Upute za generiranje elektroničkog ključa potpisa. Upute za generiranje elektroničkog ključa potpisa Stvorite certifikatni centar

Danas ćemo govoriti:

  • zanimljiva tema kriptografije i elektroničkog potpisa danas;
  • koji propisi trenutno djeluju na ovu temu;
  • koje su mogućnosti kriptografije provedene u 1C platformi;
  • kako proširiti te mogućnosti pomoću vanjskih komponenti;
  • razgovarajmo o podsustavu "elektronički potpis" u BSP-u;
  • o provedbi usluga "1c-eDo" i "1c: Directbank", čiji je razvoj bio nadzor;
  • dodirt ćemo pitanje razvoja vlastitih rješenja za rad s kriptografijom na platformi 1c: Enterprise;
  • razmotrite tipične probleme koji se pojavljuju na uvođenju EDO-a u poduzeću - reći ću vam kako ih riješiti.

Želim obratiti pozornost na dva pojma koja će se koristiti u glavnom razredu.

  • Prvi je Edo, elektronički protok dokumenata, Pod njemu razumijemo interni elektronički protok dokumenata u poduzeću, a vanjski s ugovorom treće strane.
  • Druga kratica je EP. Na internetu postoje decodenti: "elektronička vlada" i "električni pogon". Imat ćemo ga elektronički potpis.

Zašto su kriptografija i elektroničke potpise relevantni za trenutni trenutak?

  • Za moderno poduzeće brzina poslovnih procesa jedna je od konkurentskih prednosti., Prilikom primjene upravljanja elektroničkim dokumentima, vrijeme provedeno na statistiku smanjenje za 75%.
  • Prilikom prelaska na postupak elektroničkog dokumenta spremanje vlastitih resursa (Paper patrone za pisače, dokumente za skladištenje dokumenata, osoblje na organizaciji upravljanja papirnim dokumentima). Sve to snažno pomaže tvrtki.
  • Gotovo svako poduzeće sada koristi daljinske bankarske kanale i sigurnost daljinskih plaćanja Trenutno vrlo relevantno.
  • Svi glavni porezni obveznici sada uključuju sažetke koje ako želite raditi s njima - dijelite dokumente u elektroničkom obliku. Sve ide u elektroničko- Elektroničke fakture, elektroničke narudžbe itd. Žele sudjelovati na dražbi - trebali biste imati elektronički potpis.
  • Sve je to postupno postaje masaAli, unatoč tome, naše stanovništvo nije obaviješteno. To predstavlja ozbiljan propust, i stoga je svrha ovog pregleda pitati vas tečaj koji će pomoći u navigaciji u tim pitanjima i shvatiti što se može proučavati i gdje možete vidjeti.

Regulatorni okvir, praksa

Koje koncepte ćemo uzeti u obzir?

Elektronički dokument

Elektronički dokument je sve informacije prikazane u elektroničkom obliku:

  • Fotografirali ste svoj automobil - ova slika je elektronički dokument;
  • poslali smo izjavu na voditelj e-pošte - to je također elektronički dokument.

Svaki dokument može se prevesti u "znamenku", ali ne i svaki elektronički dokument može se prepoznati bez sudjelovanja ljudi.

Obrada stroja je više obećavajuće, tako da se mnogi dokumenti mogu podijeliti formalizirani i neformalizirani elektronički dokumenti.

  • Prema neformaliziranom dokumentu, razumijemo da osoba gleda na fotografiju i vidi da je broj automobila tako.
  • A za formalizirane elektroničke dokumente, sheme se obično razvijaju, gdje se propisuje sastav polja, njihova ograničenja, obvezujuća ili opcija. Takvi formalizirani dokumenti mogu se automatski prepoznati.

Perspektiva za formalizirane elektroničke dokumente. Odjeli se postupno kreću na nove tračnice. Mnogi od njih proizvode svoje propise koji opisuju u kojem se formatu mogu razmjenjivati \u200b\u200binformacije.

  • Na primjer, arbitrarno suđenje prihvaća dokumente samo u PDF formatu.
  • I elektroničke fakture moraju se prenositi u XML formatu, a postoji i poseban regulatorni okvir s opisom njihovih potrebnih polja. Porezni obveznici koji žele dijeliti račune u elektroničkom obliku trebali bi se jasno pridržavati tih zahtjeva.

Ranije je postojao problem koji se FTS obvezuje preseliti u novi format elektroničkih dokumenata je otprilike isti kao i novi format elektroničkog izvješćivanja - od 1. ožujka bit će novi format, a zatim "čak i trava ne raste . " Sada, nakon nekoliko godina objavljuju format, čekaju povratne informacije, a zatim upozoravaju da je potrebno glatko proći ove godine. U isto vrijeme, i stari i novi formati prihvaćeni su paralelno. Porezna služba uvijek treba primati dokumente u bilo kojem formatu, jer dokumenti mogu imati pet godina, au elektroničkom obliku moraju i dalje biti prihvaćeni.

Elektronički potpis

Zakon br. 63-FZ uvodi koncept elektroničkog potpisa. Prije toga, postojao je koncept "elektroničkog digitalnog potpisa" (EDS), sada je točnije koristiti pojam "elektronički potpis". Postoji zakon tri vrste elektroničkog potpisa.

  • Prvi pogled je jednostavan elektronički potpis, Na primjer, kada koristite mobilnu banku, primite SMS s jednokratnom lozinkom i potvrdite - to je analog jednostavnog elektroničkog potpisa. Takav potpis možete samo odrediti autor.
  • Druga i treća vrsta je poboljšani elektronički potpis, "Poboljšana" znači da se koristi neka vrsta kriptociranja. Poboljšani potpis je podijeljen na nekvalificirani i kvalificirani.

Ojačani kvalificirani elektronički potpis se ponekad naziva jednostavno kvalificirani elektronički potpis (CEP). To je elektronički potpis na temelju potvrde, koji izdaje akreditirani centar za svjedodžbe. Ministarstvo komunikacije provodi popis centara za certificiranje koje pružaju certifikate elektroničkih potpisa.

Potvrda o elektroničkom potpisu (još uvijek se može nazvati certifikatom elektroničkog potpisa) - to papir ili elektronički dokument, nedvosmisleno određivanje tko posjeduje ovaj potpis.

Kvalificirani elektronički potpis primjenjuje se najraširenije. Njegova je glavna svrha da potvrđuje autorstvo, jamči nepobliži i osigurava integritet potpisanih podataka. To znači da ako ste popisali elektroničku fakturu kvalificiranim elektroničkim potpisom, onda:

  • Ne možete reći da to nije vaš potpis;
  • Ne možete ga odbiti (povlačiti);
  • možete provjeriti jesu li promjene napravljene na ovom dokumentu nakon što ste ga potpisali.

Ako govorim pro Primjena elektroničkih potpisa, Vrijedi ih podijeliti na lokalni i oblak.

  • Lokalni elektronički potpis - Situacija kada potpišete dokumente na računalu. U tom slučaju je potrebno kriptocion, instalacija certifikata je mnogo poteškoća.
  • Elektronski potpis oblaka - Situacija kada vjerujete u skladište zatvorenih ključeva do određenog vlasnika u "oblaku" i potpisivanje dokumenta, potrebno je prenijeti prije ovog oblaka. Najvjerojatnije će se potvrditi lozinka za jednokratnu upotrebu. A nakon potvrde, elektronički potpis će se formirati na poslužitelju u oblaku, a dobit ćete potpisani dokument.

FSB je objavio objašnjeno pismo u kojem je to objašnjeno oblak Elektronski potpis nije kvalificiran, Stoga, ako zakon kaže da je dokument mora potpisati kvalificirani elektronički potpis, a imate dokument potpisan u "oblaku", onda imajte na umu da to može imati problema - na to morate pristupiti vrlo pažljivo.

Što još mogu reći zanimljivom zakonodavstvu koje će nas se odnositi?

  • U 2016. pojavio se jedan certifikacijski centar Ministarstva komunikacija Rusije, što vam omogućuje da izgradite lanac povjerenja do bilo kojeg certifikata. Ovaj certifikacijski centar Ministarstva komunikacije Ministarstva komunikacije, izdaje certifikate za akreditirane centre za certificiranje, a već su izdani pojedincima i pravnim osobama. Stoga, za bilo koji elektronički potpis uvijek možete izgraditi lanac povjerenja. Vrlo je zgodan, jer je nekad bilo teško provjeriti u praksi da je potpis iz drugog certifikacijskog centra Validna.
  • Većina novih - početkom 2017. Ministarstvo komunikacija donijelo je zakonodavnu inicijativu za izdavanje svih kvalificiranih elektroničkih potpisa kako bi se dao državnom monopolu. Na ovoj središnjoj banci i Ministarstvu gospodarskog razvoja, doslovno je u srpnju odgovorio da je to nemoguće učiniti, jer bi to trebalo posao i uništiti ono što je već godinama razrađeno. Najvjerojatnije, ova zakonodavna inicijativa neće ići dalje, ali takva misao je.

Značajke korištenja EDO-a s EP-om u tvrtkama

Koje su značajke korištenja elektroničkog upravljanja dokumentima u tvrtkama? Imajte na umu da kada pokrenete projekte vezane uz elektroničku potpis i kriptografiju, konzultantske usluge su vrlo važne.

Ako a tvrtka pokreće protok elektroničkog dokumenta, onda:

  • prvi zadatak je propisati korištenje elektroničkog upravljanja dokumentima u računovodstvenim politikama;
  • sljedeća potreba izdajte narudžbu u poduzećugdje odrediti koja lica mogu potpisati dokumente;
  • ako zamijenite ugovornicu, morate imati sporazum u kojem je napisan kako ćete otkazati i prilagoditi dokumente. Na primjer, ako vam se ne sviđa neki papirni dokument, možete se složiti s vašom ugovorom i samo ga razbiti, i sve će biti u redu. A u elektroničkom obliku sve je složenije, jer je broj primjeraka dokumenta koji ste generirali i potpisali mogu biti neograničeni. Čak i ako ste vi i vaš ugovor pristali otkazati ovaj dokument, onda njegov ekvivalent e-pošte nije dovoljno jednostavno ukloniti iz baze. Za podešavanje elektroničkog dokumenta ili ga odbiti, morate formirati novi elektronički dokument na svojoj osnovi, a već navedite u tome kako vaš posao sada gleda. I tek nakon što potpišete ovaj novi elektronički dokument na obje strane, informacije o transakciji će biti fiksne u obliku koji vam je potreban.

Sve to mora biti propisano i korištenje.

Spremnost regulatornog okvira

Cijenio bih spremnost našeg regulatornog okvira - već postoji neka vrsta "zgrade", ali to mora biti točnije.

  • Na primjer, nema razumijevanja kako ćemo provjeriti elektronički potpis u arhivi elektroničkih dokumenata u pet godina, Budući da certifikat živi jednu godinu, a kada se završi razdoblje valjanosti, potpis će biti vivend - nije jasno kako provjeriti.
  • Nije jasno što je "potpis datuma". Za neke računovodstvene dokumente, važno je znati koje je vrijeme potpisan dokument. Sada, prilikom potpisivanja dokumenta, možete "mukhlova" - prenijeti datum računala, potpisan, i to će izgledati kao dokument potpisan od strane "straga". Stoga, kako bi se nedvosmisleno kažu da je dokument pretplaćen na tada trebao biti jedan od opcija:
    • ili mora postojati jedna središnja distribucija vremenskih oznaka, tako da u vrijeme potpisivanja dokumenata otišli smo u neki od federalnih službi, što bi nam dalo vremenski pečat za potpis;
    • ili, kada razmjenjujete račune e-pošte, postoji još jedna treća veza - to je elektronički operator upravljanja dokumentima. Propuštaju dokumente kroz sebe i ne daju "dimnost", jer generira svoje račune (potvrda), u kojoj se propisuje datum i vrijeme.

Općenito, postoji gdje se preseliti.

Mehanizam kriptografije u platformi "1C: Enterprise 8"

Mehanizam kriptografije u platformi pojavio se iz verzije 8.2 - to je prilično mladi mehanizam. Sam platforma ne sadrži kriptoalgoritme, sadrži samo pozive i objekte s kojima možete uputiti na kriptografske usluge na računalu:

  • za Windows je Cryptoapi sučelje;
  • za Linux ne postoje takva sučelja, postoji izravna privlačnost modula kriptografije.

Odavde to postaje jasno kriptografija se može primijeniti samo ako je instaliran kriptocion na računalo, A s druge strane, sama platforma "1C: poduzeće" ne mora biti certificirana sa stajališta kriptografije.

Glavne kriptografske operacije u 1c: poduzeće 8 platforma:

  • Znate da platforma može raditi u različitim načinima: debeli, tanki, web klijent, vanjsko povezivanje i mobilna aplikacija. U svim tim načinima lansiranja, kriptografija je podržana - Za mobilnu aplikaciju, podrška za kriptografske mehanizme pojavio se iz verzije 8.3.10. Preporučio bih da pročitate "asistent sintakse" i gledam koje su metode dostupne u jednom ili drugom načinu rada lansiranja, jer postoje ograničenja.
  • Platforma vam omogućuje da radite s otvorenim ključnim certifikatima (X.509)koji su instalirani na računalu. Ne možemo objaviti novi certifikat ili zatražiti njegovo objavljivanje, radimo samo s onim što imamo - koristeći platformne mehanizme, možemo pronaći certifikat na računalu, čitati njegove atribute, istovariti ga u datoteku i provjeriti kako je valjan.
  • Često sam naišao na moju praksu s nesporazumom kako u platformi radi šifriranje i dekodiranje, To je osobito važno kada napravite integraciju s nekim vanjskim izvođačem, koji ne radi za 1c. Kada ste šifrirali dokument, poslali ga na drugu stranu, i tamo pokušavaju dešifrirati. Na primjer, pitanja se često pojavljuju ako je algoritam 28147-89 naveo prilikom postavljanja kriptoprodera u 1 ° C, koji je simetričan, a dešifriranje zahtijeva privlačnost zatvorenog ključa. Dopustite mi da vas podsjetim da algoritam simetričnog šifriranja podrazumijeva da za šifriranje i dešifriranje koristite isti ključ. Asimetrično šifriranje je kada se podaci šifriraju pomoću javnog ključa, a drugi zatvoreni (tajni) ključ se koristi za dešifriranje. Izvođači se pitaju: "Ali vi ste rekli da je algoritam šifriranja simetričan, zašto onda kada dešifriranje trebate zatvoreni dio ključa?" Shvatimo kako mehanizam šifriranja radi na platformi:
    • nasumično stvara ključ fiksne duljine s kojom se skup podataka šifrira prema simetričnom algoritmu;
    • tada je sam ključ šifriran asimetričnom algoritmom koristeći javni ključ potvrde o primatelju;
    • Šifriranje pomoću simetričnog algoritma radi brže - šifrirali smo veliku količinu podataka, a zatim je mali ključ fiksne duljine brzo šifriranje pomoću asimetričnog algoritma;
    • Šifrirani podaci, popis potvrda o primatelju i sama šifrirani ključ pakiraju se u jedan paket specifikacije PCCS # 7;
    • ovaj paket se šalje na strani primatelja;
    • i dekodiranje radi u obrnutom poretku.
  • Potpisivanje i provjeru elektroničkog potpisa, Prilikom potpisivanja alata platforme, žalba na zatvorenom dijelu ključa i provjeru integriteta (matematička valjanost) potpisa ugrađena je u platformu. Sa stajališta pravnog značaja to nije dovoljno. Ako želite provjeriti elektronički potpis u dokumentu, morate provjeriti:
    • potvrda;
    • matematička valjanost podataka koje ste poslali.

Tako je učinjeno u mehanizmu BSP-a - o tome će se raspravljati malo kasnije. Platforma ne.

Zaštićena TLS veza za organiziranje šifriranog kanala za razmjenu podataka.Podržane su dvije verzije TLS - 1,0 / 1.2. TLS verzija je postavljena na izvor s kojim instalirate vezu - ako izvor koristi protokol 1.2, tada će platforma podići šifrirani spoj 1.2. Ako se koristi BSP, onda kada pristupate resursu, u adresi je registriran "HTTPS", šifriranje se automatski uključuje. Ako je "http" registriran na adresu, promet nije šifriran. Još jedna zanimljiva stvar mogu reći da je prije šifriranog povezivanja instalirana samo na RSA algoritme, a sada i na gost-algoritme. Preglednici nisu podržani gost algoritmima, a platforma je već u stanju. Ali nije sve tako dobro, nažalost.

Već sam spomenuo da platforma može raditi samo s onim kriptografskim uslugama koje su instalirane na samom računalu. Prema tome, postoji ograničenje - ako želite koristiti kriptografiju, morate imati neku vrstu kriptociranja. U čemu Kriptustrialnost se ne može koristiti u prijenosnom načinu rada, mora se instalirati na OS, Čini se da je postojao token s kriptustijom na računalo, platforma je radila s njim - to ne bi uspjelo.

Elektronski potpis se generira samo u formatu PKCS # 7 (Odvojena, vanjska datoteka), na drugi način platforma ne zna kako.

Neki odjeli zahtijevaju format potpisa. Xmldsig - U pojednostavljenoj verziji, situacija u XML datoteci možete uzeti određeni skup oznaka, potpisati ih i staviti potpis u sljedeću oznaku tako da je u jednom dokumentu bilo nekoliko potpisa. Platforma ne zna kako to učiniti.

I dalje bih to primijetio uz pomoć platforme, teško je dijagnosticirati probleme s nastajanjem.Na primjer, na računalu se nalaze kriptoč, postoji certifikat, negdje postoji zatvoreni dio ključa, a ako platforma počinje nazvati sve i u nekom trenutku, nešto se ne uklapa, to je jednostavno dalo pogrešku - ono što nije uspjelo, a operacija se nije dogodila. Ono što se tamo dogodilo, gdje je problem nerazumljiv. Stoga, postoji gdje se kreće u tom smjeru i platformi, i kriptiranosti.

Kriptografija u vanjskim komponentama

Da biste uklonili ograničenja na platformi, možete pokušati napraviti vanjsku komponentu.

  • U tu svrhu tvrtka "1c" ima cjelinu metodologija, objavljena je na disku na https://its.1c.ru/db/metod8dev#content: 221: Hdoc. Primjeri su pričvršćeni na njega, možete koristiti.
  • Kada vam razvija vanjsku komponentu morate napraviti sklopove za sve operativne sustave na kojima vaše klijente rade. Pa, ako unaprijed znate da imate 100 kupaca i svih 32-bitnih prozora. Ako to nije slučaj, trebali biste napraviti skupštine:
    • za Linux;
    • za Windows (32 ispuštanja i 64 znamenke);
    • ako vaši klijenti rade kroz preglednik, morate napraviti proširenje za svaki preglednik zasebno.
  • Prilikom rada to je još gore. Radite s vanjskom komponentom, kao i s objektom čija svojstva znate samo. Ako ste tijekom provedbe negdje napravili pogrešku, programski kod za interakciju s ovim objektom neće moći raditi.
  • Postoji još jedan problem - nije jasno kako ćete dostaviti ovu vanjsku komponentu klijentu, Platforma klijenta već je vrijedna toga, s kriptografima, sve je jasno, a sada ste napisali vanjsku komponentu koja veže kripturalnu i platformu. Ali gdje to košta ova vanjska komponenta, kao što ste ga stavili s klijentom - nije jasno.
  • Ti moraš održavajte i ažurirajte programski kôd, Ako koristite vanjsku komponentu u tipičnom rješenju, to znači da se sve treba uzeti u obzir pri ažuriranju. A ako se proizvede nova verzija platforme, morate sve učiniti.
  • Postoje gotovi primjeri vanjskih komponenti. Najživlji primjer moje prakse je vanjska komponenta za Sberbank. Točnije, Sberbank proizvodi vanjsku komponentu za uslugu "1c: DirectBank". Ova vanjska komponenta provodi vlastiti elektronički format potpisa i instaliranje šifriranog spoja.

BSP podsustav "Elektronski potpis"

Sada o tome koliko je lakše raditi.

"1C: Knjižnica standardnih podsustava" (BSP) je gotova tipična konfiguracija od "1c", skup univerzalnih funkcionalnih podsustava, od kojih se jedan naziva "elektronički potpis".

Odmah želim napomenuti da je sama BSP određena izolirana razina s platforme koja ima softversku i korisnička sučelja. "Elektronički potpis" podsustav implementira softver i korisničko sučelje za rad s kriptografijom (enkripcija, elektronički potpis).

Pri razmatranju podsustava "Elektronski potpis" važno je razumjeti što je u njemu:

  • Osnovna funkcionalnost, gdje se primjenjuje da se nikada neće dotaknuti ako želite da sve radi.
  • A postoji i poseban nadjačan dio za programere kao što je mi, gdje možete dodati nešto drugo. Ako ne postoji nešto, preporučujem pisanje na momke koji razvijaju BSP za pokretanje mogućnosti nadjačavanja u osnovnu funkcionalnost, a onda možete učiniti ono što vam je potrebno u redefiniranom dijelu.

Broj objekata u podsustavu nije jako velika, direktoriji su samo dva:

  • "Program elektronnypopiyshiyships";
  • "CerticeATecelectriceleclectronic Posyaching".

No, broj kodnih linija u zajedničkim modulima je vrlo velik - 11,5 tisuća strojeva koda. A rad sam s podsustavom nije vrlo jednostavan.

Kako ugraditi elektronički potpis podsustav?
Pretpostavimo da imate određenu konfiguraciju, odlučili ste da morate ugraditi ovaj podsustav u njega:

  • prije svega, morate čitati na njenom, kako ugraditi podsustave;
  • sljedeća - Pročitajte upute za podsustav (poglavlje "Postavljanje i korištenje podsustava u razvoju konfiguracije", pododjeljak "Elektronski potpis") - napisan je red rada;
  • potrebno je upoznati se s BSP Demobazom s primjerima izazova elektroničkog podsustava potpisa;
  • i na kraju, nakon što ste izgradili podsustav, morate provjeriti:
    • postoji proširena provjera platforme kada ugradite predmete;
    • i još uvijek postoji zasebna obrada za svoju "provjeru podsustava ugradnje BSP" - uz pomoć njega možete provjeriti kako ste svi ugrađeni.

A ako imate konfiguraciju od nule, uzimate podsustav i napišite ga - ažurirat ćete se.

Kako testirati elektronički potpis?

  • Za testiranje moguće je koristite samopotpisanu potvrdu - Oslobodite ga na kriptovu uporabu od Microsofta, koji je ugrađen u Windows.
  • Ili je moguće koristite vanjsku fuziju, Uz pomoć "CryptoproPro" možete:
    • preuzmite probnu verziju s vaše web-lokacije;
    • naručite certifikat testa putem certificiranja certificiranja testa;
    • ugradite root certifikat test certifikacijskog centra;
    • preuzmite i stavite popis opoziva certifikata (SOS) iz ovog UC-a.

Dakle, "bez ustajanja s kauča", dobit ćete testno okruženje za rad s certifikatima i kriptografijom. To se može koristiti.

Glavne funkcije podsustava "Elektronski potpis" iz BSP-a

Ovo je primjer BSP Demobaza. U odjeljku "Administracija" postoje dvije funkcionalne opcije: "šifriranje" i "elektronički potpis". Ako ste ih uključili, možete otići na postavke.

Postavke su dvije referentne knjige: "Programi" i "certifikati". U "programima" sustav određuje koji su programi instalirani i odmah pokazuju da je sve u redu ili je sve loše. Ako koristite neku vrstu određene kriptocilacije, koji nije u BSP-u, možete kliknuti gumb "Add" i navesti parametre privlačnosti na njega.

Ako radite putem web klijenta, BSP podsustav će potaknuti da prvo trebate instalirati proširenje na rad s datotekama i proširenjem za rad s kriptografijom. Vrlo je zgodan jer se ne morate prilagoditi - sustav će pronaći proširenje i ponudit će ga.

Certifikati se mogu dodati na dva načina.

  • Prva opcija je "iz instaliranja na računalu." U tom slučaju otvara se dijaloški okvir, gdje ćemo odrediti kako ćemo koristiti ovaj certifikat.

  • I drugu opciju - možete naručiti izdavanje novog kvalificiranog certifikata. Imajte na umu da platforma ne dopušta naručiti izdavanje potvrde, a BSP dopušta. BSP je napravio integraciju s certifikacijskim centrom 1c, koji izdaje potvrde o kvalificiranom elektroničkom potpisu. Možete proći čarobnjak za postavke:
    • sustav će potaknuti koji dokumenti popunjavaju i ispisuju za izdavanje potvrde;
    • bit će potrebno zaključiti sporazum s partnerom koji može provesti osobnu iskaznicu i prijenos dokumenata u 1c;
    • nakon 1c prima dokumente, bit će objavljen certifikat;
    • sustav će ga pronaći i instalirati na računalo.

Dakle, korisnici bez napuštanja programa dobivaju kvalificirani popis elektroničkih potpisa.

Čarolija se događa sljedeće - provjera certifikata dijagnostikom ispravnosti postavki. Ovaj dijalog omogućuje vam da provjerite kako je ispravno kriptografija na računalu konfiguriran - sustav će pokušati potpisati certifikat, provjeriti, šifrirati, dešifrirati. Također je moguće umetnuti dodatnu dijagnostiku ovdje.

Ako vi ili vaši klijenti imate neke probleme, pokrećete "dijagnostiku", a sve će biti jasno. Ako postoje problemi, kao u primjeru na slide, možete kliknuti na ikonu pogreške, pokazat će vam moguće uzroke i pokušat ćete vam reći što popraviti.

Kako uputiti pozive za potpis i šifriranje / dešifriranje Možete pregledati primjer direktorija "Files" u demo-bazi podataka BSP-a ili u "1c: upravljanje trgovinom", "1c: ERP" - postoji isti podsustav.

Usluge "1c-eDo" i "1c: Direct-Bank"

Kako je kriptografija u uslugama? Prva usluga, 1C-EDO je usluga dizajnirana za razmjenu pravno značajnih elektroničkih dokumenata putem prijateljskih operatera tvrtke "1c".

  • Funkcionalnost klijenta razvija se u "elektroničkoj knjižnici dokumenata".
  • Kada se pokušavate povezati s poslužiteljem, šifriranom SSL vezu pojavljuje se (HTTPS) na RSA algoritmima.
  • Korištenje autorizacije s kriptografijom. Budući da poslužitelj ne zna o nama, šaljete se na šifrirani token, a ako ste "prava" osoba, dešifrirate ovaj token pomoću zatvorenog ključa i koristite ga kasnije za razmjenu podataka.
  • Moguće je pregledavati elektronički dokument, potpisati, provjeriti, pakirati u paket podataka i poslati.
  • Provjerite i općenito sva kriptografija radi kroz BSP. Provjera elektroničkog potpisa izvodi se u dvije faze:
    • prvo, provjeravana je valjanost certifikata: razdoblje valjanosti, povjerenje, atributi;
    • ako je sve u redu s certifikatom, tada se izvodi izračun matematičke hash. Ako je sve u redu s matematikom, potpis se smatra valjanim i primijenjenim na dokument.
  • Također, koristeći BSP implementirao proširenu dijagnostiku postavki EDO-a - utvrđuje se da su poslužitelji dostupni i da je sudionik elektroničkog upravljanja dokumentima u redu - on ima aktivne tarifne planove, itd.

Druga usluga je "1C: Directbank." Njegovo imenovanje je razmjena s bankama elektroničkim dokumentima izravno, zaobilazeći program klijenta-banke.

  • Ova usluga se također isporučuje u "Knjižnici elektroničke dokumente".
  • Otvori Directbank tehnologija opisana je na Github.
  • Od novog - šifriranog komunikacijskog kanala s uslugom može se podići na algoritmu na GOST-u.
  • Postavka razmjene je napravljena ovako: 1c čini zahtjev banci da dobije postavke za određeni klijent. Ako je potrebno, zajedno s postavkama, Banka šalje vanjsku komponentu, koja se koristi uz daljnju razmjenu (tako implementira Sberbank).
  • Autorizacija se vrši ili šifriranim tokenom ili SMS-om (kroz jednu lozinku).
  • Potpisivanje i provjeru elektroničkog potpisa radi kroz BSP ili kroz vanjske komponente (ovisno o tome kako je samostalna banka implementirana).
  • A dijagnostika je ovdje još zanimljivija, kroz puni ciklus razmjene elektroničkih dokumenata posebne vrste - "upitna sonda".
    • 1C sustav je prijavljen u bankovnom sustavu i prenosi elektronički dokument na njegov potpis;
    • Banka provjerava elektronički potpis klijenta, obrasci obavijesti da je sve dobro i potpisano njegov potpis;
    • Obavijest stiže u "1c", provjerava da potpis valjane banke i kaže nakon toga da je sve u redu.

To je takav mini-ciklus - postaje jasno koliko je razmjena s vašom bankom ispravno konfigurirana.

Vlastita rješenja s kriptografijom na 1C platformi


Kako razviti vlastita rješenja s kriptografijom?

Možete stvoriti konfiguraciju od nule - otvoriti "pomoćnik sintakse" i koristiti mogućnosti platforme za kriptografske operacije. Ali preporučio bih korištenje BSP - već postoji mnogo onoga što je napisano. U tom slučaju, morat ćete napisati ne 11 tisuća linija koda, ali manji. Ali pet tisuća linija koda - sigurno.

Kako testirati - već sam rekao. Možete dobiti certifikat testa i pokušati raditi.

Ako ste razvili konfiguraciju od nule - pratite ga sami. A ako ste koristili pri razvijanju BSP-a, i to je objavio neku novu priliku, onda možete ažurirati BSP podsustav i pokušati ovu priliku. Teškoće će biti u svakom slučaju, jer "srebrni metak" nije ovdje. Pristupao bih procjenu da li se isplati ili ne izmisliti nešto, ovisno o zadatku koji želite riješiti. S obzirom na određeni zadatak, već odabirete: Vaše rješenje ili standardni BSP na temelju temelje.

Primjer vlastitog rješenja je razvoj IT industrijskog partnera. Razvili su mali modul za interno upravljanje elektroničkim dokumentima na temelju "1c: UPP". Tamo, na temelju tiskanog obrasca, formira se elektronički dokument, koji je priključen na dokument informacijske baze, te je moguće potpisati s elektroničkim potpisom. Jednostavan tijek dokumenata unutar tvrtke, ali mora ga ionako pratiti.

Poteškoće u uvođenju kriptografije i EP u organizacijama

Što je tamo glavni problemi?

  • Ako trebate instalirati na jedno računalo došlo je do dva kripnogacija, sukob, Na primjer, ako imate prijavljivanje putem Vipneta i elektroničkog protoka dokumenata s ugovorom putem "CryptoproPro". Kako riješiti ovaj problem?

Prva opcija je razvijanje ovih kriptoča na različitim računalima.

Ako je nemoguće, onda za jednu od usluga koje je potrebno za objavljivanje certifikata na drugom kriptokuciju - kada naručite certifikat u certifikatu certifikat, možete odrediti da za koju kriptografsku potrebu ćete koristiti.

  • Ponekad na klijentima kriptografija u IE pregledniku ne radi - Potrebno je uspostaviti proširenje, ali to nije stavljeno. Banalno vijeće - pokrenite preglednik u ime administratora, To će vam omogućiti da uspostavite proširenje, a problem će biti riješen.
  • Program 1c ne vidi uvijek Jacard Tokena, Ne znam što je problem, ili u Jacardu ili platformi. Ponovno instaliramo kriptoč - radi neko vrijeme, a nakon ponovnog pokretanja sustava opet leti. Iz nekog razloga, 1c i Jacard nisu vrlo prijateljski.
  • Postoji još jedan problem - prilikom provjere certifikata, platforma uvijek pokušava provjeriti koliko je pouzdan, a ponekad i ne uspije. Zašto se ovo događa? Postoji popis mišljenja gdje su uključeni nevažeći certifikati. Na primjer, kada zaposlenik napusti društvo, mora obavijestiti certifikacijsko središte koje zaposlenik prestane, a njezin certifikat nije valjan. Nakon toga, certifikacijski centar oslobađa popis povratnih informacija, koji uključuje ovaj certifikat, nakon čega se počinje smatrati nevažećim. Ponekad iz nekog razloga provjerite potvrdu u popisu Reconference ne uspije. U čemu je problem? Ovi popisi mišljenja za 1C nemaju nikakav odnos, oni se ažuriraju automatski kriptografski. Da biste to učinili, stabilan kanal mora biti konfiguriran za certifikat. Ako popis povratnih informacija nije automatski ažuriran, to znači da usluga nije dovoljno koordinirana u centru za certifikat ili je općenito odsutna. Promijenite certifikacijski centar i problem će otići.
  • Kada potvrde postanu puno (na primjer, više od 30), počinju poteškoće. Pretpostavimo da ste preveli posao na elektroničke tračnice, a usred radnog dana ispostavilo se da je potpis nevažećih, jer je njezin certifikat gotov. Izdavanje certifikata traje neko vrijeme, posao "na ušima", također. Za takve slučajeve morate koristiti specijalizirani softver za održavanje liste certifikata, Postoje programi koji vam omogućuju da pratite životni ciklus certifikata, a kada to učini razdoblje valjanosti, oni šalju podsjetnik administratoru. Ovo je banalna opcija, ali vam omogućuje više ili manje pojednostavljenih certifikata.

  • Razmjena s podacima iz 1c pojavljuje se od poslužitelja, tako:
    • otvorene portove na 1c: poduzeća: poduzeća;
    • prava računa poslužitelja mora biti "pristup internetu";
    • ako imate poslužiteljsku klaster, to znači da se svi 1C poslužitelji uključeni u klaster moraju otvoriti portove.
  • Ako ne postoji povjerenja u vanjski resurs, postoji poseban članak o njegovoj "dijagnostici problema" udaljeni čvor nije prošao ček "".
  • Osnovna pravila sigurnosti:
    • lozinke na naljepnicama ne pohranjuju;
    • radeći, izvadite žetone iz automobila;
    • redovito ažurirati antivirus.
      Inače se ispostavlja da ste postavili certificirani kriptocion, ključeve i oko virusa koji ga mogu iskoristiti. Stoga zaštitite perimetar.

Izvori informacija

Pitanja

Preporučio bih korištenje certifikacijskog centra s kojim ćete nastaviti raditi u smislu razmjene elektroničkih dokumenata. Primjer je operator elektroničkog upravljanja dokumentima "taksista", ima certifikat centar. Ako pokrenete elektronički dokument kroz "svojti", ima smisla i za certifikat da ih kontaktirate.

Rekli ste da je FSB dao neko objašnjenje o Cloedu Certifikatima. Što ako se potvrda ne pohranjuje lokalno, ali u oblaku se ne može smatrati ojačanjem. U slučaju standardne razmjene faktura i uspona, možemo koristiti Cloud Certifikat ili je potrebno koristiti sve isto?

Zakon kaže da je potrebno razmijeniti račune, potreban je povećani kvalificirani elektronički potpis, tako da oblak nije prikladan ovdje. Ali za druge vrste elektroničkih dokumenata - molim.

Otprilike govoreći, za bilo koji standardni EDO koji koristimo u 1c, trebamo ojačani certifikat?

Ne, ne za svakoga. Zakon je napisan samo o elektroničkim računima. Oni moraju biti potpisani od strane kvalificiranog elektroničkog potpisa. Što se tiče ostalih dokumenata ništa nije napisano. To znači da za fakture, za narudžbe možete koristiti ojačani nekvalificirani elektronički potpis - uključujući u oblaku.

A oko zaustavljanja nema ništa? Zapravo, UPB je sada isti kao i faktura.

Postoji zamagljena definicija - faktura s naprednim pokazateljima, ali to nije isto kao i ažuriran. Stoga mislim da ažuriranje ulazi u ispuštanje nekvalificiranog elektroničkog potpisa.

A koja je funkcija u cijelom lancu operater - "1c-eDo" ili "taksi"? Obično kroz operatore šaljemo dokumente vladinim agencijama i razmjene računa, a prilikom razmjene drugih dokumenata s ugovorom, zašto nam je potreban operator?

Operateri na tržištu također nisu prvi dan, fakture prolaze kroz njih. Kažu da - šaljete jednu fakturu, a još dva dokumenta slobodna. Još uvijek ćete razmjenjivati \u200b\u200bračune putem faktura kroz njih, tako da je lakše i dokumenti ih također šalju kroz njih. Još jedna stvar, ako sjedite na pojednostavljenom, i nemate fakture, onda možete zatražiti od operatera da traži jeftin tarifni plan. I tako u istoj "elektroničkoj knjižnici dokumenata" postoji mogućnost razmjene dokumenata s elektroničkim potpisom putem e-pošte, putem FTP-a, itd. Ali kada imate 100 ugovornih strana, organizirati za svaku od njih vaš komunikacijski kanal će biti težak u smislu pratnje.

A ako želimo testirati self-potpisani certifikat, možemo testirati bilo kakvu razmjenu pomoću self-potpisanog certifikata putem operatera?

Ne, kroz operatera - ne. Ako doista želite testirati, pišite tvrtki "1c" koju želite povezati s EDO uslugom za testiranje.

Kažu da nismo certificirani centar.

Piši mi, pomoći ću.

A ako zamijenimo bez operatera EDO-a, donosim potpisani elektronički dokument, i želim ga preuzeti u 1c kako bih ga zadržao tamo. U BSP-u ima dovoljno sredstava za provjeru da je to CEP i ima pravo detalje tako da je sve to u automatskom načinu rada bez modalnih prozora, itd.?

Nisam ispunio takve slučajeve u našoj praksi, ali u BSP-u je upravo moguće prenijeti datoteku i provjeriti njegov elektronički potpis. Najvjerojatnije, trebat će vam samo za ovu skriptu za crtanje neke vrste majstora: Provjerite mapu, pokupite dokument, uzmite potpis, provjerite sve, stavite ga gdje i kažete da je sve u redu. Što se tiče sinkroniciteta poziva - sve to se implementira u BSP-u, sve u preglednicima radi u asinkronom načinu rada.

I ako u 1c preko terminala na posao? Je li moguće staviti "CryptoproPro", a na terminalu mi raspravljamo o ključevima za njega? Koje su značajke, problemi? I, prema tome, ako imamo više od 20 pravnih osoba i za svaku od njih dva ključa, kako ide razgraničenje prava na ove ključeve? Na razini 1c ili kako?

U samom BSP-u, kada šaljete otvoreni dio ključa, moguće je odrediti koji korisnik će biti dostupan. Možete, unositi svoje ime, vidjeti samo vaše certifikate. Ali u isto vrijeme svi će biti na samom računalu. Stoga, znate, instalirati zatvoreni dio u registar nije potreban, jer zatvoreni dio ključa se prenosi bez ikakvih problema s automobilom na automobilu. Bolji žetoni. Moguće je slomiti token s zatvorenim dijelom ključa do terminalnog poslužitelja. Tipci za ključeve pomažu da je konfiguriraju tako da je ovaj ključ vidljiv u terminalu. Pokušajte, eksperimentirajte, pronađite druge tipke, pronađite ljude koji pomažu prilagoditi. Ali ovdje morate shvatiti da je ovaj tunel s terminalnog poslužitelja prije vašeg ključa nije siguran. Izradite elektronički dokument na terminalnom poslužitelju i kažem - znak. Što se događa? Postoji prijenos podataka preko nezaštićenog kanala na lokalnom računalu gdje je ključ instaliran, generira se elektronički potpis, a zatim se podaci vraćaju na terminalni poslužitelj. Ali ovaj kanal nije zaštićen. Može se zaštititi samo instaliranjem specijaliziranog softvera koji čini tunel između terminalnog poslužitelja i lokalnog stroja. Ako želite sigurno raditi, to znači da trebate staviti token, prekidamo ga do terminala i stavite softver na šifriranje kanala između terminalnog poslužitelja i klijentskog stroja.

Recite mi, postoji li razlika u brzini između potpisivanja elektroničke fakture i skeniranog ugovora na 100 stranica (gdje čisto grafika).

Što više dokumenta, to je više sporiji znakovi, jer je asinkroni enkripcija - hash se izračunava pomoću asinkronog algoritma. Ali sa stajališta, bilo da potpišete elektroničku fakturu u nekoliko linija ili 10MB datoteku - vizualno razliku koju nećete primijetiti. Napomena samo o volumenima u 1000-3000 dokumenata.

Što se tiče roaminga 1c-eda. U "svojti" postoji roaminga između operatora. I koliko je to djelotvorno u "1C-EDO"? Imate li takvo iskustvo? Budući da sve ugovorne strane sjede na različitim operatorima i odabiru operatera s maksimalnom prevlakom je vrlo teško. Koga biste savjetnili?

Ako odaberete između "1S-EDO" i drugih, onda naravno, "1c-eDo." Ali "1c-eDo" ima neke probleme s roamingom - to nije toliko mnogo operatora. Postoji poseban resurs za 1C-EDO, postoji popis podržanih operatora, mislim da se mora nadopuniti s vremenom.

I gdje pohraniti arhivu potpisanih dokumenata? Lokalno u tvrtki ili u oblaku? Je li moguće osigurati valjanost dokumenata uporna u oblaku?

Gdje pohranjujemo potpisane dokumente (u oblaku ili ne) - bez obzira. Matematički hash je već izračunat, a sadržaj dokumenta neće promijeniti bez traga. Nakon toga možete proći najmanje 10 puta negdje, potpis se uvijek može provjeriti isključivo matematički. Ako je usluga u oblaku zgodan - molim vas, zadržite ga, to je vjerojatno još zanimljivije.

I operater pruža takav uslugu?

Ako je zaseban ugovor s njim staviti sigurnosne kopije za pohranu - to čine za pojedinačni novac.

Nisu pohranjeni za potpisane dokumente?

Fizički, oni su pohranjeni, ali prema zakonu nisu obvezni pohraniti ih. Oni su dužni pohraniti samo račun. Ako će porez doći k njima i pitati - je li takav dokument prošao, oni će pokazati, da, ovdje je potvrda, izgleda - takav potpis. A što je tamo unutar ovog dokumenta - to više nije pitanje za njih.

A za UPP, operatori ne pružaju nikakvu obradu za EDO?

Ne mogu reći o operatorima, mnogi od njih, i svatko ima vlastiti razvoj, ali u samom EPP-u postoji elektronički protok dokumenata.

****************

Ovaj članak je napisan u rezultatima konferencije zajednice za zajednicu InfoStart 2017. Više članaka se može čitati.

U 2020. pozivamo svima da sudjeluju u 7 regionalnih izdvajanja, kao i na godišnjicu InfoStart događaj 2020 u Moskvi.

Elektronički potpis (u daljnjem tekstu: EP), prema saveznom pravu Ruske Federacije br. 63-FZ od 25. ožujka 2011. "o elektroničkom potpisu", definiran je kao informacije u elektroničkom obliku, koji je priložen drugim informacijama u elektroničkom Obrazac (potpisane informacije) ili na drugi način povezane s takvim informacijama i koji se koriste za određivanje informacija o potpisivanju osobe. Navedeni regulatorni zakon došao je zamijeniti pravnu snagu saveznog prava Ruske Federacije br. 1-FZ od 10. siječnja 2002. "na elektroničkom digitalnom potpisu" od 1. srpnja 2013. godine.

Zakon od 25. ožujka 2011. dodjeljuje dvije vrste EP: jednostavna i ojačana. Potonji se može kvalificirati ili nekvalificirati. Ako je jednostavan EP potvrdio da se ova e-pošta šalje određenoj osobi, tada je ojačani nekvalificirani EP dopušta ne samo da jedinstveno identificira pošiljatelja, već i potvrđuje da ga nitko nije promijenio od trenutka potpisivanja dokumenta. U budućnosti ćemo raspravljati o ojačanom nekvalificiranom EP. Poruka s nekvalificiranim EP može biti jednaka papirnatom dokumentu koji je sama potpisala, ako su se stranke dogovorile o tome unaprijed, kao iu slučajevima izričito zakonom.

S jedne strane, EP se koristi za potvrdu autorstva dokumenta - u ovoj vrijednosti za pošiljatelja dokumenta. S druge strane, elektronički potpis u slučaju priznavanja njegovog pravnog značaja osigurava neugodnost autora iz potpisanog dokumenta, što je pak važan za primatelja dokumenta. U slučaju kontroverzne situacije, uvijek se mogu provoditi sukobi, koji će nedvosmisleno odrediti autor potpisanog dokumenta i prisilit će ga da bude odgovoran za potpisani dokument.

Odnos sukoba povezanih s EP

Glavni problem s analizom sukoba sportskih situacija na dokumente potpisanih od strane EP-a je dokaz činjenice da je "Informacije u elektroničkom obliku, koji je priložen drugim informacijama u elektroničkom obliku (potpisane informacije)" je pravni i značajan EP određenu osobu u određenom dokumentu.

Upotreba kriptografskih metoda omogućuje rješavanje ovog problema. Ako se osoba izda jedinstveni elektronički ključ, a zatim proizvode posebne transformacije koristeći ovaj elektronički ključ i elektronički dokument, onda će rezultat tih transformacija (a to je EP) biti jedinstven za ovaj par (ključni dokument). Dakle, zadatak prve faze parsiranja sukoba je utvrditi je li taj potpis razvijen pomoću ovog elektroničkog ključa ili ne - rješava se kriptografskim metodama.

Druga faza parsiranja sukoba je dokazati da je ovaj elektronički ključ vlasništvo određene osobe. Ovaj dokaz daje pravno značenje. Za rješavanje ovog organizacijskog zadatka - Računovodstvo izdanih ključeva koristi se PKI (infrastruktura javne ključeve).

Davanje pravnog značaja EP-a s PKI

U zakonu "na elektroničkom potpisu" razlikuju ključ EP i ključ za provjeru EP-a. Ključ za elektroničku potpis je jedinstveni sekvenca simbola dizajniran za stvaranje elektroničkog potpisa. Na elektroničkom potpisu Provjera je jedinstveni slijed znakova, jedinstveno povezan s elektroničkim ključem potpisa i namijenjen za autentifikaciju elektroničkog potpisa. Ključ za provjeru je epusode iz ključnog EP-a, ali obrnuti rad nije moguć. Dakle, postoji nedvosmislena usklađenost između tipke EP i ključ testa ključa. Ključ EP bi trebao stvoriti sam klijent i čuva se tajna. Upravo taj ključ služi za potpisivanje dokumenata elektroničkim potpisom. Ključ za provjeru EP služi za provjeru EP i distribuira svima da provjere potpis.

Glavni element PKI je certifikat centar. Certifikat certifikat sadrži registar sukladnosti ključeva i osoba koje su vlasnici ovih ključeva. Da biste registrirali ključ, Klijent se odnosi na otvoreni dio UC-a, zajedno sa svojim identifikacijskim podacima i dobiva potvrdu o sukladnosti koje potvrđuje svoj posjed ovog ključa. Potvrda o sukladnosti sadrži ključ za provjeru EP-a i podatke o identifikaciji kupca, a potpisuje certifikat EP certifikat. Dakle, UC potvrđuje da je ovaj klijent provjeren i je ona za koga daje. Po primitku certifikata, klijent zauzvrat potpisuje posebne dokumente o pouzdanosti potvrde izdanog od strane ručnog potpisa. Ovi dokumenti su glavna povezana veza između određene osobe i "skupa elektroničkih znakova", njegov EP.

Stoga je dovoljno provjeriti potpis i identifikaciju potpisanog certifikata potpisanog. To jest, pretplate potpisuje dokument s ključem EP, a zatim šalje ovaj potpisani dokument primatelju i njegovom certifikatu koji sadrži ključ za provjeru EP-a. Na taj način, primatelj će moći provjeriti da je potpis doista napravljen od strane ključa EP potpisan i primanje identifikacijskih podataka na potpisan iz certifikata. Klijent mora štititi ključ EP od kompromitiranja. U tu je svrhu raznih hardverskih ključnih skladišta stvoren s povećanom razinom zaštite, na primjer, USB uređaj rutun.

Ruski standardni EP.

Standardi su dvije razine. Na prvoj razini postoji izravno EP iz dokumenta. Druga razina uključuje EP i sve dokumente potrebne za davanje pravnog značaja EP-a: potvrda o potpisom ili lancu certifikata, vrijeme izrade potpisa, itd.

Ruski standardni EP prve razine je GOST 34-10.2012. Ruski standard EP Druga razina je PKCS # 7 s mogućnošću dodavanja TSA privremenih oznaka.

Opseg ep

  • internetska banka
  • elektroničko tržište
  • sustavi za upravljanje korporativnim dokumentima
  • e-mail
  • isporuka izvješća raznim federalnim uslugama
  • autorsko pravo

Web stranica s EP

Formulacija problema

Pretpostavimo da se u vašoj organizaciji odlučila prebaciti na elektronički sustav upravljanja dokumentima koji je izgrađen na web tehnologijama. U isto vrijeme, glavna mjesta u kojoj je potreban EP su:

  • EP datoteke proizvoljnog formata prilikom preuzimanja na web-mjesto od strane korisnika putem ulaznog obrasca
  • EP tekstualne podatke uneseni od korisnika u ulaznom obliku na web-mjestu
  • EP je objavio na web stranici dokumenta nekoliko korisnika
Prateći zadatak je zaštititi povjerljive informacije i osobne podatke, koji je podijeljen u sljedeće podzastelje:
  • zaštita kriptografskih podataka između radnogbirta korisnika i web-mjesta
  • autentifikacija korisnika za digitalni certifikat za pristup svom osobnom računu
  • kriptografska zaštita pohranjena na podacima poslužitelja
Pokušajmo razumjeti kako možete riješiti određene zadatke s najnižim vremenom i troškovima novca, činiti bez korisnici obuke i minimizirati daljnju tehničku podršku.

Shematski rješenje

Stvaranje certifikacijskog centra

    odaberite poslužitelj na kojem će biti raspoređeni certifikacijski centar. Po želji, može se rasporediti privremena oznaka i status potvrde o mreži. CAC i navedene usluge za uštede mogu se koristiti jedan poslužitelj, koji bi trebao biti dostupan online. Izvedivost tih usluga ćemo raspravljati u nastavku.

    ugradite proizvod s magpropacket

    stvorite ključ UC-a i aplikaciju na root certifikat CCM-a pomoću MKKEY Utility iz MagPro CryptoPacket. Ključ se može stvoriti na sigurnom uređaju, na primjer, na rutuketu. Nakon stvaranja ključeva CC-a potrebno je osigurati njegovu sigurnost organizacijskim metodama. Najsigurnija opcija je pohranjivanje ključa na rutokenom uređaju i hranio ga poslužitelju samo pri izdavanju potvrda. Certifikat CAC je datoteka. Ova će se datoteka naknadno izdavati svim klijentima CCC-a po primitku certifikata.

    stvorite root certifikat UC koristeći OpenSSL uslužni program iz Magpro CryptoPacket.

    stvorite strukturu direktorija u datotečnom sustavu u kojem ćete biti pohranjeni kao datoteke izdane korisničke potvrde izdanih poslužitelja certifikata, potvrde o certifikatu. Nakon toga slijedi organizacijske metode (na primjer, koristeći ACL) kako bi se osigurala prava prava pristupa tim direktorijima. Potvrde će se izdavati kao datoteke u PEM formatu. Treba imati na umu da se imena datoteka certifikata najbolje razumiju kako bi se dodatno olakšali zadatak pronalaženja potvrda.

Stvaranje ključa i PKCS # 10 aplikacija za certifikat

Da biste dobili certifikat, UC korisnik može koristiti dvije sheme: centralizirani i daljinski. Uz centraliziranu shemu, korisnik dolazi na CC i dati mu datoteku u kojoj se nalaze ključ i certifikat. Zatim dodaje ovu datoteku na USB flash pogon. Ova shema je jednostavna i prikladna, ali nesigurna, jer vam omogućuje da saznate korisničkog ključa zaposlenicima UC-a. Ali u nekim slučajevima uporaba ove sheme je nevjerojatno.

Najsigurnija shema za dobivanje certifikata je distribuirana. Korisnik stvara ključ, stvara PKCS # 10 aplikaciju za certifikat koji sadrži ključ za provjeru EP i identifikaciju. Korisnik potpisuje ovu aplikaciju s ključem EP-a i odnosi se na UC. CCC provjerava potpis u okviru aplikacije, na primjer, podaci o identifikaciji korisnika provjeravaju se, na primjer, s putovnicom i izdaje potvrdu. Zatim ispis certifikat i korisnik potpisuje dokument o ručnom potpisu o usklađenosti izdanog certifikata.

Kao dio odluke o raspravi, ključna generacija i stvaranje zahtjeva se vrši pomoću posebnog programa iz Magpro CryptoPacket. Ovaj program ulazi u korisnički skup kriptotunnela.

Ovaj program ima fleksibilan konfiguracijski sustav, s kojim možete stvoriti aplikacije za potpuno različite vrste certifikata, proširiti standardni skup identifikacijskih podataka, dodavati ulogu i korisnička prava na certifikate, na primjer, za razgraničenje pristupa web-resursima; Dodajte na primjenu raznih atributa.

Nakon izrade ključa, korisnik mora osigurati njegovo sigurno pohranjivanje.

Vrste potvrda za EP na web-mjestu

U našem portalu koristit će se nekoliko vrsta certifikata:

    certifikat korijena

    Ovaj certifikat se koristi za provjeru svih ostalih certifikata sudionika web portala.

    potvrda o provjeri autentičnosti poslužitelja

    Ovaj certifikat se koristi za provjeru poslužitelja od strane klijenta prilikom stvaranja sigurnog TLS veze prilikom prijenosa potpisanih dokumenata na web-mjesto

    potvrda o autentičnosti klijenta TLS-a

    Ovaj certifikat se koristi za provjeru klijenta od strane poslužitelja i pristup klijentu na osobni račun prilikom stvaranja sigurnog TLS veze prilikom prijenosa potpisanih dokumenata na web-mjesto

    certip EP kupac

    Ovaj certifikat koji klijent dodaje svojim ES-u, a time i stranka za testiranje može provjeriti potpis i identificirati potpisan

    certifikat potpisa usluge OCSP poslužitelja

    Ova potvrda o OCSP poslužitelju doprinosi njegovom potpisanom odgovoru na njegov certifikat

    certifikat TSA poslužitelja

    Ovaj Certifikat TSA poslužitelja dodaje se svom potpisanom odgovoru na svoj certifikat i dati joj pravno značenje

Sve ove vrste certifikata mogu se stvoriti pomoću UGPRO CryptoPacket Utility i UC na temelju Magpro CryptoPacket.

Dobivanje certifikata u UC-u

Prilikom primanja aplikacije od korisnika, UC administrator stvara sigurnosnu kopiju njegove primjene. Zatim provjerava aplikaciju i koristeći OpenSSL uslužni program stvara korisnički certifikat, potpisuje ga na ključ CCT-a i također pruža sigurnosnu kopiju. Osim toga, kako bi se osiguralo pravno značenje, administrator čini ispis informacija iz certifikata (dobivanje tih informacija dobiva se s Opensl.exe Utility) i dobiva korisnički priručnik potpis u okviru ovog ispisa. Zatim korisniku daje svoj certifikat u datoteci.

Dakle, u ovom trenutku smo mogli implementirati UC i naučiti kako stvoriti korisničke tipke, prihvatiti aplikacije za potvrde i izdavanje potvrda za primljene aplikacije. Dobivanje i usklađenost s certifikatom, korisnik potvrđuje svoj ručni potpis, te se stoga može tvrditi da smo raspoređeni od strane PKI-a, koji osigurava pravno značenje korisnika EP-a

Sljedeći zadatak je korištenje raspoređenog PKI-a za rješavanje primijenjenog zadatka - organizaciju sigurnog prijenosa pomoću preglednika potpisanog elektroničkih dokumenata na web-mjestu i primite ih u obradu na web stranici.

Modul za provjeru i pohranu i pohranu (poslužitelj)

Obično je web stranica raspoređena na nekom web poslužitelju (Apache, IIS, Nginx, itd.). Ova stranica sadrži osobni račun za svakog korisnika, koji je registriran na web-lokaciji. Da biste pristupili osobnom računu, korisnik mora proći postupak provjere autentičnosti. Obično je autentifikacija unijeti deign i lozinke dogovorene za registraciju korisnika.

Osim toga, koristi se web obrazac unosa za preuzimanje elektroničkih dokumenata na poslužitelj.

Kako bi se "pričvrstio" kontrola EP-a tom sustavu, kako bi se zaštitili veze između korisničkog preglednika i web-lokacije, kao i kako bi se pružilo strogi korisnik autentifikacije korisnika za pristup osobnom kabininu na poslužitelju, trebali biste instalirati Proizvod Magpro Crypt poslužitelja.

Arhitektonski, rješenje će izgledati ovako:

Kriptoer je instaliran prije zaštićenog web-poslužitelja. U isto vrijeme, web poslužitelj je konfiguriran na takav način da je potrebno dolazne veze samo s Crypto poslužitelja (pogledajte upute za postavljanje). Kriptover prihvaća dolazne HTS veze, dešifrira ih i prosljeđuje se web-poslužitelju. Osim toga, Crypto Server dodaje zahtjev X509-CERT zaglavlje HTTP zahtjev koji prenosi digitalni certifikat klijenta koji je donio postupak provjere autentičnosti. Ovaj certifikat se zatim koristi za pristup klijentu na njegov privatni račun. Da biste provjerili EP pod prenesenim dokumentima, Crypto poslužitelj uključuje OpenSSL uslužni program, koji vam omogućuje da provjerite izvorne vrste potpisa, dobijete od omotnice PKCS # 7 potpisan ili lanac certifikata, itd. Da biste provjerili EP, web-stranica primanja dokumenata trebala bi uputiti poziv na ovaj program.

Modul za razvoj (klijent)

Glavni zadatak korisnika prilikom pristupa web-mjestu je učitavanje elektroničkih dokumenata i tekstualnih podataka na web-lokaciju, kao i preuzimanje elektroničkih dokumenata s web-lokacije. Da biste zaštitili web-vezu s SSL / TLS web-lokacijom i za online potpise podataka koji se prenose na web-lokaciju, kriptotun treba koristiti na klijentskoj radnoj stanici.

Glavne prednosti kriptotunnel:

  • pruža zaštitu web-veza između bilo kojeg preglednika i SSL / TLS protokola s podrškom ruskih kriptoalgoritama
  • učitava autentifikaciju korisnika digitalnim certifikatom za pristup korisničkom računu.
  • omogućuje vam da potpišete online dokumente prilikom preuzimanja na web-lokaciju bez korištenja CSP-a i aktivnog X
  • podržava provjeru statusa online certifikata (OCSP)
  • podržava primanje pouzdanih privremenih oznaka pod EP (vremenska oznaka)
  • podržava različite USB-tokenere i pametne kartice za pohranu
  • ne zahtijeva instalaciju u lokacijama korisnika, distribuira se kopiranjem
  • može se pohraniti na konvencionalnom flash pogon i pokrenuti od njega
  • ne zahtijeva prava administratora sustava
  • podržava rad s bilo kojim web preglednikom (Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari Apple, itd.)
  • nema "obvezujuća" na jedno računalo - korisnik može koristiti jedan set za uporabu u uredu i kućama - štednja
  • ima jednostavno i razumljivo korisničko sučelje koje vam omogućuje da ne učinite bez učenja korisnika
  • omogućuje vam da smanjite troškove tehničke podrške za korisnike
  • može raditi na velikom spektru operativnih sustava (cross-platforma rješenje)
Cryptotunnel pruža potpis podataka i datoteka koje se prenose putem web obrasca ako je ovaj web obrazac posebno označen. To jest, web obrazac mora sadržavati polje s određenim imenom. Ovo ime je napisan u Cryptotunnel konfiguracijskoj datoteci i nakon što kriptotunnel počinje potpisivati \u200b\u200bpodatke ili datoteku koja se prenose u ovom polju. Osim toga, u jednom od skrivenih polja web-obrasca, može se postaviti tip potpisa (priloženog ili samostojeća), a u drugom skrivenom polju - URL pouzdanih oznaka. Imena ovih polja također trebaju biti navedena u Cryptotunnel konfiguracijskoj datoteci. Ako potpis ima samostojeću vrstu, zatim u Cryptotunnel konfiguracijskoj datoteci, trebali biste navesti naziv polja u kojem će se taj samostalni potpis poslati na poslužitelj. Tamo biste trebali odrediti naziv polja u kojem će se privremena oznaka poslati na poslužitelj.

To su sve radnje koje želite napraviti kriptotunnel da počnu potpisivati \u200b\u200bpodatke i datoteke koje se prenose putem web obrasca. Nije potrebno napisati dodatne skripte, nazvati Active X itd.

Organizacija višestrukog EP

Potrebno je više osoba ako dokument mora potpisati nekoliko osoba. U tom slučaju, dokument je obično odgođen na web-lokaciji tako da je dostupan samo korisnicima čiji je EP potreban. Ta se pristupna razdvajanja srušila pomoću autentičnosti korisnika putem digitalnog certifikata.

Kada koristite Cryptotunnel, korisnik ne mora preuzeti dokument, a zatim ponovno prijaviti i preuzeti dokument na poslužitelj - sve te operacije kriptotunnel će automatski pritisnuti gumb na web stranici.

Usluga OCSP.

Često se događa da HC podsjeća na korisnikov certifikat (na primjer, ako je korisnikov ključ ukraden od strane napadača). U isto vrijeme, ostatak korisnika mora biti obaviješten o opozivu ove potvrde, tako da ga zaustavljaju povjerenje. Postoji nekoliko načina da obavijestite korisnika o opozivu.

Najlakši način je raspodjela popisa opoziva (CRL). To jest, CAC stvara i periodično ažurira posebnu datoteku koju korisnici povremeno preuzimaju.

Drugi način je korištenje online potvrde o statusu certifikata - OCSP usluge. Da biste provjerili status bilo kojeg certifikata, kriptotun i kriptover automatski formiraju zahtjev OCSP-a, pošaljite ovaj zahtjev uslugu na mreži. Usluga provjerava certifikat, potpisuje rezultat provjere vašeg EP i vraća odgovor na klijenta. Klijent gleda odgovor, provjerava pod njim potpis i donosi odluku - povjerenje u ovaj certifikat ili ne.

Stvaranje OCSP usluge moguće je pomoću OpenSSL uslužnog programa iz Magpro CryptoPacket. Treba imati na umu da izbor između CRL-a i OCSP-a uvijek ostaje na diskreciji kreatora stranice. CRL - malo jeftinije, OCSP - malo sigurnije.

Trebalo bi biti otkazano da kriptotunnel i Crypto poslužitelj podržavaju OCSP i CRL.

TSA privremena tag

Glavna svrha privremene naljepnice je potvrditi činjenicu da je dokument potpisao EP najkasnije do vremena navedenog u vremenskoj oznaci.

Da biste stvorili privremenu oznaku, Cryptotunnel stvara zahtjev TSA na koji se hash primjenjuje iz EP; Šalje ovaj zahtjev usluzi TSA. TSA usluga dodaje ovom hash trenutno vrijeme i potpisuje rezultat svog EP-a. Dakle, stvara se pouzdana privremena naljepnica.

Da biste stvorili online pouzdane privremene oznake, koristite MAGPRO TSA proizvod. U tom slučaju, URL privremene usluge oznake postavlja web-stranica na kojoj je web obrazac potpisa

Dio TSA klijenta ugrađen je u Cryptotunnel. Nakon primitka vremenske oznake na EP-u se automatski proizvode sve radnje, bez privlačenja korisnika.

Arbitar

Sudac je poseban program koji se koristi pri analizi u skladu s EP-om.

Sudac vam omogućuje vizualizaciju podataka o identifikaciji certifikata, koji je u potpisima PKCS # 7; Vizualizirajte lanac povjerenja i vrijeme stvaranja EP-a (vremenske oznake). Za parsiranje sukoba, arbitar provjerava potpis pod određenom dokumentu i otkriva je li to izradio vlasnik certifikata.

Treba napomenuti da za samog mogućnosti parsiranja sukoba, dokumenata i njihovih potpisa treba dugo skladištiti u elektroničkom arhivu.

Zaštita osobnih podataka na web stranici

Podaci koji razmjenjuju između klijenta preglednika i web-lokacije mogu sadržavati osobne podatke i povjerljive informacije. Ako su svi korisnici stranice zainteresirani za zaštitu povjerljivih informacija, zaštita osobnih podataka je zahtjev zakona FZ 152-FZ "na osobnim podacima".

Kada koristite web-lokaciju, podaci su podvrgnuti prijetnji prilikom prolaska putem interneta i kada su dalje pohranjeni na poslužitelju web-lokacije.

Zaštita kada se prenosi između klijenta i poslužitelja

Internet je nesiguran kanal za prijenos informacija. Glavna prijetnja prilikom prijenosa podataka putem Interneta je napad "čovjek u sredini", to jest, napadač se povezuje s linijom između klijenta i poslužitelja i zamjenjuje prenesene informacije. Jedini način za zaštitu podataka na internetu je šifriranje tih podataka. Budući da je šifriranje kriptografski način zaštite informacija, tada se zahtjevi FSB primjenjuju na njega na sredstva kriptografske zaštite informacija - dostupnost certifikata FSB-a.

Za kriptografsku zaštitu veza između korisničkog preglednika i web-mjesta (web-veze) koristi se SSL / TLS protokol. Kryptotunnel pruža zaštitu podataka o ovom protokolu u potpunosti relevantan za zahtjeve FSB-a. Dakle, Kryptotunnel je certificirano rješenje koje u potpunosti zadovoljava zahtjeve za tehnička sredstva za zaštitu osobnih podataka.

Zaštita tijekom skladištenja

Prilikom pohranjivanja podataka u elektroničkom arhivu web-lokacije, ovi podaci trebaju biti pohranjeni u šifriranom obliku. Stvaranje sigurne elektroničke arhive je predmet odvojenog članka.

Osnovni koncepti

Kskpep - certifikat za provjeru elektroničkog potpisa.
Hep - kvalificirani elektronički potpis.

Kriptovideralat za kriptografsku zaštitu informacija. Program s kojim se generira zatvoreni dio elektroničkog potpisa i koji vam omogućuje da radite s elektroničkim potpisom. Ovaj potvrdni okvir se automatski pričvršćuje.

Izvezen ključsposobnost kopiranja elektroničkog potpisa na drugi medij. U nedostatku kvačice, kopiranje elektroničkog potpisa bit će nemoguć.

Lkm. - Lijevi gumb miša.

Pkm. - Desni gumb miša.

Crm-Agent - aplikacija koju su razvili CC stručnjaci za pojednostavljenje postupka za generiranje ključnog para, stvaranje potvrde o upitu i pisanju.

Prije početka generacije

Nakon posjeta certifikacijskom centru i donošenjem postupka pomirenja osobnosti, e-mail naveden u izjavi, UC je poslao pismo koje sadrži link za generiranje. Ako niste primili pisma, pogledajte svoj upravitelj ili tehničku podršku za UC na kontakt broj iz ovog priručnika.

Otvorite vezu za generiranje iz slova u jednom od preporučenih preglednika:Google Chrome., Mozilla Firefox., Yandex.browser, Ako ste već u jednom od gore navedenih preglednika, kliknite na vezu Lkm. ili Pkm.\u003e "Otvorite vezu na novoj kartici." Stranica za generiranje (sl. 1) otvara se u novom prozoru.

Prilikom otvaranja veze pojavit će se početno upozorenje. Pogledajte ga ako koristite prijevoznika za spremanje CEP-aJacarta. Lt. , Više o medijima u ispod. Ako koristite drugi medij, pritisnite gumb. "Zatvoriti".

Slika1 - Generacijska stranica

Instaliranje aplikacije

Kliknite vezu"Preuzmite aplikaciju" Za početak učitavanja. Ako se ništa ne dogodi nakon što kliknete, kliknite na vezu Pkm. > "Otvorite vezu u novoj kartici", Nakon preuzimanja aplikacije pokrenite instalaciju.

Preporučuje se onemogućiti antivirusni softver prije učitavanja programa. !

U procesu instaliranja aplikacije « cRM. - agent » Pojavit će se poruka s zahtjevom za pristup (sl. 2).

Slika 2 - Zahtjev za pristup


pritisni gumb "Da".

Pružanje pristupa

Nakon instalacije aplikacije, vratite se na stranicu za generiranje. Pojavljuje se poruka o "pružanju pristupa" (sl. 3).

Slika 3 - pristup spremištu certifikata


Klik "Nastavite" i, u prozoru koji se pojavljuje, "Osigurati pristup"(Sl.4).

Slika 4 - Pristup repozitoriju certifikata 2


Ako se gumb ne pojavi "Nastavite"

Ako nakon instalacije aplikacije « cRM. - agent » Veza za preuzimanje aplikacije nije nestala, razlog može blokirati vezu vašeg sigurnosnog sustava.

Da biste eliminirali situaciju koju trebate:

Onemogući antivirusni instaliran na vašem računalu;

Otvorite novu karticu u pregledniku;

Unesite adresu bez razmaka na adresnu traku preglednika - 127.0.0.1:90 - i idite (klikniteUNESI na tipkovnici);

Kada se pojavi poruka preglednika "Vaša veza nije zaštićena", Dodajte preglednik da biste isključili stranicu. Na primjer,Krom.: "Dodatni" - "Svejedno idite na web-lokaciju", Za druge preglednike koristite odgovarajuću instruktor developera.

Nakon pojavi poruke o pogrešci, vratite se na stranicu za generiranje i ponovite Točka 2 Ovu uputu.

Postavljanje CryptoproPro CSP.

U slučaju da nemate unaprijed instalirane kriptoprodere, nakon faze pristupa, reference će se pojaviti za preuzimanje CryptoPro (sl. 5).


To je važno: pričvršćivanje « cRM. - agent » detektira bilo kakve kriptoprode na računalu i ako imate drugačije od Kriptopro CSP. Program (na primjer,Vipnet. CSP. ), kontaktirajte stručnjake za tehničku podršku za konzultacije.

Kliknite vezu "CryptoproPro 4.0" Na stranici za generiranje ili sličnu link ispod za preuzimanje Cryptoprop instalacijske datoteke na računalo.

CRPTPRO CSP 4.0 - Verzija za Win 7/8/10

Nakon završetka preuzimanja, otvoritezip.- arhiviranje s odgovarajućim programom Archiver (na primjer,POBIJEDITI. - Rar ). Unutra će biti kriptoprop instalacijska datoteka. Pokrenite ga i postavite zadane postavke. Tijekom postupka instalacije možete imati sljedeći prozor:

Slika 5 - Instalacija kriptopropa

Preskočite prozor klikom "Unaprijediti", Ugradnja CryptoPro dovršena.

Instalacija upravljačkog programa za token

Potpisi se mogu pohraniti u registar računala, na običnim flash diskovima i na posebnuuspavanje- Centri. Popis tokena, PIN kodova i referenci na softver prikazani su u donjoj tablici (Tablica 1).

Tablica 1 - Vozači za zaštićene medije

Vrsta USB medija

Vanjski USB prijevoznik

Link za preuzimanje upravljačkih programa

Pin

rutun.

mob_info.