Типовые сценарии использования plug-in

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Типовые сценарии использования plug-in - как проверить квалифицированный сертификат?

Опции

Предыдущая тема Следующая тема

Anton Smirnov		#1 Оставлено : 1 июля 2019 г. 17:23:53(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.11.2018(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз		Здравствуйте! Подскажите, существуют ли наборы действий с плагином для выполнения типовых операций(проверка квалифицированной подписи например) В документации для разработчиков перечислены все возможные методы, достаточно тяжело разобраться какой набор операций нужно предпринять для выполнения типовых задач. Учитывая то, что проверяя Квалифицированную подпись необходимо оценить целый ряд параметров: - аккредитован ли УЦ - ГОСТ шифрование или нет - средства установки подписи (сертифицированы) - носитель ключа (сертифицирован фсб КС1 КС2) - есть ли штамп времени - включены ли доказательства подписи.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

two_oceans		#2 Оставлено : 2 июля 2019 г. 5:45:04(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Автор: Anton Smirnov Здравствуйте! Подскажите, существуют ли наборы действий с плагином для выполнения типовых операций(проверка квалифицированной подписи например) В документации для разработчиков перечислены все возможные методы, достаточно тяжело разобраться какой набор операций нужно предпринять для выполнения типовых задач. Учитывая то, что проверяя Квалифицированную подпись необходимо оценить целый ряд параметров: - аккредитован ли УЦ - ГОСТ шифрование или нет - средства установки подписи (сертифицированы) - носитель ключа (сертифицирован фсб КС1 КС2) - есть ли штамп времени - включены ли доказательства подписи. В большинстве случаев Вы никак не сможете определить при проверке подписи какие на самом деле использованы средства подписи и какой был носитель ключа. Да, некоторые сертифицированные средства подписи добавляют такую информацию, но ничего не мешает несертифицированным добавить ложную информацию, что они сертифицированные или назваться сертифицированными. Например, openssl имеет средства для кодирования любого расширения в ASN или двоичном режиме. Остается полагаться только на аккредитованнаяй УЦ, что УЦ проверил что исходный ключ был на сертифицированном носителе. Однако если ключ экспортируемый, то пользователь его мог потом перенести на другой носитель. Фактически это может установить только проверка от компетентных органов. Плагин же максимум может проверить видимое на соответствие требованиям. Насчет шифрования наверно использовано не совсем корректная формулировка, так как подпись и шифрование все же разные операции. Не придираясь к деталям: определить алгоритм ключа возможно как по сертификату, так и в большинстве случаев по самой подписи (если подпись не "голая", но такая и не будет квалифицированной из-за отсутствия сертификата). Аккредитованность УЦ определить напрямую сложно, максимум можно только определить что корневой УЦ принадлежит Минкомсвязи, что сертификат УЦ не отозван и в принципе все. Это достаточное условие, но не необходимое. Обратите внимание, если аккредитованный УЦ выпустит корневой сертификат, то эта схема проверки не сработает, однако это не означает что УЦ перестал быть аккредитованным если использует свой корневой сертификат. Поэтому сейчас Минкомсвязь борется с такой практикой использования своих корневых и выпускает сертификаты по запросам, а не кросс-сертификаты по корневым. Тем не менее старые корневые все еще действительны и будут действительны как минимум до 31/12/2019. В полной мере определить аккредитованность можно только по сайта e-trust.gosuslugi.ru но это уже задача совсем не плагина. Наличие штапа времени и доказательств подписи действительно можно определить плагином, однако строго говоря это не является необходимым требованием для квалифицированной подписи и нужны только для продления срока действия ЭП. В отличие от сертифицированного носителя, который не упомянут в законе, но как правило упомянут в формулярах сертифицированных средств ЭП. Однако, продление все равно не будет действовать вечно, сертификаты УЦ рано или поздно истекут, лет 10-20 максимум. Код: (в ред. Федеральных законов от 01.07.2011 N 169-ФЗ, от 10.07.2012 N 108-ФЗ, от 05.04.2013 N 60-ФЗ, от 02.07.2013 N 171-ФЗ, от 02.07.2013 N 185-ФЗ, от 12.03.2014 N 33-ФЗ, от 28.06.2014 N 184-ФЗ, от 30.12.2015 N 445-ФЗ, от 23.06.2016 N 220-ФЗ) ... Статья 5. Виды электронных подписей 1. Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись). ... 3. Неквалифицированной электронной подписью является электронная подпись, которая: 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи. 4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам: 1) ключ проверки электронной подписи указан в квалифицированном сертификате; 2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом. (в ред. Федерального закона от 30.12.2015 N 445-ФЗ) ... Подводя итог: проверьте цепочку до корневого сертификата Минкомсвязи (на отзыв и время действия). Обычно этого достаточно - корневые сертификаты должны быть установлены там, где проверяется подпись. Отредактировано пользователем 2 июля 2019 г. 5:51:51(UTC) \| Причина: Не указана

1 пользователь поблагодарил two_oceans за этот пост.		Anton Smirnov оставлено 02.07.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Anton Smirnov		#3 Оставлено : 2 июля 2019 г. 10:08:18(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.11.2018(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз		Автор: two_oceans Подводя итог: проверьте цепочку до корневого сертификата Минкомсвязи (на отзыв и время действия). Обычно этого достаточно - корневые сертификаты должны быть установлены там, где проверяется подпись. Так же вероятно следует проверить что включенный в подпись штамп времени укладывается в период действия сертификата, или вы думаете что это излишне? Автор: two_oceans Наличие штапа времени и доказательств подписи действительно можно определить плагином, однако строго говоря это не является необходимым требованием для квалифицированной подписи Но в статье 11 ФЗ-63 сказано: Цитата: 1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата; 2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен; тоесть если мы хотим чтобы можно было доказать подлинность документа после истечения срока действия ЭП нам обязательно нужно включать штамп времени. Отредактировано пользователем 2 июля 2019 г. 10:21:04(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#4 Оставлено : 2 июля 2019 г. 13:22:11(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Цитата: Так же вероятно следует проверить что включенный в подпись штамп времени укладывается в период действия сертификата, или вы думаете что это излишне? Так я и пишу: на отзыв и время действия. Как будет трактоваться время тоже указано в законе. В пересказе: если вообще нет штампа времени - по текущему времени. Если есть штамп доверенного времени - по штампу доверенного времени. Доверенное время это подписанное кем-то еще со специальным назначением подписи (сервером TSP). Обратите внимание, что в подпись можно включить отметку времени подписанную собой, и она строго говоря не является доверенным временем. При проверке такую отметку можно игнорировать и проверять по текущему времени. Если есть отметка доверенного времени или мы верим самоподписанной отметке, то конечно не только конечный сертификат, то и вся цепочка проверяется по данному времени. Цитата: тоесть если мы хотим чтобы можно было доказать подлинность документа после истечения срока действия ЭП нам обязательно нужно включать штамп времени. Теоретически да, но практически это просто продлит срок действия ЭП на пару-тройку лет, так как сертификат tsp не намного дольше действует чем сертификат клиента. И даже если это обойти, то сертификат УЦ для tsp действует 10-20 лет. Дольше уже невозможно, так как развитие компьютеров сделает ненадежным все алгоритмы используемые сейчас и будет теоретически возможно подделать ЭП. Поэтому если не нацеливаться на максимальный вид ЭП вроде xades-A и не переподписывать новыми алгоритмами результат проверки позднее, то ЭП все равно в какой-то момент станет недействительна. При всем сказанном, ЭП без доверенного времени все равно может быть квалифицированной хотя и истекает вместе с сертификатом. Отредактировано пользователем 2 июля 2019 г. 13:23:22(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Anton Smirnov		#5 Оставлено : 2 июля 2019 г. 15:00:06(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.11.2018(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз		Автор: two_oceans Теоретически да, но практически это просто продлит срок действия ЭП на пару-тройку лет, так как сертификат tsp не намного дольше действует чем сертификат клиента. И даже если это обойти, то сертификат УЦ для tsp действует 10-20 лет. Дольше уже невозможно, так как развитие компьютеров сделает ненадежным все алгоритмы используемые сейчас и будет теоретически возможно подделать ЭП. Поэтому если не нацеливаться на максимальный вид ЭП вроде xades-A и не переподписывать новыми алгоритмами результат проверки позднее, то ЭП все равно в какой-то момент станет недействительна. При всем сказанном, ЭП без доверенного времени все равно может быть квалифицированной хотя и истекает вместе с сертификатом. Спасибо за ответ, я так понимаю, что штамп времени служит так же дополнительной цели - он фиксирует время подписания, что бывает критично для делопроизводства. Не так уж много документации требуется хранить более 20ти лет. И да, интересная мысль про продление жизни подписи путем подписания результатов проверки новыми подписями, спасибо!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#6 Оставлено : 2 июля 2019 г. 19:21:06(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,043 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах		Вы просто охренительно читаете законы ... "Если момент времени не определён" никак не фиксирует процедуру определения. С какого перепугу надо резко перепрыгивать на штампы времени - так и остаётся загадкой. P.S. CadesBES момент времени, таки, определяет. Ну так про доверенность в законе не сказано.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#7 Оставлено : 3 июля 2019 г. 7:35:34(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Автор: basid Вы просто охренительно читаете законы ... Заранее соглашусь, что юридическая сторона это не моя специальность, так что не считайте мои слова истиной в последней инстанции. Забываю это добавлять в каждом ответе, но это подразумевается. Автор: basid "Если момент времени не определён" никак не фиксирует процедуру определения. С какого перепугу надо резко перепрыгивать на штампы времени - так и остаётся загадкой. Соглашусь, информационная система может добавлять свои данные и прицеплять как дополнительные подписанные данные, в том числе и момент времени. Так, например, СМЭВ 2 указывает момент прохождения запроса через узел СМЭВ в специальном заголовке, потом этот заголовок добавляется в качечестве еще одного референса в signedInfo и подписывается узлом. От этого подпись xmldsig строго говоря не становится даже xades-bes, но момент времени определить можно, он подписан и перевести часы узла СМЭВ по желанию потребителя не получится, так что вполне себе сойдет как доверенный штамп времени. Однако если информационная система вообще не заморочилась фиксацией момента создания/получения, то момент можно будет определить только из самой подписи, по штампу времени, например, если таковой имеется. Автор: basid P.S. CadesBES момент времени, таки, определяет. Ну так про доверенность в законе не сказано. Снова соглашусь. То что закон момент про доверенность не упоминает как раз и дает возможность использовать любые подзаконные акты, уточняющие процедуру определения момента, например, принять положение позволяющее информационной системе игнорировать все недоверенные способы определения момента. Вопрос здесь задавался в общей форме что нужно что ЭП признавалась везде-везде, потому рассматривать частные случаи приема информационной системой недоверенных моментов наверно смысла нет. С другой стороны, подзаконные положения принятые ФСБ относительно квалифицированных сертификатов как раз имеют ссылки на гост и зарубежные стандарты, что не указано положением брать из стандартов. К сожалению, аргументированно отстоять точку зрения не получится потому как половину документов ФСБ (в том числе о продлении срока гост-2001) я не видел в открытом доступе и они известны только в пересказе Минкомсвязи. Стандарты подписи по гост также имеют отсылки к зарубежным аналогам, не говоря уже о черновых и принятых версиях rfc для алгоритмов гост, в которых вообще море отсылок к зарубежным стандартам. И так далее и тому подобное. Путем длинной цепочки рассуждений мы в конце концов приходим к требованию доверенности времени по стандартам и невозможности отбросить действительный штамп доверенного времени TSP при определении момента, хотя в законе напрямую этого не требуется. Отредактировано пользователем 3 июля 2019 г. 8:07:26(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Anton Smirnov		#8 Оставлено : 3 июля 2019 г. 10:56:12(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.11.2018(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз		Автор: two_oceans если информационная система вообще не заморочилась фиксацией момента создания/получения, то момент можно будет определить только из самой подписи, по штампу времени, например, если таковой имеется. Принципиальное различие между какими-то своими решениями и службой штампов времени аккредитованного УЦ мне видятся в следующем: Если ты использовал штамп времени из Акредитованного УЦ - тебе не нужно ничего больше для доказательства юридической силы подписанного документа Если ты контролируешь время подписания сам - то в случае возникновения вопросов придется доказывать что твоя система: 1. корректно контролирует время 2. Никто злонамеренно не изменил в ней локальное время для подделки времени подписи. Кроме того, если система предполагает загрузку уже подписанных документов извне, очевидно что степень доверия к таким подписям ниже. Отредактировано пользователем 3 июля 2019 г. 10:58:49(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#9 Оставлено : 3 июля 2019 г. 12:16:43(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Автор: Anton Smirnov Принципиальное различие между какими-то своими решениями и службой штампов времени аккредитованного УЦ мне видятся в следующем: Логично, поэтому "свои решения" может внедрять какая либо федеральная ИС, проходящая полноценную проверку в компетентных органах. А вот система документооборота организации реже будет увлекаться "своими решениями" для юридически значимых документов. Автор: Anton Smirnov Кроме того, если система предполагает загрузку уже подписанных документов извне, очевидно что степень доверия к таким подписям ниже. Поясните почему меньше доверия к загруженному извне? При загрузке подписанных документов по идее должна быть проверена ЭП и после этого документ загружается в систему и при необходимости делается запись о времени загрузки "своим решением" или подписывается еще раз уже самой информационной системой с метками доверенного времени на момент загрузки. Если подпись была действительна на момент загрузки, то в норме подпись тем более была действительна на момент подписания. Хотя тут есть тонкий момент, что технически УЦ может убрать сертификат из списка отзыва при условии что время действия сертификата (указанное в самом сертификате) закончилось. Тут как раз и всплывает проблема с недоверенной меткой времени. 1) документ могли подписать после отзыва, проставив время до отзыва. 2) даже если время верное (после отзыва) подписанные злоумышленником документы могут стать "внезапно" действительными после удаления сертификата из списка отзыва по окончании срока действия сертификата. C доверенным временем проблемы нет, при проверке через OCSP тоже проблемы нет.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Anton Smirnov		#10 Оставлено : 3 июля 2019 г. 12:23:46(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.11.2018(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз		Автор: two_oceans Поясните почему меньше доверия к загруженному извне? я имел в виду тот случай, когда документ подписан без штампа времени. Если мы загружаем документ подписанный вне нашей системы, можем ли мы доверять времени генерации подписи? скорее всего нет. А если штамп времени есть - то вопрос сразу снимается.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close