» »

Juhised elektroonilise allkirja võtme loomiseks. Juhised elektroonilise allkirja algoritmi genereerimiseks elektroonilise allkirja jaoks
17.06.2021

Elektrooniline allkiri (edaspidi - EP), vastavalt Vene Föderatsiooni Föderatsiooni nr 63-FZ 25. märtsil 2011 "elektroonilise allkirja", määratletakse teabe elektroonilisel kujul, mis on lisatud teisele teabele elektroonilise Vorm (allkirjastatud teave) või muul viisil seotud sellise teabega ja mida kasutatakse teabe allkirjastamise määramiseks. Määratletud regulatiivse akti asendas Vene Föderatsiooni föderatsiooni föderaalse õiguse õigusjõud nr 1-FZ jaanuar 2002 "elektroonilise digitaalse allkirja" alates 1. juulist 2013.

Seadus 25. märts 2011 eraldab kahte liiki EP: lihtne ja tugevdatud. Viimast saab kvalifitseeritud või kvalifitseerimata. Kui lihtne EP kinnitab, et see e-kiri saadetakse konkreetsele inimesele, võimaldab tugevdatud kvalifitseerimata EP mitte ainult unikaalselt identifitseerida saatjat, vaid kinnitab ka, et keegi ei ole dokumendi allkirjastamise hetkest muutnud. Tulevikus arutame tugevdatud kvalifitseerimata EP. Sõnum kvalifitseerimata EP võib olla võrdne paberi dokumendi allkirjastatud iseenesest, kui pooled leppisid selles ette, samuti juhtudel konkreetselt seaduses sätestatud juhtudel.

Ühest küljest kasutatakse EP dokumendi autorsuse kinnitamiseks dokumendi saatja väärtust. Teisest küljest tagab elektrooniline allkiri selle õigusliku tähtsuse tunnustamise korral autori kasutamiseks allkirjastatud dokumendile, mis omakorda on dokumendi saaja jaoks oluline. Juhul vastuolulise olukorra konflikte saab alati läbi viia, mis ühemõtteliselt määrata autor allkirjastatud dokumendi ja sundida teda vastutama allkirjastatud dokumendi.

EP-ga seotud konfliktide suhe

Peamine probleem spordiolukorra konfliktide analüüsimisega Euroopa Parlamendi allkirjastatud dokumentide konfliktide analüüsimisel on tõend selle kohta, et "teave elektroonilisel kujul, mis on lisatud teisele teabele elektroonilisel kujul (allkirjastatud teave)" on õiguslik ja oluline Euroopa Parlament konkreetse dokumendi all olev isik.

Krüptograafiliste meetodite kasutamine võimaldab teil probleemi lahendada. Kui isik on välja antud ainulaadse elektroonilise võtme ja seejärel toota spetsiaalseid muutusi selle elektroonilise võtme ja elektroonilise dokumendi abil, siis nende transformatsioonide (ja selle EP) tulemus on selle paari jaoks ainulaadne (peamine dokument). Seega on konfliktide esimese etapi ülesanne kindlaks teha, kas see allkiri töötati välja selle elektroonilise võtme abil või mitte - lahendatakse krüptograafia meetoditega.

Teine etapp konflikti parsing on tõestada, et see elektrooniline võti on vara konkreetse isiku. See tõend annab EP õigusliku tähtsusega. Selle organisatsioonilise ülesande lahendamiseks - väljastatud võtmete raamatupidamine - PKI (avaliku võtme infrastruktuuri) kasutatakse.

Andes EP õiguslikku tähtsust PKI-ga

Seaduses "elektroonilise allkirja" eristage Euroopa Parlamendi võtit ja Euroopa Parlamendi kinnitusvõti. Elektrooniline allkirja võti on ainulaadne sümbolijärjestus, mis on loodud elektroonilise allkirja loomiseks. Elektroonilise allkirja kontrollimisel on ainulaadne tähemärgijärjestus, mis on unikaalselt seotud elektroonilise allkirja võtmega ja mis on ette nähtud elektroonilise allkirja autentimiseks. Kontrollitava on võtmepanusest episoodid, kuid pöördtoiming ei ole võimalik. Seega on Euroopa Parlamendi peamise ja võtmeklahvi vahel ühemõtteline vastavus. EP võti tuleks luua klient ise ja hoitakse salaja. See on see võti, mis aitab dokumentide allkirjastada elektroonilise allkirjaga. Euroopa Parlamendi kinnitusvõtmeks on kontrollida EP ja levitab kõigile allkirja kontrollimiseks.

PKI põhielement on sertifitseerimiskeskus. Sertifikaadi keskus sisaldab nende võtmete ja nende võtmete omanikud vastavuse registrit. Klahvi registreerimiseks viitab klient UC-le avatud osa oma võti koos oma identifitseerimisandmetega ja võtab vastu vastavustunnistuse, mis tõendab selle konkreetse võtme valduses. Vastavussertifikaat sisaldab EP-märgi ja kliendi identifitseerimisandmeid ning allkirjastab EP sertifitseerimiskeskus. Seega kinnitab UC, et see klient kontrolliti ja see on see, kellele see välja annab. Sertifikaadi saamisel märgib klient omakorda spetsiaalseid dokumente selle käsitsi allkirjaga väljastatud sertifikaadi usaldusväärsuse kohta. Need dokumendid on peamine ühendatud seos konkreetse isiku ja "elektrooniliste tähemärkide komplekti" vahel, selle EP.

Seega piisab allkirja allkirjastatud sertifikaadi allkirjastamise ja identifitseerimise kontrollimiseks. See tähendab, et Telli allkirjastab dokumendi oma EP-võtmega ja saadab seejärel allkirjastatud dokumendi saajale ja selle sertifikaadi, mis sisaldab Euroopa Parlamendi kinnitusvõti. Sel viisil saaja saab kontrollida, et allkiri oli tõepoolest tehtud EP-võtme allkirjastatud ja saada identifitseerimisandmed allkirjastatud sertifikaadi. Klient peab kaitsma oma EP-võtit kompromisse eest. Selleks on see, et mitmesugused riistvara peamised salvestusrajatised on loodud suurema kaitse tasemega, näiteks USB-seadme rutoken.

Vene Standard EP.

ED standardid on kaks tasandit. Esimesel tasandil on dokumendist otseselt EP. Teine tase hõlmab EP ja kõiki vajalikke dokumente, mis on vajalikud Euroopa Parlamendi õigusliku tähtsuse andmiseks: allkirjastatud sertifikaat või sertifikaatide ahel, allkirjastamise aeg jne.

Esimese taseme vene standard Euroopa Parlament on GOST 34-10.2012. Vene standard EP teine \u200b\u200btase on PKCS # 7 võimalusega lisada TSA ajutisi silte.

EP kohaldamisala

  • internetipank
  • elektrooniline turg
  • ettevõtte dokumendihaldussüsteemid
  • e-kiri
  • aruannete edastamine erinevatele föderaalsetele teenustele
  • autoriõigus

Veebisait EP-ga

Probleemi kujundamine

Oletame oma organisatsioonis otsustas minna elektroonilise dokumendihaldussüsteemi ehitatud veebitehnoloogiatele. Samal ajal on peamised kohad, kus EP on vajalik:

  • EP faile suvalise vormi allalaadimisel veebisaidile kasutaja kaudu sisendvormi
  • EP teksti andmed sisestatud kasutaja sisendvormis veebilehel
  • EP postitatud dokumendi veebisaidil mitmete kasutajate poolt
Lisatud ülesanne on kaitsta konfidentsiaalset teavet ja isikuandmeid, mis on jagatud järgmistesse alamülesandeid:
  • krüptograafiline andmekaitse kasutaja ja veebisaidi tööbüroode vahel
  • digitaalse sertifikaadi kasutaja autentimine oma isikliku kontole juurdepääsuks
  • krüptograafiline kaitse salvestatud serverinfo
Proovime aru saada, kuidas saab lahendada määratud ülesandeid madalaima aja ja rahakuludega, teha ilma koolitusteta ja minimeerida täiendavat tehnilist tuge.

Skemaatiline lahendus

Sertifitseerimiskeskuse loomine

    valige server, millele sertifitseerimiskeskus lähetatakse. Valikuliselt saab kasutada ajutist märgist ja online-kinnitustunnistuse staatust. SOAC ja määratud teenuseid säästa saab kasutada ühe server, mis peaks olema kättesaadav online. Nende teenuste teostatavus arutame allpool.

    paigaldage toode MagPro Cryptopacket

    looge UC-i klahv ja rakenduse CCM juursertifikaadi rakendamine MKKey Utility abil MagPro Cryptopacketilt. Key saab luua turvalise seadme, näiteks Rutoken. Pärast CC-võtme loomist on vaja tagada oma turvalisuse organisatsiooniliste meetodite kaupa. Kõige turvalisem võimalus on salvestada RUTOKEN seadme võti ja toidab seda sertifikaatide väljastamisel ainult serverile. Sertifikaat CAC on fail. Seejärel väljastatakse see fail kõigile CCC klientidele sertifikaadi kättesaamisel.

    looge UC juursertifikaat, kasutades MagPro Cryptopacket'i OpenSSL-utiliit.

    looge kataloogi struktuur failisüsteemis, kus salvestatakse failidena, mis on väljastatud kasutaja sertifikaadid väljastanud servereid sertifikaate, sertifikaadirakendusi. Sellele järgneb organisatsioonilised meetodid (näiteks ACL-i kasutamine), et tagada nende kataloogide õigete juurdepääsuõigused. Sertifikaadid väljastatakse PEM-vormingus failidena. Tuleb meeles pidada, et sertifikaadifailide nimed on kõige paremini mõistetavad, et täiendavalt hõlbustada sertifikaatide leidmise ülesannet.

Võtme ja PKCS # 10 sertifikaadi rakenduste loomine

Sertifikaadi saamiseks võib UC kasutaja kasutada kahte skeemi: tsentraliseeritud ja kaugel. Tsentraliseeritud skeemiga tegeleb kasutaja CC-le ja annab talle faili, kus võti ja sertifikaat asub. Seejärel lisab see selle faili USB-mäluseadmele. See skeem on lihtne ja mugav, kuid ohtlik, kuna see võimaldab teil UC töötajate võtme välja selgitada. Kuid mõnel juhul on selle kava kasutamine uskumatu.

Kõige turvalisem skeem sertifikaadi saamiseks on jaotatud. Kasutaja loob võtme, loob PKCS # 10 taotlus sertifikaadi jaoks, mis sisaldab selle Euroopa Parlamendi kontrollnuppu ja identifitseerimisandmeid. Kasutaja allkirjastab selle taotluse oma Euroopa Parlamendi võtmega ja viitab UC-le. CCC kontrollib taotluse all olevat allkirja, kasutaja identifitseerimisandmeid kontrollitakse näiteks passi ja väljastab sertifikaadi. Seejärel kirjutavad välja trükkimise sertifikaat ja kasutaja märgib väljastatud sertifikaadi vastavuse käsitsi allkirja dokumendi.

Osana arutelu all olevast otsusest tehakse peamine põlvkond ja taotluse loomine MagPro Cryptopacketi eriprogrammi abil. See programm siseneb Cryptotunneli kasutaja komplekt.

Sellel programmil on paindlik konfigureerimissüsteem, millega saate luua täiesti erinevat tüüpi sertifikaatide taotlusi, laiendada standard identifitseerimisandmeid, lisada rolli ja kasutaja õigusi sertifikaatidele, näiteks piirata juurdepääsu veebiressursside; Lisage rakendustele erinevaid atribuute.

Pärast võtme loomist peab kasutaja tagama selle ohutu ladustamise.

Euroopa Parlamendi sertifikaatide tüübid veebisaidil

Meie portaalis kasutatakse mitmeid sertifikaate:

    root-sertifikaat UTS

    See sertifikaat kasutatakse kõigi teiste veebiportaali osaliste sertifikaatide kontrollimiseks.

    server TLS-i autentimise sertifikaat

    See sertifikaat kasutatakse kliendi poolt serveri kinnitamiseks turvalise TLS-ühenduse loomisel allkirjastatud dokumentide edastamisel veebisaidile

    tLS-autentimise tunnistus kliendi autentimise

    See sertifikaat kasutatakse kliendi kontrollimiseks serveri poolt ja pääseb kliendile oma isiklikule kontole turvalise TLS-ühenduse loomisel allkirjastatud dokumentide edastamisel veebisaidile

    sertifikaat EP klient

    See sertifikaat Klient lisab selle ES-i ja seega võib katsetamisosaline kontrollida allkirjastamist ja tuvastada allkirjastatud

    oCSP serveri allkirja sertifikaat

    See OCSP-serveri sertifikaat lisab tema sertifikaadile allkirjastatud vastuse

    tSA Serveri allkirja sertifikaat

    See TSA Server sertifikaat lisab oma allkirjastatud vastuse tema sertifikaadi ja annab talle õiguslikku tähtsust

Kõiki seda tüüpi sertifikaate saab luua UGPRO Cryptopacket Utility ja UC abil MagPro Cryptopacketis.

Sertifikaadi saamine UC-s

Kasutaja taotluse saamisel loob UC administraator selle rakenduse varundamise. Seejärel kontrollib rakendust ja kasutades OpenSSL Utility loob kasutajatunnistuse, märgib selle CCT-klahvile ja pakub ka varundust. Lisaks muudab administraatori õigusliku tähtsuse tagamiseks sertifikaadist teabe väljatrükk (selle teabe saamine toimub OpensSl.exe utiliidi abil) ja saab selle väljatrüki all kasutaja manuaalse allkirja. Seejärel annab kasutajale oma sertifikaadi faili.

Niisiis, hetkel oli meil võimalus kasutada UC-d ja õppisime kasutajaklahvide loomist, aktsepteerima sertifikaatide taotlusi ja väljastanud vastuvõetud rakenduste sertifikaate. Sertifikaadi saamine ja täitmine, kasutaja tõendab oma käsitsi allkirja ja seetõttu võib väita, et me kasutame PKI-d, mis tagab kasutaja Euroopa Parlamendi õigusliku tähtsusega

Järgmine ülesanne on kasutada rakendatud ülesande lahendamiseks kasutatavat PKI-d - Ohutu edastamise korraldamine brauseri abil allkirjastas veebisaidil elektroonilisi dokumente ja saada need veebisaidil töötlemisse.

EP Kontrolli ja salvestusmooduli (Server)

Tavaliselt veebisait lähetatakse mõnele veebiserverisse (Apache, IIS, NGGX jne). See sait sisaldab isiklikku kontot iga kasutaja jaoks, mis on kohapeal registreeritud. Isikliku konto avamiseks peab kasutaja autentimismenetluse läbima. Tavaliselt on autentimine sisestada kasutaja registreerimiseks kokku lepitud deign ja paroolid.

Lisaks kasutatakse sisendi veebivormi elektrooniliste dokumentide allalaadimiseks serverisse.

Selleks, et "kinnitada" Euroopa Parlamendi kontrolli selle süsteemi, et kaitsta ühendused kasutaja brauseri ja saidi, samuti pakkuda range kasutaja-pääseda kasutaja autentimine juurdepääsuks isikliku kanali serverisse, siis peaks installima MagPro Crypt Serveri toode.

Arhitektuuriliselt näeb lahendus sellisena:

Cryptoer on paigaldatud enne kaitstud veebiserverit. Samal ajal on veebiserver konfigureeritud nii, et see võtab sissetulevaid ühendusi ainult Crypto serverist (vt Setup juhendamine). Krüptoerver aktsepteerib sissetulevaid HTS-ühendust, dekrüpteerivad need ja edastavad veebiserverisse. Lisaks lisab Crypto Server X509-Certi päise taotluse HTTP-päringule, mis edastab kliendi digitaalse sertifikaadi, mis on autentimismenetluse läbinud. See sertifikaat kasutatakse seejärel kliendi juurdepääsuks oma privaatsele kontole. EP kontrollimiseks edastatud dokumendid sisaldavad Crypto Server OpenSSL utiliit, mis võimaldab teil kontrollida algseid allkirju, saada ümbriku PKCS # 7 allkirjastatud sertifikaat või sertifikaatide ahel jne. EP kontrollimiseks peaks dokumentide vastuvõtmise veebileht helistama sellele kasulikule.

ED arendusmoodul (klient)

Kasutaja peamine ülesanne veebisaidil kasutamisel on elektrooniliste dokumentide ja teksti andmete laadimine saidile, samuti elektrooniliste dokumentide allalaadimine saidilt. Veebiühenduse kaitsmiseks SSL / TLS-saidi ja saidile edastatud andmete online-allkirjade jaoks tuleks kliendi tööjaamas kasutada Cryptotunnel'it.

Krüptotunneli peamised eelised:

  • pakub veebiühenduste kaitset iga brauseri ja SSL / TLS protokolli saidi vahel vene krüptoalgoritme toega
  • kasutaja kontole juurdepääsuks laadivad kasutaja poolt digitaalse sertifikaadi autentimine.
  • võimaldab teil saidile alla laadida veebipõhiseid dokumente ilma CSP-d kasutamata ja aktiivne x
  • toetab online-sertifikaadi oleku kontrolli (OCSP)
  • toetab usaldusväärseid ajutisi silte Euroopa Parlamendi all (timestamp)
  • toetab erinevaid USB-tokensi ja Smart Keys Storage kaardid
  • ei vaja paigaldamist kasutaja asukohtades, mida jagatakse kopeerimisega
  • saab salvestada tavalisele mälupulgale ja joosta sellest
  • ei vaja süsteemi administraatori õigusi
  • toetab töötamist mis tahes veebibrauseriga (Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari Apple jne)
  • ei ole "siduv" ühele arvutile - kasutaja saab kasutada ühte komplekti kontoris ja majad - raha kokkuhoid
  • on lihtne ja arusaadav kasutajaliides, mis võimaldab teil teha ilma kasutajate õppimiseta
  • võimaldab minimeerida kasutajate tehnilise toe kulu
  • saab töötada suure operatsioonisüsteemide spektriga (platvormilahendus)
Cryptotunnel annab allkirja andmete ja failide kaudu edastatakse veebivormi kaudu, kui see veebivorm on spetsiaalselt märgistatud. See tähendab, et veebivorm peab sisaldama välja määratud nimega välja. See nimi on kirjutatud Cryptotunneli konfiguratsioonifailis ja pärast seda, et Cryptotunnel hakkab allkirjastama selles valdkonnas edastatud andmed või fail. Lisaks ühes veebivormi peidetud väljad, allkirja tüübi (lisatud või eraldatud) saab seadistada ja teises peidetud valdkonnas - usaldusväärse aja sildid. Nende valdkondade nimed tuleks täpsustada ka Cryptotunneli konfiguratsioonifailis. Kui allkiri on eraldatud tüüp, siis krüptotunneli konfiguratsioonifailis, siis tuleks täpsustada nimi valdkonnas, kus see eraldatud allkiri saadetakse serverisse. Seal peaksite täpsustama selle valdkonna nime, kus serverisse saadetakse ajutine märgis.

Need on kõik tegevused, mida soovite teha Cryptotunnel'i alustamiseks veebivormi kaudu edastatavate andmete ja failide alustamiseks. Täiendavate skriptide kirjutamist ei ole vaja kirjutada, helistada aktiivne x jne.

Mitme Euroopa Parlamendi korraldamine

Mitme EP on nõutav, kui dokument peab allkirjastama mitu inimest. Sellisel juhul lükatakse dokument tavaliselt kohapeal edasi, nii et see on kättesaadav ainult kasutajatele, kelle EP on vajalik. See juurdepääsu eraldamine on kokkuvarisenud kasutaja autentimise abil digitaalse sertifikaadi abil.

Krüptotunneli kasutamisel ei pea kasutaja dokumendi alla laadima ja seejärel allkirjastama ja alla laadima dokumendi uuesti serverile - kõik need toimingud Cryptotunnel vajutage automaatselt veebilehe nuppu.

Teenuse OCSP.

Sageli juhtub sageli, et HC meenutab kasutaja sertifikaati (näiteks kui kasutaja võti varastati ründaja poolt). Samal ajal tuleb ülejäänud kasutajatelt teatada selle sertifikaadi tühistamisest, nii et nad peatavad ta usaldada. Kasutajate teavitamise kohta tühistamisest on mitmeid viise.

Lihtsaim viis on tagasikutsumise nimekirjade jaotus (CRL). See tähendab, et CAC loob ja ajakohastab regulaarselt spetsiaalset faili, mida kasutajad perioodiliselt alla laadida.

Teine võimalus on kasutada veebipõhise sertifikaadi oleku kontrolli teenuse - OCSP teenuseid. Iga sertifikaadi staatuse kontrollimiseks moodustavad Cryptotunnel ja Cryptoerver automaatselt OCSP-taotluse, saatke see taotlus võrgu teenistusse. Teenus kontrollib sertifikaadi, allkirjastab teie Euroopa Parlamendi kontrollimise tulemust ja tagastab vastuse kliendile. Klient jälgib vastust, kontrolli allkirja all olevad kontrollid ja teeb otsuse - usaldada seda sertifikaati või mitte.

OCSP-teenuse loomine on võimalik, kasutades Apensl Utility MagPro Cryptopacketilt. Tuleb meeles pidada, et CRL-i ja OCSP vaheline valik jääb alati saidi loojate äranägemisel. CRL - veidi odavam, OCSP - veidi turvalisem.

See tuleb tühistada, et Cryptotunnel ja Crypto server toetavad nii OCSP ja CRL-i.

TSA ajutine sildi teenus

Ajutise märgise teenuse peamine eesmärk on kinnitada asjaolu, et dokument allkirjastas EP hiljemalt ajatempelis määratud ajaks.

Ajutise kaubamärgi loomiseks loob Cryptotunnel TSA taotluse, millele räsi kehtib EP-st; Saadab selle taotluse TSA teenusele. TSA teenus lisab selle HASH praeguse ajani ja allkirjastab selle Euroopa Parlamendi tulemuse. Seega luuakse usaldusväärne ajutine märgis.

Interneti-usaldusväärsete ajutiste sildide loomiseks kasutage MagPro TSA toodet. Sellisel juhul määrab ajutise tag teenuse URL veebilehe kaudu, kus allkirja veebi vorm on

TSA kliendiosa on ehitatud Cryptotunnelisse. EP ajatempli kättesaamisel toodetakse kõiki toiminguid automaatselt ilma kasutajateta.

Vahekohtunik

Kohtunik on spetsiaalne programm, mida kasutatakse EP vastavuse analüüsimisel.

Kohtunik võimaldab teil visualiseerida sertifikaadi identifitseerimisandmeid, mis on PKCS # 7 allkirjas; Visualiseerige usalduse ahel ja Euroopa Parlamendi loomise aeg (timestamp). Konflikti parsimiseks kontrollib vahekohtunik allkirja kindlaksmääratud dokumendi allkirja ja näitab, kas see on sertifikaadi omanik toodetud.

Tuleb märkida, et konfliktide läbivaatamise võimaluse korral tuleks dokumente ja nende allkirju pikka aega salvestada elektroonilises arhiivis.

Isikuandmete kaitse veebisaidil

Andmed, mis vahetavad kliendi brauseri ja saidi vahel võivad sisaldada isikuandmeid ja konfidentsiaalset teavet. Kui kõik saidi kasutajad on huvitatud konfidentsiaalse teabe kaitsmisest, on isikuandmete kaitse FZ 152-FZ "isikuandmete seaduste nõue".

Saidi kasutamisel allutatakse andmed ohtu nende kaudu interneti kaudu ja kui need on kohapeal serverisse salvestatud.

Kaitse kliendi ja serveri vahel

Internet on ohtlik teabe edastamise kanal. Peamine oht andmete edastamisel Interneti kaudu on rünnak "mees keskel", st ründaja ühendab kliendi ja serveri vahelise joonega ning asendab edastatud teabe. Ainus viis andmete kaitsmiseks Internetis on selle andmete krüpteerimise. Kuna krüpteerimist on krüptograafiline viis teabe kaitsmiseks, rakendatakse FSB nõudeid krüptograafilise teabe kaitse vahendile - FSB-sertifikaadi kättesaadavus.

Kasutaja brauseri ja veebisaidi vaheliste ühenduste krüptograafilise kaitse jaoks kasutatakse SSL / TLS-protokolli. Kryptotunnel pakub andmekaitset käesoleva protokolli kohta täielikult FSB nõuetele. Seega on Kryptotunnel sertifitseeritud lahendus, mis vastab täielikult isikuandmete kaitsmise tehniliste vahendite nõuetele.

Kaitse salvestamise ajal

Andmete salvestamisel saidi elektroonilises arhiivis tuleb need andmed salvestada krüpteeritud kujul. Turvalise elektroonilise arhiivi loomine on eraldi artikli teema.

Täna räägime:

  • huvitav teema krüptograafia ja elektroonilise allkirja täna;
  • milliseid eeskirju praegu sellel teemal tegutsevad;
  • millised on 1c platvormil rakendatud krüptograafia võimalused;
  • kuidas laiendada neid võimalusi väliste komponentide abil;
  • räägime allsüsteemi "elektroonilise allkirja" kohta BSP-s;
  • teenuste rakendamise kohta "1C-EDO" ja "1C: DirectBank", mille arendamine ma jälgin;
  • me puudutame küsimust arendada oma lahendusi töötada krüptograafia 1c: ettevõtte platvorm;
  • kaaluge tüüpilisi probleeme, mis tekivad EDO kasutuselevõtmises ettevõttes - ma ütlen teile, kuidas neid lahendada.

Ma tahan pöörata tähelepanu kahele terminile, mida kasutatakse Master-klassis.

  • Esimene on EDO, elektrooniline dokumendivool. Selle all mõistame me sisemise elektroonilise dokumendi voolu ettevõttes ja välise kolmanda osapoole vastaspooltega.
  • Teine lühend on EP. Internetis on dekodendid: "Elektrooniline valitsus" ja "Electric Drive". Meil on see elektrooniline allkiri.

Miks on praeguse hetke jaoks asjakohased krüptograafia- ja elektroonilised allkirjad?

  • Kaasaegse ettevõtte jaoks Äriprotsesside kiirus on üks konkurentsieeliseid.. Elektroonilise dokumendihalduse rakendamisel väheneb statistika aeg 75% võrra.
  • Elektroonilise dokumendi muutmisel tekib meie omavahendite salvestamine (Paberikassette printeritele, dokumentide salvestamise dokumendid, paberi dokumendihalduse korraldamise aeg). Kõik see aitab ettevõttel tungivalt.
  • Peaaegu iga ettevõte kasutab nüüd kaugpanganduse kanaleid ja kaugmaksete turvalisus Praegu väga asjakohane.
  • Kõik suuremad maksumaksjad hõlmavad nüüd abstraktseid, et kui soovite nendega töötada - jagada dokumente elektroonilisel kujul. Kõik läheb elektrooniliseks- Elektroonilised arved, elektroonilised tellimused jne. Tahad oksjonil osaleda - teil peaks olema elektrooniline allkiri.
  • Kõik see on järk-järgult muutub massiksKuid sellest hoolimata ei teata meie elanikkonnast. See kujutab endast tõsist tegematajätmist ja seetõttu on selle läbivaatamise eesmärk küsida teilt kursust, mis aitab nendes küsimustes navigeerida ja välja selgitada, mida saab uurida ja kus näete.

Regulatiivne raamistik, praktika

Milliseid mõisteid me kaalume?

Elektrooniline dokument

Elektrooniline dokument on mis tahes teave elektroonilisel kujul:

  • Sa pildistasid oma auto - see pilt on elektrooniline dokument;
  • me saatsime e-posti juht avalduse - see on ka elektrooniline dokument.

Iga dokumenti saab tõlkida "numbri", kuid mitte iga elektroonilist dokumenti ei saa tunnistada ilma inimosaluseta.

Masina töötlemine on paljutõotavam, nii palju dokumente saab jagada formaalsed ja informaalsed elektroonilised dokumendid.

  • Informastiseeritud dokumendi all mõistame, et inimene vaatab fotot ja näeb, et auto number on nii.
  • Ja formaalsete elektrooniliste dokumentide puhul töötatakse välja skeemid tavaliselt, kus on ette nähtud väljade koosseis, nende piirangud, siduvad või vabatahtlikud jne. Selliseid vormistatud dokumente saab automaatselt kajastada.

Perspektiivi vormistatud elektrooniliste dokumentide jaoks. Osakonnad liiguvad järk-järgult uutele rööbastele. Paljud neist toodavad oma eeskirju kirjeldavad, millises vormis saab vahetada teavet.

  • Näiteks vahekohtuprotsessi aktsepteerib dokumente ainult PDF-vormingus.
  • Ja elektroonilised arved tuleb edastada XML-vormingus ja on olemas spetsiaalne reguleeriv raamistik nende nõutavate väljade kirjeldusega. Maksumaksjad, kes soovivad jagada arveid elektroonilisel kujul, peaksid need nõuded selgelt vastama.

Varem oli probleem, et FTS kohustab liikuma uue elektrooniliste dokumentide vormingusse, on umbes sama uue elektroonilise aruandluse vorm - alates 1. märtsist on uus formaat, ja siis "isegi rohi ei kasva . " Nüüd, pärast paari aasta pärast avaldavad nad vormi, oodates tagasisidet ja hoiatab seejärel, et sel aastal on vaja sujuvalt läbida. Samal ajal aktsepteeritakse paralleelselt nii vanad kui ka uued vormingud. Maksuteenistus peaks alati vastu võtma dokumente mis tahes vormis, sest dokumendid võivad olla viis aastat vana ja elektroonilisel kujul, mida nad veel aktsepteeritakse.

Elektrooniline allkiri

Seadus nr 63-FZ tutvustab elektroonilise allkirja kontseptsiooni. Varem oli mõiste "elektrooniline digitaalne allkiri" (EDS), nüüd on õige kasutada terminit "elektrooniline allkiri". Seal on seadus kolm tüüpi elektroonilise allkirja.

  • Esimene vaade on lihtne elektrooniline allkiri. Näiteks mobiilse panga kasutamisel saate ühekordse parooliga SMS-i ja te teate - see on lihtsa elektroonilise allkirja analoog. Sellise allkirjaga saate määrata ainult autor.
  • Teine ja kolmas liik on tõhustatud elektrooniline allkiri. "Tõhustatud" tähendab, et kasutatakse mingit krüpteerimist. Tõhustatud allkiri jaguneb kvalifitseerimata ja kvalifitseeritud.

Mõnikord nimetatakse tugevdatud kvalifitseeritud elektroonilist allkirja lihtsalt kvalifitseeritud elektroonilise allkirja (CEP). See on elektrooniline allkiri tunnistuse alusel, mille akrediteeritud sertifikaadi keskus väljastab. Teatisiministeerium toimub elektrooniliste allkirja sertifikaatide sertifitseerimiskeskuste loetelu poolt.

Elektroonilise allkirja tunnistus (ta saab veel nimetada elektroonilise allkirja võtme sertifikaadina) - see paber või elektrooniline dokument, ühemõtteliselt määramine, kes omab seda allkirja.

Kvalifitseeritud elektrooniline allkiri kehtib kõige laialdasemalt. Selle peamine eesmärk on see, et see kinnitab autorsust, tagab mittesuvama ja tagab allkirjastatud andmete terviklikkuse. See tähendab, et kui allkirjastasite elektroonilise arve kvalifitseeritud elektroonilise allkirjaga, siis:

  • Te ei saa öelda, et see ei ole teie allkiri;
  • Te ei saa sellest keelduda (tagasi võtta);
  • saate kontrollida, kas pärast seda kirjutasite sellesse dokumendile tehtud muudatusi.

Kui räägime Elektrooniliste allkirjade rakendamine, Tasub neid jagada kohalikku ja pilve.

  • Kohalik elektrooniline allkiri - Olukord, kui allkirjastate oma arvutisse dokumente. Sellisel juhul on vaja krüpteerimist, sertifikaadi paigaldamine on palju raskusi.
  • Cloud Electronic Allkiri - Olukord, kui usaldate suletud võtmete lattu teatud valdajale "pilv" ja dokumendi allkirjastamiseks on vaja seda edastada enne seda pilve. Tõenäoliselt on ühekordselt kasutatav parool teie telefonile kinnitada. Ja pärast kinnitust moodustatakse ekraanil elektrooniline allkiri ekraanil ja saate allkirjastatud dokumendi.

FSB on avaldanud selgitav täht, mis selgitas seda pilvade elektrooniline allkiri ei ole kvalifitseeritud. Seega, kui seadus ütleb, et dokument peab allkirjastama kvalifitseeritud elektroonilise allkirjaga ja teil on "pilv" allkirjastatud dokument, siis pidage meeles, et see võib olla probleeme - et see on vaja läheneda väga hoolikalt.

Mida ma veel ütlen huvitavatele õigusaktidele, mis puudutavad meid?

  • 2016. aastal ilmus Venemaa kommunikatsiooniministeeriumi ühe sertifitseerimisasutuse, mis võimaldab teil luua usaldusväärsuse ahela mis tahes sertifikaadile. See pea sertifitseeriv keskus Side Teabevahetuse ministeeriumi, väljastab sertifikaadid akrediteeritud sertifitseerimiskeskuste ja need on juba väljastatud üksikisikutele ja juriidilistele isikutele. Seega, mis tahes elektroonilise allkirja jaoks, saate alati ehitada usalduse ahela. See on väga mugav, sest see oli varem raske kontrollida praktikas, et allkiri teise sertifitseerimiskeskusest kehtivuse.
  • Enamik uuest - 2017. aasta alguses tegi kommunikatsiooniministeerium õigusloomega seotud algatuse kõik kvalifitseeritud elektroonilised allkirjad, et anda riigi monopolile. Selle keskpanga ja majandusarengu ministeeriumi kohta vastas juulis sõna otseses mõttes, et seda ei ole võimalik seda teha, sest see võtaks töökohtade ja hävitada, mida töötati aastaid. Tõenäoliselt ei lähe see seadusandlik algatus veelgi, kuid selline mõte oli.

EDO kasutamise omadused EP-ga ettevõtetes

Millised on elektrooniliste dokumentide haldamise funktsioonid ettevõtetes? Pange tähele, et kui käivitate elektroonilise allkirja ja krüptograafiaga seotud projekte, on konsultatsiooniteenused väga olulised.

Kui a ettevõte käivitab elektroonilise dokumendi voolu, siis:

  • esimene ülesanne on ette nähtud elektroonilise dokumendihalduse kasutamine raamatupidamispõhimõtetes;
  • järgmine vajadus väljastama ettevõtte tellimuseKust täpsustada, millised näod võivad dokumente allkirjastada;
  • kui vahetate vastaspoole, siis peab olema kokkulepe, kus on kirjutatud, kuidas te tühistada ja kohandada dokumente. Näiteks, kui te ei meeldi paberileheküljele, võite nõustuda oma vastaspoolega ja lihtsalt murda, ja kõik on korras. Ja elektroonilisel kujul on kõik keerulisem, sest loodud ja allkirjastatud dokumendi koopiate arv võib olla piiramatu. Ja isegi kui teie ja teie vastaspool nõustus selle dokumendi tühistamisega, ei piisa selle e-posti ekvivalendi, et lihtsalt oma baasist lihtsalt eemaldada. Elektroonilise dokumendi reguleerimiseks või sellest keeldumiseks peate selle põhjal moodustama uue elektroonilise dokumendi ja juba täpsustama, kuidas teie tehing nüüd välja näeb. Ja alles pärast seda uue elektroonilise dokumendi allkirjastamist mõlemale poolele kinnitatakse tehinguteave vajaliku vormi kujul.

Kõik see peab olema ette nähtud ja kasutama.

Reguleeriva raamistiku valmisolek

Ma hindaksin meie reguleeriva raamistiku valmisolekut - juba on mingisugune hoone ", kuid see peab olema täpsem.

  • Näiteks, ei ole arusaamist, kuidas me kontrollime elektroonilise allkirja elektrooniliste dokumentide arhiivis viie aasta jooksul. Kuna sertifikaat elab ühe aasta ja millal selle kehtivusaja lõpeb, on allkiri Vivend - ei ole selge, kuidas kontrollida.
  • See ei ole selge, mida "allkirja kuupäev" on. Mõne raamatupidamisdokumentide puhul on oluline teada, millal dokument allkirjastati. Nüüd saate dokumendi allkirjastamisel "Mukhlove" - \u200b\u200büle kanda arvuti kuupäeva, allkirjastatud ja see näeb välja nagu "taga" allkirjastatud dokument. Seetõttu, et ühemõtteliselt öelda, et dokument, mis on märgitud, peaks olema üks võimalusi:
    • või peab olema ühekordse ajakava jaotus, nii et dokumentide allkirjastamise ajal läksime mõne föderaalse teenistuse osakonnale, mis annaks meile ajakirjanduse ajakirjade templi;
    • või kui vahetate e-posti arveid, on veel üks kolmas link - see on elektrooniline dokumendihalduse käitaja. Ta igatseb dokumente ise läbi ja ei anna "häguse", sest see tekitab oma kviitungite (kinnitus), kus kuupäev ja kellaaeg on ette nähtud.

Üldiselt on liikuda.

Krüptograafia mehhanism platvormis "1c: Enterprise 8"

Krüptograafia mehhanism platvormis ilmus versioonist 8.2 - see on üsna noormehhanism. Platvorm ise ei sisalda krüptoalgoritme, see sisaldab ainult kõnesid ja objekte, millega saate arvutis krüptograafilistele teenustele viidata:

  • windowsi jaoks on CryptoApi liides;
  • linuxi jaoks ei ole selliseid liideseid, on krüptograafia moodulite otsene kaebus.

Siit selgub, et krüptograafiat saab rakendada ainult siis, kui arvutisse installitakse krüpteerimise. Ja teiselt poolt, et "1C: ettevõtte" platvorm ise ei pea olema sertifitseeritud seisukohast krüptograafia.

Peamised krüptograafilised toimingud 1c: Enterprise 8 platvorm:

  • Te teate, et platvorm võib töötada erinevates režiimides: paks, õhuke, veebi klient, väline ühendus ja mobiilne rakendus. Kõigis nende käivitusrežiimide puhul toetatakse krüptograafiat - Mobiilirakenduse puhul ilmus versioon 8.3.10-st krüptograafiliste mehhanismide toetus. Soovitan lugeda "süntaksi assistenti" ja vaadata, milliseid meetodeid on saadaval ühes või teises käivitusrežiimis, sest on olemas piirangud.
  • Platvorm võimaldab teil töötada avatud põhisertifikaatidega (X.509)mis on arvutisse installitud. Me ei saa vabastada uut sertifikaati või taotleda selle vabastamist, me töötame ainult sellega, mida me oleme - kasutades platvormi mehhanisme, leiame sertifikaadi arvuti, lugeda selle atribuute, maha laadida faili ja kontrollige, kuidas see on.
  • Ma tulin tihti minu praktikas arusaamatusega kuidas platvorm töötab krüpteerimist ja dekodeerimist. See on eriti oluline, kui teete mõne välise töövõtjaga integreerimise, mis ei tööta 1C-ga. Kui klõpsate dokumendi krüpteeritud, saatis selle teisele poole ja püüavad dešifreerida. Näiteks tekivad küsimused sageli siis, kui GOST 28147-89 algoritm määrati krüptoproder 1C seadistamisel, mis on sümmeetriline ja dekrüpteerimine nõuab suletud võtme kaebust. Lubage mul teile meelde tuletada, et sümmeetriline krüpteerimisalgoritm tähendab seda, et krüpteerimiseks ja dekrüpteerimiseks kasutate sama võtit. Ja asümmeetriline krüpteerimine on siis, kui andmed on krüpteeritud avaliku võtme abil ja teine \u200b\u200bsuletud (salajane) võti kasutatakse dekrüpteerimiseks. Töövõtjaid küsitakse: "Aga sa ütlesid, et krüpteerimisalgoritm on sümmeetriline, miks siis siis, kui dešifreerimine vajate võtme suletud osa?" Selgitame välja, kuidas krüpteerimismehhanism töötab platvormil:
    • juhuslikult loob fikseeritud pikkusega klahvi, millega andmekogum on krüpteeritud vastavalt sümmeetrilise algoritmile;
    • seejärel krüpteeritakse võti asümmeetriline algoritm, kasutades abisaaja sertifikaadi avalikku võtit;
    • krüpteerimine Sümmeetrilise algoritmi abil töötab kiiremini - oleme krüpteeritud suure hulga andmeid ja seejärel krüpteeritakse fikseeritud pikkuse väike võti kiiresti asümmeetrilise algoritmi abil;
    • krüpteeritud andmed, vastuvõtjate sertifikaatide loetelu ja krüpteeritud võtme loetelu on pakendatud ühes PCCS # 7 spetsifikatsiooni pakendisse;
    • see pakett saadetakse saaja poolel;
    • ja dekodeerimine töötab vastupidises järjekorras.
  • Allkirjastamine ja elektroonilise allkirja kontrollimine. Platvormi tööriistade allkirjastamisel ehitatakse platvormile võtme suletud osa ja terviklikkuse kontroll (matemaatiline kehtivust). Selle õigusliku tähtsuse seisukohast ei piisa sellest. Kui soovite dokumendi all oleva elektroonilise allkirja kontrollida, peate kontrollima:
    • sertifikaat;
    • saadetud andmete matemaatiline kehtivusaeg.

Seda tehakse nii BSP mehhanismis - seda arutatakse veidi hiljem. Platvorm ei ole.

Kaitstud TLS-ühendus krüpteeritud andmevahetuskanali korraldamiseks.Toetatakse TLS-1,0 / 1.2 kaks versiooni. TLS-versioon on seatud allikale, millega luuakse ühendus - kui allikas kasutab protokolli nr 1.2, tõstab platvorm krüpteeritud ühendi 1.2. Kui BSP-d kasutatakse, siis ressursile juurdepääsu korral registreeritakse krüpteerimine "HTTPS" aadressil automaatselt sisse. Kui "HTTP" on aadressil registreeritud, siis liiklus ei ole krüpteeritud. Teine huvitav asi, mida ma võin öelda, et enne krüpteeritud ühendust paigaldati ainult RSA algoritme ja nüüd ka Gost-algoritme puhul. Gost algoritme ei toeta brausereid ja platvorm on juba võimalik. Aga mitte kõik on nii hea, kahjuks.

Olen juba maininud, et platvorm saab töötada ainult nende krüptograafiliste teenustega, mis on arvutisse installitud. Seega on olemas piir - kui soovite kasutada krüptograafiat, peab teil olema mingi krüpteerimise. Kus Cryptoriality ei saa kasutada kaasaskantava režiimis, see peab olema paigaldatud OS. Tundub, et arvutiga töötas platvormi, mis oli arvutisse sümbol, mis töötas temaga - see ei tööta.

Elektrooniline allkiri genereeritakse ainult PKCS # 7 formaadis (Eraldi väline fail), muul viisil platvorm ei tea, kuidas.

Mõned osakonnad vajavad allkirja vormingut. Xmlddig - Lihtsustatud versioonis, olukord, millal XML-failis saate võtta teatud komplekt silte, allkirjastada ja allkirja järgmisele sildile, nii et ühes dokumendis oli mitu allkirja. Platvorm ei tea, kuidas seda teha.

Ma märkisin seda veel platvormi abil on raske tekkivate probleemide diagnoosida.Näiteks on arvutis krüpteerimist, seal on sertifikaat, kusagil on võtme suletud osa ja kui platvorm hakkab seda kõik ja mingil hetkel midagi helistama, ei sobi see lihtsalt viga - Mis ebaõnnestus ja operatsioon ei ole toimunud. Mis seal juhtus, kus probleem on arusaamatu. Seetõttu on seal liikuda selles suunas ja platvormi ja krüpteerimise.

Krüptograafia välistes komponentides

Piirangute piirangute eemaldamiseks võite proovida teha välise komponendi.

  • Selleks ettevõttel "1c" on terve metoodika, see on postitatud kettale HTTPS://its.1c.ru/db/Meed8dev#content: 221: HDOC. Näited on sellega seotud, saate kasutada.
  • Välise komponendi väljatöötamisel teile te peate tegema kõikidele operatsioonisüsteemidele kõik teie kliendid töötavad. Noh, kui te teate eelnevalt, et teil on 100 klienti ja kõik 32-bitised aknad. Kui see nii ei ole, siis peaksite tegema assambleid:
    • linuxi jaoks;
    • windowsi jaoks (32 heitmed ja 64 numbrit);
    • kui teie kliendid töötavad läbi brauseri, peate iga brauseri jaoks eraldatud laienemist tegema.
  • Kui seda kasutatakse, on see veelgi hullem. Te töötate välise komponendiga, nagu objektiga, mille omadused sa tead ainult. Kui rakenduse ajal olete teinud vea kusagil, ei saa selle objektiga suhtlemiseks programmi kood töötada.
  • On veel üks probleem - ei ole selge, kuidas selle välise komponendi kliendile esitada. Kliendi platvorm on juba seda väärt, ka krüpteerimisega, kõik on selge, ja nüüd kirjutasite välise komponendi, mis seob krüpteerima ja platvormi. Aga kui see maksab selle välise komponendi, nagu te selle kliendiga panete - ei ole selge.
  • Sa pead programmi koodi säilitamine ja uuendamine. Kui kasutate oma välist komponenti tüüpilises lahuses, tähendab see, et seda tuleb selle ajakohastamisel arvesse võtta. Ja kui platvormi uus versioon on toodetud, peate tegema kõik.
  • Väliste komponentide puhul on valmis näiteid. Kõige erksam näide minu praktika on väline komponent Sberbank. Täpsemalt toodab Sberbank teenuse jaoks välise komponendi "1C: DirectBank". See väline komponent rakendab oma elektroonilise allkirja vormi ja installimist krüpteeritud ühendi.

BSP allsüsteem "Elektrooniline allkiri"

Nüüd, kui lihtsam töötada.

"1 c: Standardi allsüsteemide raamatukogu" (BSP) on valmis tüüpiline konfiguratsioon "1c", universaalsete funktsionaalsete allsüsteemide komplekti, millest üks nimetatakse "elektrooniliseks allkirjaks".

Kohe ma tahan märkida, et BSP ise on teatud isoleeritud tase platvormi, millel on tarkvara ja kasutajaliidesed. "Elektrooniline allkiri" allsüsteem rakendab tarkvara ja kasutajaliidese töötamiseks krüptograafiaga (krüpteerimine, elektrooniline allkiri).

Allsüsteemi "elektroonilise allkirja" kaalumisel on oluline mõista, mis on selles:

  • Põhifunktsioonid, kus rakendatakse seda, et seda ei puuduta kunagi, kui soovite kõik töötada.
  • Ja seal on spetsiaalne üleandja osa arendajatele nagu me, kus saab lisada midagi töötada erinevalt. Kui midagi ei ole, soovitan kirjutada poisid, kes arendavad BSP-d, et käivitada võimalus tühistada põhifunktsionaalsus ja siis saate teha seda, mida vajate uuesti määratletud osaga.

Allsüsteemi objektide arv ei ole väga suur, kataloogid on vaid kaks:

  • "Program Elektronnypopiüüs";
  • "Sertifikaadi sertifikaatririclectronic posyaching".

Kuid ühiste moodulite koodijoonte arv on väga suur - 11,5 tuhat koodi töid. Ja töö allsüsteemi töö ei ole väga lihtne.

Kuidas kinnistada elektroonilise allkirja allsüsteemi?
Oletame, et teil on mõned konfiguratsioon, otsustasite, et peate selle allsüsteemi sellesse kinnistama:

  • esiteks peate oma allsüsteemide kinnistamiseks lugema selle lugema;
  • järgmine - Lugege allsüsteemi juhiseid (peatükk "allsüsteemide seadistamine ja kasutamine konfiguratsiooniarengu", alajaos "Elektrooniline allkiri") - töökorraldus on kirjutatud seal;
  • on vaja tutvuda BSP demobaasiaga elektroonilise allkirja allsüsteemi väljakutsetega näiteid;
  • ja lõpus, pärast allsüsteemi ehitamist peate kontrollima:
    • seal on laiendatud platvorm kontrolli all, kui olete kinnistanud objekte;
    • ja selle "BSP-i kinnitamise allsüsteemide kontrollimine" - selle abiga on endiselt eraldi töötlemine "- selle abil saate kontrollida, kuidas te kõik olete varjatud.

Ja kui teil on configuration nullist, võtate allsüsteemi ja kirjutate sellele - värskendate ennast.

Kuidas testida elektroonilist allkirja?

  • Testimiseks on võimalik kasutage ise allkirjastatud sertifikaati - Vabastage see oma krüpteerivale kasutusele Microsoftile, mis on Windowsi sisseehitatud.
  • Või see on võimalik kasutage välist fusiooni. "CryptoPro" abil saate:
    • lae prooviversiooni oma saidilt;
    • telli test sertifikaadi läbi test sertifitseerimiskeskuse;
    • paigaldage katse sertifitseerimiskeskuse juursertifikaat;
    • laadige alla ja pange sertifikaadi tagasivõtmise (SOS) nimekirja sellest UC-st.

Seega "ilma diivanita jätmata", saate testkeskkonna sertifikaatide ja krüptograafiaga töötamiseks. Seda saab kasutada.

Alamsüsteemi "Elektroonilise allkirja" peamised funktsioonid BSP-st

See on näide BSP demobazist. Jaotises "Administration" sektsioonis on kaks funktsionaalset valikut: "Krüpteerimine" ja "elektrooniline allkiri". Kui te nende sisse lülitate, saate minna seadetesse.

Seaded on kaks viiteraamatut: "Programmid" ja "sertifikaadid". In "Programmides" määrab süsteem, millised programmid on paigaldatud ja kohe näitab, et kõik on hea või kõik on halb. Kui kasutate mingit konkreetset krüpteerimist, mis ei ole BSP-s, saate klõpsata nupul "Lisa" ja täpsustage selle kaebuse parameetrid.

Kui te töötate veebi kliendi kaudu, küsib BSP-alamsüsteem, et peate kõigepealt kasutama laiendit failide ja laienemisega töötamiseks koos krüptograafiaga. See on väga mugav, sest te ei pea ennast kohandama - süsteem leiab laiendamise ja pakuvad selle panna.

Sertifikaadid saab lisada kahel viisil.

  • Esimene valik on "installitud arvutisse." Sellisel juhul avaneb dialoogiboks, kus me täpsustame, kuidas me seda sertifikaati kasutame.

  • Ja teine \u200b\u200bvalik - saate tellida uue kvalifitseeritud sertifikaadi vabastamise. Pange tähele, et platvorm ise ei võimalda sertifikaadi väljastamist tellida ja BSP lubab. BSP tegi integratsiooni sertifitseerimiskeskusega 1C, mis väljastab kvalifitseeritud elektroonilise allkirja sertifikaate. Võite läbida seadete viisardit:
    • süsteem küsib, milliseid dokumente sertifikaadi väljastamise täitmiseks ja printimiseks;
    • on vaja sõlmida kokkulepe partneriga, kes suudab teostada isikutunnistuse ja edastamise dokumente 1c;
    • pärast 1C vastuvõtmist vabastatakse dokumente, vabastatakse sertifikaat;
    • süsteem leiab selle ja installige see arvutisse.

Seega saavad kasutajad ilma programmi jätmata kvalifitseeritud elektroonilise allkirja sertifikaadi.

Magic juhtub järgmine - sertifikaadi kontrollimine seadistuste õigsuse diagnoosimisel. See dialoog võimaldab teil kontrollida, kui õigesti krüptograafia arvutis on konfigureeritud - süsteem püüab allkirjastada sertifikaadi, kontrollige, krüptimist, dešifreerima. Samuti on võimalik lisada mõningaid täiendavaid diagnostika.

Kui teie või teie klientidel on probleeme, käivitate "diagnostika" ja kõik on selge. Kui on olemas probleeme, nagu slaidi näites, saate klõpsata vea ikoonil, see näitab teile võimalike põhjuste ja püüab teile öelda, mida parandada.

Kuidas helistada allkirja ja krüpteerimise / dekrüpteerimise helistamiseks Saate vaadata BSP-i demo-andmebaasis "Failide" kataloogi näidet või "1C: kaubanduse juhtimine", "1c: ERP" - on sama allsüsteem.

Teenused "1C-EDO" ja "1C: Direct-Bank"

Kuidas Cryptograafia teenustes on? Esimene teenus, 1C-EDO on teenus, mis on ette nähtud seaduslikult oluliste elektrooniliste dokumentide vahetamiseks ettevõtte "1c" sõbralike ettevõtjate kaudu.

  • Kliendi funktsionaalsus on välja töötatud "elektroonilise dokumendi raamatukogu".
  • Serveriga ühenduse loomise korral esineb RSA algoritme krüpteeritud SSL-ühendus (https).
  • Krüptograafiaga loa kasutamine. Kuna server ei tea meist, saadetakse te krüpteeritud sümbolisse ja kui sa oled "õige" inimene, dekrüpteerides see sümbol suletud klahviga ja kasutate seda hiljem andmete vahetamiseks.
  • Elektroonilist dokumenti on võimalik vaadata, märkige see, kontrollige, pakkige andmepakett ja saatke.
  • Kontrollige ja üldiselt kõik krüptograafia tööd BSP kaudu. Elektrooniline allkirja kontroll viiakse läbi kahes etapis:
    • esiteks kontrollitakse sertifikaadi kehtivust: kehtivusaja, usalduse atribuudid;
    • kui kõik on sertifikaadiga hea, teostatakse matemaatilise räsi arvutamine. Kui kõik on matemaatikaga trahvi, loetakse allkirja kehtivaks ja rakendatakse dokumendile.
  • Samuti rakendas BSP-d EDO laiendatud diagnostika - see on kindlaks tehtud, et serverid on olemas ja et elektroonilise dokumendihalduse osaleja on kõik korras - tal on aktiivsed tariifiplaanid jne.

Teine teenus on "1c: Directpank." Selle ametisse nimetamine on pangaga vahetatud elektrooniliste dokumentide kaupa otse, mis mööduvad kliendipanga programmi.

  • Seda teenust tarnitakse ka "elektroonilise dokumendi raamatukogu".
  • Avatud DirectBanki tehnoloogiat kirjeldatakse GitHubis.
  • Uue - krüpteeritud sidekanali teenusega saab tõsta GOST algoritmi.
  • Vahetusseade on tehtud sellisena: 1c teeb Pangale taotluse konkreetse kliendi seadete saamiseks. Vajadusel saadab pank koos seadistustega välise komponendi, mida kasutatakse edasise vahetamisega (Sberbank rakendamisel).
  • Luba on tehtud kas krüpteeritud sümbol või SMS (ühe parooli kaudu).
  • Elektrooniliste allkirja allkirjastamine ja kontrollimine toimub kas BSP kaudu või väliste osade kaudu (sõltuvalt sellest, kuidas pank ise rakendas).
  • Ja diagnostika siin on veelgi huvitavam, läbi kogu tsükli vahetamise elektrooniliste dokumentide eritüüpi - "päringu-sond".
    • 1c süsteem on sisse logitud panga süsteemi ja edastab elektroonilise dokumendi selle allkirjastamiseks seal;
    • Pank kontrollib kliendi elektroonilise allkirja, moodustab teate, et kõik on hästi allkirjastatud ja allkirjastatud tema allkirjaga;
    • Teade saabub "1c", kontrollib ta, et allkiri Pientna Bank ja ütleb pärast seda, et kõik on korras.

See on selline mini-tsükkel - see muutub selgeks, kui palju vahetus teie pangaga on õigesti konfigureeritud.

Oma lahendused krüptograafiaga 1c platvormil


Kuidas arendada oma lahendusi krüptograafiaga?

Võite luua konfiguratsiooni nullist - Avage "süntaksi assistent" ja kasutage krüptograafiliste toimingute platvormi võimalusi. Aga ma soovitaksin kasutada BSP-d - on juba palju, mis on kirjutatud. Sel juhul peate kirjutama mitte 11 tuhat rida koodi, kuid väiksem. Aga viis tuhat rida koodi - kindlasti.

Kuidas testida - ma juba ütlesin. Te saate testsertifikaadi ja proovida töötada.

Kui olete välja töötanud Scratch-i konfiguratsiooni - te kaasate selle ise. Ja kui te kasutasite BSP arendamisel ja see avaldas uue võimaluse välja uue võimaluse, saate BSP-alamsüsteemi uuendada ja proovida seda võimalust. Raskused on igal juhul, sest "hõbe bullet" ei ole siin. Läheneksin hinnangule, kas see on seda väärt või mitte midagi leida, sõltuvalt ülesandest, mida soovite lahendada. Arvestades konkreetset ülesannet, valite juba: teie lahendus või standard BSP põhineb põhjal.

Näide oma lahendusest on IT-tööstuse partneri arendamine. Nad töötavad välja väikese mooduli sisemise elektroonilise dokumendihalduse põhjal "1c: UPP". Trükitud vormi põhjal moodustub elektrooniline dokument, mis on lisatud teabebaasi dokumendile ja see on võimalik selle elektroonilise allkirjaga alla kirjutada. Lihtne dokumendi voolu ettevõttes, kuid peab sellega kaasnema.

Raskused krüptograafia ja Euroopa Parlamendi sissejuhatuses organisatsioonides

Mis seal on peamised probleemid?

  • Kui teil on vaja paigaldada ühele arvutile te juhtub kahte krüpteerimist, konflikti. Näiteks, kui olete VIPNETi kaudu teatanud ja elektrooniline dokument vastaspoolte kaudu "CryptoPro" kaudu. Kuidas seda probleemi lahendada?

Esimene võimalus on levitada neid krüpteerimist erinevates arvutites.

Kui see on võimatu, siis üks teenuseid, mida vajate teise krüpteerimise sertifikaadi vabastamiseks - kui tellite sertifikaadi sertifikaadi keskuses sertifikaadi, saate määrata, et selle jaoks, mida krüptograafiline vajadus seda kasutate.

  • Mõnikord klientidel krüptograafia IE brauseris ei tööta - See on vajalik pikendamise kehtestamiseks, kuid see ei pane. Banaalnõukogu - käivitage brauser administraatori nimel. See võimaldab teil luua pikendamine ja probleem lahendatakse.
  • Programm 1C ei näe alati Jacard Tokens. Ma ei tea, mis probleem on või Jacardis või platvormil. Me installitame krüpteerimise - see töötab mõneks ajaks ja pärast süsteemi taaskäivitamist lendab uuesti. Mingil põhjusel ei ole 1C ja Jacard väga sõbralikud.
  • Sertifikaatide kontrollimisel on veel üks probleem - platvorm alati püüab kontrollida, kui usaldusväärne ja mõnikord ei õnnestu. Miks see juhtub? Seal on loetelu ülevaadetest, kus on kehtetu sertifikaadid. Näiteks, kui töötaja firma sulgeb, peab ta teavitama sertifitseerimiskeskust, et töötaja loobub ja selle sertifikaat ei kehti. Pärast seda vabastab sertifitseerimiskeskus tagasiside nimekirja, mis sisaldab seda sertifikaati, mille järel hakkab see olema kehtetuks. Mõnikord kontrollige mingil põhjusel sertifikaati rekonverentside loendis ebaõnnestub. Milles on probleem? Nende ülevaatuste nimekirjad 1c-l ei ole mingit seost, neid värskendatakse automaatselt krüptograafia abil. Selleks tuleb sertifikaadile konfigureerida stabiilne kanal. Kui tagasiside loendit ei uuendata automaatselt, tähendab see, et teenust ei ole sertifikaadi keskuses piisavalt koordineeritud või see üldiselt puudub. Muutke sertifitseerimiskeskust ja probleem lahkub.
  • Kui sertifikaadid muutuvad palju (näiteks rohkem kui 30), algavad raskused. Oletame, et te tõlkite ettevõtte elektroonilistele rööbastele ja tööpäeva keskel selgub, et kehtetu allkiri, sest selle sertifikaat on lõppenud. Sertifikaadi väljastamine võtab aega, äritegevus "kõrvad". Sellistel juhtudel sertifikaadi nimekirja hoidmiseks peate kasutama spetsiaalset tarkvara. On programme, mis võimaldavad teil jälgida sertifikaadi elutsüklit ja kui ta seda kehtivusaja jooksul, saadavad nad administraatorile meeldetuletuse meeldetuletuse. See on banaalne valik, kuid see võimaldab teil rohkem või vähem lihtsustada sertifikaate.

  • VAHETAMINE 1C andmete vahetamine serveritest, nii et:
    • avatud sadamad 1c: Ettevõtted: Ettevõtted;
    • serveri konto õigused peavad olema "Interneti-ühendus";
    • kui teil on serveri klastri, tähendab see, et kõik klastrile kuuluvad kõik 1c serverid peavad olema avatud sadamad.
  • Kui välisressurss ei ole usaldust, seal on eraldi artikkel oma "diagnostika probleemi" kaugõlisse ei läbinud tšeki "".
  • Põhiturbed:
    • paroolid kleebistel ei salvesta;
    • töötamine, autode märgid;
    • uuenda regulaarselt viirusetõrje.
      Vastasel juhul selgub, et olete seadnud sertifitseeritud krüpteerimise, võtmed ja ümber viiruste, mis võivad seda ära kasutada. Seetõttu kaitsege perimeetrit.

Teabeallikad

Küsimused

Soovitan kasutada sertifitseerimiskeskust, millega te jätkata elektrooniliste dokumentide vahetamise osas tööd. Näiteks on elektroonilise dokumendihalduse operaator "Taxua", tal on sertifitseerimiskeskus. Kui käivitate elektroonilise dokumendi voolu "Taxua" kaudu, on see mõistlik ja sertifikaat nendega ühendust võtta.

Sa ütlesid, et FSB andis pilve sertifikaatide kohta mõned selgitused. Mis siis, kui sertifikaati ei salvestata kohapeal, kuid pilvis ei saa seda tugevdada. Arve ja UPSi standardvahetuse puhul saame kasutada pilve sertifikaati või on vaja seda kasutada sama?

Seadus ütleb, et arvete vahetamisel on vaja suuremat kvalifitseeritud elektroonilist allkirja, nii et pilv ei sobi siin. Kuid teiste elektrooniliste dokumentide puhul - palun.

Umbes EDO puhul, mida me kasutame 1c-s, vajame tugevdatud sertifikaati?

Ei, mitte kellelegi. Seadus on kirjutatud ainult elektrooniliste arvete kohta. Neile peab olema allkirjastatud kvalifitseeritud elektroonilise allkirjaga. Seoses ülejäänud dokumentidega pole midagi kirjutatud. See tähendab, et arvete puhul tellimusi saate kasutada tugevdatud kvalifitseerimata elektroonilise allkirja - sealhulgas pilves.

Ja peatuse kohta pole midagi? Tegelikult on UPB nüüd sama arve.

Seal on hägune määratlus - arve täiustatud indikaatoritega, kuid see ei ole sama uudis. Seetõttu arvan, et värskendus saab kvalifitseerimata elektroonilise allkirja täitmisele.

Ja mis kogu ahela funktsioon on operaator - "1C-EDO" või "takso"? Tavaliselt saadame operaatorite kaudu dokumente valitsusasutustele ja vahetada arveid ja vahetada arvete ja teiste dokumentide dokumentide vahetamisel, miks me vajame operaatorit?

Ettevõtjad turul ei ole ka esimene päev, arved läbivad neid. Nad ütlevad, et - sa saadad ühe arve ja kaks muud dokumenti on tasuta. Sa ikka vahetavad arvete arvete nende kaudu, nii et see on lihtsam ja dokumendid ise saata ka nende kaudu. Teine asi, kui istute lihtsustatud ja teil ei ole arvete, siis saate küsida operaatori otsida odav tariifiplaan. Ja nii samas "elektroonilise dokumendi raamatukogu" on võimalus vahetada dokumente elektroonilise allkirjaga e-posti teel FTP kaudu jne. Aga kui teil on 100 vastaspoolet, korraldage igaühe jaoks igaühe kommunikatsioonikanal, et see on raskusi.

Ja kui me tahame testida ise allkirjastatud sertifikaati, saame testida mis tahes vahetust, kasutades operaatori kaudu ise allkirjastatud sertifikaati?

Ei, operaatori kaudu - ei. Kui soovite tõesti testida, kirjuta ettevõttele "1c", et soovite testida EDO teenusega.

Nad ütlevad, et me ei ole sertifitseerimiskeskus.

Kirjuta mind, aitan.

Ja kui me vahetame ilma Edo operaatorita, tooge ma allkirjastatud elektroonilise dokumendi ja ma tahan selle sisse laadida 1C-sse, et seda seal hoida. BSP-s on piisavalt vahendeid, et kontrollida, kas see on CEP-s ja sellel on õiged üksikasjad, nii et kõik see on automaatne režiimis ilma modaalsete akendeta jne?

Ma ei vastanud sellistel juhtudel meie praktikas, kuid BSP-s on faili üleslaadimise ja elektroonilise allkirja kontrollimise kontrollimiseks täpselt võimalik. Tõenäoliselt vajate just selle skripti jaoks, et joonistada mingi kapten: kontrollige kausta, dokumenteerimine, allkiri, kontrollige seda kõike, pane see, kuhu ja ütle, et kõik on korras. Kõne sünkroonsuse osas rakendatakse kõik BSP-s, kõik brauserites töötab asünkroonses režiimis.

Ja kui 1C-st terminali üle töötada? Kas on võimalik panna "CryptoPro" ja terminali me vaielda tema võtmed? Millised on funktsioonid, probleemid? Ja vastavalt sellele, kui meil on rohkem kui 20 juriidilist isikut ja igaüks neist kaks võtit, kuidas on nende võtmete õiguste piiritlemine? Tasemel 1c või kuidas?

BSP-s ise, kui laetakse võti avatud osa, on võimalik täpsustada, milline kasutaja on saadaval. Saate, sisestades oma nime, vaadake ainult oma sertifikaadid. Aga samal ajal nad kõik kõik arvuti ise. Seetõttu te teate, installige suletud osa registrisse suletud osa ei ole vajalik, sest võti suletud osa kantakse auto autoga seotud probleemideta ilma probleemideta. Parem kasutada märgid. See on võimalik murda sümbol suletud osa klahvi terminali server. Võtmetootjate poisid aitavad ennast konfigureerida nii, et see võti oleks terminalis nähtav. Proovige eksperimente, leida teisi klahve, leida inimesi, kes aitavad kohandada. Aga siin peate mõistma, et see tunnel terminali serverist enne võtit ei ole ohutu. Te loote elektroonilise dokumendi terminali serveris ja öelda - märk. Mis juhtub? On olemas andmeedastus kaitsmata kanali ees kohalikule arvutile, kus võti paigaldatakse, elektrooniline allkiri genereeritakse, seejärel edastatakse andmed terminali serverisse. Kuid see kanal ei ole kaitstud. Seda saab kaitsta ainult spetsialiseeritud tarkvara paigaldamisega, mis muudab tunneli terminali serveri ja kohaliku masina ohutuks vahel. Kui soovite töötada ohutult, tähendab see, et peate panna sümbolit, me murdame selle terminali kuni terminali kuni kanali krüptimiseks terminali serveri ja kliendimasina vahele.

Ütle mulle, kas elektroonilise arve allkirjastamise ja skaneeritud leping 100 leheküljel (kus puhtalt graafika) vahel on vahet.

Mida rohkem dokument, seda rohkem aeglasemad tunnused, sest asünkroonne krüpteerimine on olemas - räsi arvutatakse asünkroonse algoritmi abil. Kuid vaatenurgast, kas allkirjastate elektroonilise arve mitmel reas või 10MB-failis - visuaalselt erinevus, mida te ei märka. Märkus ainult 1000-3000 dokumendi mahust.

1C-EDO rändluse osas. "Taksita" on rändluse ettevõtjate vahel. Ja kui palju see on toimiv "1C-EDO"? Kas teil on selline kogemus? Kuna kõik vastaspooled istuvad erinevatel ettevõtjatel ja valige maksimaalse kattega operaator, on väga raske. Kes sa soovitaksid?

Kui valite "1С-EDO" ja teiste vahel, siis loomulikult "1C-EDO". Aga "1C-EDO" on mõned rändlusprobleemid - see ei ole nii palju ettevõtjaid toetust. 1C-EDO jaoks on olemas eraldi ressurss, on olemas toetatud ettevõtjate nimekiri, ma arvan, et seda tuleb aja jooksul täiendada.

Ja kuhu salvestada allkirjastatud dokumentide arhiiv? Kohalikult ettevõttes või pilves? Kas on võimalik tagada dokumentide kehtivust püsiva pilve?

Kui me salvestame allkirjastatud dokumente (pilvis või mitte) - ükskõik. Matemaatiliselt Hash on juba arvutatud ja dokumendi sisu ei muutu ilma jälgita. Seejärel saate selle läbida vähemalt 10 korda kusagil, allkirja saab alati kontrollida puhtalt matemaatiliselt. Kui pilveteenus on mugav - palun hoidke seda ilmselt veelgi huvitavam.

Ja operaator pakub sellist teenust?

Kui eraldi leping koos temaga panna varukoopiad ladustamiseks - nad teevad seda üksikute raha eest.

Kas nad ei salvestanud allkirjastatud dokumentide jaoks?

Füüsiliselt, neid salvestatakse, kuid seaduse kohaselt nad ei ole kohustatud neid säilitama. Nad on kohustatud salvestama ainult kviitungi. Kui maks neile ja küsida - kas selline dokument möödas, nad näitavad, jah, siin on kviitung, vaata - selline allkiri. Ja mis on selle dokumendi sees - see ei ole nende jaoks enam küsimus.

Ja UPP jaoks ei anna operaatorid EDO jaoks mingit töötlemist?

Ma ei saa ettevõtjate kohta öelda, on palju neist ja kõigil on oma arengud, kuid EPP-s on elektrooniline dokument.

****************

See artikkel on kirjutatud InfoSstarti sündmuse tulemustes 2017. aasta konverentsi tulemustes. Rohkem artikleid saab lugeda.

2020. aastal kutsume kõiki osalema 7 piirkondlikus eraldis, samuti Moskva aastapäeva InfoSoSTArti sündmus 2020. aastal.

Põhikontseptsioonid

Kskpep - väljaesitud elektroonilise allkirja kontrolli võtme sertifikaat.
Kep - kvalifitseeritud elektrooniline allkiri.

Krüptoproviderkrüptograafiline kaitsevahend teabe jaoks. Programm, millega elektroonilise allkirja suletud osa on loodud ja mis võimaldab teil elektroonilise allkirjaga töötada. See märkeruut kinnitatakse automaatselt.

Eksporditud võtivõime kopeerida elektroonilise allkirja teise andmekandjale. Märkimismärgi puudumisel on elektroonilise allkirja kopeerimine võimatu.

Lkm. - Hiire vasak nupp.

Pkm. - hiire parema nupuga.

Crm-Agent - CC spetsialistide väljatöötatud taotlus lihtsustada võtmepaari genereerimise protseduuri, luues päringu ja kirjutamise sertifikaadi.

Enne põlvkonna alustamist

Pärast sertifitseerimiskeskuse külastamist ja isikupära ühitamise menetluse läbimist saatis avalduses märgitud e-kirdud e-kiri kirja, mis sisaldas linki. Kui te ei ole saanud kirju, vaadake oma juhile või tehnilisele toele UC-le kontaktnumbrile käesoleva juhendi kohta.

Avage link, mis tekitab kirjast ühes soovituslikus brauseris:Google Chrome., Mozilla Firefox., Yandex.browser. Kui olete juba ühes ülaltoodud brauserites, klõpsake lingil Lkm. või Pkm.\u003e "Avage link uue vahekaardil." Uues aknas avaneb põlvkonna lehekülg (joonis 1).

Lingi avamisel ilmub esialgne hoiatus. Kontrollige seda, kui kasutate CEP-i salvestamiseks kandjatJacarta. LT. . Rohkem meedia kohta allpool. Kui kasutate teist meediat, vajutage nuppu. "Sulge".

Joonis 1 - põlvkonna lehekülg

Rakenduse installimine

Klõpsake lingil"Download App" Laadimise alustamiseks. Kui midagi juhtus pärast klõpsamist, klõpsake lingil Pkm. > "Avage link uues vahekaardis". Pärast rakenduse allalaadimist alustage paigaldus.

Enne programmi laadimist on soovitatav keelata viirusetõrjetarkvara keelamine. !

Rakenduse installimise protsessis « cRM. - agent » Juurdepääsuga kuvatakse teade (joonis 2).

Joonis 2 - juurdepääsutaotlus


vajuta nuppu "Jah".

Juurdepääsu pakkumine

Pärast rakenduse installimist pöörduge tagasi põlvkonna lehele. Teade ilmub umbes "Access" (Joon. 3).

Joonis 3 - juurdepääs sertifikaatide hoidlasse


Klõpsutama "Jätka" ja ilmub aknas, "Anda juurdepääsu"(Joonis 4).

Joonis 4 - juurdepääs sertifikaatide hoidlasse 2


Kui nupp ei ilmu "Jätka"

Kui pärast rakenduse paigaldamist « cRM. - agent » Taotluse allalaadimiseks link ei kao, põhjuseks võib blokeerida teie turvasüsteemi ühendamine.

Olukorra kõrvaldamiseks vajate:

Keela viirusetõrje installitud arvutisse;

Avage brauseris uus sakk;

Sisestage aadressi ilma ruumideta brauseri aadressiribale - 127.0.0.1:90 - ja mine (klõpsakeSISENEMA klaviatuuril);

Kui kuvatakse brauseri sõnum "Teie ühendus ei ole kaitstud"Lehe välistamiseks lisage brauser. Näiteks,Chrome.: "Lisaks" - "Kõik sama lähevad saidile". Teiste brauserite jaoks kasutage sobivat arendaja juhendamist.

Pärast veateate ilmumist pöörduge tagasi põlvkonna lehele ja korrake Punkt 2 See juhend.

CryptoPro CSP seadistamine.

Kui teil pole eelnevalt installitud krüptoprodereid pärast juurdepääsufaasi, ilmuvad viited CryptoPro allalaadimiseks (joonis 5).


See on tähtis: kinnitus « cRM. - agent » tuvastab arvuti krüptoprodees ja kui teil on erinev Krüptopro Lahk Programm (näiteksVipnet Lahk ) Konsulteerimiseks võtke ühendust tehnilise toe spetsialistidega.

Klõpsake lingil "CryptoPro 4.0" Generation lehel või samalaadse lingi alloleval lingil alla laadida CryptoPro installifaili arvutisse.

CRPTOPRO CSP 4.0 - WIN 7 / 8/10 versioon

Pärast allalaadimist on avatudzip.- arhiiv sobiva archiver programmiga (näiteksVõita. - Rarima ). Sees on CryptoPro installifail. Käivitage see ja seadke vaikeseaded. Paigaldusprotsessi ajal võib teil olla järgmine aken:

Joonis 5 - Krüpto paigaldamine

Jäta aken vahele klõpsates "Edasi". Krüpto paigaldamine lõpetatud.

Sõitja paigaldus sümbol

Allkirjad saab salvestada registri arvutisse, tavaliste flash-draivide ja eriliseusb- keskused. Nimekiri märgid, PIN-koodid ja tarkvara viited tarkvara on esitatud alljärgnevas tabelis (tabel 1).

Tabel 1 - Kaitstud meedia draiverid

USB-meedia tüüp

Välimine USB-vedaja

Link draiverite allalaadimiseks

Pin

rutoken.

1. Dokumendi allkirja protsess. Algoritmi kinnitamine elektrooniline allkiri

Dokumendi allkirja protsess on järgmine. Esimeses etapis ehitatakse spetsiaalne funktsioon (räsifunktsioon), mis tuletab kontrollsummale meelde, see identifitseerib dokumendi sisu (Document "Digest". Teises etapis krüpteerib dokumendi autor Hash-funktsiooni sisu oma isikliku suletud võtmega. Krüpteeritud räsifunktsioon paigutatakse dokumendina samasse sõnumisse. Digitaalallkiri on "digest" derivaat ja isiklik suletud võti kui selle absoluutne unikaalsus on tagatud (vt joonis.14.1).

Joonis fig. 14.1 - EDS moodustumise algoritm

Hash algoritmis kasutatav funktsioon peaks vastama mitmetele nõuetele, nimelt:

Iga pikkuse sõnum tuleb muuta binaarseks järjestuseks.

fikseeritud pikkus;

Saadud räsi versioon sõnumi peaks sõltuma iga bitti allika sõnumi ja järjekorras järgmised;

Ei ole võimalik taastada sõnumi räsiv versioon.

sõnum.

Algoritmi kinnitamine elektrooniline allkiri

Elektrooniline allkirja kontroll algoritm on järgmine. Esimeses etapis ehitab sõnumi saaja allkirjastatud dokumendi räsifunktsiooni versiooni.

Teisel etapil on sõnumis sisalduv räsifunktsiooni dekodeerimine, kasutades saatja avalikku võtit. Kolmandas etapis on kaks räsifunktsiooni võrdlemist. Nende kokkusattumus tagatised samal ajal dokumendi sisu ja selle autori sisu autentsuse (vt joonis.14.2).

Joonis fig. 14.2 - EDS-i kontrollimine

Elektrooniline digitaalne allkiri, nagu kõik muud andmed, saab edastada koos

allkirjastatud, see on selle andmetega kaitstud. Lisaks võimaldab digitaalne allkiri veenduda, et tegelemise andmeid ei muudeta (juhuslikult ega tahtlikult).

Krüpteerimist ja elektroonilist allkirja saab edukalt rakendada koos. Te saate esmalt allkirjastada dokumendi isikliku suletud klahviga ja seejärel krüpteerida adressaadi avatud klahvi. Allkiri tõendab isikupära, krüpteerimine kaitseb teiste inimeste silmade kirja.

2. Autentimine

Krüptograafia avatud klahvidega pakub usaldusväärseid teenuseid jaotatud identifitseerimiseks, autentimiseks ja autoriseerimiseks. Sellised ülesanded toimuvad igasuguse teema (süsteemi kasutaja) juurdepääsuga teabele. Eelkõige siis, kui klient on serveriga ühendatud avatud kanali (Internet). Kliendi ja serveri identifitseerimisandmed on olemas ühetasandilise sertifitseerimiskeskuse või sertifitseerimiskeskuste väljastatud avaliku võtmetunnistustega ühest hierarhiast. Seega, kui klient on serveriga ühendatud, saate teha vastastikust identifitseerimist.

Autentimine - tarnete kontrollimine kliendile või neile esitatud identifikaatori serverile - võib rakendada IOC-de ja vastavate avatud põhisertifikaatide põhjal.

Autentimine on võimalik mitmel viisil.

1. Server saadab kliendile taotluse kinnitada kliendi avaliku võtme sertifikaatilt saadud kliendi avatud võtmega krüpteeritud autentimist. Klient dekrüpteerib taotluse isikliku suletud võtmega ja tagastab serveri, kinnitades, et see on asjakohase suletud võtme omanik ja seetõttu kuulub sertifikaadi identifitseerimisandmed.

2. Server saadab taotluse autentimise kinnitamiseks avatud teksti kaudu. Klient vastab taotlusele, allkirjastades selle oma elektroonilise digitaalse allkirjaga.

Server kontrollib kliendi EDS-i, kasutades kliendi avaliku võtme sertifikaatilt saadud avalikku võtit ja veenduge, et kliendil oleks tõesti sobiv privaatvõti.

Kirjeldatud skeemi nimetatakse valduses oleva tõendiprotokolli tõendiks, kuna saatja tõestab, et see omab isiklikku salajast võtit, mis on vajalik elektroonilise digitaalse allkirja dekrüpteerimiseks ja loomiseks.

3. Üldise salajase võtmeistungi koordineerimineKrüptograafia avatud võtmetega võimaldab ka kahel poolel koordineerida seansi ühist kontrollnuppu, kui vahetate teavet kaitsmata kommunikatsioonikanalite kaudu.

Ühise võtmeistungi arendamise kava on järgmine. Esiteks tekitavad klient ja server ühe juhusliku numbri poolt, mida kasutatakse poole oma seansi tavalisest salajast võtmest. Seejärel saadab klient selle poole salajasest võtmest, mis on krüpteeritud serveri avaliku võtme sertifikaadist saadud avatud klahviga. Server saadab selle poole kliendile, krüpteeritud avatud klahviga, mis on saadud kliendi avaliku võtme sertifikaadilt. Iga osapool dekrüpteerib vastuvõetud sõnumi salajase võtme puuduva poole ja loob nende kahe poole ühise salajase võtme. Sellise protokolli lõpuleviimisega saavad pooled kasutada edasiste sõnumite krüpteerimiseks ühist salajast võtit.

4. Krüpteerimine ilma sümmeetrilise salajase võtme vahetamisetaAvatud võtmega krüpteerimise tehnoloogia võimaldab teil krüpteerida suuri mahti juhul, kui poolte laiendamisel ei ole ühist võtit. On märkimisväärseid avatud võtmega krüpteerimisalgoritme, mis nõuavad olulisi ulatuslikke ressursse kui sümmeetrilised algoritmid, nii et nad on ebamugavad Hostige suurtes andmetes. Siiski on võimalik rakendada kombineeritud lähenemisviisi kasutades näiteks sümmeetrilist krüpteerimist ja avatud võtme krüpteerimist.

Kõigepealt valige krüpteerimisalgoritm salajase võtmega (GOST 28147-89, DES jne), seejärel luuakse juhuslik seansi klahv (juhusliku seansi klahv), mida kasutatakse andmete krüpteerimiseks. Seejärel krüpteerib saatja selle seansi võtme saaja avaliku võtme abil. Siis ta saadab krüpteeritud võti ja krüpteeritud andmeid. Isiklik suletud võtme saaja dekrüpteerib seansi võtme ja kasutab seda andmete dekrüpteerimiseks.

EDP \u200b\u200busalduse kinnitamine

Sõnumi allkirjastatud EDS saamisel tekib selle allkirja usalduse küsimus (kas see EDS kuulub sõnumi saatjale). Allkirja terviklikkust saab kontrollida, kasutades saatja ja krüptograafiliste algoritmide tuntud avatud klahvi. Siiski on vaja veenduda, et avalik-õiguslik võti kontrollimiseks tegelikult kuulub teema, mille nime allkirjastab sõnum.

Kui see on võimalik leida sertifikaadi Avatud klahvi saatja, väljastanud sertifitseerimiskeskus, millele on usaldus, siis saad veenva

kinnitus, et saatja avalik võti kuulub tõesti saatjale. Seega on võimalik veenduda, et avaliku võtme kuulub sellesse saatja, kui sertifikaat leiti, mis: · omab oma kirjastaja allkirjastajat krüptograafilisest seisukohast;

Kinnitab suhe saatja nime ja saatja avatud klahvi vahel;

Väljastatud sertifitseerimiskeskuse poolt, millele on usaldus.

Kui selline sertifikaat avaliku võtme saatja leiti, autentsuse käesoleva sertifikaadi saab kontrollida kasutades avatud klahvi sertifitseerimiskeskuse.

Selle sertifitseerimiskeskusele kuuluva avatud võtme kontrollimise küsimus. On vaja leida sertifikaat, mis tegemist autentsuse käesoleva sertifitseerimiskeskuse. Seega tekib sertifikaadi kontrollimise protsessis sertifikaadi ahela edendamine (sertifitseerimistee). Sertifikaadi ahela lõpus on saatja avatud põhisertifikaat mitmete sertifitseerimiskeskuste kaudu TCC väljastatud sertifikaat, millel on täielik usaldus. Sellist sertifikaati nimetatakse usaldusväärse juursertifikaadi (usaldusväärse juursertifikaadi), kuna see moodustab "avatud võtmete - identiteedi" root (ülemise sõlme) hierarhias, mida peetakse usaldusväärseks.

Kui selle usaldusväärse juursertifikaadi jaoks on selge usaldus, siis kaudne usaldus kõigi usaldusväärse juursertifikaadi välja andnud sertifikaatide vastu ja kõik nende jaoks sertifitseeritud CEC.

Usaldusväärsete juurte sertifikaatide kogum on ainus teave, mis tuleb ohutult saada. Selles sertifikaatides põhineb usaldussüsteem avaliku võtmeinfrastruktuuri usaldusväärsuse usaldusväärsusest.

Üldjuhul sertifikaadi kontrollimisel peate kontrollima järgmisi sertifikaadi väljad:

· Sertifikaadi tüüp - sertifikaat lubatud kasutada selles režiimis.

· Kehtivus - sertifikaat kehtib hetkel.

· Integrity - uC digitaalne allkiri, väljastatud sertifikaat on tõene.

· Legitiimsus - sertifikaati ei tühistanud.

· Usaldus - root UC sertifikaat on hoidlas "Usaldusväärne

root uz. "

· Keelud - cTL-nimekirjad ei keela selle ülesande sertifikaadi kasutamist.

Sarnased artiklid:
Kategooriad