς ότι το έγγραφο που έχει εγγραφεί τότε θα πρέπει να είναι μία από τις επιλογές:
    • ή πρέπει να υπάρχει μια ενιαία κεντρική κατανομή των ετικετών χρόνου, έτσι ώστε κατά τη στιγμή της υπογραφής των εγγράφων πήγαμε σε κάποιο τμήμα ομοσπονδιακής υπηρεσίας, το οποίο θα μας έδινε μια χρονική σφραγίδα για υπογραφή.
    • Ή, όταν ανταλλάγετε τιμολόγια ηλεκτρονικού ταχυδρομείου, υπάρχει ένας άλλος τρίτος σύνδεσμος - αυτός είναι ένας ηλεκτρονικός φορέας διαχείρισης εγγράφων. Χάει τα έγγραφα μέσω του εαυτού του και δεν δίνει "dimness", επειδή δημιουργεί τις αποδείξεις της (επιβεβαίωση), στην οποία συνταγογραφείται η ημερομηνία και η ώρα.

Γενικά, υπάρχει πού να μετακινηθείτε.

Ο μηχανισμός της κρυπτογράφησης στην πλατφόρμα "1C: Enterprise 8"

Ο μηχανισμός κρυπτογράφησης στην πλατφόρμα εμφανίστηκε από την έκδοση 8.2 - αυτός είναι ένας αρκετά νέος μηχανισμός. Η ίδια η πλατφόρμα δεν περιέχει cryptoalgorithms, περιέχει μόνο κλήσεις και αντικείμενα με τα οποία μπορείτε να ανατρέξετε σε κρυπτογραφικές υπηρεσίες στον υπολογιστή:

  • Για τα παράθυρα είναι η διεπαφή Cryptoapi.
  • Για το Linux δεν υπάρχουν τέτοιες διεπαφές, υπάρχει άμεση έκκληση στις κρυπτογραφικές μονάδες.

Από εδώ γίνεται σαφές ότι Η κρυπτογραφία μπορεί να εφαρμοστεί μόνο αν η κρυπτοφορία είναι εγκατεστημένη στον υπολογιστή. Και, από την άλλη πλευρά, ότι η ίδια η πλατφόρμα "1C: επιχείρηση" δεν απαιτείται να πιστοποιείται από την άποψη της κρυπτογραφίας.

Κύριες κρυπτογραφικές λειτουργίες στην πλατφόρμα 1C: Επιχειρήσεις 8:

  • Γνωρίζετε ότι η πλατφόρμα μπορεί να εργαστεί σε διαφορετικές λειτουργίες: παχύ, λεπτό, web πελάτη, εξωτερική σύνδεση και κινητή εφαρμογή. Σε όλες αυτές τις λειτουργίες εκτόξευσης, υποστηρίζεται η κρυπτογραφία - Για μια εφαρμογή για κινητά, η υποστήριξη για κρυπτογραφικούς μηχανισμούς εμφανίστηκε από την έκδοση 8.3.10. Θα συνιστούσα να διαβάσω τον "βοηθό σύνταξης" και να παρακολουθήσω ποιες μέθοδοι είναι διαθέσιμες σε μία ή άλλη λειτουργία εκτόξευσης, επειδή υπάρχουν περιορισμοί.
  • Η πλατφόρμα σάς επιτρέπει να εργάζεστε με ανοικτά πιστοποιητικά κλειδιών (X.509)που είναι εγκατεστημένες στον υπολογιστή. Δεν μπορούμε να απελευθερώσουμε ένα νέο πιστοποιητικό ή να ζητήσουμε την απελευθέρωσή της, δουλεύουμε μόνο με αυτό που έχουμε - χρησιμοποιώντας τους μηχανισμούς πλατφόρμας, μπορούμε να βρούμε ένα πιστοποιητικό σε έναν υπολογιστή, να διαβάσετε τα χαρακτηριστικά του, να το ξεφορτώσετε σε ένα αρχείο και να ελέγξετε τον αριθμό που ισχύει.
  • Συχνά συναντήθηκα την πρακτική μου με παρεξήγηση Πώς στην πλατφόρμα λειτουργεί κρυπτογράφηση και αποκωδικοποίηση. Αυτό είναι ιδιαίτερα σημαντικό όταν κάνετε ενσωμάτωση με κάποιο εξωτερικό ανάδοχο, το οποίο δεν λειτουργεί για 1C. Όταν κρυπτογραφήσατε το έγγραφο, το έστειλε στην άλλη πλευρά και εκεί προσπαθούν να αποκρυπτογραφήσουν. Για παράδειγμα, οι ερωτήσεις συχνά προκύπτουν εάν ο αλγόριθμος GOST 28147-89 καθορίστηκε κατά τη ρύθμιση ενός κρυπτοποιητή σε 1C, η οποία είναι συμμετρική και η αποκρυπτογράφηση απαιτεί έκκληση στο κλειστό κλειδί. Επιτρέψτε μου να σας υπενθυμίσω ότι ο συμμετρικός αλγόριθμος κρυπτογράφησης υποδηλώνει ότι για κρυπτογράφηση και αποκρυπτογράφηση που χρησιμοποιείτε το ίδιο κλειδί. Και η ασύμμετρη κρυπτογράφηση είναι όταν τα δεδομένα κρυπτογραφούνται χρησιμοποιώντας το δημόσιο κλειδί και ένα άλλο κλειστό (μυστικό) κλειδί χρησιμοποιείται για την αποκρυπτογράφηση. Οι εργολάβοι ερωτούν: "Αλλά είπατε ότι ο αλγόριθμος κρυπτογράφησης είναι συμμετρικός, γιατί τότε όταν αποκρυπτογραφείτε χρειάζεστε ένα κλειστό μέρος του κλειδιού;" Ας καταλάβουμε πώς λειτουργεί ο μηχανισμός κρυπτογράφησης στην πλατφόρμα:
    • Ένα τυχαία δημιουργεί ένα κλειδί σταθερού μήκους, με το οποίο το σύνολο δεδομένων κρυπτογραφείται σύμφωνα με έναν συμμετρικό αλγόριθμο.
    • Στη συνέχεια το ίδιο το κλειδί είναι κρυπτογραφημένο από έναν ασύμμετρο αλγόριθμο χρησιμοποιώντας ένα δημόσιο κλειδί ενός παραλήπτη.
    • Η κρυπτογράφηση που χρησιμοποιεί ένα συμμετρικό αλγόριθμο λειτουργεί πιο γρήγορα - έχουμε κρυπτογραφηθεί μια μεγάλη ποσότητα δεδομένων και στη συνέχεια το μικρό κλειδί του σταθερού μήκους κρυπτογραφείται γρήγορα χρησιμοποιώντας έναν ασύμμετρο αλγόριθμο.
    • Τα κρυπτογραφημένα δεδομένα, κατάλογος πιστοποιητικών παραλήπτη και το ίδιο το κρυπτογραφημένο κλειδί συσκευάζονται σε ένα πακέτο προδιαγραφών PCCS # 7.
    • Αυτό το πακέτο αποστέλλεται στην πλευρά του παραλήπτη.
    • Και η αποκωδικοποίηση λειτουργεί με την αντίστροφη σειρά.
  • Υπογραφή και έλεγχος της ηλεκτρονικής υπογραφής. Κατά την υπογραφή των εργαλείων πλατφόρμας, μια έκκληση προς το κλειστό τμήμα του κλειδιού και τον έλεγχο ακεραιότητας (μαθηματική εγκυρότητα) της υπογραφής είναι ενσωματωμένη στην πλατφόρμα. Από την άποψη της νομικής σημασίας δεν αρκεί. Εάν θέλετε να ελέγξετε την ηλεκτρονική υπογραφή στο πλαίσιο του εγγράφου, πρέπει να ελέγξετε:
    • Πιστοποιητικό;
    • Μαθηματική εγκυρότητα των δεδομένων που στείλατε.

Αυτό γίνεται στον μηχανισμό BSP - αυτό θα συζητηθεί λίγο αργότερα. Η πλατφόρμα δεν το κάνει.

Προστατευόμενη σύνδεση TLS για την οργάνωση ενός κρυπτογραφημένων καναλιών ανταλλαγής δεδομένων.Υποστηρίζονται δύο εκδόσεις TLS - 1.0 / 1.2. Η έκδοση TLS έχει οριστεί στην πηγή με την οποία τοποθετείτε τη σύνδεση - εάν η πηγή χρησιμοποιεί πρωτόκολλο 1.2, τότε η πλατφόρμα θα αυξήσει την κρυπτογραφημένη ένωση 1.2. Εάν χρησιμοποιείται BSP, στη συνέχεια, κατά την πρόσβαση σε έναν πόρο, στη διεύθυνση της οποίας είναι εγγεγραμμένα "https", η κρυπτογράφηση ενεργοποιείται αυτόματα. Εάν το "http" είναι εγγεγραμμένο στη διεύθυνση, τότε η κυκλοφορία δεν κρυπτογραφείται. Ένα άλλο ενδιαφέρον πράγμα που μπορώ να πω ότι πριν η κρυπτογραφημένη σύνδεση εγκαταστάθηκε μόνο στους αλγόριθμους RSA και τώρα στους αλγόριθμους GOST. Τα προγράμματα περιήγησης δεν υποστηρίζονται από τους αλγόριθμους GOST και η πλατφόρμα είναι ήδη ικανή. Αλλά δεν είναι όλα καλά, δυστυχώς.

Έχω ήδη αναφέρει ότι η πλατφόρμα μπορεί να λειτουργήσει μόνο με αυτές τις κρυπτογραφικές υπηρεσίες που είναι εγκατεστημένες στον ίδιο τον υπολογιστή. Συνεπώς, υπάρχει ένα όριο - αν θέλετε να χρησιμοποιήσετε την κρυπτογραφία, πρέπει να έχετε κάποιο είδος κρυπτοποίησης. Εν Η κρυπτοποίηση δεν μπορεί να χρησιμοποιηθεί σε φορητή λειτουργία, πρέπει να εγκατασταθεί στο OS. Φαίνεται ότι υπήρχε ένα διακριτικό με την κρυπτσία στον υπολογιστή, η πλατφόρμα συνεργάστηκε μαζί του - δεν θα λειτουργούσε.

Η ηλεκτρονική υπογραφή δημιουργείται μόνο σε μορφή PKCS # 7 (Ξεχωριστό, εξωτερικό αρχείο), με άλλο τρόπο η πλατφόρμα δεν ξέρει πώς.

Ορισμένα τμήματα απαιτούν μορφή υπογραφής. Xmldsig - Σε μια απλοποιημένη έκδοση, η κατάσταση όταν στο αρχείο XML μπορείτε να πάρετε ένα συγκεκριμένο σύνολο ετικετών, να τις υπογράψετε και να βάλετε την υπογραφή στην επόμενη ετικέτα έτσι ώστε σε ένα έγγραφο υπήρχαν αρκετές υπογραφές. Η πλατφόρμα δεν ξέρει πώς να το κάνει αυτό.

Θα το σημείω ακόμα Με τη βοήθεια της πλατφόρμας, είναι δύσκολο να διαγνώσει τα αναδυόμενα προβλήματα.Για παράδειγμα, υπάρχουν Cryptochement στον υπολογιστή, υπάρχει ένα πιστοποιητικό, κάπου υπάρχει κλειστό μέρος του κλειδιού και αν η πλατφόρμα αρχίσει να το ονομάζει όλα και σε κάποιο σημείο κάτι δεν ταιριάζει, απλά δίνεται σφάλμα - Τι απέτυχε και η λειτουργία δεν έχει συμβεί. Τι συνέβη εκεί, όπου το πρόβλημα είναι ακατανόητο. Επομένως, υπάρχει πού να μετακινηθείτε προς αυτή την κατεύθυνση και την πλατφόρμα και τις κρυπτότητες.

Κρυπτογραφία σε εξωτερικά εξαρτήματα

Για να καταργήσετε τους περιορισμούς στην πλατφόρμα, μπορείτε να προσπαθήσετε να κάνετε ένα εξωτερικό συστατικό.

  • Για το σκοπό αυτό, η εταιρεία "1c" έχει ένα σύνολο Μεθοδολογία, δημοσιεύεται στο δίσκο Στο https://its.1c.ru/db/metod8dev#content: 221: HDOC. Παραδείγματα συνδέονται με αυτό, μπορείτε να χρησιμοποιήσετε.
  • Κατά την ανάπτυξη ενός εξωτερικού εξαρτήματος σε εσάς Πρέπει να κάνετε συναρμολογήσεις για όλα τα λειτουργικά συστήματα στα οποία εργάζονται οι πελάτες σας. Λοιπόν, αν γνωρίζετε εκ των προτέρων ότι έχετε 100 πελάτες και όλα τα παράθυρα 32-bit. Εάν αυτό δεν συμβαίνει, θα πρέπει να πραγματοποιήσετε συναρμολογήσεις:
    • για το Linux;
    • Για παράθυρα (32 απορρίψεις και 64 ψηφία).
    • Εάν οι πελάτες σας λειτουργούν μέσω του προγράμματος περιήγησης, πρέπει να δημιουργήσετε ξεχωριστά την επέκταση για κάθε πρόγραμμα περιήγησης.
  • Κατά τη λειτουργία είναι ακόμη χειρότερη. Εργάζεστε με ένα εξωτερικό στοιχείο, όπως συμβαίνει με ένα αντικείμενο των οποίων οι ιδιότητες γνωρίζετε μόνο. Εάν κατά τη διάρκεια της εφαρμογής, έχετε κάνει κάποιο λάθος κάπου, ο κωδικός προγράμματος για αλληλεπίδραση με αυτό το αντικείμενο δεν θα μπορέσει να εργαστεί.
  • Υπάρχει ένα άλλο πρόβλημα - Δεν είναι σαφές πώς θα παραδώσετε αυτό το εξωτερικό στοιχείο στον πελάτη. Η πλατφόρμα του πελάτη αξίζει ήδη, με κρυπτότητες, όλα, όλα είναι σαφή, και τώρα γράψατε ένα εξωτερικό συστατικό που δεσμεύει την κρυπτογράφηση και την πλατφόρμα. Αλλά όπου κοστίζει αυτό το εξωτερικό στοιχείο, καθώς το βάζετε με τον πελάτη - δεν είναι σαφές.
  • Εσυ πρεπει Διατηρήστε και ενημερώστε τον κωδικό προγράμματος. Εάν χρησιμοποιείτε το εξωτερικό σας στοιχείο σε μια τυπική λύση, σημαίνει ότι όλα πρέπει να ληφθούν υπόψη κατά την ενημέρωση της. Και αν δημιουργηθεί μια νέα έκδοση της πλατφόρμας, πρέπει να κάνετε τα πάντα.
  • Υπάρχουν έτοιμοι παραδείγματα εξωτερικών εξαρτημάτων. Το πιο ζωντανό παράδειγμα της πρακτικής μου είναι ένα εξωτερικό στοιχείο για το sberbank. Ακριβώς, η Sberbank παράγει ένα εξωτερικό στοιχείο για την υπηρεσία "1C: DirectBank". Αυτό το εξωτερικό στοιχείο εφαρμόζει τη δική του μορφή ηλεκτρονικής υπογραφής και την εγκατάσταση κρυπτογραφημένης ένωσης.

BSP υποσύστημα "Ηλεκτρονική υπογραφή"

Τώρα για το πόσο πιο εύκολο να εργαστεί.

"1C: Βιβλιοθήκη τυποποιημένων υποσυστημάτων" (BSP) είναι μια έτοιμη τυπική διαμόρφωση από το "1c", ένα σύνολο καθολικών λειτουργικών υποσυστημάτων, ένα από τα οποία ονομάζεται "ηλεκτρονική υπογραφή".

Αμέσως θέλω να σημειώσω ότι το ίδιο το BSP είναι ένα συγκεκριμένο απομονωμένο επίπεδο από την πλατφόρμα, η οποία διαθέτει διεπαφές λογισμικού και χρήστη. Το υποσύστημα "ηλεκτρονικής υπογραφής" εφαρμόζει ένα λογισμικό και διεπαφή χρήστη για να συνεργαστεί με κρυπτογραφία (κρυπτογράφηση, ηλεκτρονική υπογραφή).

Κατά την εξέταση του υποσυστήματος "Ηλεκτρονική υπογραφή" είναι σημαντικό να καταλάβετε τι είναι σε αυτό:

  • Βασική λειτουργικότητα, όπου εφαρμόζεται ότι ποτέ δεν θα αγγίξει αν θέλετε τα πάντα να εργαστούν.
  • Και υπάρχει ένα ειδικό ανεπιθύμητο μέρος για τους προγραμματιστές όπως εμείς, όπου μπορείτε να προσθέσετε κάτι για να λειτουργήσετε διαφορετικά. Εάν δεν υπάρχει κάτι, συστήνω να γράψω στους τύπους που αναπτύσσουν ένα BSP για να ξεκινήσουν τη δυνατότητα να ξεπεράσουν τη βασική λειτουργικότητα και στη συνέχεια μπορείτε να κάνετε ό, τι χρειάζεστε σε ένα επαναπροσδιορισμένο μέρος.

Ο αριθμός των αντικειμένων στο υποσύστημα δεν είναι πολύ μεγάλος, οι κατάλογοι είναι μόνο δύο:

  • "Πρόγραμμα Elektronnyepopyships"?
  • "ΠιστοποιητικόΚατασκευαστικήelectronic posyaching".

Αλλά ο αριθμός των γραμμών κώδικα σε κοινές μονάδες είναι πολύ μεγάλες - 11,5 χιλιάδες στροφές κώδικα. Και η ίδια η δουλειά με το υποσύστημα δεν είναι πολύ απλή.

Πώς να ενσωματώσετε ένα υποσύστημα ηλεκτρονικής υπογραφής;
Ας υποθέσουμε ότι έχετε κάποια διαμόρφωση, αποφασίσατε ότι πρέπει να ενσωματώσετε αυτό το υποσύστημα σε αυτό:

  • Πρώτα απ 'όλα, πρέπει να διαβάσετε το πώς να ενσωματώσετε τα υποσυστήματα.
  • Στη συνέχεια, διαβάστε τις οδηγίες για το υποσύστημα (το κεφάλαιο "Ρύθμιση και χρήση υποσυστημάτων σε ανάπτυξη διαμόρφωσης", υποτομέα "Ηλεκτρονική υπογραφή") - η σειρά εργασίας είναι γραμμένη εκεί.
  • Είναι απαραίτητο να εξοικειωθούν με το Demobaz BSP με παραδείγματα των προκλήσεων του υποσυστήματος ηλεκτρονικής υπογραφής.
  • Και στο τέλος, αφού έχετε δημιουργήσει το υποσύστημα, πρέπει να ελέγξετε:
    • Υπάρχει ένας εκτεταμένος έλεγχος πλατφόρμας όταν ενσωματώσετε αντικείμενα.
    • Και εξακολουθεί να υπάρχει ξεχωριστή επεξεργασία για το "έλεγχο των υποσυστημάτων ενσωμάτωσης του BSP" - με τη βοήθεια του μπορείτε να ελέγξετε τον τρόπο με τον οποίο όλοι ενσωματώνονται.

Και αν έχετε μια διαμόρφωση από το μηδέν, παίρνετε το υποσύστημα και γράψτε σε αυτό - θα ενημερώσετε τον εαυτό σας.

Πώς να δοκιμάσετε μια ηλεκτρονική υπογραφή;

  • Για τη δοκιμή είναι δυνατή Χρησιμοποιήστε πιστοποιητικό αυτο-υπογεγραμμένου - Απελευθερώστε το στην κρυπτογράφηση σας από τη Microsoft, η οποία είναι ενσωματωμένη στα Windows.
  • Ή είναι δυνατόν Χρησιμοποιήστε εξωτερική σύντηξη. Με τη βοήθεια του "Cryptopro" μπορείτε:
    • Λήψη δοκιμαστικής έκδοσης από τον ιστότοπό σας.
    • να παραγγείλετε ένα πιστοποιητικό δοκιμής μέσω του Κέντρου Πιστοποίησης Δοκιμών.
    • Τοποθετήστε το πιστοποιητικό ρίζας του Κέντρου Πιστοποίησης Δοκιμών.
    • Κατεβάστε και τοποθετήστε μια λίστα με την ανάκληση πιστοποιητικού (SOS) από αυτό το UC.

Έτσι, "χωρίς να σηκώνεστε από τον καναπέ", θα λάβετε ένα περιβάλλον δοκιμής για την εργασία με πιστοποιητικά και κρυπτογραφία. Αυτό μπορεί να χρησιμοποιηθεί.

Οι κύριες λειτουργίες του υποσυστήματος "Ηλεκτρονική υπογραφή" από το BSP

Αυτό είναι ένα παράδειγμα ενός Demobaz BSP. Στην ενότητα "Διοίκηση" υπάρχουν δύο λειτουργικές επιλογές: "Κρυπτογράφηση" και "Ηλεκτρονική υπογραφή". Εάν τα ενεργοποιήσετε, μπορείτε να μεταβείτε στις ρυθμίσεις.

Οι ρυθμίσεις είναι δύο βιβλία αναφοράς: "Προγράμματα" και "πιστοποιητικά". Στο "Προγράμματα", το σύστημα καθορίζει ποια προγράμματα εγκαθίστανται και αμέσως δείχνουν ότι όλα είναι καλά ή όλα είναι κακά. Εάν χρησιμοποιείτε κάποιο είδος συγκεκριμένης κρυπτοποίησης, το οποίο δεν βρίσκεται στο BSP, μπορείτε να κάνετε κλικ στο κουμπί "Προσθήκη" και να καθορίσετε τις παραμέτρους της έκκλησης σε αυτό.

Εάν εργάζεστε μέσω πελάτη Web, το υποσύστημα BSP θα προτιμήσει να χρειαστεί να εγκαταστήσετε την επέκταση για να εργαστείτε με αρχεία και επέκταση για να εργαστείτε με κρυπτογραφία. Είναι πολύ βολικό γιατί δεν χρειάζεται να προσαρμόσετε τον εαυτό σας - το σύστημα θα βρει μια επέκταση και θα προσφέρει να το θέσει.

Τα πιστοποιητικά μπορούν να προστεθούν με δύο τρόπους.

  • Η πρώτη επιλογή είναι "από εγκατεστημένη στον υπολογιστή". Σε αυτή την περίπτωση, ανοίγει το παράθυρο διαλόγου, όπου καθορίζουμε τον τρόπο με τον οποίο θα χρησιμοποιήσουμε αυτό το πιστοποιητικό.

  • Και η δεύτερη επιλογή - μπορείτε να παραγγείλετε την απελευθέρωση ενός νέου πιστοποιητικού. Παρακαλείστε να σημειώσετε ότι η ίδια η πλατφόρμα δεν επιτρέπει την παραγγελία ενός προβλήματος πιστοποιητικού και το BSP επιτρέπει. Η BSP έκανε ενσωμάτωση με το Κέντρο Πιστοποίησης 1C, το οποίο εκδίδει πιστοποιητικά ειδικευμένης ηλεκτρονικής υπογραφής. Μπορείτε να περάσετε από τον οδηγό ρυθμίσεων:
    • Το σύστημα θα ζητήσει ποια έγγραφα να καλύψουν και να εκτυπωθούν για την έκδοση του πιστοποιητικού.
    • Θα χρειαστεί να ολοκληρωθεί μια συμφωνία με έναν εταίρο που μπορεί να διεξάγει μια ταυτότητα και να μεταφέρει έγγραφα σε 1C.
    • Μετά το 1C λαμβάνει έγγραφα, θα κυκλοφορήσει πιστοποιητικό.
    • Το σύστημα θα το βρει και θα το εγκαταστήσει σε έναν υπολογιστή.

Έτσι, οι χρήστες χωρίς να εγκαταλείψουν το πρόγραμμα λαμβάνουν πιστοποιητικό ηλεκτρονικής υπογραφής.

Η μαγεία συμβαίνει στη συνέχεια - Έλεγχος του πιστοποιητικού με τη διάγνωση της ορθότητας των ρυθμίσεων. Αυτό το παράθυρο διαλόγου σάς επιτρέπει να ελέγχετε τον τρόπο με τον οποίο έχει ρυθμιστεί σωστά η κρυπτογραφία στον υπολογιστή - το σύστημα θα προσπαθήσει να υπογράψει το πιστοποιητικό, να ελέγξει, να κρυπτογραφήσει, να αποκρυπτογραφεί. Είναι επίσης δυνατή η εισαγωγή ορισμένων πρόσθετων διαγνωστικών εδώ.

Εάν εσείς ή οι πελάτες σας έχετε κάποια προβλήματα, τρέχετε "διαγνωστικά" και όλα θα είναι σαφή. Εάν υπάρχουν προβλήματα, όπως στο παράδειγμα σχετικά με τη διαφάνεια, μπορείτε να κάνετε κλικ στο εικονίδιο σφάλματος, θα σας δείξει πιθανές αιτίες και θα προσπαθήσετε να σας πω τι να διορθώσετε.

Πώς να κάνετε κλήσεις για υπογραφή και κρυπτογράφηση / αποκρυπτογράφηση Μπορείτε να δείτε το παράδειγμα του καταλόγου "Αρχεία" στη βάση δεδομένων επίδειξης του BSP ή στη διεύθυνση "1C: Εμπορίου", "1C: ERP" - υπάρχει το ίδιο υποσύστημα.

Υπηρεσίες "1C-EDO" και "1C: Direct-Bank"

Πώς είναι η κρυπτογραφία στις υπηρεσίες; Η πρώτη υπηρεσία, 1C-EDO είναι μια υπηρεσία που έχει σχεδιαστεί για να ανταλλάσσει νόμιμα σημαντικά ηλεκτρονικά έγγραφα μέσω φιλικών φορέων της εταιρείας "1c".

  • Λειτουργικότητα πελάτη αναπτύσσεται στη "Ηλεκτρονική Βιβλιοθήκη εγγράφων".
  • Όταν προσπαθείτε να συνδεθείτε με το διακομιστή, εμφανίζεται μια κρυπτογραφημένη σύνδεση SSL (από https) στους αλγόριθμους RSA.
  • Χρησιμοποιώντας εξουσιοδότηση με κρυπτογραφία. Δεδομένου ότι ο διακομιστής δεν ξέρει για εμάς, εσείς σταλούν στο κρυπτογραφημένο διακριτικό και αν είστε "σωστός" πρόσωπο, αποκρυπτογραφείτε αυτό το διακριτικό χρησιμοποιώντας ένα κλειστό κλειδί και χρησιμοποιήστε το αργότερα για να ανταλλάξετε δεδομένα.
  • Είναι δυνατή η προβολή ενός ηλεκτρονικού εγγράφου, υπογράψτε το, ελέγξτε, πακέτο στο πακέτο δεδομένων και στείλτε.
  • Ελέγξτε και γενικά όλη η κρυπτογραφία λειτουργεί μέσω του BSP. Ένας έλεγχος ηλεκτρονικής υπογραφής πραγματοποιείται σε δύο στάδια:
    • Πρώτον, ελέγχεται η εγκυρότητα του ίδιου του πιστοποιητικού: η περίοδος ισχύος, η αλυσίδα εμπιστοσύνης, τα χαρακτηριστικά,
    • Εάν όλα είναι καλά με το πιστοποιητικό, τότε εκτελείται ο υπολογισμός του μαθηματικού hash. Εάν όλα είναι καλά με τα μαθηματικά, η υπογραφή θεωρείται έγκυρη και εφαρμόζεται στο έγγραφο.
  • Επίσης, η χρήση του BSP εφάρμοσε ένα εκτεταμένο διάγνωση των ρυθμίσεων EDO - καθορίζεται ότι οι διακομιστές είναι διαθέσιμοι και ότι ο συμμετέχων της ηλεκτρονικής διαχείρισης εγγράφων είναι όλα σε σειρά - έχει ενεργά τα δροσερά σχέδια κλπ.

Η δεύτερη υπηρεσία είναι "1C: DirectBank." Το διορισμό του είναι η ανταλλαγή με τις τράπεζες με ηλεκτρονικά έγγραφα απευθείας, παρακάμπτοντας το πρόγραμμα Client-Bank.

  • Αυτή η υπηρεσία παρέχεται επίσης στην "ηλεκτρονική βιβλιοθήκη εγγράφων".
  • Η ανοικτή τεχνολογία DirectBank περιγράφεται στο GitHub.
  • Από το νέο - το κρυπτογραφημένο κανάλι επικοινωνίας με την υπηρεσία μπορεί να αυξηθεί στον αλγόριθμο GOST.
  • Η ρύθμιση Exchange γίνεται όπως αυτή: 1C κάνει ένα αίτημα στην τράπεζα για να λάβει ρυθμίσεις για έναν συγκεκριμένο πελάτη. Εάν είναι απαραίτητο, μαζί με τις ρυθμίσεις, η Τράπεζα στέλνει ένα εξωτερικό στοιχείο, το οποίο χρησιμοποιείται με περαιτέρω ανταλλαγή (έτσι εφαρμόστηκε από την Sberbank).
  • Η εξουσιοδότηση γίνεται είτε με κρυπτογραφημένο διακριτικό είτε με SMS (μέσω ενός μόνο κωδικού πρόσβασης).
  • Η υπογραφή και η επαλήθευση της ηλεκτρονικής υπογραφής λειτουργεί είτε μέσω του BSP είτε μέσω εξωτερικών εξαρτημάτων (ανάλογα με τον τρόπο που εφαρμόζεται η ίδια η τράπεζα).
  • Και τα διαγνωστικά εδώ είναι ακόμη πιο ενδιαφέροντα, μέσω του πλήρους κύκλου της ανταλλαγής ηλεκτρονικών εγγράφων ενός ειδικού τύπου - "αιτήματος-ανιχνευτής".
    • Το σύστημα 1C είναι συνδεδεμένο στο τραπεζικό σύστημα και μεταδίδει ηλεκτρονικό έγγραφο στην υπογραφή του εκεί.
    • Η Τράπεζα ελέγχει την ηλεκτρονική υπογραφή του πελάτη, τα έντυπα παρατηρήστε ότι όλα είναι καλά και υπογράφονται από την υπογραφή του.
    • Η ειδοποίηση φτάνει στο "1C", ελέγχει ότι η υπογραφή της Τράπεζας Validna και λέει μετά από αυτό ότι όλα είναι εντάξει.

Αυτός είναι ένας τόσο μίνι κύκλος - γίνεται σαφές πόσο έχει ρυθμιστεί σωστά η ανταλλαγή με την τράπεζά σας.

Διαφορές με κρυπτογραφία στην πλατφόρμα 1C


Πώς να αναπτύξετε τις δικές σας λύσεις με κρυπτογραφία;

Μπορείτε να δημιουργήσετε μια διαμόρφωση από το μηδέν - ανοίξτε τον "βοηθό σύνταξης" και να χρησιμοποιήσετε τις δυνατότητες της πλατφόρμας για κρυπτογραφικές λειτουργίες. Αλλά θα συνιστούσα τη χρήση του BSP - υπάρχει ήδη πολλά που γράφονται. Σε αυτή την περίπτωση, θα πρέπει να γράψετε όχι 11 χιλιάδες γραμμές κώδικα, αλλά μικρότερες. Αλλά πέντε χιλιάδες γραμμές κώδικα - σίγουρα.

Πώς να δοκιμάσετε - έχω ήδη πει. Μπορείτε να πάρετε ένα πιστοποιητικό δοκιμής και να προσπαθήσετε να εργαστείτε.

Εάν έχετε αναπτύξει μια διαμόρφωση από το μηδέν - το συνοδεύετε μόνοι σας. Και αν χρησιμοποιήσατε κατά την ανάπτυξη ενός BSP και κυκλοφόρησε κάποια νέα ευκαιρία, τότε μπορείτε να ενημερώσετε το υποσύστημα BSP και να δοκιμάσετε αυτήν την ευκαιρία. Οι δυσκολίες θα είναι σε κάθε περίπτωση, επειδή η "ασημένια σφαίρα" δεν είναι εδώ. Θα πλησιάσω την αξιολόγηση του εάν αξίζει τον κόπο ή όχι να εφεύρει κάτι, ανάλογα με την εργασία που θέλετε να λύσετε. Λαμβάνοντας υπόψη μια συγκεκριμένη εργασία, επιλέγετε ήδη: τη λύση ή το πρότυπο BSP με βάση τη βάση.

Ένα παράδειγμα της δικής της λύσης είναι η ανάπτυξη του εταίρου της βιομηχανίας πληροφορικής. Ανέπτυξαν μια μικρή μονάδα για εσωτερική ηλεκτρονική διαχείριση εγγράφων με βάση το "1C: UPP". Εκεί, με βάση την έντυπη μορφή, σχηματίζεται ένα ηλεκτρονικό έγγραφο, το οποίο συνδέεται με το έγγραφο της πληροφοριακής βάσης και είναι δυνατόν να το υπογράψουμε με ηλεκτρονική υπογραφή. Μια απλή ροή εγγράφων μέσα στην εταιρεία, αλλά πρέπει να το συνοδεύει ούτως ή άλλως.

Δυσκολίες στην εισαγωγή κρυπτογραφίας και ΕΚ σε οργανισμούς

Τι υπάρχουν κύρια προβλήματα?

  • Εάν πρέπει να εγκαταστήσετε σε έναν υπολογιστή Δύο κρυπτοποίηση, οι συγκρούσεις θα συμβούν. Για παράδειγμα, εάν έχετε αναφέρει μέσω Vipnet και μια ηλεκτρονική ροή εγγράφων με αντισυμβαλλόμενους μέσω του "Cryptopro". Πώς να λύσετε αυτό το πρόβλημα;

Η πρώτη επιλογή είναι η διάσκεψη αυτών των κρυπτογραφιών σε διαφορετικούς υπολογιστές.

Εάν είναι αδύνατο, τότε για μία από τις υπηρεσίες που χρειάζεστε για να απελευθερώσετε ένα πιστοποιητικό σε άλλη κρυπτοποίηση - όταν παραγγείλετε ένα πιστοποιητικό στο κέντρο πιστοποιητικών, μπορείτε να ορίσετε ότι για ποια κρυπτογραφική ανάγκη θα το χρησιμοποιήσετε.

  • Μερικές φορές σε πελάτες Η κρυπτογραφία στο iE browser δεν λειτουργεί - Απαιτείται να καθοριστεί παράταση, αλλά δεν τίθεται. Συμβούλιο Banal - Εκτελέστε το πρόγραμμα περιήγησης για λογαριασμό του διαχειριστή. Αυτό θα σας επιτρέψει να καθιερώσετε μια επέκταση και το πρόβλημα θα λυθεί.
  • Το πρόγραμμα 1C δεν βλέπει πάντα το Jacard Tokens. Δεν ξέρω ποιο είναι το πρόβλημα, ή στο Jacard, ή στην πλατφόρμα. Επανατοποθετούμε το Cryptochement - λειτουργεί για λίγο και μετά την επανεκκίνηση του συστήματος πετά ξανά. Για κάποιο λόγο, το 1γ και ο Jacard δεν είναι πολύ φιλικοί.
  • Υπάρχει ένα άλλο πρόβλημα - κατά τον έλεγχο των πιστοποιητικών, η πλατφόρμα προσπαθεί πάντα να ελέγξει πόσο αξιόπιστο και μερικές φορές δεν επιτυγχάνει. Γιατί συμβαίνει αυτό? Υπάρχει μια λίστα με τις κριτικές όπου συμπεριλαμβάνονται τα μη έγκυρα πιστοποιητικά. Για παράδειγμα, όταν ένας υπάλληλος εγκατέλειψε την εταιρεία, πρέπει να ενημερώσει το κέντρο πιστοποίησης ότι ο υπάλληλος εγκαταλείπει και το πιστοποιητικό του δεν είναι έγκυρο. Μετά από αυτό, το Κέντρο πιστοποίησης απελευθερώνει έναν κατάλογο ανατροφοδότησης, η οποία περιλαμβάνει το πιστοποιητικό αυτό, μετά την οποία αρχίζει να θεωρείται άκυρη. Μερικές φορές για κάποιο λόγο, ελέγξτε το πιστοποιητικό στη λίστα αναθεώρησης αποτυγχάνει. Ποιο είναι το πρόβλημα? Αυτές οι λίστες των αξιολογήσεων για το 1C δεν έχουν καμία σχέση, ενημερώνονται αυτόματα από κρυπτογραφική. Για να το κάνετε αυτό, ένα σταθερό κανάλι πρέπει να διαμορφωθεί στο πιστοποιητικό. Εάν η λίστα των σχολίων δεν ενημερώνεται αυτόματα, αυτό σημαίνει ότι η υπηρεσία δεν είναι επαρκώς συντονισμένη στο Κέντρο Πιστοποιητικού ή γενικά απουσιάζει. Αλλάξτε το Κέντρο πιστοποίησης και το πρόβλημα θα φύγει.
  • Όταν τα πιστοποιητικά γίνονται πολλά (για παράδειγμα, περισσότερες από 30), αρχίζουν οι δυσκολίες. Ας υποθέσουμε ότι μεταφράσατε την επιχείρηση σε ηλεκτρονικές ράγες, και στη μέση της εργάσιμης ημέρας αποδεικνύεται ότι η υπογραφή μη έγκυρης, επειδή το πιστοποιητικό του έχει τελειώσει. Η έκδοση του πιστοποιητικού απαιτεί κάποιο χρόνο, την επιχείρηση "στα αυτιά", κι εσύ. Για τέτοιες περιπτώσεις Πρέπει να χρησιμοποιήσετε ένα εξειδικευμένο λογισμικό για να διατηρήσετε τη λίστα πιστοποιητικών. Υπάρχουν προγράμματα που σας επιτρέπουν να παρακολουθείτε τον κύκλο ζωής του πιστοποιητικού και όταν κάνει την περίοδο ισχύος, στέλνουν μια υπενθύμιση στον διαχειριστή. Αυτή είναι μια επιλογή banal, αλλά σας επιτρέπει να βελτιώσετε περισσότερα ή λιγότερα πιστοποιητικά.

  • Ανταλλαγή με δεδομένα από 1C συμβαίνει από τους διακομιστές, έτσι:
    • Ανοίξτε λιμάνια στο 1C: Επιχειρήσεις: Επιχειρήσεις;
    • Τα δικαιώματα του λογαριασμού διακομιστή πρέπει να είναι "πρόσβαση στο διαδίκτυο".
    • Εάν έχετε ένα σύμπλεγμα διακομιστή, σημαίνει ότι όλοι οι διακομιστές 1C που περιλαμβάνονται στο σύμπλεγμα πρέπει να ανοίγουν θύρες.
  • Εάν δεν υπάρχει εμπιστοσύνη στον εξωτερικό πόρο, Υπάρχει ένα ξεχωριστό άρθρο σχετικά με το "διαγνωστικό του προβλήματος" απομακρυσμένος κόμβος δεν διέκοψε τον έλεγχο "".
  • Βασικοί κανόνες ασφαλείας:
    • Οι κωδικοί πρόσβασης σε αυτοκόλλητα δεν αποθηκεύουν.
    • Εργασία, πάρτε τα μάρκες από τα αυτοκίνητα.
    • Ενημερώστε τακτικά το antivirus.
      Διαφορετικά, αποδεικνύεται ότι έχετε ορίσει την πιστοποιημένη κρυπτοποίηση, τα κλειδιά και γύρω από τους ιούς που μπορούν να επωφεληθούν από αυτό. Επομένως, προστατεύστε την περίμετρο.

Πηγές πληροφοριών

Ερωτήματα

Θα συνιστούσα τη χρήση του Κέντρου Πιστοποίησης με το οποίο θα συνεχίσετε να εργάζεστε από την άποψη της ανταλλαγής ηλεκτρονικών εγγράφων. Ένα παράδειγμα είναι ένας χειριστής ηλεκτρονικής διαχείρισης εγγράφων "Taxa", έχει ένα κέντρο πιστοποίησης. Εάν εκτελέσετε μια ηλεκτρονική ροή εγγράφων μέσω "Taxa", έχει νόημα και για το πιστοποιητικό να επικοινωνήσει μαζί τους.

Είπατε ότι το FSB έδωσε κάποια εξήγηση για τα πιστοποιητικά Cloud. Τι γίνεται αν το πιστοποιητικό δεν αποθηκεύεται τοπικά, αλλά στο σύννεφο, δεν μπορεί να θεωρηθεί ενισχυμένη. Στην περίπτωση μιας τυποποιημένης ανταλλαγής τιμολογίων και UPS, μπορούμε να χρησιμοποιήσουμε το πιστοποιητικό Cloud ή είναι απαραίτητο να το χρησιμοποιήσετε όλα τα ίδια;

Ο νόμος λέει ότι κατά την ανταλλαγή τιμολογίων απαιτείται αυξημένη ειδικευμένη ηλεκτρονική υπογραφή, έτσι ώστε το σύννεφο να μην είναι κατάλληλο εδώ. Αλλά για άλλους τύπους ηλεκτρονικών εγγράφων - παρακαλώ.

Μιλώντας περίπου για οποιοδήποτε τυπικό EDO που χρησιμοποιούμε στο 1C, χρειαζόμαστε ένα ενισχυμένο πιστοποιητικό;

Όχι, όχι για κανέναν. Ο νόμος γράφεται μόνο για τα ηλεκτρονικά τιμολόγια. Πρέπει να υπογραφούν από ειδική ηλεκτρονική υπογραφή. Όσον αφορά τα υπόλοιπα έγγραφα Τίποτα δεν γράφεται. Αυτό σημαίνει ότι για τα τιμολόγια, για παραγγελίες, μπορείτε να χρησιμοποιήσετε μια ενισχυμένη ανεπιθύμητη ηλεκτρονική υπογραφή - συμπεριλαμβανομένης στο σύννεφο.

Και για τη στάση δεν υπάρχει τίποτα; Στην πραγματικότητα, η UPB είναι τώρα η ίδια με το τιμολόγιο.

Υπάρχει ένας θολωτός ορισμός - ένα τιμολόγιο με προηγμένους δείκτες, αλλά αυτό δεν είναι το ίδιο με τις ενημερώσεις. Ως εκ τούτου, νομίζω ότι η UPD εισέρχεται στην απόρριψη μιας ανειδίκευτης ηλεκτρονικής υπογραφής.

Και ποια λειτουργία σε ολόκληρη την αλυσίδα είναι ο χειριστής - "1c-edo" ή "ταξί"; Συνήθως μέσω των φορέων εκμετάλλευσης, στέλνουμε έγγραφα σε κυβερνητικούς οργανισμούς και τιμολόγια ανταλλαγής, και κατά την ανταλλαγή άλλων εγγράφων με αντισυμβαλλομένους, γιατί χρειαζόμαστε έναν φορέα εκμετάλλευσης;

Οι φορείς εκμετάλλευσης στην αγορά δεν είναι επίσης η πρώτη ημέρα, τα τιμολόγια περνούν από αυτά. Λένε ότι - στέλνετε ένα τιμολόγιο και δύο άλλα έγγραφα είναι δωρεάν. Εξακολουθείτε να ανταλλάσσετε τιμολόγια από τιμολόγια μέσω αυτών, οπότε είναι πιο εύκολο και τα ίδια τα έγγραφα τους στέλνουν επίσης μέσω αυτών. Ένα άλλο πράγμα, αν κάθονται σε ένα απλοποιημένο, και δεν έχετε τιμολόγια, τότε μπορείτε να ζητήσετε από τον χειριστή να σας αναζητήσει ένα φθηνό σχέδιο τιμολογίου. Και έτσι στην ίδια "ηλεκτρονική βιβλιοθήκη εγγράφων" υπάρχει μια ευκαιρία για την ανταλλαγή εγγράφων με ηλεκτρονική υπογραφή μέσω ηλεκτρονικού ταχυδρομείου, μέσω FTP κ.λπ. Αλλά όταν έχετε 100 αντισυμβαλλόμενα, οργανώστε για κάθε ένα από αυτά, το κανάλι επικοινωνίας σας θα είναι δύσκολο από την άποψη της συνοδείας.

Και αν θέλουμε να δοκιμάσουμε ένα αυτο-υπογεγραμμένο πιστοποιητικό, μπορούμε να δοκιμάσουμε οποιαδήποτε ανταλλαγή χρησιμοποιώντας ένα αυτο-υπογεγραμμένο πιστοποιητικό μέσω του χειριστή;

Όχι, μέσω του χειριστή - όχι. Εάν θέλετε πραγματικά να δοκιμάσετε, να γράψετε στην εταιρεία "1c" που θέλετε να συνδεθείτε στην υπηρεσία EDO για να δοκιμάσετε.

Λένε ότι δεν είμαστε ένα κέντρο πιστοποίησης.

Γράψτε μου, θα βοηθήσω.

Και αν ανταλλάξαμε χωρίς χειριστή EDO, φέρνω ένα υπογεγραμμένο ηλεκτρονικό έγγραφο και θέλω να το κατεβάσω στο 1C για να το κρατήσω εκεί. Στο BSP, υπάρχουν αρκετά χρήματα για να ελέγξετε ότι είναι το CEP και έχει τις σωστές λεπτομέρειες έτσι ώστε όλα αυτά να είναι αυτόματη λειτουργία χωρίς modal παράθυρα κ.λπ.;

Δεν ήθελα να συναντήσω τέτοιες περιπτώσεις στην πρακτική μας, αλλά στο BSP είναι ακριβώς δυνατό να ανεβάσετε το αρχείο και να ελέγξετε την ηλεκτρονική υπογραφή του. Πιθανότατα, θα χρειαστείτε μόνο για αυτό το σενάριο για να σχεδιάσετε κάποιο είδος master: Ελέγξτε το φάκελο, σηκώστε το έγγραφο, πάρτε την υπογραφή, ελέγξτε όλα, βάλτε το πού και πείτε ότι όλα είναι εντάξει. Όσον αφορά τη συγχρονικότητα της κλήσης - όλα αυτά υλοποιούνται στο BSP, τα πάντα στα προγράμματα περιήγησης εργάζονται σε ασύγχρονη λειτουργία.

Και αν στο 1C πάνω από το τερματικό σταθμό εργασίας; Είναι δυνατόν να βάλουμε το "Cryptopro" και στο τερματικό υποστηρίζουμε τα κλειδιά γι 'αυτόν; Ποια είναι τα χαρακτηριστικά, τα προβλήματα; Και, κατά συνέπεια, αν έχουμε περισσότερα από 20 νομικά πρόσωπα και για κάθε ένα από αυτά δύο κλειδιά, πώς πηγαίνει η οριοθέτηση των δικαιωμάτων αυτών των κλειδιών; Στο επίπεδο 1c ή πώς;

Στο ίδιο το BSP, όταν στέλνετε το ανοιχτό μέρος του κλειδιού, είναι δυνατόν να καθορίσετε ποιο χρήστη θα είναι διαθέσιμο. Μπορείτε να εισάγετε το όνομά σας, δείτε μόνο τα πιστοποιητικά σας. Αλλά ταυτόχρονα θα είναι όλοι στον ίδιο τον υπολογιστή. Επομένως, γνωρίζετε, η εγκατάσταση του κλειστού τμήματος στο μητρώο δεν είναι απαραίτητο, επειδή το κλειστό μέρος του κλειδιού μεταφέρεται χωρίς προβλήματα με το αυτοκίνητο στο αυτοκίνητο. Καλύτερη χρήση μάρκες. Είναι δυνατό να σπάσετε το διακριτικό με ένα κλειστό μέρος του κλειδιού στον διακομιστή τερματικού. Οι τύποι βασικών κατασκευαστών βοηθούν τον εαυτό τους να το διαμορφώσουν έτσι ώστε αυτό το κλειδί να είναι ορατό στο τερματικό. Δοκιμάστε, πείραμα, βρείτε άλλα πλήκτρα, βρείτε άτομα που βοηθούν να προσαρμόσετε. Αλλά εδώ πρέπει να καταλάβετε ότι αυτή η σήραγγα από τον τερματικό διακομιστή πριν το κλειδί σας δεν είναι ασφαλές. Δημιουργείτε ένα ηλεκτρονικό έγγραφο στον τερματικό εξυπηρετητή και πείτε - υπογράψτε. Τι συμβαίνει; Υπάρχει μια μεταφορά δεδομένων σε ένα μη προστατευμένο κανάλι πρώτα σε έναν τοπικό υπολογιστή όπου είναι εγκατεστημένο το κλειδί, δημιουργείται ηλεκτρονική υπογραφή, τότε τα δεδομένα μεταδίδονται πίσω στον τερματικό διακομιστή. Αλλά αυτό το κανάλι δεν προστατεύεται. Μπορεί να προστατευθεί μόνο εγκαθιστώντας ένα εξειδικευμένο λογισμικό που κάνει τη σήραγγα μεταξύ του διακομιστή τερματικού και του τοπικού μηχανήματος. Αν θέλετε να εργαστείτε με ασφάλεια, αυτό σημαίνει ότι πρέπει να βάλετε ένα διακριτικό, το σπάμε μέχρι το τερματικό και βάλουμε το λογισμικό να κρυπτογραφήσει το κανάλι μεταξύ του τερματικού διακομιστή και της μηχανής-πελάτη.

Πείτε μου, υπάρχει κάποια διαφορά στην ταχύτητα μεταξύ της υπογραφής ενός ηλεκτρονικού τιμολογίου και μιας σαρωμένης σύμβασης σε 100 σελίδες (όπου καθαρά γραφικά).

Όσο περισσότερο το έγγραφο, τα πιο πιο αργά σημάδια, επειδή η ασύγχρονη κρυπτογράφηση είναι εκεί - το hash υπολογίζεται χρησιμοποιώντας έναν ασύγχρονο αλγόριθμο. Αλλά από την άποψη, είτε υπογράφετε ένα ηλεκτρονικό τιμολόγιο σε διάφορες γραμμές είτε 10MB αρχείο - οπτικά η διαφορά που δεν θα παρατηρήσετε. Σημείωση μόνο σε όγκους σε 1000-3000 έγγραφα.

Σχετικά με την περιαγωγή του 1C-EDO. Στο "Taxa" υπάρχει περιαγωγή μεταξύ των φορέων εκμετάλλευσης. Και πόσο λειτουργεί στο "1c-edo"; Έχετε μια τέτοια εμπειρία; Επειδή όλοι οι αντισυμβαλλόμενοι κάθονται σε διαφορετικούς φορείς εκμετάλλευσης και επιλέγουν τον χειριστή με μια μέγιστη επίστρωση είναι πολύ δύσκολη. Ποιος θα συμβουλεύεις;

Εάν επιλέξετε ανάμεσα στο "1с-edo" και άλλων, στη συνέχεια, φυσικά, "1c-edo". Αλλά το "1c-edo" έχει κάποια προβλήματα περιαγωγής - δεν υποστηρίζει τόσους πολλούς επιχειρηματίες. Υπάρχει ένας ξεχωριστός πόρος για το 1C-EDO, υπάρχει μια λίστα με τους υποστηριζόμενους φορείς εκμετάλλευσης, νομίζω ότι πρέπει να αναπληρωθεί με το χρόνο.

Και πού να αποθηκεύσετε το αρχείο υπογεγραμμένων εγγράφων; Τοπικά στην εταιρεία ή στο σύννεφο; Είναι δυνατόν να διασφαλιστεί η εγκυρότητα των εγγράφων που ανήκουν στο σύννεφο;

Όπου αποθηκεύουμε υπογεγραμμένα έγγραφα (στο σύννεφο ή όχι) - δεν έχει σημασία. Το μαθηματικά έχει ήδη υπολογιστεί και το περιεχόμενο του εγγράφου δεν θα αλλάξει χωρίς ίχνος. Στη συνέχεια, μπορείτε να το περάσετε τουλάχιστον 10 φορές κάπου, η υπογραφή μπορεί πάντα να ελέγχεται καθαρά μαθηματικά. Εάν η υπηρεσία Cloud είναι βολική - παρακαλείσθε να το κρατήσετε, είναι πιθανότατα ακόμα πιο ενδιαφέρον.

Και ο χειριστής παρέχει μια τέτοια υπηρεσία;

Εάν μια ξεχωριστή σύμβαση μαζί του για να βάλετε αντίγραφα ασφαλείας για την αποθήκευση - το κάνουν για μεμονωμένα χρήματα.

Δεν αποθηκεύονται για υπογεγραμμένα έγγραφα;

Φυσικά, αποθηκεύονται, αλλά σύμφωνα με το νόμο δεν είναι υποχρεωμένοι να τα αποθηκεύουν. Είναι υποχρεωμένοι να αποθηκεύουν μόνο την απόδειξη. Εάν ο φόρος θα έρθει σε αυτούς και θα ρωτήσει - εάν ένα τέτοιο έγγραφο πέρασε, θα δείξει, ναι, εδώ είναι μια απόδειξη, μια εμφάνιση - μια τέτοια υπογραφή. Και τι υπάρχει σε αυτό το έγγραφο - αυτό δεν είναι πλέον ερώτηση γι 'αυτούς.

Και για την UPP, οι φορείς εκμετάλλευσης δεν παρέχουν καμία επεξεργασία για το EDO;

Δεν μπορώ να πω για τους φορείς εκμετάλλευσης, υπάρχουν πολλοί από αυτούς, και ο καθένας έχει τις δικές του εξελίξεις, αλλά στην ίδια την ΕΛΚ, υπάρχει ηλεκτρονική ροή εγγράφων.

****************

Το άρθρο αυτό είναι γραμμένο στα αποτελέσματα της κοινοτικής διάσκεψης του Infostart 2017. Μπορούν να διαβαστούν περισσότερα άρθρα.

Το 2020 καλούμε όλους να συμμετάσχουν σε 7 περιφερειακές κατανομές, καθώς και την επέτειο Infostart Event 2020 στη Μόσχα.

Η ηλεκτρονική υπογραφή (στο εξής: ΕΚ), σύμφωνα με τον ομοσπονδιακό νόμο της Ρωσικής Ομοσπονδίας αριθ. 63-FZ των 25 Μαρτίου 2011, ορίζεται ως η ηλεκτρονική μορφή, ορίζεται ως πληροφορίες σε ηλεκτρονική μορφή, η οποία επισυνάπτεται σε άλλες πληροφορίες σε ηλεκτρονικά (πληροφορίες που έχουν υπογραφεί) ή με άλλο τρόπο που σχετίζονται με τέτοιες πληροφορίες και που χρησιμοποιείται για τον προσδιορισμό των πληροφοριών υπογραφής προσώπου. Η καθορισμένη κανονιστική πράξη ήρθε να αντικαταστήσει τη νομική ισχύ του ομοσπονδιακού νόμου της Ρωσικής Ομοσπονδίας αριθ. 1-FZ της 10ης Ιανουαρίου 2002 "σε ηλεκτρονική ψηφιακή υπογραφή" από την 1η Ιουλίου 2013.

Ο νόμος της 25ης Μαρτίου 2011 διαθέτει δύο τύπους ΕΡ: απλό και ενισχυμένο. Το τελευταίο μπορεί να είναι κατάλληλο ή να είναι ανεπιφύλακτο. Εάν το απλό EP επιβεβαιώνει ότι αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου αποστέλλεται σε ένα συγκεκριμένο άτομο, τότε το ενισχυμένο ανεπιθύμητο EP επιτρέπει όχι μόνο τη μοναδική προσδιορισμό του αποστολέα, αλλά επίσης επιβεβαιώνει ότι κανείς δεν το έχει αλλάξει από τη στιγμή της υπογραφής του εγγράφου. Στο μέλλον, θα συζητήσουμε το ενισχυμένο ανεπιφύλακτο EP. Ένα μήνυμα με το ανεπιφύλακτη EP μπορεί να ισούται με ένα έγγραφο χαρτιού που υπογράφεται από μόνο του, εάν τα μέρη συμφωνήθηκαν εκ των προτέρων, καθώς και στις περιπτώσεις που ορίζονται ειδικά από το νόμο.

Από τη μία πλευρά, το ΕΚ χρησιμοποιείται για να επιβεβαιώσει τη δημιουργία του εγγράφου - σε αυτή την αξία του για τον αποστολέα του εγγράφου. Από την άλλη πλευρά, μια ηλεκτρονική υπογραφή στην περίπτωση της αναγνώρισης της νομικής της σημασίας εξασφαλίζει την ασυκτιμότητα του συγγραφέα από το υπογεγραμμένο έγγραφο, το οποίο με τη σειρά του είναι σημαντική για τον αποδέκτη του εγγράφου. Σε περίπτωση αμφιλεγόμενης κατάστασης, οι συγκρούσεις μπορούν πάντοτε να διεξάγονται, γεγονός που θα καθορίσει σαφώς τον συγγραφέα του υπογεγραμμένου εγγράφου και θα τον αναγκάσει να είναι υπεύθυνος για το υπογεγραμμένο έγγραφο.

Σχέση συγκρούσεων που σχετίζονται με το ep

Το κύριο πρόβλημα με την ανάλυση των συγκρούσεων αθλητικών καταστάσεων σε έγγραφα που υπογράφονται από το EP είναι η απόδειξη του γεγονότος ότι «η πληροφορία σε ηλεκτρονική μορφή, η οποία επισυνάπτεται σε άλλες πληροφορίες σε ηλεκτρονική μορφή (υπογεγραμμένη πληροφορία)» είναι ένα νομικό και σημαντικό ΕΚ του ένα συγκεκριμένο άτομο κάτω από ένα συγκεκριμένο έγγραφο.

Η χρήση κρυπτογραφικών μεθόδων σας επιτρέπει να λύσετε αυτό το πρόβλημα. Εάν ένα άτομο εκδώσει ένα μοναδικό ηλεκτρονικό κλειδί και στη συνέχεια παράγει ειδικούς μετασχηματισμούς χρησιμοποιώντας αυτό το ηλεκτρονικό κλειδί και ένα ηλεκτρονικό έγγραφο, τότε το αποτέλεσμα αυτών των μετασχηματισμών (και αυτό είναι EP) θα είναι μοναδικό για αυτό το ζεύγος (βασικό έγγραφο). Έτσι, το καθήκον του πρώτου σταδίου της ανάλυσης των συγκρούσεων είναι να εντοπιστεί αν αυτή η υπογραφή αναπτύχθηκε χρησιμοποιώντας αυτό το ηλεκτρονικό κλειδί ή όχι - επιλύεται με μεθόδους κρυπτογράφησης.

Το δεύτερο στάδιο της ανάλυσης των συγκρούσεων είναι να αποδείξει ότι αυτό το ηλεκτρονικό κλειδί είναι η ιδιοκτησία ενός συγκεκριμένου προσώπου. Αυτή η απόδειξη δίνει τη νομική σημασία του ΕΚ. Για την επίλυση αυτής της οργανωτικής εργασίας - λογιστική των εκδομένων κλειδιών - χρησιμοποιείται η PKI (υποδομή δημόσιου κλειδιού).

Δίνοντας νόμιμη σημασία του ΕΚ με το PKI

Στο νόμο "σε ηλεκτρονική υπογραφή" διακρίνει το κλειδί EP και το κλειδί επαλήθευσης του ΕΚ. Το ηλεκτρονικό κλειδί υπογραφής είναι μια μοναδική ακολουθία συμβόλων που έχει σχεδιαστεί για να δημιουργήσει μια ηλεκτρονική υπογραφή. Σε ηλεκτρονικό έλεγχο υπογραφής είναι μια μοναδική ακολουθία χαρακτήρων, μοναδικά συνδεδεμένη με το ηλεκτρονικό κλειδί υπογραφής και προορίζεται για έναν έλεγχο ταυτότητας ηλεκτρονικής υπογραφής. Το πλήκτρο ελέγχου είναι τα επούττορα από το πλήκτρο EP, αλλά η αντίστροφη λειτουργία δεν είναι δυνατή. Έτσι, υπάρχει μια αδιαμφισβήτητη συμμόρφωση μεταξύ του κλειδιού EP και του κλειδιού δοκιμής. Το κλειδί του EP πρέπει να δημιουργηθεί από τον ίδιο τον πελάτη και να διατηρείται μυστικό. Είναι αυτό το κλειδί που χρησιμεύει για να υπογράψει τα έγγραφα με ηλεκτρονική υπογραφή. Το κλειδί επαλήθευσης του ΕΚ χρησιμεύει για την επαλήθευση του ΕΚ και διανέμει σε όλους για να ελέγξει την υπογραφή.

Το κύριο στοιχείο του PKI είναι ένα κέντρο πιστοποίησης. Το Κέντρο Πιστοποίησης περιλαμβάνει το μητρώο συμμόρφωσης των κλειδιών και των ατόμων που είναι ιδιοκτήτες αυτών των κλειδιών. Για να καταχωρίσετε το κλειδί, ο πελάτης αναφέρεται στο UC ανοιχτό μέρος του κλειδιού του μαζί με τα στοιχεία ταυτοποίησης και λαμβάνει πιστοποιητικό συμμόρφωσης που πιστοποιεί την κατοχή αυτού του συγκεκριμένου κλειδιού. Το πιστοποιητικό συμμόρφωσης περιέχει το κλειδί ελέγχου του ΕΚ και τα δεδομένα αναγνώρισης πελατών και υπογράφεται από το Κέντρο πιστοποίησης του ΕΚ. Έτσι, το UC πιστοποιεί ότι ο πελάτης αυτός ελέγχθηκε και είναι αυτός για τον οποίο δίνει. Μετά την παραλαβή του πιστοποιητικού, ο πελάτης με τη σειρά του υπογράφει ειδικά έγγραφα σχετικά με την αξιοπιστία του πιστοποιητικού που εκδίδεται από τη χειροκίνητη υπογραφή του. Αυτά τα έγγραφα είναι ο κύριος συνδεδεμένος σύνδεσμος μεταξύ ενός συγκεκριμένου προσώπου και του "σύνολο ηλεκτρονικών χαρακτήρων", το ep.

Έτσι, αρκεί να ελέγχεται η υπογραφή και η αναγνώριση του υπογεγραμμένου πιστοποιητικού της υπογραφής. Δηλαδή, η εγγραφή υπογράφει το έγγραφο με το κλειδί του EP και στη συνέχεια στέλνει αυτό το υπογεγραμμένο έγγραφο στον παραλήπτη και το πιστοποιητικό του που περιέχει το κλειδί επαλήθευσης του ΕΚ. Με αυτόν τον τρόπο, ο παραλήπτης θα είναι σε θέση να επαληθεύσει ότι η υπογραφή έγινε πράγματι το κλειδί του ΕΚ που υπογράφηκε και λαμβάνει δεδομένα αναγνώρισης στα υπογεγραμμένα από το πιστοποιητικό. Ο πελάτης πρέπει να προστατεύσει το κλειδί του EP από συμβιβασμούς. Για το σκοπό αυτό δημιουργούνται διάφορες εγκαταστάσεις αποθήκευσης κλειδιών υλικού με αυξημένο επίπεδο προστασίας, για παράδειγμα, μια συσκευή USB RuVens.

Ρωσικό πρότυπο EP.

Τα πρότυπα ED είναι δύο επίπεδα. Στο πρώτο επίπεδο υπάρχει άμεσα EP από το έγγραφο. Το δεύτερο επίπεδο περιλαμβάνει το EP και όλα τα απαραίτητα έγγραφα για να δώσουν νομική σημασία του ΕΚ: πιστοποιητικό υπογραφής ή αλυσίδας πιστοποιητικών, ο χρόνος δημιουργίας της υπογραφής κ.λπ.

Το ρωσικό πρότυπο EP του πρώτου επιπέδου είναι το GOST 34-10.2012. Το ρωσικό πρότυπο EP δεύτερο επίπεδο είναι το PKCS # 7 με τη δυνατότητα προσθήκης προσωρινών ετικετών TSA.

Πεδίο εφαρμογής του ΕΚ

  • Τράπεζα Διαδικτύου
  • Ηλεκτρονική αγορά
  • Συστήματα διαχείρισης εταιρικών εγγράφων
  • ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
  • Παράδοση αναφορών σε διάφορες ομοσπονδιακές υπηρεσίες
  • Πνευματική ιδιοκτησία

Ιστοσελίδα με το ep

Διατύπωση του προβλήματος

Ας υποθέσουμε ότι στον οργανισμό σας αποφάσισε να μεταβεί στο ηλεκτρονικό σύστημα διαχείρισης εγγράφων που χτίστηκε στις τεχνολογίες ιστού. Ταυτόχρονα, οι κύριοι τόποι στους οποίους απαιτείται EP είναι:

  • Αρχεία του EP μιας αυθαίρετης μορφής κατά τη λήψη τους στην τοποθεσία Web από τον χρήστη μέσω της φόρμας εισόδου
  • Τα δεδομένα κειμένου του EP που εισάγονται από το χρήστη στη φόρμα εισόδου στην τοποθεσία Web
  • Το EP δημοσιεύτηκε στην ιστοσελίδα του εγγράφου από πολλούς χρήστες
Το συνοδευτικό καθήκον είναι η προστασία των εμπιστευτικών πληροφοριών και των προσωπικών δεδομένων, η οποία διαιρείται στις ακόλουθες υποδιαιρέσεις:
  • Κρυπτογραφική προστασία δεδομένων μεταξύ της πορείας του χρήστη και της ιστοσελίδας
  • Ο έλεγχος ταυτότητας χρήστη για το ψηφιακό πιστοποιητικό για την πρόσβαση στον προσωπικό του λογαριασμό
  • Κρυπτογραφική προστασία που είναι αποθηκευμένη στις πληροφορίες διακομιστή
Ας προσπαθήσουμε να καταλάβουμε πώς μπορείτε να λύσετε τα καθορισμένα καθήκοντα με το χαμηλότερο χρόνο και το κόστος χρήματος, να κάνετε χωρίς να εκπαιδεύσετε τους χρήστες και να ελαχιστοποιήσετε την περαιτέρω τεχνική υποστήριξη.

Σχηματική λύση

Δημιουργία ενός Κέντρου Πιστοποίησης

    Επιλέξτε το διακομιστή στο οποίο θα αναπτυχθεί το κέντρο πιστοποίησης. Προαιρετικά, η προσωρινή ετικέτα και η κατάσταση πιστοποιητικού επαλήθευσης ηλεκτρονικής επαλήθευσης μπορεί να αναπτυχθεί. Το CAC και οι συγκεκριμένες υπηρεσίες εξοικονόμησης μπορούν να χρησιμοποιηθούν από έναν διακομιστή, το οποίο θα πρέπει να είναι διαθέσιμο στο διαδίκτυο. Η σκοπιμότητα αυτών των υπηρεσιών θα συζητήσουμε παρακάτω.

    Τοποθετήστε το προϊόν Magpro Cryptopacket

    Δημιουργήστε ένα κλειδί της UC και την εφαρμογή στο πιστοποιητικό ρίζας του CCM χρησιμοποιώντας το βοηθητικό πρόγραμμα Mkkey από το Cryptopacket Magpro. Το κλειδί μπορεί να δημιουργηθεί σε μια ασφαλή συσκευή, για παράδειγμα, σε rutover. Μετά τη δημιουργία ενός κλειδιού CC, απαιτείται να εξασφαλιστεί η ασφάλεια της με οργανωτικές μεθόδους. Η πιο ασφαλής επιλογή είναι να αποθηκεύσετε το κλειδί στη συσκευή Rutower και να το τροφοδοτήσετε στο διακομιστή μόνο κατά την έκδοση πιστοποιητικών. Το πιστοποιητικό CAC είναι ένα αρχείο. Αυτός ο φάκελος θα εκδοθεί στη συνέχεια σε όλους τους πελάτες της ΚΕΚ μετά την παραλαβή του πιστοποιητικού.

    Δημιουργήστε ένα πιστοποιητικό ρίζας UC χρησιμοποιώντας το βοηθητικό πρόγραμμα OpenSSL από το Cryptopacket Magpro.

    Δημιουργήστε τη δομή καταλόγου στο σύστημα αρχείων στο οποίο θα αποθηκεύονται ως αρχεία που εκδίδουν πιστοποιητικά χρηστών που εκδίδονται πιστοποιητικά διακομιστών, εφαρμογές πιστοποιητικών. Ακολουθεί από οργανωτικές μεθόδους (για παράδειγμα, χρησιμοποιώντας ACL) για να εξασφαλιστεί τα κατάλληλα δικαιώματα πρόσβασης σε αυτούς τους καταλόγους. Τα πιστοποιητικά θα εκδίδονται ως αρχεία σε μορφή PEM. Πρέπει να ληφθεί υπόψη ότι τα ονόματα των αρχείων πιστοποιητικών κατανοούνται καλύτερα προκειμένου να διευκολυνθεί περαιτέρω το καθήκον της εξεύρεσης πιστοποιητικών.

Δημιουργία ενός κλειδιού και PKCS # 10 εφαρμογές για πιστοποιητικό

Για να αποκτήσετε ένα πιστοποιητικό, ο χρήστης UC μπορεί να χρησιμοποιήσει δύο σχέδια: κεντρικά και απομακρυσμένα. Με ένα κεντρικό σύστημα, ο χρήστης έρχεται στο CC και το δώσει ένα αρχείο στο οποίο βρίσκονται το κλειδί και το πιστοποιητικό. Στη συνέχεια, προσθέτει αυτό το αρχείο στη μονάδα flash USB. Αυτό το σχήμα είναι απλό και βολικό, αλλά μη ασφαλές, καθώς σας επιτρέπει να μάθετε το κλειδί του χρήστη στους υπαλλήλους της UC. Αλλά σε ορισμένες περιπτώσεις, η χρήση αυτού του καθεστώτος είναι απίστευτη.

Το πιο ασφαλές σύστημα για την απόκτηση πιστοποιητικού διανέμεται. Ο χρήστης δημιουργεί το κλειδί, δημιουργεί μια εφαρμογή PKCS # 10 για ένα πιστοποιητικό που περιέχει το κλειδί ελέγχου του ΕΚ και τα δεδομένα αναγνώρισης. Ο χρήστης υπογράφει αυτή την εφαρμογή με το κλειδί του ΕΚ και αναφέρεται στο UC. Το CCC ελέγχει την υπογραφή υπό την εφαρμογή, τα δεδομένα αναγνώρισης του χρήστη ελέγχεται, για παράδειγμα, με διαβατήριο και εκδίδει πιστοποιητικό. Στη συνέχεια, το πιστοποιητικό εκτύπωσης και ο χρήστης υπογράφει ένα έγγραφο χειροκίνητης υπογραφής σχετικά με τη συμμόρφωση του εκδοθέντος πιστοποιητικού.

Στο πλαίσιο της συζήτησης της απόφασης, η βασική παραγωγή και η δημιουργία μιας αίτησης πραγματοποιείται με ειδικό πρόγραμμα από το Cryptopacket Magpro. Αυτό το πρόγραμμα εισέρχεται στο σύνολο χρηστών του Cryptotunnel.

Το πρόγραμμα αυτό έχει ένα ευέλικτο σύστημα διαμόρφωσης, με το οποίο μπορείτε να δημιουργήσετε εφαρμογές για εντελώς διαφορετικούς τύπους πιστοποιητικών, να επεκτείνετε το πρότυπο σύνολο πληροφοριών αναγνώρισης, να προσθέσετε ρόλο και δικαιώματα χρήστη στα πιστοποιητικά, για παράδειγμα, για να οριοθετήσετε την πρόσβαση στους πόρους Web. Προσθήκη στην εφαρμογή Διάφορα χαρακτηριστικά.

Μετά τη δημιουργία του κλειδιού, ο χρήστης πρέπει να εξασφαλίσει την ασφαλή αποθήκευση του.

Τύποι πιστοποιητικών για το EP στον ιστότοπο

Αρκετοί τύποι πιστοποιητικών θα χρησιμοποιηθούν στην πύλη μας:

    Πιστοποιητικό ρίζας UTS

    Το πιστοποιητικό αυτό χρησιμοποιείται για να ελέγξει όλα τα άλλα πιστοποιητικά των συμμετεχόντων της δικτυακής πύλης.

    Πιστοποιητικό ελέγχου ταυτότητας TLS TLS

    Αυτό το πιστοποιητικό χρησιμοποιείται για την επαλήθευση του διακομιστή από τον πελάτη κατά τη δημιουργία μιας ασφαλούς σύνδεσης TLS κατά τη μεταφορά υπογεγραμμένων εγγράφων στην τοποθεσία Web

    Πιστοποιητικό ελέγχου TLS-DIVITION του πελάτη

    Αυτό το πιστοποιητικό χρησιμοποιείται για να ελέγξει τον πελάτη από το διακομιστή και να αποκτήσετε πρόσβαση στον πελάτη στον προσωπικό του λογαριασμό κατά τη δημιουργία μιας ασφαλούς σύνδεσης TLS όταν μεταφέρετε υπογεγραμμένα έγγραφα στην τοποθεσία Web

    Πιστοποιητικό EP πελάτη

    Αυτό το πιστοποιητικό που ο πελάτης προσθέτει στα es του, και έτσι το συμβαλλόμενο μέρος μπορεί να ελέγξει την υπογραφή και να προσδιορίσει την υπογραφή

    Πιστοποιητικό υπογραφής διακομιστή OCSP

    Αυτό το πιστοποιητικό του διακομιστή OCSP προσθέτει στην υπογεγραμμένη απόκριση του στο πιστοποιητικό του

    Πιστοποιητικό υπογραφής διακομιστή TSA

    Αυτό το πιστοποιητικό διακομιστή TSA προσθέτει στην υπογεγραμμένη απόκριση του στο πιστοποιητικό του και να του δώσει νομική σημασία

Όλοι αυτοί οι τύποι πιστοποιητικών μπορούν να δημιουργηθούν χρησιμοποιώντας ένα βοηθητικό πρόγραμμα Cryptopacket UGPRO και UC με βάση το Cryptopacket Magpro.

Λήψη πιστοποιητικού στο UC

Κατά τη λήψη μιας εφαρμογής από τον χρήστη, ο διαχειριστής UC δημιουργεί ένα αντίγραφο ασφαλείας της εφαρμογής του. Στη συνέχεια, ελέγχει την εφαρμογή και η χρήση του βοηθητικού προγράμματος OpenSSL δημιουργεί ένα πιστοποιητικό χρήστη, υπογράφεί το στο κλειδί CCT και επίσης παρέχει το αντίγραφο ασφαλείας του. Επιπλέον, για να εξασφαλιστεί η νομική σημασία, ο διαχειριστής κάνει μια εκτύπωση πληροφοριών από το πιστοποιητικό (λαμβάνοντας αυτές τις πληροφορίες που παρέχονται με το βοηθητικό πρόγραμμα OpenSSSL.EXE) και λαμβάνει τη χειροκίνητη υπογραφή του χρήστη κάτω από αυτή την εκτύπωση. Στη συνέχεια, δίνει στον χρήστη στο πιστοποιητικό του στο αρχείο.

Έτσι, αυτή τη στιγμή μπορέσαμε να αναπτύξουμε ένα UC και να μάθουμε πώς να δημιουργήσουμε πλήκτρα χρηστών, να αποδεχθούν τις αιτήσεις για πιστοποιητικά και την έκδοση πιστοποιητικών για τις ληφθείσες εφαρμογές. Λήψη και συμμόρφωση με το πιστοποιητικό, ο χρήστης πιστοποιεί τη χειρωνακτική υπογραφή του και ως εκ τούτου μπορεί να υποστηριχθεί ότι αναπτύσσουμε από την PKI, η οποία εξασφαλίζει τη νομική σημασία του ΕΚ του χρήστη

Το επόμενο καθήκον είναι να χρησιμοποιήσετε το αναπτυσσόμενο PKI για να λύσετε την εφαρμοσμένη εργασία - την οργάνωση ασφαλούς μετάδοσης χρησιμοποιώντας το πρόγραμμα περιήγησης που υπογράφουν ηλεκτρονικά έγγραφα στον ιστότοπο και τις λαμβάνετε στην επεξεργασία στην τοποθεσία Web.

Ενότητα ελέγχου και αποθήκευσης EP (διακομιστής)

Συνήθως ο ιστότοπος αναπτύσσεται σε κάποιο διακομιστή ιστού (Apache, IIS, Nginx, κλπ.). Αυτός ο ιστότοπος περιέχει έναν προσωπικό λογαριασμό για κάθε χρήστη, το οποίο είναι εγγεγραμμένο στον ιστότοπο. Για να αποκτήσετε πρόσβαση στον προσωπικό λογαριασμό, ο χρήστης πρέπει να περάσει τη διαδικασία ελέγχου ταυτότητας. Συνήθως ο έλεγχος ταυτότητας είναι να εισέλθει σε μια DEINN και Κωδικοί πρόσβασης που συμφωνήθηκαν για την εγγραφή του χρήστη.

Επιπλέον, χρησιμοποιείται μια μορφή εισόδου ιστού για τη λήψη ηλεκτρονικών εγγράφων στο διακομιστή.

Προκειμένου να "στερεώσετε" τον έλεγχο του ΕΚ σε αυτό το σύστημα, για να προστατεύσετε τις συνδέσεις μεταξύ του προγράμματος περιήγησης του χρήστη και του ιστότοπου, καθώς και να παρέχετε αυστηρό έλεγχο ταυτότητας χρήστη για πρόσβαση στο χρήστη πρόσβασης για να αποκτήσετε πρόσβαση στο προσωπικό πλαίσιο στο διακομιστή, θα πρέπει να εγκαταστήσετε το Το προϊόν διακομιστή Magpro Crypt.

Αρχιτεκτονικά, η λύση θα μοιάζει με αυτό:

Το Cryptoer είναι εγκατεστημένο πριν από τον προστατευμένο διακομιστή Web. Ταυτόχρονα, ο διακομιστής ιστού έχει διαμορφωθεί με τέτοιο τρόπο ώστε να λαμβάνει εισερχόμενες συνδέσεις μόνο από το διακομιστή Crypto (δείτε την οδηγία ρύθμισης). Το Cryptoerver δέχεται εισερχόμενες συνδέσεις HTS, τους αποκρυπτογραφεί και προωθεί τον διακομιστή Web. Επιπλέον, ο διακομιστής Crypto προσθέτει το αίτημα κεφαλίδας X509-Cert στο αίτημα HTTP, το οποίο μεταδίδει το ψηφιακό πιστοποιητικό του πελάτη που έχει περάσει τη διαδικασία ελέγχου ταυτότητας. Το πιστοποιητικό αυτό χρησιμοποιείται στη συνέχεια για πρόσβαση στον πελάτη στον ιδιωτικό λογαριασμό του. Για να επαληθεύσετε το EP στο πλαίσιο των μεταδιδόμενων εγγράφων, ο διακομιστής Crypto περιλαμβάνει το βοηθητικό πρόγραμμα OpenSSL, το οποίο σας επιτρέπει να ελέγχετε τους αρχικούς τύπους υπογραφών, να αποκτήσετε από το φακέλο PKCS # 7 υπογεγραμμένο ή αλυσίδα πιστοποιητικών κλπ. Για να ελέγξετε το EP, η ιστοσελίδα της λήψης εγγράφων θα πρέπει να καλέσει σε αυτό το βοηθητικό πρόγραμμα.

Μονάδα ανάπτυξης ED (πελάτης)

Το κύριο καθήκον του χρήστη κατά την πρόσβαση στην τοποθεσία Web είναι να φορτώσει ηλεκτρονικά έγγραφα και δεδομένα κειμένου στον ιστότοπο, καθώς και τη λήψη ηλεκτρονικών εγγράφων από τον ιστότοπο. Για να προστατεύσετε τη σύνδεση Web με την τοποθεσία SSL / TLS και για ηλεκτρονικές υπογραφές δεδομένων που μεταδίδονται στον ιστότοπο, το CryptOTunnel θα πρέπει να χρησιμοποιείται στον σταθμό του πελάτη.

Τα κύρια πλεονεκτήματα του Cryptotunnel:

  • Παρέχει προστασία των συνδέσεων ιστού μεταξύ οποιουδήποτε ιστότοπου πρωτοκόλλου Browser και SSL / TLS με την υποστήριξη ρωσικών κρυπτοαλγορθμίων
  • Φορτώνει τον έλεγχο ταυτότητας από το ψηφιακό πιστοποιητικό για να αποκτήσετε πρόσβαση στον λογαριασμό του χρήστη.
  • Σας επιτρέπει να υπογράψετε ηλεκτρονικά έγγραφα κατά τη λήψη του ιστότοπου χωρίς να χρησιμοποιήσετε το CSP και Active X
  • Υποστηρίζει τον έλεγχο κατάστασης πιστοποιητικού στο διαδίκτυο (OCSP)
  • Υποστηρίζει ότι λαμβάνουν αξιόπιστες προσωρινές ετικέτες στο EP (Timestamp)
  • Υποστηρίζει διάφορες κάρτες αποθήκευσης USB-Tokenes και Smart Keys
  • Δεν απαιτεί εγκατάσταση σε θέσεις χρήστη, που διανέμονται με αντιγραφή
  • μπορεί να αποθηκευτεί σε μια συμβατική μονάδα flash και να τρέξει από αυτό
  • δεν απαιτεί δικαιώματα διαχειριστή συστήματος
  • Υποστηρίζει ότι συνεργάζεται με οποιοδήποτε πρόγραμμα περιήγησης ιστού (Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari Apple, κλπ.)
  • Δεν έχει "δεσμευτικό" σε έναν υπολογιστή - ο χρήστης μπορεί να χρησιμοποιήσει ένα σετ για χρήση στο γραφείο και τα σπίτια - εξοικονόμηση μετρητών
  • Έχει μια απλή και κατανοητή διεπαφή χρήστη, η οποία σας επιτρέπει να κάνετε χωρίς τη μάθηση των χρηστών
  • Σας επιτρέπει να ελαχιστοποιήσετε το κόστος της τεχνικής υποστήριξης για τους χρήστες
  • μπορεί να εργαστεί σε ένα μεγάλο φάσμα λειτουργικών συστημάτων (διάλυμα διατομής)
Το Cryptotunnel παρέχει μια υπογραφή δεδομένων και αρχείων που μεταδίδονται μέσω μιας φόρμας Web εάν αυτή η φόρμα Web είναι ειδικά επισημασμένη. Δηλαδή, η φόρμα Web πρέπει να περιέχει ένα πεδίο με ένα καθορισμένο όνομα. Αυτό το όνομα είναι γραμμένο στο αρχείο διαμόρφωσης του Cryptotunnel και αφού αρχίσει να υπογράψει το CryptoTunnel να υπογράψει τα δεδομένα ή το αρχείο που μεταδίδονται σε αυτό το πεδίο. Επιπλέον, σε ένα από τα κρυμμένα πεδία της φόρμας ιστού, μπορεί να ρυθμιστεί ο τύπος υπογραφής (συνδεδεμένος ή αποσπασμένος) και στο άλλο κρυφό πεδίο - η διεύθυνση URL των αξιόπιστων ετικετών χρόνου. Τα ονόματα αυτών των πεδίων θα πρέπει επίσης να προσδιορίζονται στο αρχείο διαμόρφωσης του Cryptotunnel. Εάν η υπογραφή έχει αποσπασμένο τύπο, στη συνέχεια στο αρχείο διαμόρφωσης Cryptotunnel, θα πρέπει να καθορίσετε το όνομα του πεδίου στο οποίο αυτή η αποσπασμένη υπογραφή θα σταλεί στο διακομιστή. Εκεί, θα πρέπει να καθορίσετε το όνομα του πεδίου στο οποίο θα σταλεί μια προσωρινή ετικέτα στο διακομιστή.

Αυτές είναι όλες οι ενέργειες που θέλετε να κάνετε cryptotunnel για να ξεκινήσετε την υπογραφή δεδομένων και αρχείων που μεταδίδονται μέσω της φόρμας Web. Δεν είναι απαραίτητο να γράψετε πρόσθετα σενάρια, τηλεφωνήστε ενεργά X, κλπ.

Οργάνωση πολλαπλών ΕΚ

Απαιτείται πολλαπλά EP εάν το έγγραφο πρέπει να υπογραφεί από πολλά άτομα. Σε αυτή την περίπτωση, το έγγραφο συνήθως αναβάλλεται στον ιστότοπο, ώστε να είναι διαθέσιμο μόνο στους χρήστες των οποίων το ΕΚ απαιτείται. Αυτός ο διαχωρισμός πρόσβασης καταρρέει χρησιμοποιώντας τον έλεγχο ταυτότητας χρήστη με ψηφιακό πιστοποιητικό.

Όταν χρησιμοποιείτε το Cryptotunnel, ο χρήστης δεν χρειάζεται να κατεβάσει το έγγραφο και στη συνέχεια να υπογράψει και να κατεβάσει το έγγραφο στο διακομιστή και πάλι - όλες αυτές οι λειτουργίες cryptotunnel θα πατήσουν αυτόματα το κουμπί στην ιστοσελίδα.

Υπηρεσία OCSP.

Συχνά συμβαίνει ότι η HC υπενθυμίζει το πιστοποιητικό χρήστη (για παράδειγμα, εάν το κλειδί του χρήστη κλεμμένο από έναν εισβολέα). Ταυτόχρονα, οι υπόλοιποι χρήστες πρέπει να ενημερώνονται για την ανάκληση αυτού του πιστοποιητικού, ώστε να τους σταματήσουν να εμπιστεύονται. Υπάρχουν διάφοροι τρόποι να ειδοποιήσετε τους χρήστες σχετικά με την ανάκληση.

Ο ευκολότερος τρόπος είναι η κατανομή των καταλόγων ανάκλησης (CRL). Δηλαδή, το CAC δημιουργεί και ενημερώνει περιοδικά ένα ειδικό αρχείο που οι χρήστες έχουν επίσης λήξει περιοδικά.

Ένας άλλος τρόπος είναι να χρησιμοποιήσετε την υπηρεσία ελέγχου κατάστασης στο διαδίκτυο - υπηρεσίες OCSP. Για να επαληθεύσετε την κατάσταση οποιουδήποτε πιστοποιητικού, το Cryptotunnel και το Cryptoerver σχηματίζουν αυτόματα ένα αίτημα OCSP, στείλτε αυτό το αίτημα στην υπηρεσία στο δίκτυο. Η υπηρεσία ελέγχει το πιστοποιητικό, υπογράφει το αποτέλεσμα του ελέγχου του ΕΚ και επιστρέφει την απάντηση στον πελάτη. Ο πελάτης παρακολουθεί την απάντηση, ελέγχει κάτω από την υπογραφή και κάνει μια απόφαση - να εμπιστευτεί αυτό το πιστοποιητικό ή όχι.

Η δημιουργία μιας υπηρεσίας OCSP είναι δυνατή χρησιμοποιώντας το βοηθητικό πρόγραμμα OpenSSL από το Cryptopacket Magpro. Πρέπει να ληφθεί υπόψη ότι η επιλογή μεταξύ CRL και OCSP παραμένει πάντα στη διακριτική ευχέρεια των δημιουργών του χώρου. CRL - λίγο φθηνότερο, OCSP - λίγο ασφαλέστερο.

Θα πρέπει να ακυρωθεί ότι ο διακομιστής Cryptotunnel και Crypto υποστηρίζει τόσο το OCSP όσο και το CRL.

TSA Προσωρινή υπηρεσία ετικετών

Ο κύριος σκοπός της υπηρεσίας προσωρινής ετικέτας είναι να επιβεβαιώσει το γεγονός ότι το έγγραφο υπογράφηκε από το ΕΚ όχι αργότερα από την ώρα που καθορίστηκε στο χρονικό σήμα.

Για να δημιουργήσετε ένα προσωρινό σήμα, το Cryptotunnel δημιουργεί ένα αίτημα TSA στο οποίο εφαρμόζεται το hash από το ep; Στέλνει αυτό το αίτημα στην υπηρεσία TSA. Η υπηρεσία TSA προσθέτει σε αυτή την τρέχουσα ώρα hash και υπογράφει το αποτέλεσμα του EP του. Έτσι, δημιουργείται μια αξιόπιστη προσωρινή ετικέτα.

Για να δημιουργήσετε μια online αξιόπιστη προσωρινή ετικέτα, χρησιμοποιήστε το προϊόν Magpro TSA. Σε αυτή την περίπτωση, η διεύθυνση URL της υπηρεσίας προσωρινής ετικέτας ορίζεται από την ιστοσελίδα στην οποία είναι η μορφή ιστού της υπογραφής

Το τμήμα του πελάτη TSA είναι ενσωματωμένο σε κρυπτωτού. Μετά την παραλαβή του χρονικού σήματος στο EP, όλες οι ενέργειες παράγονται αυτόματα, χωρίς να προσελκύει ο χρήστης.

Διαιτητής

Ο διαιτητής είναι ένα ειδικό πρόγραμμα που χρησιμοποιείται όταν η ανάλυση συμμορφώνεται με το EP.

Ο διαιτητής σάς επιτρέπει να απεικονίσετε δεδομένα αναγνώρισης πιστοποιητικών, η οποία βρίσκεται σε υπογραφές PKCS # 7. Να απεικονίσετε την αλυσίδα της εμπιστοσύνης και την ώρα δημιουργίας του EP (Timestamp). Για την ανάλυση της σύγκρουσης, ο διαιτητής ελέγχει την υπογραφή στο πλαίσιο του συγκεκριμένου εγγράφου και αποκαλύπτει κατά πόσον παρήχθη από τον ιδιοκτήτη του πιστοποιητικού.

Πρέπει να σημειωθεί ότι για την ίδια δυνατότητα σύγκρουσης συγκρούσεων, των εγγράφων και των υπογραφών τους πρέπει να αποθηκεύονται σε ένα ηλεκτρονικό αρχείο για μεγάλο χρονικό διάστημα.

Προστασία προσωπικών δεδομένων στην ιστοσελίδα

Τα δεδομένα που ανταλλάσσουν μεταξύ του προγράμματος περιήγησης του πελάτη και του ιστότοπου ενδέχεται να περιέχουν προσωπικά δεδομένα και εμπιστευτικές πληροφορίες. Εάν όλοι οι χρήστες του ιστότοπου ενδιαφέρονται να προστατεύουν εμπιστευτικές πληροφορίες, η προστασία των προσωπικών δεδομένων είναι η απαίτηση του νόμου του FZ 152-FZ "σε προσωπικά δεδομένα".

Όταν χρησιμοποιείτε τον ιστότοπο, τα δεδομένα υποβάλλονται σε μια απειλή κατά τη διέλευση τους μέσω του Διαδικτύου και όταν αποθηκεύονται περαιτέρω στον διακομιστή τοποθεσίας.

Προστασία όταν μεταφέρονται μεταξύ του πελάτη και του διακομιστή

Το Διαδίκτυο είναι ένα μη ασφαλές κανάλι μεταφοράς πληροφοριών. Η κύρια απειλή κατά τη μετάδοση δεδομένων μέσω του Διαδικτύου είναι η επίθεση "άνθρωπος στη μέση", δηλαδή ένας εισβολέας συνδέεται με τη γραμμή μεταξύ του πελάτη και του διακομιστή και αντικαθιστά τις μεταδιδόμενες πληροφορίες. Ο μόνος τρόπος για την προστασία των δεδομένων στο Διαδίκτυο είναι η κρυπτογράφηση αυτών των δεδομένων. Δεδομένου ότι η κρυπτογράφηση είναι ένας κρυπτογραφικός τρόπος για την προστασία των πληροφοριών, τότε οι απαιτήσεις του FSB εφαρμόζονται σε αυτήν στα μέσα της κρυολογικής προστασίας πληροφοριών - τη διαθεσιμότητα του πιστοποιητικού FSB.

Για την κρυπτογραφική προστασία των συνδέσεων μεταξύ του προγράμματος περιήγησης του χρήστη και του ιστότοπου (συνδέσεις ιστού), χρησιμοποιείται το πρωτόκολλο SSL / TLS. Το KRYPTOTUNNEL παρέχει προστασία δεδομένων σχετικά με το παρόν πρωτόκολλο που σχετίζεται πλήρως με τις απαιτήσεις του FSB. Έτσι, ο Kryptotunnel είναι μια πιστοποιημένη λύση που πληροί πλήρως τις απαιτήσεις για τεχνικά μέσα προστασίας προσωπικών δεδομένων.

Προστασία κατά την αποθήκευση

Κατά την αποθήκευση δεδομένων σε ένα ηλεκτρονικό αρχείο της περιοχής, αυτά τα δεδομένα θα πρέπει να αποθηκεύονται σε κρυπτογραφημένη μορφή. Η δημιουργία ασφαλούς ηλεκτρονικού αρχείου είναι ένα αντικείμενο ξεχωριστού αντικειμένου.

ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ

Kskpep Έλεγχος πιστοποιητικού κλειδιού ελέγχου ηλεκτρονικής υπογραφής.
Cep - Ειδικευμένη ηλεκτρονική υπογραφή.

CryptoproviderΚρυπτογραφικό εργαλείο προστασίας για πληροφορίες. Πρόγραμμα με το οποίο δημιουργείται το κλειστό τμήμα της ηλεκτρονικής υπογραφής και το οποίο σας επιτρέπει να εργάζεστε με μια ηλεκτρονική υπογραφή. Αυτό το πλαίσιο ελέγχου τοποθετείται αυτόματα.

Εξαγόμενο κλειδίΤην ικανότητα αντιγραφής μιας ηλεκτρονικής υπογραφής σε άλλο μέσο. Ελλείψει σημείου ελέγχου, η αντιγραφή μιας ηλεκτρονικής υπογραφής θα είναι αδύνατη.

Lkm. - Αριστερό κουμπί του ποντικιού.

PKM. - το δεξί κουμπί του ποντικιού.

Crm-Μέσο. - μια εφαρμογή που αναπτύχθηκε από τους CC ειδικούς για την απλούστευση της διαδικασίας δημιουργίας ενός ζεύγους κλειδιού, δημιουργώντας ένα πιστοποιητικό ερωτήματος και εγγραφής.

Πριν ξεκινήσετε την παραγωγή

Μετά την επίσκεψη στο Κέντρο πιστοποίησης και τη διέλευση της διαδικασίας για τη συμφιλίωση της προσωπικότητας, το μήνυμα ηλεκτρονικού ταχυδρομείου που καθορίζεται στη δήλωση, το UC έστειλε ένα γράμμα που περιέχει έναν σύνδεσμο για να δημιουργήσει. Εάν δεν έχετε λάβει γράμματα, ανατρέξτε στον διαχειριστή ή την τεχνική υποστήριξή σας για το UC στον αριθμό επαφής από αυτό το εγχειρίδιο.

Ανοίξτε έναν σύνδεσμο για να δημιουργήσετε από το γράμμα σε ένα από τα συνιστώμενα προγράμματα περιήγησης:Google Chrome., Mozilla Firefox., Yandex.Browser. Εάν είστε ήδη σε ένα από τα παραπάνω προγράμματα περιήγησης, κάντε κλικ στο σύνδεσμο Lkm. ή PKM.\u003e "Ανοίξτε τη σύνδεση στη νέα καρτέλα". Σελίδα παραγωγής (Εικ. 1) ανοίγει σε ένα νέο παράθυρο.

Κατά το άνοιγμα του συνδέσμου, θα εμφανιστεί η αρχική προειδοποίηση. Ελέγξτε το αν χρησιμοποιείτε τον μεταφορέα για να αποθηκεύσετε το CEPJacarta. Λ. . Περισσότερα για τα μέσα ενημέρωσης παρακάτω. Εάν χρησιμοποιείτε άλλο μέσο, \u200b\u200bπατήστε το κουμπί. "Κλείσε".

Εικ.1 - σελίδα γενιάς

Εγκατάσταση μιας εφαρμογής

Κάντε κλικ στο σύνδεσμο"Λήψη εφαρμογής" Για να ξεκινήσετε τη φόρτωση. Εάν δεν συνέβη τίποτα μετά το κλικ, κάντε κλικ στο σύνδεσμο PKM. > "Ανοίξτε έναν σύνδεσμο σε μια νέα καρτέλα". Μετά τη λήψη της εφαρμογής, ξεκινήστε την εγκατάσταση.

Συνιστάται να απενεργοποιήσετε το λογισμικό προστασίας από ιούς πριν από τη φόρτωση του προγράμματος. !

Στη διαδικασία εγκατάστασης της εφαρμογής « cRM. - Μέσο. » Ένα μήνυμα θα εμφανιστεί με την αίτηση πρόσβασης (Εικ. 2).

Εικ.2 - Αίτηση πρόσβασης


πάτα το κουμπί "Ναί".

Παρέχοντας πρόσβαση

Μετά την εγκατάσταση της εφαρμογής, επιστρέψτε στη σελίδα παραγωγής. Εμφανίζεται ένα μήνυμα σχετικά με την "παροχή πρόσβασης" (Εικ. 3).

Εικ.3 - Πρόσβαση στο αποθετήριο πιστοποιητικών


Κάντε κλικ "Προχωρώ" και, στο παράθυρο που εμφανίζεται, "Παρέχετε πρόσβαση"(Εικ.4).

Εικ.4 - Πρόσβαση στο αποθετήριο πιστοποιητικών 2


Εάν το κουμπί δεν εμφανίζεται "Προχωρώ"

Εάν μετά την εγκατάσταση της εφαρμογής « cRM. - Μέσο. » Ο σύνδεσμος για λήψη της εφαρμογής δεν εξαφανίστηκε, ο λόγος μπορεί να εμποδίσει τη σύνδεση του συστήματος ασφαλείας σας.

Για να εξαλείψετε την κατάσταση που χρειάζεστε:

Απενεργοποιήστε το Antivirus εγκατεστημένο στον υπολογιστή σας.

Ανοίξτε μια νέα καρτέλα στο πρόγραμμα περιήγησης.

Εισαγάγετε τη διεύθυνση χωρίς κενά στη γραμμή διευθύνσεων του προγράμματος περιήγησης - 127.0.0.1:90 - και πηγαίνετε (κάντε κλικΕΙΣΑΓΩ στο πληκτρολόγιο).

Όταν εμφανιστεί ένα μήνυμα προγράμματος περιήγησης "Η σύνδεσή σας δεν προστατεύεται", Προσθέστε ένα πρόγραμμα περιήγησης για να αποκλείσετε μια σελίδα. Για παράδειγμα,Χρώμιο.: "Πρόσθετος" - "Όλο το ίδιο πηγαίνει στην περιοχή". Για άλλα προγράμματα περιήγησης, χρησιμοποιήστε την κατάλληλη εντολή προγραμματιστή.

Αφού εμφανιστεί το μήνυμα σφάλματος, επιστρέψτε στη σελίδα παραγωγής και επαναλάβετε Σημείο 2 Αυτή η διδασκαλία.

Ρύθμιση του Cryptopro CSP.

Σε περίπτωση που δεν έχετε προκαθορισμένες κρυπτοποδήψεις, μετά τη φάση πρόσβασης, οι αναφορές θα εμφανιστούν για τη λήψη του Cryptopro (Εικ. 5).


Είναι σημαντικό: συνημμένο « cRM. - Μέσο. » ανιχνεύει τυχόν κρυπτοπωπή στον υπολογιστή και αν έχετε διαφορετικό από Cryptopro Csp Πρόγραμμα (για παράδειγμα,Vipnet. Csp ), επικοινωνήστε με τους τεχνικούς ειδικούς υποστήριξης για διαβούλευση.

Κάντε κλικ στο σύνδεσμο "Cryptopro 4.0" Στη σελίδα παραγωγής ή στον παρόμοιο σύνδεσμο παρακάτω για να κάνετε λήψη του αρχείου εγκατάστασης cryptopro στον υπολογιστή.

CRPROPRO CSP 4.0 - Έκδοση για Win 7 / 8/10

Μετά την ολοκλήρωση της λήψης, ανοίξτεφερμουάρ.- Αρχείο με το κατάλληλο πρόγραμμα Archiver (για παράδειγμα,ΝΙΚΗ. - Βρυχηθμός ). Στο εσωτερικό υπάρχει ένα αρχείο εγκατάστασης cryptopro. Εκτελέστε το και ρυθμίστε τις προεπιλεγμένες ρυθμίσεις. Κατά τη διάρκεια της διαδικασίας εγκατάστασης, ενδέχεται να έχετε το ακόλουθο παράθυρο:

Εικ.5 - Εγκατάσταση του Cryptopro

Περάστε το παράθυρο κάνοντας κλικ "Περαιτέρω". Εγκατάσταση του Cryptopro ολοκληρώθηκε.

Εγκατάσταση οδηγού για διακριτικό

Οι υπογραφές μπορούν να αποθηκευτούν στο μητρώο ενός υπολογιστή, σε συνηθισμένες μονάδες φλας και σε ειδικέςuSB- Κέντρα. Κατάλογος μάρκες, κωδικούς PIN και αναφορές στο λογισμικό παρουσιάζονται στον παρακάτω πίνακα (Πίνακας 1).

Πίνακας 1 - Οδηγοί για προστατευόμενα μέσα

Τύπος μέσων USB

Εξωτερικός φορέας USB

Σύνδεσμος για λήψη προγραμμάτων οδήγησης

ΚΑΡΦΙΤΣΑ

rutover.

mob_info.