Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Автор: Anton Smirnov Здравствуйте!
Подскажите, существуют ли наборы действий с плагином для выполнения типовых операций(проверка квалифицированной подписи например)
В документации для разработчиков перечислены все возможные методы, достаточно тяжело разобраться какой набор операций нужно предпринять для выполнения типовых задач. Учитывая то, что проверяя Квалифицированную подпись необходимо оценить целый ряд параметров: - аккредитован ли УЦ - ГОСТ шифрование или нет - средства установки подписи (сертифицированы) - носитель ключа (сертифицирован фсб КС1 КС2) - есть ли штамп времени - включены ли доказательства подписи. В большинстве случаев Вы никак не сможете определить при проверке подписи какие на самом деле использованы средства подписи и какой был носитель ключа. Да, некоторые сертифицированные средства подписи добавляют такую информацию, но ничего не мешает несертифицированным добавить ложную информацию, что они сертифицированные или назваться сертифицированными. Например, openssl имеет средства для кодирования любого расширения в ASN или двоичном режиме. Остается полагаться только на аккредитованнаяй УЦ, что УЦ проверил что исходный ключ был на сертифицированном носителе. Однако если ключ экспортируемый, то пользователь его мог потом перенести на другой носитель. Фактически это может установить только проверка от компетентных органов. Плагин же максимум может проверить видимое на соответствие требованиям. Насчет шифрования наверно использовано не совсем корректная формулировка, так как подпись и шифрование все же разные операции. Не придираясь к деталям: определить алгоритм ключа возможно как по сертификату, так и в большинстве случаев по самой подписи (если подпись не "голая", но такая и не будет квалифицированной из-за отсутствия сертификата). Аккредитованность УЦ определить напрямую сложно, максимум можно только определить что корневой УЦ принадлежит Минкомсвязи, что сертификат УЦ не отозван и в принципе все. Это достаточное условие, но не необходимое. Обратите внимание, если аккредитованный УЦ выпустит корневой сертификат, то эта схема проверки не сработает, однако это не означает что УЦ перестал быть аккредитованным если использует свой корневой сертификат. Поэтому сейчас Минкомсвязь борется с такой практикой использования своих корневых и выпускает сертификаты по запросам, а не кросс-сертификаты по корневым. Тем не менее старые корневые все еще действительны и будут действительны как минимум до 31/12/2019. В полной мере определить аккредитованность можно только по сайта e-trust.gosuslugi.ru но это уже задача совсем не плагина. Наличие штапа времени и доказательств подписи действительно можно определить плагином, однако строго говоря это не является необходимым требованием для квалифицированной подписи и нужны только для продления срока действия ЭП. В отличие от сертифицированного носителя, который не упомянут в законе, но как правило упомянут в формулярах сертифицированных средств ЭП. Однако, продление все равно не будет действовать вечно, сертификаты УЦ рано или поздно истекут, лет 10-20 максимум.
Код:(в ред. Федеральных законов от 01.07.2011 N 169-ФЗ,
от 10.07.2012 N 108-ФЗ, от 05.04.2013 N 60-ФЗ, от 02.07.2013 N 171-ФЗ,
от 02.07.2013 N 185-ФЗ, от 12.03.2014 N 33-ФЗ, от 28.06.2014 N 184-ФЗ,
от 30.12.2015 N 445-ФЗ, от 23.06.2016 N 220-ФЗ)
...
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись).
...
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
(в ред. Федерального закона от 30.12.2015 N 445-ФЗ)
...
Подводя итог: проверьте цепочку до корневого сертификата Минкомсвязи (на отзыв и время действия). Обычно этого достаточно - корневые сертификаты должны быть установлены там, где проверяется подпись. Отредактировано пользователем 2 июля 2019 г. 5:51:51(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|