Ликбез про ЭЦП

  • Автор темы Автор темы EUGEN
  • Дата начала Дата начала

EUGEN

местный
Команда форума
Предлагаю в этой теме рассказать друг-другу все, что мы знаем про ЭЦП. Сам я в этом ничего не понимаю, поэтому несколько ссылок для ликбеза, которые мне очень помогли разобраться в терминах:

1. Что такое ЭЦП - ссылка
2. Виды ЭЦП по закону - Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи", статья 5
3. Почему подписанный документ на другом компьютере - не подписанный? Потому что на другом компьютере нет цепочки сертификатов (не выстроена). Терминологию могу переврать, поэтому ссылка с примером "почему так и как это устранить, если нужно" - https://service.nalog.ru/vyp/sign-help.html
4. Для интересующихся "почему все так запутано" - ссылка на пост на хабре, написано доступно и понятно
5. Текущее состояние дел с ЭЦП в России - ссылка на пост на хабре, с картинками
 
Последнее редактирование:
У меня есть вопрос. Всегда думал, что подписав документ и переслав его по почте, получатель может скачать подписанный документ и посмотрет данные эл. подписи. Но при открытии файла документ оказывается неподписанным! Так и должно быть?

Документ подписан. Просто подпись может быть сохранена в документе (присоединенная/прикрепленная подпись) или отдельно (отсоединенная/открепленная подпись). При изменении документа подпись становится недействительной (меняется хэш-сумма файла, которая не совпадает с хэш-суммой в подписи). Это очень грубое объяснение, апологеты ЭЦП меня четвертуют. Но если кто-то знает как это объяснить понятнее - буду признателен.
 
Последнее редактирование:
Как раз этим постепенно начинаю заниматься. Планирую использовать криптоарм для пакетной подписи (другого ничего не нашел). Какая сложность с организацией: как подписать или как организовать хранение?
Еще пригоден VipNet CryptoFile. Там тоже можно подписывать пачкой.
КриптоАРМ мне показался усложненным.
Почему то глючит проверка УЭЦП, пришлось ее отключить. Скорее всего это связано с тем, что на флэшке с ЭЦП остались прежние сертификаты (а они нужны, чтобы открыть давние подписанные файлы). КриптоАРМ как то их подхватывает и выдает ошибку. То есть последний сертификат программа видит, но, одновременно, цепляет и старые просроченные сертификаты.
Еще не очень понравилось, что в случае подписывания файла с откреплением подписи и последующим отправлением на электронную почту, программа работает некорректно и отправляет только файл подписи без оригинального файла.
 
Документ подписан.
Откуда это видно? Я имею на выходе свой оригинальный файл и файл открепленной электронной подписи. Как убедиться, что этот файл подписи относится именно к оригинальному файлу?
И вообще, зачем он заказчику? :D:D 🤦‍♂️
 
Формально два криптопровайдера на одном компе жить не могут (они конфликтуют друг с другом). Поэтому леге артис - или только випнет, или только криптопро. Тогда все как-то более менее работает. У меня стоит и то, и другое. Поэтому все работает через пятую точку.

Криптопро, к сожалению, чуть менее чем полностью стоит во всех удостоверяющих центрах (по крайней мере - местных), поэтому без него мне сложно. А випнет - суровая и неизбежная необходимость для РА. Вот такой винегрет.
 
Откуда это видно? Я имею на выходе свой оригинальный файл и файл открепленной электронной подписи. Как убедиться, что этот файл подписи относится именно к оригинальному файлу?

Вот отсюда 4.png

Если загрузить файл, который подписан (не вносить в него изменения), то подпись будет валидна.
 
Через випнет - существенно проще

Я обязательно посмотрю и сравню. Тем более что есть действующий сертифкат поддержки. Но в предыдущие годы я не раз ронял винду после установки випнета. Короче опыт использования випнета с тех времён - не самый позитивный.
 
Это что еще за страница? У меня нет такого, я подписываю через приложение КриптоАРМ. Это сервис по проверке ЭЦП?

Проверять подпись можно и через КриптоАРМ, через VipNet CryptoPro. Там надо выбрать файл подписи, сертификат считается. Причем, в КриптоАРМ считывается файл, подписаный в Vipnet.

Да, в КриптоАРМ есть замороченный режим "Квалифицированная подпись". Наши сертификаты от удостоверяющего центра + сертификат от ФСА не проходят проверку требований по "квалифицированной подписи". Может, конечно, проходят только сертификаты от самого КриптоПро?
 
Последнее редактирование:
Объясните пожалуйста! Я подписал документ, переслал его по эл. почте, открываю его со своей (другой) почты на другом компе- подписи нет! Так и должно быть?
 
Так и должно быть?
Такого быть не может. Подписывали открепленной подписью?

Я только что отправил с одной почты на другую файл-оригинал и файл подписи. Скачал на другой почте и проверил подпись - все сработало.
Изменил название файла-оригинала, файл подписи не прошел проверку. Все работает.
 
Последнее редактирование:
Такого быть не может. Подписывали открепленной подписью?
Вот этого не могу сказать, не очень понимаю в этом. Для подписания у нас стоит программа КриптоПроСигнатур (вроде так). Без неё не подписывалось раньше. Вернее подписывалось до какого то момента, потом пришлось купить программу.
 
В 2003 ворде внизу открытого документа появляется значок сертификата. В старших версиях офиса не помню где. При попытке изменить документ подпись естественно становится невалидной, значок исчезает. Добавил в первый пост несколько полезных ссылок для ликбеза, мне они помогли хоть как-то понять "что это".
 
Формально два криптопровайдера на одном компе жить не могут (они конфликтуют друг с другом).

Поясню свои наблюдения:

С проблемой совместного использования криптопро и випнет я столкнулся несколько лет назад, когда оба криптопровайдера были версии 3. Оба производителя допускали одновременное использование себя и конкурента на одной ПЭВМ, но с шаманством: пруф криптопро и пруф випнет. Более-менее внятное объяснение "почему так" во последнем абзаце вот этой статьи. И даже сам суппорт РА в своем мануале на 4 странице об этом пишет в явном виде (мануал 2018 года, сейчас вероятно есть новый, надо изучить). Интернет полон инструкций о том, как подружить их оба на одном компьютере, с картинками. Но пару лет назад ситуация выглядела весьма печально - не уживаются

С появлением 5-х версий обеих софтин ситуация видимо улучшилась, потому что сейчас у меня стоят обе, правда випнет - не настроен на работу, работает только клиент для сети РА.
 
Напишу что знаю, не воспринимайте за первую инстанцию, т.к., ссылок не приведу, и не обессудьте если ошибусь.
У каждой ЭЦП есть область действия, что конкретно можно ей делать, это вроде указывается при подаче заявления. Но на это особо упр не делают, видимо кто выдаёт эти подписи в этом разбираются и делают так как надо. ЭЦП на физ лицо можно подписывать только определённый перечень документов, завещание например.
Делаете запрос прошу (оформить) , ЭЦП на эксперта ООО "Озеро" Иванова, недавно был закон что на три года возможно делать, не знаю предлагают ли такие услуги. Далее судя по критериям в архив сдаётся протокол подписанный лицом утвердившим протокол, видел перечень нарушений где было написано нет бэкап.
Ещё такое у себя сделаю, но не сделал, печать копия электронного протокола, и думаю две печати ЭЦП сделать с разницей в пол года (на случай поломки. Если печать передаёте другому лицу, и теряете из вида подпись считается скомпрометированной, необходима замена.
Извините за сумбурность повествования.

Область действия ЭЦП - это видимо что то про OID. Узнаю - расскажу, пока знаю что все это - выдумки УЦ и площадок.

Про три года - что за закон? Видимо не зря в критериях фигурирует магическая цифра 3?

В любом случае, выпущенная подпись (ключевая пара из закрытого и открытого ключей) удостоверяется УЦ в виде сертификат подписи, в котором указывается владелец подписи - лицо, чью бумажную подпись удостоверил УЦ. В сертификате указываются персональные данные этого лица. У юрлица подписи нет в принципе, есть только печать - подпись, это закорючка на бумаге, как в паспорте.
 
Я к тому что ЭЦП оформленная физическим и юридическим лицом имеют разные сферы применения.
Про три года, это я не про критерии, подписи получал на год, сейчас возможно получение на три.
У нас как то повелось PDF подписываем.
 
ЭЦП оформленная физическим и юридическим лицом имеют разные сферы применения.
Не совсем так.
Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи" (с изм. и доп., вступ. в силу с 31.12.2017)
Статья 17. Квалифицированный сертификат
2. Квалифицированный сертификат должен содержать следующую информацию:
7) ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
Я не нашел в законе ничего про установления ограничений (может плохо искал) кроме вот этого (там же, ниже):
2.1. Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами, или информационных систем общего пользования не вправе требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах
И именно этот пункт, по моему ИМХО, позволяет коммерческим площадкам, это самое ограничение - устанавливать, только "наоборот": ЭЦП для коммерческой площадки (с указанным этим самым несчастным OID) другой площадкой может не приниматься, потому что это не противоречит закону, покупайте ещё OID. Ну а ЭЦП, выпущенная для целей п. 2.1 имеет право работать везде. В критериях аккредитации РА нет упоминания про OIDы, поэтому "катит" вообще любая усиленная квалифицированная.

"Сферы применения" - это ограничения, которые указывает УЦ в сертификате. Причем эти ограничения может (и должен) указать заявитель - в заявлении на выдачу ЭЦП.

p.s. Добавил в первый пост ссылку № 4, как раз про этого вот все.
 
Спорить не буду но у меня в подписи инженер, ООО "XY" Общение до этого было с пользователем, он говорил что у них на "Токен вроде" вообще много подписей, так с помощью одной они на рабочий стол в компах заходят.
От себя добавлю, удалось на ЭЦП поставить метку времени, например если Вам необходимо доказать время создания файла. Правда не пригодилось.
 
Назад
Сверху