Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Ruster  
#11 Оставлено : 12 августа 2011 г. 18:16:38(UTC)
Ruster

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.08.2011(UTC)
Сообщений: 6
Откуда: Уфа

Хотелось бы услышать советы по реализации функций ЭЦП на web-портале. Если я все правильно понимаю процесс подписания происходит следующим образом:
Пользователь в окне браузера нажимает "подписать"; скрипт на странице обращается к плагину КриптоПРО browser plugin; browser plugin скачивает с сервера на клиентскую машину подписываемый файл, КриптоПРО CSP формирует ЭЦП (detached), browser plugin возвращает файл и подпись на сервер.
Функционал портала должен позволить пользователю видеть кем и когда подписан документ, при этом не скачивая его и не используя CSP, то есть ЭЦП проверяется на сервере.
Как лучше реализовать механизм проверки? Получается, что плагин после формирования ЭЦП возвращает на сервер ЭЦП и байты сертификата. Тогда на сервере нужно как-то проверить соответсвие сертификата и ЭЦП. Для этого обязательно на сервер ставить КриптоПРО CSP?

Отредактировано пользователем 12 августа 2011 г. 18:32:59(UTC)  | Причина: Не указана

Offline cross  
#12 Оставлено : 16 августа 2011 г. 22:05:00(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Если Вы хотите проверять подпись на сервере то наличие там CSP обязательно. Подписи, данных и сертификата подписчика + сертификат и CRL от центра сертификации который выдал сертификат подписчика достаточно для проверки подписи.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline x403  
#13 Оставлено : 2 сентября 2011 г. 2:02:44(UTC)
x403

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.09.2011(UTC)
Сообщений: 5
Откуда: Москва

rozhkov написал:
Да, подписание лучше проводить на стороне клиента, подписывать ЭЦП сервера нет смысла передавать не безопасно.
На клиента Вам нужно КриптоПро CSP за 1800, на сервер в зависимости от того будет или нет https по ГОСТ:
- если https не будет, но будет на стороне сервера проверка подписи идти, то просто установить КриптоПро CSP версии 3.6;
- если будет https то, если Windows - КриптоПро CSP за 20000, Linux/UNIX - 25000.

Подписание, либо использовать ActiveX+CAPICOM, либо можете посмотреть в эту сторону -> http://cryptopro.ru/news...oprobuite-pryamo-seichas


Можно ли в связке ActiveX+CAPICOM подписывать файлы? Вроде CAPICOM работает только со строками на вход...
Offline rozhkov  
#14 Оставлено : 2 сентября 2011 г. 13:16:47(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

x403 написал:
Можно ли в связке ActiveX+CAPICOM подписывать файлы? Вроде CAPICOM работает только со строками на вход...


Можно, так работает большинство ЭТП (электронно-торговых площадок).
Offline Processtech  
#15 Оставлено : 10 апреля 2022 г. 11:33:35(UTC)
Processtech

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.04.2022(UTC)
Сообщений: 1
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Интересно, за 11 лет что-то изменилось? Нужно решить аналогичную задачу: в среде управления рабочими процессами надо обеспечить подпись документа рядом работников с возможностью проверки ее в УЦ, например так, как это реализовано на налог.ру: подпись хранится где-то на сервере, доступ к ней осуществляется через личный пароль. Среда реализована на java. Интересует, также, сколько это будет стоить со стороны сервера.
Offline two_oceans  
#16 Оставлено : 11 апреля 2022 г. 6:29:41(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Где же Вы находите подобные темы, неужели посвежее не нашлось.

В принципе, ситуация в основном такая же - ключевые моменты освещены верно. На текущий момент правда capicom уже практически устарел, в основном используется cadescom в браузерах. Однако, стоит заметить, что в cadescom до сих пор очень ограниченно поддерживаются расширения сертификата и если нужно что-то достать из расширений, то capicom выручает. Усовершенствован сам механизм подписания: плагин может подсчитывать хеш многомегабайтных файлов по частям, в каких-то случаях даже считывать файл напрямую.

Есть возможность подписывать значение хэша, то есть нет необходимости скачивать многомегабайтные файлы и загружать обратно если, например, нужно подписать на клиенте, а файл находится на сервере. Не рекомендуется подписывать значение хэша, так как может идти в разрез с нормой законодательства о визуализации подписываемых данных (нет файла - ведь нечего визуализировать), тем не менее технически возможно. Добавлено в большинство интерфейсов, не только в плагин.

Сменилась версия криптопровайдера - с версии 5.0 поддерживаются облачные ключи: ключ может хранится в неизвлекаемом аппаратном хранилище (например, дорогой "железный ящик", куда ничего нельзя добавить/установить, а перепрошить можно только у производителя) "на сервере" (в облаке), куда осуществляется доступ по HTTPS c подтверждением (например, СМС или паролем). Для использования облачных ключей криптопровайдеру 5.0 нужна лицензия 5.0 (при использовании лицензии версии от 4 есть ограничения на новые функции). Подписание таким ключом может производится на клиентском компьютере или другом сервере. Цены понятно тоже поменялись, смотрите актуальные. Смотрите в сторону DSS и HSM по такому поводу - то что Вам нужно или нет.

Насчет работы такого функционала в Джава наверно стоит уточнить в разделе Джава провайдеров - JCP или JCSP нужен. Далее в командной строке надо уточнить какая нужна лицензия (в зависимости от операционной системы и количества ядер), тогда уже можно по прайсу определиться со стоимостью.

В целом, за это время подписание на Джава стало дружелюбнее - поддерживается большее число типов хранилищ сертификатов. Например, сейчас закрытый ключ и сертификат могут хранится в виде pfx/p12 файла, такой файл может быть одновременно использован как хранилище сертификатов и как аналог контейнера. В принципе, это тоже дает видимый эффект "подпись хранится где-то на сервере, доступ к ней осуществляется через личный пароль", стоит дешевле готового железного ящика, но без готового пользовательского интерфейса и готовых мер безопасности файла. Вся безопасность фактически на пароле, который должен быть надежным. Если есть свой пользовательский интерфейс для документов (не хватает только подписания) и уже есть HTTPS (чтобы пароль на контейнер тупо не стащили из незашифрованного запроса HTTP), желательно двусторонний HTTPS, применены меры безопасности на сервере, то файлы pfx вполне себе вариант.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
Processtech оставлено 11.04.2022(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.