Instrucțiuni pentru generarea unei taste electronice de semnătură. Instrucțiuni de generare a cheii electronice de semnătură Creați un centru de certificare

Astăzi vom vorbi despre:

  • interesant subiectul criptografiei și semnăturii electronice astăzi;
  • ce reglementări funcționează în prezent pe această temă;
  • care sunt posibilitățile de criptografie implementate în platforma 1C;
  • cum să extindeți aceste posibilități utilizând componente externe;
  • să vorbim despre subsistemul "Semnătura electronică" în BSP;
  • despre implementarea serviciilor "1c-edo" și "1c: Directbank", dezvoltarea căreia am supravegheat;
  • vom atinge problema dezvoltării propriilor noastre soluții pentru a lucra cu criptografia pe platforma 1C: Enterprise;
  • luați în considerare problemele tipice care apar la introducerea EDO în întreprindere - vă voi spune cum să le rezolvăm.

Vreau să fiu atențit la cei doi termeni care vor fi utilizați în clasa master.

  • Primul este Edo, fluxul de documente electronice. Sub aceasta, înțelegem fluxul intern al documentelor electronice în întreprindere și extern cu contrapartide terță parte.
  • A doua abreviere este EP. Pe Internet există decodați: "Guvernul electronic" și "Drive electrice". O vom avea semnatura electronica.

De ce criptografia și semnăturile electronice sunt relevante pentru momentul actual?

  • Pentru întreprinderea modernă viteza proceselor de afaceri este unul dintre avantajele competitive.. La aplicarea gestionării electronice a documentelor, timpul petrecut în statistici scade cu 75%.
  • La trecerea la procedura de document electronic apare salvarea resurselor noastre (Cartușe de hârtie pentru imprimante, documente pentru stocarea documentelor, timp de personal pe organizarea documentelor de hârtie). Toate acestea ajută cu fermitate compania.
  • Aproape fiecare întreprindere utilizează acum canale bancare la distanță și securitatea plăților la distanță În prezent foarte relevant.
  • Toți contribuabilii majori includ acum rezumatele că, dacă doriți să lucrați cu ei - partajați documente în formularul electronic. Totul intră într-o electronică- facturi electronice, comenzi electronice etc. doresc să participe la licitație - ar trebui să aveți o semnătură electronică.
  • Toate acestea sunt treptat devine masaDar, în ciuda acestui fapt, populația noastră nu este informată. Aceasta reprezintă o omisiune gravă și, prin urmare, scopul acestei revizuiri este să vă întrebați un curs care să vă ajute să navigați în aceste probleme și să vă dați seama ce poate fi studiat și unde puteți vedea.

Cadru de reglementare, practică

Ce concepte vom lua în considerare?

Document electronic.

Documentul electronic este orice informație prezentată în formularul electronic:

  • Ați fotografiat mașina - această imagine este un document electronic;
  • am trimis o declarație la șeful e-mailului - acesta este, de asemenea, un document electronic.

Orice document poate fi tradus în "cifra", dar nu orice document electronic poate fi recunoscut fără participarea umană.

Prelucrarea mașinii este mai promițătoare, atât de multe documente pot fi împărțite în documente electronice formalizate și informale.

  • Într-un document informalizat, înțelegem că o persoană privește fotografia și vede că numărul mașinii este așa.
  • Și pentru documentele electronice formalizate, se dezvoltă, de obicei, scheme, unde se prescrie compoziția câmpurilor, limitările, legarea sau opțiunea opțională etc. Astfel de documente formalizate pot fi recunoscute automat.

Perspectivă pentru documentele electronice formalizate. Departamentele se mișcă treptat la noi șine. Mulți dintre aceștia își produc regulile care descriu în ce format pot fi schimbate informații.

  • De exemplu, studiul arbitral acceptă documente numai în format PDF.
  • Și facturile electronice trebuie transmise în format XML și există un cadru special de reglementare cu o descriere a câmpurilor necesare. Contribuabilii care doresc să împărtășească facturile în formă electronică ar trebui să respecte în mod clar aceste cerințe.

Anterior, a existat o problemă că FTS obligă să se mute într-un nou format de documente electronice este aproximativ același ca un nou format de raportare electronică - de la 1 martie va fi un nou format și apoi "chiar și iarba nu crește . " Acum, după câțiva ani, publică formatul, așteptând feedback și apoi avertizează că este necesar să treacă fără probleme în acest an. În același timp, ambele formate vechi și noi sunt acceptate în paralel. Serviciul fiscal ar trebui să primească întotdeauna documente în orice format, deoarece documentele pot fi de cinci ani, iar în formă electronică trebuie să fie încă acceptate.

Semnatura electronica

Legea nr. 63-FZ introduce conceptul de semnătură electronică. Anterior, a existat conceptul de "semnătură digitală electronică" (EDS), acum este mai corectă utilizarea termenului "semnătură electronică". Există o lege trei tipuri de semnătură electronică.

  • Prima viziune este semnătura electronică simplă. De exemplu, atunci când utilizați o bancă mobilă, primiți un SMS cu o parolă unică și vă confirmați - acesta este un analog al unei semnături electronice simple. Printr-o astfel de semnătură, puteți determina numai autorul.
  • A doua și a treia specie este semnătură electronică îmbunătățită. "Îmbunătățită" înseamnă că se utilizează un fel de criptocutare. Semnătura îmbunătățită este împărțită în necalificat și calificat.

O semnătură electronică calificată consolidată este uneori numită semnătură electronică pur și simplu calificată (CEP). Aceasta este o semnătură electronică pe baza unui certificat, care este emis de un centru de certificare acreditat. Ministerul Comunicațiilor se desfășoară de lista centrelor de certificare care oferă certificate de semnătură electronică.

Certificat de semnătură electronică (el poate fi numit în continuare un certificat de semnătură electronică) - ea hârtie sau documentul electronic, determinând fără ambiguitate cine deține această semnătură.

Semnătura electronică calificată se aplică cel mai mult. Scopul său principal este că confirmă autoritatea, garantează că nu mai apropie și asigură integritatea datelor semnate. Aceasta înseamnă că, dacă ați semnat o factură electronică printr-o semnătură electronică calificată, atunci:

  • Nu poți spune că nu este semnătura ta;
  • Nu puteți refuza (să vă retrageți);
  • puteți verifica dacă modificările aduse acestui document după ce l-ați semnat.

Dacă vorbim pro Aplicarea semnăturilor electronice, Merită să le împărțiți la nivel local și nor.

  • Semnătura electronică locală - Situația când semnați documentele de pe computer. În acest caz, este necesară criptocuția, instalarea certificatului este o mulțime de dificultăți.
  • Cloud Semnătura electronică - Situația în care aveți încredere în depozitul de chei închise unui anumit titular în "nor" și pentru a semna documentul, este necesar să o transmiteți înainte de acest nor. Cel mai probabil, o parolă de unică folosință va veni la telefonul dvs. care urmează să fie confirmat. Și după confirmare, semnătura electronică va fi formată pe server în nor și veți primi un document semnat.

FSB a lansat o scrisoare explicativă în care a explicat acest lucru semnătura electronică cloud nu este calificată. Prin urmare, dacă legea spune că documentul trebuie semnat de o semnătură electronică calificată și aveți un document semnat în "Cloud", atunci ține minte că acest lucru poate avea probleme - la acest lucru trebuie să abordăm foarte atent.

Ce altceva pot spune o legislație interesantă care ne va referi?

  • În 2016, a apărut un singur centru de certificare a Ministerului Comunicațiilor din Rusia, ceea ce vă permite să construiți un lanț de încredere până la orice certificat. Acest centru de certificare a Directivei Ministerului Comunicațiilor, emite certificate pentru centrele de certificare acreditate și sunt deja eliberate persoanelor fizice și juridice. Prin urmare, pentru orice semnătură electronică puteți construi întotdeauna un lanț de încredere. Este foarte convenabil, deoarece a fost dificil de verificat în practică că semnătura dintr-un alt centru de certificare al valirifiantului.
  • Cea mai mare parte a noului - La începutul anului 2017, Ministerul Comunicațiilor a făcut o inițiativă legislativă de a emite toate semnăturile electronice calificate pentru a da monopolului de stat. La această bancă centrală și Ministerul Dezvoltării Economice, literalmente în iulie au răspuns că era imposibil să facă acest lucru, pentru că ar lua locurile de muncă și să distrugă ceea ce a fost elaborat de ani de zile. Cel mai probabil, această inițiativă legislativă nu va merge mai departe, dar a fost un astfel de gând.

Caracteristicile utilizării EDO cu PE în companii

Care sunt caracteristicile utilizării managementului documentelor electronice în companii? Rețineți că atunci când lansează proiecte legate de semnătura electronică și criptografia, serviciile de consultanță sunt foarte importante.

În cazul în care un compania lansează fluxul de documente electronice, atunci:

  • prima sarcină este prescrie utilizarea gestionării electronice a documentelor în politicile contabile;
  • următoarea nevoie emite o comandă la întreprindereunde să specificați ce fețe pot semna documente;
  • dacă schimbați o contrapartidă, trebuie să aveți un acord în care este scris modul în care veți anula și ajusta documentele. De exemplu, dacă nu vă place un document de hârtie, puteți fi de acord cu contrapartida dvs. și doar o rupeți și totul va fi bine. Și în formă electronică totul este mai complicat, deoarece numărul de copii al documentului pe care l-ați generat și semnat poate fi nelimitat. Și chiar dacă tu și contrapartitul tău au fost de acord să anuleze acest document, atunci echivalentul său e-mail nu este suficient pentru a elimina pur și simplu din baza ta. Pentru a ajusta documentul electronic sau a refuza acest lucru, trebuie să formați un nou document electronic pe bază și să specificați deja în acest lucru cum arată afacerea dvs. acum. Și numai după ce semnați acest nou document electronic pe ambele părți, informațiile despre tranzacții vor fi fixate în forma de care aveți nevoie.

Toate acestea trebuie să fie prescrise și utilizate.

Disponibilitatea cadrului de reglementare

Aș aprecia disponibilitatea cadrului nostru de reglementare - deja există un fel de "clădire", dar trebuie să fie mai precis.

  • De exemplu, nu există nici o înțelegere cum vom verifica semnătura electronică în arhiva documentelor electronice în cinci ani. Deoarece certificatul trăiește un an, iar când se termină perioada de valabilitate, semnătura va fi Vivend - nu este clar cum să verificați.
  • Nu este clar ce este "data semnării". Pentru unele documente contabile, este important să știți care este semnat documentul. Acum, când semnați documentul, puteți "mukhlove" - \u200b\u200ba transferat data calculatorului, semnat și va arăta ca un document semnat de "spate". Prin urmare, pentru a spune fără ambiguitate că documentul a fost subscris atunci ar trebui să fie una dintre opțiuni:
    • sau trebuie să existe o distribuție unică a etichetelor de timp, astfel încât, la momentul semnării documentelor, am mers la un departament federal de service, care ne-ar da o ștampilă de timp pentru semnătură;
    • sau, când schimbați facturile de e-mail, există un al treilea link - acesta este un operator electronic de gestionare a documentelor. El pierde documentele prin el însuși și nu dă o "diminuare", deoarece generează încasările sale (confirmare), în care se prescris data și ora.

În general, unde să se miște.

Mecanismul de criptografie în platforma "1c: întreprindere 8"

Mecanismul de criptografie din platformă a apărut din versiunea 8.2 - acesta este un mecanism destul de tânăr. Platforma însăși nu conține criptoalgoritmi, conține numai apeluri și obiecte cu care vă puteți referi la serviciile criptografice pe computer:

  • pentru Windows este interfața Cryptoapi;
  • pentru Linux nu există astfel de interfețe, există un apel direct la modulele de criptografie.

De aici devine clar că criptografia poate fi aplicată numai dacă este instalată criptocution pe computer. Și, pe de altă parte, platforma "1c: întreprindere" în sine nu este obligată să fie certificată din punctul de vedere al criptografiei.

Principalele operațiuni criptografice în platforma 1C: Enterprise 8:

  • Știți că platforma poate lucra în moduri diferite: groase, subțiri, client web, conexiune externă și aplicație mobilă. În toate aceste moduri de lansare, este susținută criptografia - Pentru o aplicație mobilă, suportul pentru mecanismele criptografice a apărut din versiunea 8.3.10. Aș recomanda să citiți "asistentul de sintaxă" și să urmăriți ce metode sunt disponibile în unul sau altul în modul de lansare, deoarece există limitări.
  • Platforma vă permite să lucrați cu certificate cheie deschise (X.509)care sunt instalate pe computer. Nu putem elibera un nou certificat sau să solicităm eliberarea, lucrăm doar cu ceea ce avem - utilizând mecanismele de platformă, găsim un certificat pe un computer, citiți atributele sale, descărcați-l într-un fișier și verificați cât de valid este.
  • Adesea am întâlnit practica mea cu neînțelegere cum în criptarea și decodarea lucrărilor platformei. Acest lucru este deosebit de important atunci când faceți integrare cu un contractor extern, care nu funcționează pentru 1c. Când ați criptat documentul, ați trimis-o pe cealaltă parte și acolo încearcă să descifreze. De exemplu, întrebările apar adesea dacă algoritmul GOST 28147-89 a fost specificat la înființarea unui criptoproder în 1c, ceea ce este simetric, iar decriptarea necesită un apel la cheia închisă. Permiteți-mi să vă reamintesc că algoritmul de criptare simetrică implică faptul că pentru criptare și decriptare folosiți aceeași tastă. Și criptarea asimetrică este atunci când datele sunt criptate folosind cheia publică și o altă cheie închisă (secretă) este utilizată pentru a decripta. Contractorii sunt întrebați: "Dar ați spus că algoritmul de criptare este simetric, de ce atunci când descifrați aveți nevoie de o parte închisă a cheii?" Să ne dăm seama cum funcționează mecanismul de criptare în platformă:
    • o creează aleatoriu o cheie de lungime fixă, cu care setul de date este criptat în conformitate cu un algoritm simetric;
    • apoi, cheia în sine este criptată de un algoritm asimetric care utilizează o cheie publică a certificatului destinatar;
    • criptarea utilizând un algoritm simetric funcționează mai repede - am fost criptată o cantitate mare de date, iar apoi cheia mică a lungimii fixe este criptată rapid utilizând un algoritm asimetric;
    • datele criptate, lista certificatelor destinatare și cheia criptată în sine sunt ambalate într-un pachet PCCS # 7 Specificație;
    • acest pachet este trimis la partea destinatarului;
    • Și lucrările de decodificare în ordinea inversă.
  • Semnarea și verificarea semnăturii electronice. La semnarea instrumentelor de platformă, este construit un apel la partea închisă a cheii și verificarea integrității (validitatea matematică) a semnăturii. Din punct de vedere al semnificației juridice acest lucru nu este suficient. Dacă doriți să verificați semnătura electronică din document, trebuie să verificați:
    • certificat;
    • valabilitatea matematică a datelor pe care le-ați trimis.

Este așa de făcut în mecanismul BSP - acest lucru va fi discutat puțin mai târziu. Platforma nu.

Conexiune protejată TLS pentru organizarea unui canal criptat de schimb de date.Sunt suportate două versiuni ale TLS - 1.0 / 1.2. Versiunea TLS este setată la sursa cu care instalați conexiunea - dacă sursa utilizează protocolul 1.2, atunci platforma va ridica compusul criptat 1.2. Dacă se utilizează un BSP, atunci când accesează o resursă, în adresă înregistrată "https", criptarea este pornită automat. Dacă "http" este înregistrată în adresă, atunci traficul nu este criptat. Un alt lucru interesant pot spune că înainte de conexiunea criptată a fost instalată numai pe algoritmii RSA și acum la algoritmii GOST. Browserele nu sunt acceptate de algoritmi GOST, iar platforma este deja capabilă. Dar nu totul este atât de bun, din păcate.

Am menționat deja că platforma poate funcționa numai cu acele servicii criptografice care sunt instalate pe calculatorul însuși. În consecință, există o limită - dacă doriți să utilizați criptografia, trebuie să aveți un fel de criptocuțiune. În care Criptustrialitatea nu poate fi utilizată în modul portabil, trebuie să fie instalat pe OS. Se pare că a existat un simbol cu \u200b\u200bCryptusia la computer, platforma a lucrat cu el - nu ar funcționa.

Semnătura electronică este generată numai în format PKCS # 7 (Fișier extern separat), într-un alt mod platforma nu știe cum.

Unele departamente necesită un format de semnătură. Xmldsig. - Într-o versiune simplificată, situația în fișierul XML puteți lua un anumit set de etichete, semnați-le și puneți semnătura în următoarea etichetă, astfel încât într-un singur document au existat mai multe semnături. Platforma nu știe cum să facă acest lucru.

Aș spune încă asta cu ajutorul platformei, este dificil să se diagnosticheze problemele emergente.De exemplu, există criptochement pe computer, există un certificat, undeva există o parte închisă a cheii și dacă platforma începe să o numească totul și la un moment dat, ceva nu se potrivește, este pur și simplu o eroare - Ceea ce a eșuat și operațiunea nu a avut loc. Ce sa întâmplat acolo, unde problema este incomprehensibilă. Prin urmare, acolo se mișcă în această direcție și platformă și în cripturalități.

Criptografie în componente externe

Pentru a elimina restricțiile de pe platformă, puteți încerca să faceți o componentă externă.

  • În acest scop, compania "1c" are un întreg metodologie, este afișată pe disc La https://its.1c.ru/db/metod8dev#content: 221: Hdoc. Exemplele sunt atașate la acesta, puteți utiliza.
  • Când vă dezvoltați o componentă externă trebuie să faceți adunări pentru toate sistemele de operare pe care funcționează clienții dvs. Ei bine, dacă știți în avans că aveți 100 de clienți și toate ferestrele pe 32 de biți. Dacă nu este cazul, ar trebui să faceți adunări:
    • pentru Linux;
    • pentru ferestre (32 de descărcări și 64 de cifre);
    • dacă clienții dvs. lucrează prin browser, trebuie să faceți o construcție de expansiune pentru fiecare browser separat.
  • Când funcționează, este și mai rău. Lucrați cu o componentă externă, ca și cu un obiect ale cărui proprietăți pe care le cunoașteți numai. Dacă în timpul implementării ați făcut o greșeală undeva, codul programului pentru interacțiunea cu acest obiect nu va putea să funcționeze.
  • Există o altă problemă - nu este clar cum veți livra această componentă externă clientului. Platforma clientului merită deja, cu cripturalități, totul este clar, iar acum ați scris o componentă externă care leagă criptural și platforma. Dar unde costă această componentă externă, pe măsură ce îl puneți cu clientul - nu este clar.
  • Trebuie mențineți și actualizați codul programului. Dacă utilizați componenta externă într-o soluție tipică, aceasta înseamnă că toate acestea trebuie luate în considerare la actualizarea acesteia. Și dacă este produsă o nouă versiune a platformei, trebuie să faceți totul.
  • Există exemple de componente externe. Cel mai viu exemplu al practicii mele este o componentă externă pentru Sberbank. Mai exact, Sberbank produce o componentă externă pentru serviciul "1c: Directbank". Această componentă externă implementează propriul format de semnătură electronică și instalând un compus criptat.

Subsistemul BSP "Semnătura electronică"

Acum despre cât mai ușor de lucrat.

"1c: Biblioteca subsistemelor standard" (BSP) este o configurație tipică făcută de "1c", un set de subsisteme funcționale universale, dintre care una se numește "semnătură electronică".

Imediat vreau să rețineți că BSP în sine este un anumit nivel izolat de pe platformă, care are interfețe de software și utilizator. Subsistemul "Semnătura electronică" implementează un software și interfață de utilizator pentru a lucra cu criptografia (criptare, semnătură electronică).

La examinarea subsistemului "Semnătura electronică" este important să înțelegem ce este în ea:

  • Funcționalitatea de bază, unde este implementată că nu va fi niciodată atinsă dacă doriți ca totul să funcționeze.
  • Și există o parte specială suprascrisă pentru dezvoltatori, cum ar fi noi, unde puteți adăuga ceva pentru a lucra diferit. Dacă nu există ceva, vă recomand să scrieți tipilor care dezvoltă un BSP pentru a lansa posibilitatea de a suprascrie în funcționalitate de bază și apoi puteți face ceea ce aveți nevoie într-o parte redefinită.

Numărul de obiecte din subsistem nu este foarte mare, directoarele sunt doar două:

  • "Program Elektronnyepopiyships";
  • "CertificatCericelectriclectronic Posyaching".

Dar numărul de linii de cod în module comune este foarte mare - 11,5 mii de sofene de cod. Și lucrarea în sine cu subsistemul nu este foarte simplă.

Cum să încorporați un subsistem electronic de semnătură?
Să presupunem că aveți o configurație, ați decis că trebuie să încorporați acest subsistem în ea:

  • În primul rând, trebuie să citiți pe ea, cum să încorporați subsistemele;
  • apoi citiți instrucțiunile pentru subsistem (capitolul "Configurarea și utilizarea subsistemelor în dezvoltarea configurației", subsecțiunea "Semnătura electronică") - ordinea de lucru este scrisă acolo;
  • este necesar să se familiarizeze cu BSP Demobaz cu exemple de provocări ale subsistemului de semnătură electronică;
  • Și la sfârșit, după ce ați construit subsistemul, trebuie să verificați:
    • există o verificare a platformei extinse atunci când încorporați obiecte;
    • Și există încă o prelucrare separată pentru "verificarea subsistemelor de încorporare ale BSP" - cu ajutorul acesteia, puteți verifica modul în care sunteți încorporat.

Și dacă aveți o configurație de la zero, luați subsistemul și scrieți-l - vă veți actualiza.

Cum de a testa o semnătură electronică?

  • Pentru testarea este posibilă utilizați certificatul auto-semnat - Eliberați-l pe utilizarea dvs. cripturală de la Microsoft, care este încorporată în Windows.
  • Sau este posibil utilizați fuziunea externă. Cu ajutorul "Cryptopro" puteți:
    • descărcați versiunea de încercare de pe site-ul dvs.;
    • comandați un certificat de testare prin intermediul Centrului de certificare a testului;
    • instalați certificatul rădăcină al Centrului de certificare a testelor;
    • descărcați și puneți o listă de Recall (SOS) de la acest UC.

Astfel, "fără a se ridica de pe canapea", veți primi un mediu de testare pentru a lucra cu certificate și criptografie. Acest lucru poate fi utilizat.

Principalele funcții ale subsistemului "Semnătura electronică" de la BSP

Acesta este un exemplu de BSP Demobaz. În secțiunea "Administrație" există două opțiuni funcționale: "criptare" și "semnătură electronică". Dacă le-ați pornit, puteți merge la setări.

Setările sunt două cărți de referință: "Programe" și "Certificate". În "Programe", sistemul determină ce programe sunt instalate și arată imediat că totul este bine sau totul este rău. Dacă utilizați un fel de criptocuții specifice, care nu este în BSP, puteți face clic pe butonul "Adăugați" și să specificați parametrii recursului la acesta.

Dacă lucrați prin intermediul unui client web, subsistemul BSP va solicita mai întâi să instalați extensia pentru a lucra cu fișiere și expansiune pentru a lucra cu criptografia. Este foarte convenabil pentru că nu este nevoie să vă personalizați - sistemul va găsi o extensie și va oferi să o pună.

Certificatele pot fi adăugate în două moduri.

  • Prima opțiune este "de la instalat pe computer". În acest caz, se deschide caseta de dialog, unde specificăm modul în care vom folosi acest certificat.

  • Și a doua opțiune - puteți comanda eliberarea unui nou certificat calificat. Vă rugăm să rețineți că platforma în sine nu permite să comandați o problemă de certificat, iar BSP permite. BSP a făcut integrarea cu Centrul de Certificare 1C, care emite certificate de semnătură electronică calificată. Puteți trece prin Wizardul de setări:
    • sistemul va solicita documentele să completeze și să tipărească pentru eliberarea certificatului;
    • va fi necesar să se încheie un acord cu un partener care poate efectua o carte de identitate și să transfere documente în 1c;
    • după 1c primește documente, va fi eliberat un certificat;
    • sistemul îl va găsi și îl va instala pe un computer.

Astfel, utilizatorii fără a părăsi programul primesc un certificat de semnătură electronică calificat.

Magia se întâmplă în continuare - verificarea certificatului prin diagnosticarea corectitudinii setărilor. Acest dialog vă permite să verificați modul în care este configurat criptografia de pe computer - sistemul va încerca să semneze certificatul, să verifice, să criptați, descifrați. De asemenea, este posibilă introducerea unor diagnostice suplimentare aici.

Dacă dvs. sau clienții dvs. aveți unele probleme, rulați "Diagnostics", și totul va fi clar. Dacă există probleme, ca în exemplul de pe diapozitiv, puteți face clic pe pictograma de eroare, vă va arăta cauzele posibile și veți încerca să vă spuneți ce să remediați.

Cum se efectuează apeluri pentru semnătură și criptare / decriptare Puteți vizualiza exemplul directorului "Fișiere" din baza de date demo a BSP sau în "1c: management comercial", "1c: ERP" - există același subsistem.

Servicii "1c-edo" și "1c: direct-bancă"

Cum este criptografia în servicii? Primul serviciu, 1C-EDO este un serviciu menit să schimbe documente electronice semnificative din punct de vedere legal prin intermediul unor operatori prietenoși ai companiei "1c".

  • Funcționalitatea clientului este dezvoltată în "Biblioteca electronică a documentelor".
  • Când încercați să vă conectați la server, apare o conexiune SSL criptată (prin HTTPS) pe algoritmii RSA.
  • Utilizarea autorizației cu criptografia. Deoarece serverul nu știe despre noi, sunteți trimis la jetonul criptat și dacă sunteți "persoana potrivită", decriptați acest jeton folosind o cheie închisă și utilizați-o mai târziu pentru a face schimb de date.
  • Este posibil să vizualizați un document electronic, să semnați, să verificați, să împachetați pachetul de date și să trimiteți.
  • Verificați și, în general, toate criptografiile lucrează prin BSP. O verificare electronică de semnătură se efectuează în două etape:
    • În primul rând, valabilitatea certificatului în sine este verificată: perioada de valabilitate, lanțul de încredere, atributele;
    • dacă totul este bine cu certificatul, se efectuează calculul hash-ului matematic. Dacă totul este bine cu matematica, semnătura este considerată valabilă și aplicată documentului.
  • De asemenea, utilizând BSP implementat o diagnostică extinsă a setărilor EDO - se determină că serverele sunt disponibile și că participantul la gestionarea documentelor electronice este în ordine - are planuri tarifare active etc.

Al doilea serviciu este "1c: Directbank". Numirea sa este schimbul cu bănci prin documente electronice direct, ocolind programul client-bancar.

  • Acest serviciu este furnizat și în "Biblioteca electronică de documente".
  • Tehnologia Open DirectBank este descrisă pe GitHub.
  • Din nou - canalul de comunicare criptat cu serviciul poate fi ridicat pe algoritmul GOST.
  • Setarea de schimb se face astfel: 1C face o cerere către bancă să obțină setări pentru un anumit client. Dacă este necesar, împreună cu setările, banca trimite o componentă externă, care este utilizată cu schimbul suplimentar (astfel implementat de Sberbank).
  • Autorizarea se face fie prin simbol criptat, fie prin SMS (printr-o singură parolă).
  • Semnarea și verificarea semnăturii electronice funcționează fie prin intermediul componentelor BSP, fie prin componente externe (în funcție de modul în care banca este pusă în aplicare).
  • Iar diagnosticarea aici este și mai interesantă, prin intermediul întregului ciclu de schimb de documente electronice de tip special - "Solicitare-Probe".
    • Sistemul 1C este conectat în sistemul bancar și transmite un document electronic la semnătura sa acolo;
    • Banca verifică semnătura electronică a clientului, formează că totul este bine și semnat de semnătura sa;
    • Anunțul ajunge în "1c", ea verifică dacă semnătura băncii validă și spune după aceea că totul este în ordine.

Acesta este un astfel de mini-ciclu - devine clar cât de mult schimbul cu banca dvs. este configurat corect.

Soluții proprii cu criptografie pe platforma 1c


Cum să vă dezvoltați propriile soluții cu criptografia?

Puteți crea o configurație de la zero - deschideți "Asistentul de sintaxă" și utilizați capabilitățile platformei pentru operațiile criptografice. Dar aș recomanda utilizarea BSP - există deja multe lucruri scrise. În acest caz, va trebui să scrieți 11 mii de linii de cod, dar mai mici. Dar cinci mii de linii de cod - sigur.

Cum se testează - i-am spus deja. Puteți obține un certificat de testare și încercați să lucrați.

Dacă ați dezvoltat o configurație de la zero - îl însoțiți singur. Și dacă ați folosit la dezvoltarea unui BSP și a lansat o nouă oportunitate, atunci puteți actualiza subsistemul BSP și încercați această oportunitate. Dificultățile vor fi în orice caz, deoarece "glonțul de argint" nu este aici. M-aș apropia de evaluarea dacă merită sau nu să inventezi ceva, în funcție de sarcina pe care doriți să o rezolvați. Având în vedere o sarcină specifică, alegeți deja: soluția sau standardul standard bazat pe bază.

Un exemplu de soluție proprie este dezvoltarea partenerului industriei IT. Ei au dezvoltat un mic modul pentru gestionarea electronică electronică electronică bazată pe "1c: UPP". Acolo, pe baza formei tipărite, se formează un document electronic, care este atașat la documentul bazei de informații și este posibil să se semneze cu o semnătură electronică. Un simplu flux de document în cadrul companiei, dar trebuie să-l însoțească oricum.

Dificultăți în introducerea criptografiei și a PE în organizații

Ce sunt acolo principalele probleme?

  • Dacă trebuie să instalați pe un computer două criptocuții, se va întâmpla conflictul. De exemplu, dacă aveți raportarea prin Vipnet și un flux electronic de documente cu contrapartide prin "Cryptopro". Cum de a rezolva această problemă?

Prima opțiune este de a dispărea aceste cripochemente pe diferite computere.

Dacă este imposibil, atunci pentru unul dintre serviciile de care aveți nevoie pentru a elibera un certificat despre o altă criptocuțiune - atunci când comandați un certificat în Centrul de Certificare, puteți specifica că pentru ce nevoie de criptografice pe care o veți folosi.

  • Uneori la clienți criptografia în browserul IE nu funcționează - Este necesar să se stabilească o extensie, dar nu este pusă. Consiliu banal - rulați browserul în numele administratorului. Acest lucru vă va permite să stabiliți o extensie, iar problema va fi rezolvată.
  • Programul 1C nu văd întotdeauna jetoanele din România. Nu știu ce este problema sau în CADR sau pe platformă. Reinstalați criptochmentul - funcționează pentru o vreme și după repornirea sistemului zboară din nou. Din anumite motive, 1C și JACAR nu sunt foarte prietenoși.
  • Există o altă problemă - când verificați certificatele, platforma încearcă întotdeauna să verifice cât de fiabile și, uneori, nu reușește. De ce se întâmplă asta? Există o listă de recenzii în care sunt incluse certificatele nevalide. De exemplu, atunci când un angajat renunță la companie, acesta trebuie să informeze Centrul de Certificare pe care angajatul a renunțat, iar certificatul său nu este valabil. După aceasta, centrul de certificare lansează o listă de feedback, care include acest certificat, după care începe să fie considerat nevalid. Uneori din anumite motive, verificați certificatul din lista de reconfer reușească. Care este problema? Aceste liste de recenzii pentru 1c nu au nicio relație, acestea sunt actualizate automat prin criptografie. Pentru a face acest lucru, un canal stabil trebuie să fie configurat la certificat. Dacă lista de feedback nu este actualizată automat, aceasta înseamnă că serviciul nu este suficient coordonat în Centrul de Certificare sau este în general absent. Schimbați centrul de certificare și problema va pleca.
  • Când certificatele devin mult (de exemplu, mai mult de 30), începe dificultățile. Să presupunem că ați tradus afacerea la șinele electronice, iar în mijlocul zilei lucrătoare se dovedește că semnătura nevalidă, deoarece certificatul său sa încheiat. Emiterea certificatului durează ceva timp, afacerea "pe urechi", și tu. Pentru astfel de cazuri trebuie să utilizați un software specializat pentru a păstra lista de certificate. Există programe care vă permit să monitorizați ciclul de viață al certificatului și când acesta face perioada de valabilitate, aceștia trimit un memento administratorului. Aceasta este o opțiune banală, dar vă permite să difuzați mai mult sau mai puțin credite.

  • Schimbul cu datele de la 1c are loc de la servere, deci:
    • porturi deschise pe 1c: Întreprinderi: Întreprinderi;
    • drepturile contului de server trebuie să fie "acces la internet";
    • dacă aveți un cluster de server, înseamnă că toate serverele 1C incluse în cluster trebuie să fie deschise porturile.
  • Dacă nu există încredere în resursele externe, există un articol separat despre "diagnosticarea problemei" "nodul la distanță nu a trecut verificarea" ".
  • Reguli de securitate de bază:
    • parolele pe autocolante nu stochează;
    • lucrul, scoateți jetoanele din mașini;
    • actualizați în mod regulat antivirusul.
      În caz contrar, se pare că ați stabilit criptocuții certificate, chei și în jurul virușilor care pot profita de ea. Prin urmare, protejați perimetrul.

Surse de informare

Întrebări

Aș recomanda utilizarea Centrului de Certificare cu care veți continua să lucrați în ceea ce privește schimbul de documente electronice. Un exemplu este un operator al gestionării electronice a documentelor "Taxa", are un centru de certificare. Dacă executați un document electronic prin "taxa", are sens și pentru certificatul să le contacteze.

Ați spus că FSB a dat o explicație despre certificatele de cloud. Dacă certificatul nu este stocat local, dar în nor, nu poate fi considerat întărită. În cazul unui schimb standard de facturi și UPS, putem folosi certificatul Cloud sau este necesar să îl folosim la fel?

Legea spune că atunci când schimbul de facturi, este necesară o semnătură electronică calificată, astfel încât norul nu este potrivit aici. Dar pentru alte tipuri de documente electronice - vă rog.

Aproximativ, pentru orice Edo standard pe care îl folosim în 1c, avem nevoie de un certificat consolidat?

Nu, nu pentru nimeni. Legea este scrisă doar despre facturile electronice. Acestea trebuie să fie semnate de o semnătură electronică calificată. În ceea ce privește restul documentelor, nimic nu este scris. Aceasta înseamnă că pentru facturi, pentru comenzi, puteți utiliza o semnătură electronică neobișnuită întărit - inclusiv în nor.

Și despre oprirea nu este nimic? De fapt, UPB este acum la fel ca factura.

Există o definiție neclară - o factură cu indicatori avansați, dar acest lucru nu este același cu actualizările. Prin urmare, cred că actualizarea ajunge în descărcarea unei semnături electronice necalificate.

Și ce funcție în întregul lanț este operatorul - "1c-edo" sau "taxi"? De obicei, prin intermediul operatorilor, trimitem documente agențiilor guvernamentale și facturilor de schimb și atunci când schimbăm alte documente cu contrapartide, de ce avem nevoie de un operator?

Operatorii de pe piață nu sunt, de asemenea, în prima zi, facturile trec prin ele. Ei spun că - trimiteți o factură, iar alte două documente sunt gratuite. Încă veți face schimb de facturi prin facturi prin intermediul acestora, deci este mai ușor și documentele înșiși le trimit prin ele. Un alt lucru, dacă stați pe o simplificare și nu aveți facturi, atunci puteți cere operatorului să vă caute un plan tarif ieftin. Și astfel, în aceeași "bibliotecă electronică de documente", există o oportunitate de a face schimb de documente cu o semnătură electronică prin e-mail, prin FTP etc. Dar când aveți 100 de contrapartide, organizați-le pentru fiecare dintre ele, canalul dvs. de comunicare va fi dificil în ceea ce privește acompaniamentul.

Și dacă vrem să testăm un certificat auto-semnat, putem testa orice schimb utilizând un certificat auto-semnat prin intermediul operatorului?

Nu, prin intermediul operatorului - nr. Dacă doriți cu adevărat să testați, scrieți companiei "1c" pe care doriți să le conectați la serviciul EDO pentru a testa.

Ei spun că nu suntem un centru de certificare.

Scrie-mă, voi ajuta.

Și dacă schimbăm fără un operator EDO, aduc un document electronic semnat și vreau să-l descarc în 1c pentru ao păstra acolo. În BSP, există suficiente fonduri pentru a verifica dacă este CEP și are detalii corecte, astfel încât toate acestea să fie în modul automat fără ferestre modale etc.

Nu am îndeplinit astfel de cazuri în practica noastră, dar în BSP este exact posibil să încărcați fișierul și să verificați semnătura electronică. Cel mai probabil, veți avea nevoie doar pentru acest script pentru a desena un tip de maestru: verificați dosarul, ridicați documentul, luați semnătura, verificați-l pe toate, puneți-l unde și spuneți că totul este bine. În ceea ce privește sincronicitatea apelului - toate acestea sunt implementate în BSP, totul în browsere funcționează în modul asincron.

Și dacă în 1c peste terminal să funcționeze? Este posibil să puneți "Cryptopro" și în terminal, argumentăm cheile pentru el? Care sunt caracteristicile, problemele? Și, în consecință, dacă avem mai mult de 20 de entități juridice și pentru fiecare dintre ele două chei, cum merge delimitarea drepturilor la aceste chei? La nivelul 1c sau cum?

În BSP în sine, când trimiteți partea deschisă a cheii, este posibil să specificați ce utilizator va fi disponibil. Puteți introduce numele dvs., consultați numai certificatele dvs. Dar, în același timp, toți vor fi pe calculatorul însuși. Prin urmare, știți, instalați partea închisă în registru nu este necesară, deoarece partea închisă a cheii este transferată fără probleme cu mașina de pe mașină. Utilizați mai bine jetoanele. Este posibilă ruperea tokenului cu o parte închisă a cheii către serverul terminalului. Băieții producătorilor cheie se ajută să o configureze astfel încât această cheie să fie vizibilă în terminal. Încercați, experimentați, găsiți alte chei, găsiți oameni care vă ajută să personalizați. Dar aici trebuie să înțelegeți că acest tunel de pe serverul terminalului înainte ca cheia dvs. să nu fie în siguranță. Generați un document electronic pe serverul terminal și spuneți - semnați. Ce se întâmplă? Există un transfer de date pe un canal neprotejat mai întâi la un computer local unde este instalată cheia, este generată o semnătură electronică, apoi datele sunt transmise înapoi la serverul terminalului. Dar acest canal nu este protejat. Poate fi protejată numai prin instalarea unui software specializat care face ca tunelul între serverul terminal și mașina locală să fie în siguranță. Dacă doriți să lucrați în siguranță, înseamnă că trebuie să puneți un simbol, o rupem la terminal și să punem software-ul pentru a cripta canalul între serverul terminal și mașina client.

Spuneți-mi, există vreo diferență de viteză între semnarea unei facturi electronice și un contract scanat în 100 de pagini (unde pur și simplu grafica).

Cu cât documentul mai mare, semnele mai lente, deoarece criptarea asincronă este acolo - hash este calculat folosind un algoritm asincron. Dar din punct de vedere, indiferent dacă semnezi o factură electronică în mai multe linii sau un fișier de 10 MB - vizual diferența pe care nu o veți observa. Notă numai pe volumele din 1000-3000 de documente.

Cu privire la roamingul 1c-edo. În "taxa" există roaming între operatori. Și cât de mult funcționează în "1c-edo"? Aveți o astfel de experiență? Deoarece toate contrapartidele stau pe diferite operatori și aleg operatorul cu o acoperire maximă este foarte dificilă. Cine ați recomanda?

Dacă alegeți între "1С-Edo" și alții, apoi, desigur, "1c-edo". Dar "1c-edo" are unele probleme de roaming - nu este atât de mulți operatori. Există o resursă separată pentru 1C-EDO, există o listă de operatori acceptați, cred că trebuie să fie completat cu timpul.

Și unde să stocheze arhiva documentelor semnate? La nivel local în companie sau în nor? Este posibil să se asigure validitatea documentelor persistente în nor?

În cazul în care stochează documente semnate (în nor sau nu) - indiferent. Hash hash este deja calculat și conținutul documentului nu se va schimba fără urmă. Puteți să o treceți de cel puțin 10 ori undeva, semnătura poate fi întotdeauna verificată pur matematic. Dacă serviciul Cloud este convenabil - vă rugăm să îl păstrați, probabil că este chiar mai interesant.

Și operatorul oferă un astfel de serviciu?

Dacă un contract separat cu el pentru a pune copii de rezervă pentru depozitare - o fac pentru bani individuali.

Nu sunt stocate pentru documente semnate?

Din punct de vedere fizic, sunt stocate, dar în conformitate cu legea nu sunt obligați să le păstreze. Ele sunt obligate să stocheze numai primirea. Dacă taxa va veni la ei și va întreba - dacă un astfel de document a trecut, vor arăta, da, aici este o chitanță, uite - o astfel de semnătură. Și ce este acolo în acest document - nu mai este o întrebare pentru ei.

Și pentru UPP, operatorii nu oferă nici o prelucrare pentru Edo?

Nu pot spune despre operatori, există mulți dintre ei, iar toată lumea are propriile evoluții, dar în PPE în sine, există un flux electronic de documente.

****************

Acest articol este scris în rezultatele conferinței comunitare de la InfoStart 2017. Mai multe articole pot fi citite.

În 2020 invităm pe toți să participe la 7 alocări regionale, precum și la evenimentul InfoStart InfoStart din Moscova.

Semnătura electronică (denumită în continuare - EP), conform legii federale a Federației Ruse nr. 63-FZ din 25 martie 2011 "pe semnătura electronică", este definită ca informații în format electronic, care este atașat la alte informații în domeniul electronic formular (informații semnate) sau altfel legate de astfel de informații și care este utilizat pentru a determina informațiile de semnare a persoanei. Actul de reglementare specificat a venit să înlocuiască forța juridică a legii federale a Federației Ruse nr. 1-FZ din 10 ianuarie 2002 "privind semnătura digitală electronică" din 1 iulie 2013.

Legea din 25 martie 2011 alocă două tipuri de PE: simple și consolidate. Acesta din urmă poate fi calificat sau necalificat. Dacă Simple EP confirmă faptul că acest e-mail este trimis unei anumite persoane, atunci EP nealimentativ întărite permite nu numai identificarea unică a expeditorului, ci confirmă, de asemenea, că nimeni nu a schimbat-o din momentul semnării documentului. În viitor, vom discuta despre EP-ul necalificat consolidat. Un mesaj cu EP necalificat poate fi egal cu un document de hârtie semnat de sine, dacă părțile au convenit asupra acestui lucru în prealabil, precum și în cazurile specificate în mod specific de lege.

Pe de o parte, EP este folosit pentru a confirma autorizarea documentului - în această valoare a acestuia pentru expeditorul documentului. Pe de altă parte, o semnătură electronică în caz de recunoaștere a semnificației sale juridice asigură neusistența autorului din documentul semnat, care, la rândul său, este important pentru destinatarul documentului. În cazul unei situații controversate, se pot efectua întotdeauna conflicte, ceea ce va determina fără ambiguitate autorul documentului semnat și va forța să fie responsabil pentru documentul semnat.

Relația de conflicte asociate cu PE

Principala problemă cu analiza conflictelor de situații sportive pe documente semnate de EP este dovada faptului că "informații în formă electronică, care este atașată la o altă informație în formă electronică (informații semnate)" este un PE legal și semnificativ de o anumită persoană în cadrul unui anumit document.

Utilizarea metodelor criptografice vă permite să rezolvați această problemă. Dacă o persoană este emisă o cheie electronică unică și apoi produce transformări speciale utilizând această cheie electronică și un document electronic, atunci rezultatul acestor transformări (și acesta este EP) va fi unic pentru această pereche (documentul cheie). Astfel, sarcina primei etape a parsingului de conflict este de a identifica dacă această semnătură a fost dezvoltată utilizând această cheie electronică sau nu - este rezolvată prin metode de criptografie.

A doua etapă a parsingului de conflict este de a dovedi că această cheie electronică este proprietatea unei anumite persoane. Această dovadă dă importanță juridică PE. Pentru a rezolva această sarcină organizațională - contabilizarea cheilor emise - se utilizează PKI (infrastructura cheie publică).

Oferirea semnificației juridice PE cu PKI

În lege "pe semnătura electronică" distinge cheia EP și cheia de verificare a PE. Cheia de semnătură electronică este o secvență de simbol unic concepută pentru a crea o semnătură electronică. În verificarea semnăturii electronice este o secvență unică de caracter, în mod unic legată de cheia de semnătură electronică și destinată unei autentificări electronice de semnătură. Cheia de verificare este epusode din EP-cheie, dar operația inversă nu este posibilă. Astfel, există o respectare neechivocă între cheia EP și cheia de testare cheie. Cheia EP ar trebui creată de client însuși și sunt păstrate secrete. Este această cheie care servește la semnarea documentelor printr-o semnătură electronică. Tasta de verificare a PE servește pentru a verifica EP și distribuie tuturor pentru a verifica semnătura.

Elementul principal al PKI este un centru de certificare. Centrul de certificare conține registrul conformității cheilor și persoanelor care sunt proprietari ai acestor chei. Pentru a înregistra cheia, clientul se referă la o parte deschisă UC a cheii sale, împreună cu datele sale de identificare și primește un certificat de conformitate care să ateste posesia acestei chei particulare. Certificatul de conformitate conține cheia de verificare a PE și datele de identificare a clienților și sunt semnate de Centrul de Certificare PE. Astfel, UC certifică că acest client a fost verificat și este cel pentru care renunță. La primirea certificatului, clientul, la rândul său, semnează documente speciale privind fiabilitatea certificatului emis de semnătura sa manuală. Aceste documente sunt principala legătură conexioasă între o anumită persoană și "set de caractere electronice", PE.

Astfel, este suficient să se verifice semnătura și identificarea certificatului semnat al semnatei. Adică, subscrierea semnează documentul cu cheia EP și apoi trimite acest document semnat destinatarului și certificatului său care conține cheia de verificare a PE. În acest fel, destinatarul va fi capabil să verifice că semnătura a fost într-adevăr realizată de cheia EP semnată și să primească date de identificare la semnat din certificat. Clientul trebuie să-și protejeze cheia EP de la compromisuri. În acest scop, se creează diverse facilități de stocare hardware cu un nivel crescut de protecție, de exemplu, un dispozitiv USB Rutoken.

Standardul Rusiei EP.

Standardele ED sunt în două niveluri. La primul nivel există direct EP din document. Al doilea nivel include EP și toate documentele necesare pentru a da o semnificație juridică PE: un certificat de semnat sau un lanț de certificate, timpul de creare a semnăturii etc.

Standardul standard rus al primului nivel este GOST 34-10.2012. Nivelul secundar standard al PE Rus este PKCS # 7 cu posibilitatea de a adăuga etichete temporare TSA.

Domeniul de aplicare al PE

  • internet Bank.
  • piața electronică
  • sisteme de management al documentelor corporative
  • e-mail
  • livrarea rapoartelor către diferite servicii federale
  • drepturi de autor

Site-ul web cu EP

Formularea problemei

Să presupunem că în organizația dvs. a decis să treacă la sistemul electronic de management al documentelor construit pe tehnologii web. În același timp, principalele locuri în care PE este necesar sunt:

  • Fișierele EP a unui format arbitrar la descărcarea acestora pe site-ul Web de către utilizator prin formularul de intrare
  • Datele text ale EP introduse de utilizator în formularul de intrare de pe site-ul web
  • PE postat pe site-ul documentului de către mai mulți utilizatori
Sarcina de însoțire este de a proteja informațiile confidențiale și datele personale, care este împărțită în următoarele subscrieri:
  • protecția datelor criptografice între nașterea utilizatorului și site-ul web
  • autentificarea utilizatorului pentru certificatul digital pentru a-și accesa contul personal
  • protecția criptografică stocată pe informațiile despre server
Să încercăm să înțelegem cum puteți rezolva sarcinile desemnate cu cele mai scăzute costuri de timp și bani, fără a instrui utilizatorii și minimalizați suplimentar tehnic.

Soluție schematică

Crearea unui centru de certificare

    selectați serverul pe care va fi implementat centrul de certificare. Opțional, starea de etichetă temporară și a certificatului de verificare online pot fi implementate. CAC și serviciile specificate pentru economii pot fi utilizate de un singur server, care ar trebui să fie disponibil online. Fezabilitatea acestor servicii vom discuta mai jos.

    instalați produsul Magpro Cryptopacket

    creați o cheie a UC și a aplicației pe certificatul de bază al CCM utilizând utilitarul MKKEY de la CryptoPocket Magpro. Cheia poate fi creată pe un dispozitiv securizat, de exemplu, pe Rutoken. După crearea unei chei CC, este necesar să se asigure securitatea acestuia prin metode organizaționale. Cea mai sigură opțiune este de a stoca cheia de pe dispozitivul rutoken și de a fi hrănit-o la server numai la emiterea de certificate. Certificatul CAC este un fișier. Acest fișier va fi ulterior eliberat tuturor clienților CCC la primirea certificatului.

    creați un certificat de rădăcină de UC utilizând utilitarul OpenSSL de la criptopacketul Magpro.

    creați structura directorului în sistemul de fișiere în care veți fi stocat deoarece fișierele emise certificate de utilizator emise certificate de servere, aplicații de certificate. Acesta este urmat de metode organizaționale (de exemplu, folosind ACL) pentru a asigura drepturile de acces adecvate la aceste directoare. Certificatele vor fi emise ca fișiere în format PEM. Ar trebui să se țină cont de faptul că numele fișierelor de certificare sunt cel mai bine înțelese pentru a facilita în continuare sarcina de a găsi certificate.

Crearea unei cereri cheie și PKCS # 10 pentru certificat

Pentru a obține un certificat, utilizatorul UC poate utiliza două scheme: centralizate și la distanță. Cu o schemă centralizată, utilizatorul vine la CC și dați-i un fișier în care se află cheia și certificatul. Apoi, adaugă acest fișier pe unitatea flash USB. Această schemă este simplă și convenabilă, dar nesigură, deoarece vă permite să aflați cheia utilizatorului către angajații UC. Dar, în unele cazuri, utilizarea acestei scheme este incredibilă.

Se distribuie schema cea mai sigură pentru obținerea unui certificat. Utilizatorul creează cheia, creează o aplicație PKCS # 10 pentru un certificat care conține datele sale de verificare a PE și datele de identificare. Utilizatorul semnează această aplicație cu cheia PE și se referă la UC. CCC verifică semnătura în cadrul aplicației, datele de identificare ale utilizatorului sunt verificate, de exemplu, cu pașaportul și emite un certificat. Apoi, certificatul de imprimare și utilizatorul semnează un document de semnătură manuală privind conformitatea certificatului emis.

Ca parte a deciziei în discuție, generația cheie și crearea unei cereri se fac utilizând un program special de la Magpro Cryptopacket. Acest program intră în setul de utilizator al criptotunnelului.

Acest program are un sistem flexibil de configurare, cu care puteți crea aplicații pentru diferite tipuri de certificate, extindeți setul standard de informații de identificare, adăugați rolul și drepturile utilizatorilor la certificate, de exemplu, pentru a delimita accesul la resursele web; Adăugați la aplicație diferite atribute.

După crearea cheii, utilizatorul trebuie să asigure depozitarea sa în siguranță.

Tipuri de certificate pentru EP pe site-ul web

Mai multe tipuri de certificate vor fi utilizate în portalul nostru:

    certificatul de rădăcină Uts.

    Acest certificat este utilizat pentru a verifica toate celelalte certificate ale participanților la portalul web.

    certificat de autentificare Server TLS

    Acest certificat este folosit pentru a verifica serverul de către client atunci când creați o conexiune TLS securizată atunci când transferați documente semnate pe site-ul web

    certificat de autentificare TLS-Autentificare a clientului

    Acest certificat este utilizat pentru a verifica clientul de către server și pentru a accesa clientul în contul său personal atunci când creați o conexiune TLS securizată atunci când transferați documente semnate pe site-ul Web

    certificat Clientul EP

    Acest certificat clientul se adaugă la ES și, astfel, partea de testare poate verifica semnătura și poate identifica semnat

    certificat de semnătură Server OCSP

    Acest certificat al serverului OCSP adaugă la răspunsul său semnat la certificatul său

    certificat de semnătură a serverului TSA

    Acest certificat de server TSA adaugă la răspunsul său semnat la certificatul său și să-i dea o semnificație juridică

Toate aceste tipuri de certificate pot fi create folosind un utilitar de criptopacket UGPro și UC bazat pe criptopacket Magpro.

Obținerea unui certificat în UC

Când primiți o cerere de la utilizator, administratorul UC creează o copie de rezervă a aplicației sale. Apoi verifică aplicația și utilizând utilitarul OpenSSL creează un certificat de utilizator, îl semnează pe tasta CCT și oferă, de asemenea, copia de rezervă. În plus, pentru a asigura o semnificație juridică, administratorul face o imprimare de informații din certificat (obținerea acestor informații este furnizată cu utilitarul OpenSSL.EXE) și primește semnătura manuală a utilizatorului sub această imprimare. Apoi oferă utilizatorului certificatul său în dosar.

Deci, în momentul în care am reușit să implementăm un UC și am învățat cum să creăm cheile de utilizator, să acceptăm cererile de certificate și să emiteți certificate pentru cererile primite. Obținerea și respectarea certificatului, utilizatorul certifică semnătura sa manuală și, prin urmare, se poate argumenta că suntem implementați de PKI, ceea ce asigură importanța juridică a PE utilizatorului

Următoarea sarcină este de a utiliza PKI implementat pentru a rezolva sarcina aplicată - organizarea unei transmisii sigure utilizând browserul semnat documente electronice de pe site-ul web și le primește în procesarea pe site-ul web.

Modulul de verificare și depozitare a PE (server)

De obicei, site-ul web este implementat pe un server Web (Apache, IIS, Nginx etc.). Acest site conține un cont personal pentru fiecare utilizator, care este înregistrat pe site. Pentru a accesa contul personal, utilizatorul trebuie să treacă procedura de autentificare. De obicei, autentificarea este de a introduce o deignet și parole convenite pentru a înregistra utilizatorul.

În plus, o formă de intrare web este utilizată pentru a descărca documente electronice pe server.

Pentru a "fixa" controlul la EP la acest sistem, pentru a proteja conexiunile dintre browserul utilizatorului și site, precum și autentificarea riguroasă a utilizatorilor pentru a accesa cabanatorul personal la server, trebuie să instalați Produs Magpro Crypt Server.

Arhitectural, soluția va arăta astfel:

Cryptoerul este instalat înainte de serverul web protejat. În același timp, serverul Web este configurat în așa fel încât să ia conexiunile primite numai de la serverul cripto (consultați instrucțiunea de configurare). Cryptoerver acceptă conexiuni de HTS primite, decripează-le și înainte la serverul web. În plus, serverul Crypto adaugă solicitarea antetului X509-CERT la cererea HTTP, care transmite certificatul digital al clientului care a trecut procedura de autentificare. Acest certificat este apoi utilizat pentru a accesa clientul în contul său privat. Pentru a verifica PE sub documentele transmise, serverul Crypto include utilitarul OpenSSL, care vă permite să verificați tipurile originale de semnături, să obțineți de la certificatul PKCS # 7 semnat sau lanț de certificate etc. Pentru a verifica PE, pagina web a documentelor de primire ar trebui să efectueze un apel la acest utilitar.

Modulul de dezvoltare Ed (client)

Principala sarcină a utilizatorului la accesarea site-ului web este de a încărca documentele electronice și datele de text pe site, precum și descărcarea documentelor electronice de pe site. Pentru a proteja conexiunea web cu site-ul SSL / TLS și pentru semnăturile online de date transmise site-ului, Cryptotunnel trebuie utilizat pe stația de lucru client.

Principalele avantaje ale criptotunnelului:

  • oferă protecția conexiunilor web între orice browser și site protocol SSL / TLS cu sprijinul criptoalgoritmilor ruși
  • Încărcături autentifică utilizatorul prin certificat digital pentru a accesa contul utilizatorului.
  • vă permite să semnați documente online atunci când descărcați site-ul fără a utiliza CSP și Active X
  • suportă verificarea stării certificatului online (OCSP)
  • suporturile care primesc etichete temporare de încredere în EP (Timestamp)
  • suporta diverse carduri de stocare USB-tokenes și Smart Keys
  • nu necesită instalare în locațiile de utilizatori, distribuite prin copiere
  • pot fi stocate pe o unitate flash convențională și rulați de la ea
  • nu necesită drepturi de administrator de sistem
  • suportă lucrul cu orice browser web (Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Apple Safari etc.)
  • nu are "legare" unui computer - utilizatorul poate utiliza un set de utilizare în birou și case - economii de numerar
  • are o interfață de utilizator simplă și ușor de înțeles, care vă permite să faceți fără învățarea utilizatorului
  • vă permite să minimalizați costul suportului tehnic pentru utilizatori
  • poate funcționa pe un spectru mare de sisteme de operare (soluție transfrontalieră)
Cryptotunnel oferă o semnătură de date și fișiere transmise prin intermediul unui formular web dacă acest formular web este marcat special. Adică, forma web trebuie să conțină un câmp cu un nume specificat. Acest nume este scris în fișierul de configurare Cryptotunnel și după acel criptotunnel începe să semneze datele sau fișierul care sunt transmise în acest câmp. În plus, într-unul din câmpurile ascunse ale formei web, tipul de semnătură (atașat sau detașat) poate fi setat, iar în celălalt câmp ascuns - adresa URL a etichetelor de timp de încredere. Numele acestor câmpuri ar trebui, de asemenea, specificate în fișierul de configurare Cryptotunnel. Dacă semnătura are un tip detașat, atunci în fișierul de configurare Cryptotunnel, ar trebui să specificați numele câmpului în care această semnătură detașată va fi trimisă la server. Acolo, trebuie să specificați numele câmpului în care o etichetă temporară va fi trimisă la server.

Acestea sunt toate acțiunile pe care doriți să le faceți Cryptotunnel pentru a începe semnarea datelor și a fișierelor transmise prin intermediul formularului web. Nu este necesar să scrieți scripturi suplimentare, apel activ X, etc.

Organizarea mai multor PE

Pe mai multe PE este necesar dacă documentul trebuie semnat de mai multe persoane. În acest caz, documentul este de obicei amânat pe site, astfel încât acesta să fie disponibil numai utilizatorilor a căror PE este necesar. Această separare a accesului este prăbușirea utilizării autentificării utilizatorilor prin certificat digital.

Când utilizați Cryptotunnel, utilizatorul nu trebuie să descărcați documentul, apoi să semnați și să descărcați din nou documentul pe server - toate aceste operații Cryptotunnel va apăsa automat butonul de pe pagina Web.

Service OCSP.

Se întâmplă adesea că HC reamintește certificatul utilizatorului (de exemplu, dacă cheia utilizatorului a fost furată de un atacator). În același timp, restul utilizatorilor trebuie să fie informat despre revocarea acestui certificat, astfel încât să-i oprească încredere. Există mai multe modalități de notificare a utilizatorilor despre revocare.

Cea mai ușoară modalitate este distribuirea listelor de rechemare (CRL). Adică CAC creează și actualizează periodic un dosar special pe care utilizatorii îl descărcați periodic.

O altă modalitate este de a utiliza serviciul de verificare a statutului certificatului online - servicii OCSP. Pentru a verifica starea oricărui certificat, criptounelul și criptoerverul formează automat o cerere OCSP, trimiteți această solicitare serviciului în rețea. Serviciul verifică certificatul, semnează rezultatul verificării PE și returnează răspunsul la client. Clientul urmărește răspunsul, verifică o semnătură și face o decizie - să aibă încredere în acest certificat sau nu.

Crearea unui serviciu OCSP este posibilă utilizând utilitarul OpenSSL de la criptopacketul Magpro. Ar trebui să se țină cont de faptul că alegerea dintre CRL și OCSP rămâne întotdeauna la discreția creatorilor site-ului. CRL - un pic mai ieftin, OCSP - un pic mai sigur.

Ar trebui anulată faptul că serverul criptotunnel și cripto suportă atât OCSP, cât și CRL.

TSA Serviciul de etichetă temporară

Scopul principal al serviciului de etichetare temporară este de a confirma faptul că documentul a fost semnat de PE nu mai târziu de timpul specificat în marcajul de timp.

Pentru a crea o marcă temporară, Cryptotunnel creează o cerere TSA la care se aplică hashul de la PE; Trimite această solicitare serviciului TSA. Serviciul TSA adaugă la acest timp curentă și semnează rezultatul EP. Astfel, este creată o etichetă temporară de încredere.

Pentru a crea o etichetă temporară de încredere online, utilizați produsul Magpro TSA. În acest caz, adresa URL a serviciului de etichetă temporară este setată de pagina web pe care este forma web a semnăturii

Partea clientului TSA este construită în criptotunnel. La primirea marcajului de timp la EP, toate acțiunile sunt produse automat, fără a atrage utilizatorul.

Arbitru

Arbitrul este un program special care este utilizat atunci când analizează conforme cu PE.

Arbitrul vă permite să vizualizați datele de identificare a certificatelor, care se află în semnăturile PKCS # 7; Vizualizați lanțul de încredere și timpul de creare a EP (Timestamp). Pentru a parsa conflictul, arbitrul verifică semnătura sub documentul specificat și relevă dacă a fost produs de proprietarul certificatului.

Trebuie remarcat faptul că, pentru însăși posibilitatea unor conflicte, documente și semnăturile lor ar trebui să fie stocate într-o arhivă electronică pentru o perioadă lungă de timp.

Protecția datelor personale pe site-ul web

Datele care se schimbă între browserul clientului și site-ul pot conține date cu caracter personal și informații confidențiale. Dacă toți utilizatorii site-ului sunt interesați să protejeze informațiile confidențiale, protecția datelor cu caracter personal este cerința Legii FZ 152-FZ "pe datele personale".

Când utilizați site-ul, datele sunt supuse unei amenințări la trecerea acestora prin Internet și când sunt stocate în continuare pe serverul site-ului.

Protecția atunci când este transferată între client și server

Internetul este un canal de transmisie a informațiilor nesigure. Principala amenințare la transmiterea datelor prin Internet este atacul "omul din mijloc", adică un atacator se conectează la linia dintre client și server și înlocuiește informațiile transmise. Singura modalitate de a proteja datele pe Internet este criptarea acestor date. Deoarece criptarea este o modalitate criptografică de a proteja informațiile, atunci cerințele FSB sunt aplicate la acesta la mijloacele de protecție a informațiilor criptografice - disponibilitatea certificatului FSB.

Pentru protecția criptografică a conexiunilor dintre browserul utilizatorului și site-ul Web (conexiuni web), se utilizează protocolul SSL / TLS. Kryptotunnel oferă protecția datelor pe acest protocol pe deplin relevantă pentru cerințele FSB. Astfel, Kryptotunnel este o soluție certificată care îndeplinește pe deplin cerințele pentru mijloacele tehnice de protejare a datelor cu caracter personal.

Protecție în timpul depozitării

La stocarea datelor într-o arhivă electronică a site-ului, aceste date trebuie depozitate într-o formă criptată. Crearea unei arhive electronice sigure este un subiect al unui articol separat.

Noțiuni de bază

Kskpep. - Certificat de verificare a semnăturii electronice.
Cep. - Semnătură electronică calificată.

Cryptoprovider.instrument de protecție criptografică pentru informații. Program cu care este generată partea închisă a semnăturii electronice și care vă permite să lucrați cu o semnătură electronică. Această casetă de selectare este aplicată automat.

Tasta exportatăcapacitatea de a copia o semnătură electronică într-un alt suport. În absența unui semn de verificare, copierea unei semnături electronice va fi imposibilă.

LKM. - Butonul stânga al mouse-ului.

Pkm. - Butonul din dreapta al mouse-ului.

CRM-Agent - o aplicație dezvoltată de specialiștii CC pentru a simplifica procedura de generare a unei perechi cheie, creând un certificat de interogare și scriere.

Înainte de a începe generarea

După vizitarea Centrului de Certificare și trecerea procedurii de reconciliere a personalității, e-mailul specificat în declarație, UC a trimis o scrisoare care conține un link care să genereze. Dacă nu ați primit scrisori, consultați managerul sau suportul tehnic pentru UC pe numărul de contact din acest manual.

Deschideți un link pentru a genera din litera într-una din browserele recomandate:Google Chrome., Mozilla Firefox., Yandex.browser.. Dacă sunteți deja într-unul din browserele de mai sus, faceți clic pe link LKM. sau Pkm.\u003e "Deschideți linkul din fila Noua." Pagina de generare (figura 1) se deschide într-o fereastră nouă.

La deschiderea legăturii, va apărea avertizarea inițială. Verificați-l dacă utilizați transportatorul pentru a stoca CEPJacarta. Lt. . Mai multe despre mass-media din de mai jos. Dacă utilizați un alt suport, apăsați butonul. "Închide".

Fig.1 - Pagina de generare

Instalarea unei aplicații

Dă click pe link"Descărcați aplicația" Pentru a începe încărcarea. Dacă nu sa întâmplat nimic după ce faceți clic, faceți clic pe link Pkm. > "Deschideți un link într-o filă nouă". După descărcarea aplicației, începeți instalarea.

Se recomandă dezactivarea software-ului antivirus înainte de încărcare a programului. !

În procesul de instalare a aplicației « cRM. - agent » Va apărea un mesaj cu cererea de acces (figura 2).

Fig.2 - Cerere de acces


apasa butonul "Da".

Furnizarea de acces

După instalarea aplicației, reveniți la pagina de generare. Apare un mesaj despre "Furnizarea accesului" (Fig.3).

Fig.3 - Accesul la depozitul certificatelor


Clic "Continua" și, în fereastra care apare, "Furnizați acces"(Fig.4).

Fig.4 - Accesul la depozitul certificatelor 2


Dacă butonul nu apare "Continua"

Dacă după instalarea aplicației « cRM. - agent » Legătura pentru a descărca aplicația nu a dispărut, motivul poate bloca conexiunea sistemului dvs. de securitate.

Pentru a elimina situația de care aveți nevoie:

Dezactivați antivirus instalat pe computerul dvs.;

Deschideți o nouă filă în browser;

Introduceți adresa fără spații la bara de adrese a browserului - 127.0.0.1:90 - și du-te (faceți clic peINTRODUCE pe tastatură);

Când apare un mesaj de browser "Conexiunea dvs. nu este protejată", Adăugați un browser pentru a exclude o pagină. De exemplu,Crom.: "Adiţional" - "Tot același lucru mergeți la site". Pentru alte browsere, utilizați instrucțiunile de dezvoltatori adecvate.

După ce apare mesajul de eroare, reveniți la pagina de generare și repetați Punctul 2. Această instrucțiune.

Setarea CRYPTOPRO CSP.

În cazul în care nu aveți criptoprodoare preinstalate, după faza de acces, vor apărea referințe pentru descărcarea Cryptopro (figura 5).


Este important: atașament « cRM. - agent » detectează orice criptoproprode pe computer și dacă aveți altceva de la Cryptopro. CSP. Program (de exemplu,Vipnet CSP. ), contactați specialiștii de asistență tehnică pentru consultare.

Dă click pe link "Cryptopro 4.0" Pe pagina generației sau link-ul similar de mai jos pentru a descărca fișierul de instalare Cryptopro pe computer.

CRPTOPRO CSP 4.0 - Versiune pentru Win 7 / 8/10

După finalizarea descărcării, deschidețizip.- Arhiva cu programul de arhivare corespunzător (de exemplu,VICTORIE. - Rar. ). În interior va fi un fișier de instalare Cryptopro. Rulați-l și setați setările implicite. În timpul procesului de instalare, este posibil să aveți următoarea fereastră:

Fig.5 - Instalarea criptopro

Săriți fereastra făcând clic pe "Mai departe". Instalarea de criptopro a fost finalizată.

Instalarea driverului pentru token

Semnăturile pot fi stocate în registrul unui computer, pe unități de flash obișnuite și pe specialeuSB- Centre. Lista de jetoane, codurile PIN și referințele la software sunt prezentate în tabelul de mai jos (Tabelul 1).

Tabelul 1 - Drivere pentru medii protejate

Tipul media USB.

Carrier USB exterior

Link pentru a descărca drivere

Pin.

rutoken.

mob_info.