По поводу "возможных судебных разбирательствах" - меня это пока не касается, скажут делать подпись и проверку сторонним спец. софтов - буду делать сторонним. Пока не сказали другого, буду пробовать это делать сам.


Нет, "не чтоб було".
Данная ИС работает в организации (горисполком) у которой много подчиненных структур (подразделения горисполкома, всякие коммунальные предприятия подчиненные горисполкому, райисполкомы и т.д.).
Например руководство горисполкома сохраняет в ИС файл и подписывает его своей ЭЦП. И любой работник имеющий доступ к ИС и к этому файлу должен иметь возможность убедиться что с момента подписания файла он не был изменен (проверка ЭЦП) и должен иметь возможность узнать кто именно подписал этот файл (просмотр сертификата человека подписавшего файл).


Скажем так, если человек открывает этот файл (а это может быть и doc и xls и pdf и картинка) через мой софт, то и проверку ЭЦП будет делать мой софт. Если же он сохраняет этот файл ИЗ ИС на диск или отсылает его по e-mail, то вместе с этим файлом будет сохраняться (отсылаться) и ЭЦП+сертификат, что бы эту подпись мог проверить и другой софт для работы с ЭЦП.

Единственное что, я пока не знаю как правильно - при сохранении файла с данными на диск рядом с ним сохранять файл с ЭЦП и сертификатом или прицеплять ЭЦП и сертификатом к самому файлу с данными (т.е. делать цифровой конверт) ?


Ясно, значит когда мое руководство заключит договор с СЦ, то я буду уже у СЦ узнавать по поводу нужного криптопровайдера.


И для внутренних нужд и "наружу".


Да нет, задумывался. Если уж делать поддержку ЭЦП в своей ИС, то эта ЭЦП должна соответствовать принятым в этой отрасли стандартам.
Пока пробую работать с ЭЦП и сертификатами опираясь на статьи
http://citforum.ru/security/articles/defense/
http://citforum.ru/security/articles/delphi/
http://delphikingdom.ru/...witem.asp?catalogid=1271
http://www.rsdn.ru/article/crypto/signature.xml

ну и поглядывая на MSDN конечно.

Подпись файла и сертификат я делаю по примеру статей
http://citforum.ru/security/articles/defense/
http://citforum.ru/security/articles/delphi/


То есть стандарт кодирования у меня pkcs#7.

Что такое "der-кодировка" и чем она делается ?
Какие для этого используются функции CryptoAPI ?

Скажем сохраняю я по стандарту pkcs#7 данные из своей ИС в виде файла с даными плюс в отдельном файле ЭЦП+сертификат и отдаю эти два файла на сторону.
1) Какие есть в винде стандартные средства, что бы человек получивший эти два файла, смог проверить ЭЦП и посмотреть сертификат ?
2) Как я понимаю, человек получивший эти два файла, сразу сможет проверить только правильность ЭЦП файла с данными и посмотреть сертификат автора файла с данными. Но для проверки подписи самого сертификата автора ему понадобиться сертификат издателя.
Этот человек должен сам озаботится поиском сертификата издателя (или даже всей цепочки издателей) или тут действую какие то другие механизмы проверки ?

Попробую обязательно.
Правда пока я пробовал делать ЭЦП и проверку ЭЦП для файла с помощью функций
CryptSignHash и CryptVerifySignature (работает нормально).
Или CryptSignHash создает ЭЦП не в "der-кодировка" ?



Вопрос: Сохранять в одном файле "ЭЦП+сертификат автора" в der-кодировке - это умеют делать функции CryptoAPI или это должен делать я сам ? Если сам, то поймет ли такой файл сторонний Crypto-софт ?



Хорошо, а можете ли Вы посоветовать какой либо софт с помощью которого я мог бы проверить правильность формирования моей ИС файла с подписью и сертификатом "по стандарту pkcs#7 (отсоединенная ЭЦП, вложенный сертификат автора, der-кодировка)" ?


Хотелось бы тут уточнить пару моментов:

1) Есть файл с данными, есть ЭЦП, есть сертификат автора подписи. Период действия сертификата берем из самого сертификата. А откуда брать дату подписи ? Может можно эту дату как то поместить в саму подпись ? Или для этого существуют какие то другие способы (механизмы) ?

1.1) Кто эти три дату должен сравнивать ? Я или это умеют делать функции CryptoAPI (например CryptVerifyDetachedMessageSignature) ?

2) Есть файл с данными, есть сертификат и соответствующая этому сертификату ключевая пара (Private Key).
Правильно ли я понимаю, что перед тем как пользователь захочет подписать файл, я сам должен как минимум проверить, что "Private Key" (точнее говоря соответствующий ему сертификат пользователя) не просрочен и не отозван (а как максимум проверить всю цепочку сертификатов и только потом дать пользователю возможность подписать файл) ?
Или такую проверку автоматом умеют делать сами функции CryptoAPI ?

Если RSA\ГОСТ - тогда КриптоАРМ

а) сам разработчик
б) воспользоваться высокоуровневыми функциями проверки сертификатов (сроки действия\построение цепочки\проверки подписей) и
штампов времени
p.s. = поиск по форуму\руководству