Pelanggan pelayan tandatangan digital elektronik. Arahan untuk menjana kunci tandatangan elektronik

KONSEP ASAS

KSKPEP – sijil kunci pengesahan yang layak tandatangan elektronik.
CEP– tandatangan elektronik yang layak.

Pembekal kripto – satu cara untuk melindungi keselamatan maklumat kriptografi Program dengan bantuan bahagian tertutup tandatangan elektronik dijana dan yang membolehkan anda bekerja dengan tandatangan elektronik. Kotak semak ini ditandakan secara automatik.

Kunci yang dieksport – keupayaan untuk menyalin tandatangan elektronik ke medium lain. Jika tiada tanda semak, penyalinan tandatangan elektronik tidak akan dapat dilakukan.

LMB– butang kiri tetikus.

RMB– butang kanan tetikus.

CRM-EJEN– aplikasi yang dibangunkan oleh pakar CA untuk memudahkan prosedur untuk menghasilkan pasangan kunci, membuat permintaan dan merekodkan sijil.

Sebelum generasi bermula

Selepas melawat pusat pensijilan dan melalui prosedur pengesahan identiti, CA menghantar surat yang mengandungi pautan untuk menjananya ke alamat e-mel yang anda nyatakan dalam permohonan itu. Jika anda belum menerima surat itu, hubungi pengurus anda atau Pusat Sokongan Teknikal menggunakan nombor hubungan dalam panduan ini.

Buka pautan untuk menjana daripada surat dalam salah satu penyemak imbas yang disyorkan:Google Chrome, Mozilla Firefox, Yandex.Browser. Jika anda sudah berada dalam salah satu pelayar di atas, klik pada pautan LMB atau RMB> "Buka pautan dalam tab baharu." Halaman penjanaan (Gamb. 1) akan dibuka dalam tetingkap baharu.

Apabila anda membuka pautan, amaran awal akan muncul. Biasakan diri anda dengannya jika anda menggunakan media untuk menyimpan CEPJacarta LT . Baca lebih lanjut mengenai media didi bawah. Jika anda menggunakan media lain, klik butang "Tutup".

Rajah 1 – Halaman penjanaan

Memasang aplikasi

Klik pada pautan"Muat turun aplikasi" untuk mula memuat turun. Jika tiada apa yang berlaku selepas mengklik, klik pada pautan RMB > "Buka pautan dalam tab baharu". Selepas memuat turun aplikasi, jalankan pemasangan.

Adalah disyorkan untuk melumpuhkan perisian antivirus sebelum memuat turun program !

Semasa proses pemasangan aplikasi « crm - ejen » mesej yang meminta akses akan muncul (Gamb. 2).

Rajah 2 - Permintaan akses

Klik butang "Ya".

Memberi akses

Selepas memasang aplikasi, kembali ke halaman penjanaan. Mesej tentang "Memberi akses" akan muncul (Gamb. 3).

Rajah.3 - Akses kepada kedai sijil

klik "Teruskan" dan, dalam tetingkap yang muncul, "Berikan akses"(Gamb.4).

Rajah.4 – Akses kepada kedai sijil 2

Jika butang tidak muncul "Teruskan"

Jika selepas memasang aplikasi « crm - ejen » , pautan untuk memuat turun aplikasi tidak hilang, sebabnya mungkin sambungan itu disekat oleh sistem keselamatan anda.

Untuk menyelesaikan keadaan anda mesti:

Lumpuhkan antivirus yang dipasang pada komputer anda;

Buka tab baharu dalam penyemak imbas;

Masukkan alamat tanpa ruang ke dalam bar alamat penyemak imbas - 127.0.0.1:90 – dan pergi (tekanMasuk pada papan kekunci);

Apabila mesej pelayar muncul "Sambungan anda tidak selamat", tambah halaman pada pengecualian penyemak imbas. Sebagai contoh,Chrome: "Tambahan" - “Pergi ke tapak juga”. Untuk pelayar lain, gunakan arahan pembangun yang sesuai.

Selepas mesej ralat muncul, kembali ke halaman penjanaan dan ulangi Point 2 arahan ini.

Pemasangan CryptoPRO CSP

Jika anda tidak mempunyai penyedia kripto pra-pasang, selepas peringkat akses, pautan untuk memuat turun CryptoPRO akan muncul (Gamb. 5).

Ini penting: permohonan « crm - ejen » mengesan mana-mana pembekal kripto pada komputer anda, dan jika anda memasang yang lain CryptoPRO CSP program (contohnya,VipNET CSP ), hubungi pakar sokongan teknikal CA untuk perundingan.

Klik pada pautan "CryptoPRO 4.0" pada halaman penjanaan atau pautan serupa di bawah untuk memuat turun fail pemasangan CryptoPRO ke komputer anda.

CryptoPro CSP 4.0 – versi untuk OS Win 7 / 8 / 10

Selepas muat turun selesai, bukazip-arkib menggunakan program arkib yang sesuai (contohnya,Menang - RAR ). Di dalamnya akan terdapat fail pemasangan CryptoPRO itu sendiri. Jalankan dan pasang dengan tetapan lalai. Semasa proses pemasangan, anda mungkin melihat tetingkap berikut:

Rajah.5 – Pemasangan CryptoPRO

Langkau tetingkap dengan mengklik "Seterusnya". Pemasangan CryptoPRO selesai.

Memasang pemacu untuk token

Tandatangan boleh disimpan dalam pendaftaran komputer, pada pemacu kilat biasa dan pada khasusb-token. Senarai token, kod pin dan pautan kepada perisian dibentangkan dalam jadual di bawah (Jadual 1).

Jadual 1 - Pemacu untuk media selamat

Jenis media USB	Penampilan Peranti storan USB	Pautan muat turun pemandu	Kod PIN
ruToken

Tandatangan elektronik (selepas ini - ES), mengikut Undang-undang persekutuan Persekutuan Rusia No. 63-FZ pada 25 Mac 2011 “Mengenai Tandatangan Elektronik”, ditakrifkan sebagai maklumat dalam bentuk elektronik yang dilampirkan pada maklumat lain dalam bentuk elektronik (maklumat bertandatangan) atau sebaliknya dikaitkan dengan maklumat tersebut dan yang digunakan untuk mengenal pasti orang yang menandatangani maklumat. Akta kawal selia ini menggantikan Undang-undang Persekutuan Persekutuan Rusia No. 1-FZ pada 10 Januari 2002, "Mengenai Tandatangan Digital Elektronik," yang kehilangan kuasa undang-undangnya pada 1 Julai 2013.

Undang-undang 25 Mac 2011 membezakan dua jenis tandatangan elektronik: mudah dan dipertingkatkan. Yang terakhir boleh layak atau tidak. Jika tandatangan elektronik ringkas hanya mengesahkan bahawa mesej elektronik ini dihantar oleh orang tertentu, maka tandatangan elektronik tidak layak yang diperkukuh membolehkan bukan sahaja untuk mengenal pasti pengirim secara unik, tetapi juga untuk mengesahkan bahawa tiada siapa yang mengubahnya sejak dokumen itu ditandatangani. Pada masa hadapan kita akan bercakap tentang tandatangan elektronik tidak layak yang dipertingkatkan. Mesej dengan tandatangan elektronik yang tidak layak boleh disamakan dengan dokumen kertas yang ditandatangani dengan tangan sendiri, jika pihak-pihak telah bersetuju dengan perkara ini terlebih dahulu, serta dalam kes-kes yang diperuntukkan secara khusus oleh undang-undang.

Di satu pihak, tandatangan elektronik digunakan untuk mengesahkan pengarang dokumen - ini adalah kepentingannya untuk pengirim dokumen. Sebaliknya, tandatangan elektronik, jika kepentingan undang-undangnya diiktiraf, memastikan tiada penolakan dokumen yang ditandatangani oleh pengarang, yang seterusnya penting bagi penerima dokumen. Sekiranya berlaku situasi kontroversi, analisis konflik sentiasa boleh dijalankan, yang akan mengenal pasti pengarang dokumen yang ditandatangani dengan jelas dan memaksanya untuk memikul tanggungjawab untuk dokumen yang ditandatangani.

Analisis konflik yang berkaitan dengan tandatangan elektronik

Masalah utama apabila menganalisis konflik dalam situasi sukan berdasarkan dokumen yang ditandatangani oleh tandatangan elektronik adalah bukti fakta bahawa "maklumat dalam bentuk elektronik yang dilampirkan pada maklumat lain dalam bentuk elektronik (maklumat yang ditandatangani)" adalah tandatangan elektronik yang penting dari segi undang-undang bagi sesuatu tertentu. seseorang di bawah dokumen tertentu.

Penggunaan kaedah kriptografi membolehkan kita menyelesaikan masalah ini. Jika seseorang diberi kunci elektronik yang unik dan kemudian membuat transformasi khas menggunakan kunci elektronik ini dan dokumen elektronik, maka hasil transformasi ini (dan ini adalah tandatangan elektronik) akan menjadi unik untuk pasangan ini (dokumen kunci). Oleh itu, tugas peringkat pertama analisis konflik - untuk mengenal pasti sama ada tandatangan yang diberikan dijana menggunakan kunci elektronik yang diberikan atau tidak - diselesaikan menggunakan kaedah kriptografi.

Peringkat kedua penyelesaian konflik adalah untuk membuktikan bahawa kunci elektronik ini adalah hak milik orang tertentu. Bukti ini memberikan kepentingan undang-undang ES. Untuk menyelesaikan masalah organisasi ini - perakaunan untuk kunci yang dikeluarkan - PKI (infrastruktur) digunakan. kunci awam).

Memberi kepentingan undang-undang ES menggunakan PKI

Undang-undang “Mengenai Tandatangan Elektronik” membezakan antara kunci tandatangan elektronik dan kunci pengesahan tandatangan elektronik. Kunci tandatangan elektronik ialah jujukan aksara unik yang direka untuk mencipta tandatangan elektronik Kunci pengesahan tandatangan elektronik ialah jujukan aksara unik yang dikaitkan secara unik dengan kunci tandatangan elektronik dan bertujuan untuk mengesahkan ketulenan tandatangan elektronik. Kunci pengesahan ES diperoleh daripada kunci ES, tetapi operasi terbalik tidak boleh dilakukan. Oleh itu, terdapat surat-menyurat satu dengan satu antara kunci ES dan kunci pengesahan ES. Kunci ES mesti dibuat oleh klien sendiri dan dirahsiakan. Kunci inilah yang digunakan untuk menandatangani dokumen dengan tandatangan elektronik. Kunci pengesahan ES digunakan untuk mengesahkan ES dan diedarkan kepada semua orang yang ingin mengesahkan tandatangan.

Elemen utama PKI ialah Pihak Berkuasa Pensijilan. Pusat Pensijilan mengekalkan daftar pematuhan kunci dan orang yang menjadi pemilik kunci ini. Untuk mendaftarkan kunci, pelanggan membawa bahagian awam kuncinya ke CA bersama data pengenalannya dan menerima sijil pematuhan yang memperakui pemilikan kunci khusus ini. Sijil Pematuhan mengandungi kunci pengesahan tandatangan elektronik dan data pengenalan pelanggan, dan ditandatangani oleh tandatangan elektronik Pihak Berkuasa Pensijilan. Oleh itu, CA memperakui bahawa pelanggan telah disahkan dan adalah siapa yang didakwanya. Setelah menerima sijil, pelanggan pula menandatangani dokumen khas mengenai kesahihan sijil yang dikeluarkan dengan tandatangan manualnya sendiri. Dokumen ini adalah pautan utama antara orang tertentu dan "set simbol elektronik", tandatangan elektroniknya.

Oleh itu, sijil penandatangan adalah mencukupi untuk mengesahkan tandatangan dan mengenal pasti penandatangan. Iaitu, penandatangan menandatangani dokumen dengan kunci tandatangan digitalnya, dan kemudian menghantar dokumen yang ditandatangani ini dan sijilnya yang mengandungi kunci pengesahan tandatangan digital kepada penerima. Dengan cara ini, penerima akan dapat mengesahkan bahawa tandatangan itu sebenarnya dibuat dengan kunci tandatangan digital penandatangan dan akan menerima data pengenalan penandatangan daripada sijil. Pelanggan mesti melindungi kunci tandatangan digitalnya daripada kompromi. Untuk tujuan ini pelbagai storan kunci perkakasan dengan tahap perlindungan yang lebih tinggi dicipta, sebagai contoh, peranti USB ruToken.

Piawaian ES Rusia

Piawaian tandatangan elektronik adalah dua peringkat. Pada peringkat pertama, tandatangan elektronik dari dokumen terletak secara langsung. Tahap kedua mengandungi ES dan semua dokumen yang diperlukan untuk memberikan kepentingan undang-undang ES: sijil penandatangan atau rangkaian sijil, masa tandatangan dibuat, dsb.

Piawaian Rusia untuk ES tahap pertama ialah GOST 34-10.2012. Piawaian Rusia untuk tandatangan elektronik peringkat kedua ialah PKCS#7 dengan keupayaan untuk menambah cap waktu TSA.

Bidang penggunaan ES

• perbankan internet
• platform dagangan elektronik
• sistem pengurusan dokumen korporat
• e-mel
• penyerahan laporan kepada pelbagai perkhidmatan persekutuan
• hak cipta

Tapak WEB dengan tandatangan elektronik

Pernyataan masalah

Katakan organisasi anda telah memutuskan untuk beralih kepada sistem pengurusan dokumen elektronik yang dibina pada teknologi web. Dalam kes ini, tempat utama di mana ES diperlukan ialah:

• Fail ES dalam format sewenang-wenangnya apabila dimuat naik ke tapak web oleh pengguna melalui borang input
• ES data teks yang dimasukkan oleh pengguna ke dalam borang input di tapak web
• Tandatangan elektronik dokumen yang disiarkan di tapak web oleh beberapa pengguna

Tugas yang berkaitan ialah perlindungan maklumat sulit dan data peribadi, yang dibahagikan kepada subtugas berikut:

• perlindungan kriptografi pemindahan data antara tempat kerja pengguna dan tapak web
• pengesahan pengguna menggunakan sijil digital untuk mengakses miliknya akaun peribadi
• perlindungan kriptografi maklumat yang disimpan pada pelayan

Mari kita cuba memahami bagaimana kita boleh menyelesaikan masalah yang dikenal pasti dengan jumlah masa dan wang paling sedikit, lakukan tanpa latihan pengguna dan meminimumkan lagi sokongan teknikal.

Gambar rajah penyelesaian

Mewujudkan Pihak Berkuasa Pensijilan

pilih pelayan di mana Pihak Berkuasa Pensijilan akan digunakan. Secara pilihan, perkhidmatan cap masa dan semakan status sijil dalam talian boleh digunakan. Untuk menjimatkan wang, CA dan perkhidmatan yang ditentukan boleh menggunakan satu pelayan, yang sepatutnya tersedia dalam talian. Kami akan membincangkan kesesuaian perkhidmatan ini di bawah.

pasang produk MagPro CryptoPackage pada pelayan

cipta kunci CA dan aplikasi untuk sijil akar CA menggunakan utiliti mkkey daripada MagPro CryptoPackage. Kunci boleh dibuat pada peranti selamat, contohnya, pada ruToken. Selepas mencipta kunci CA, adalah perlu untuk memastikan keselamatannya menggunakan kaedah organisasi. Pilihan yang paling selamat ialah menyimpan kunci pada peranti ruToken dan menyambungkannya ke pelayan hanya apabila mengeluarkan sijil. Sijil CA ialah fail. Fail ini kemudiannya akan dikeluarkan kepada semua pelanggan CA apabila mereka menerima sijil.

buat sijil CA akar menggunakan utiliti openssl daripada MagPro CryptoPacket.

buat struktur direktori dalam sistem fail yang mengeluarkan sijil pengguna, sijil pelayan yang dikeluarkan dan aplikasi untuk sijil akan disimpan dalam bentuk fail. Anda harus menggunakan kaedah organisasi (contohnya, menggunakan ACL) untuk memastikan hak akses yang betul kepada direktori ini. Sijil akan dikeluarkan sebagai fail dalam format PEM. Perlu diingat bahawa adalah lebih baik untuk membuat nama fail sijil jelas untuk memudahkan tugas mencari sijil pada masa hadapan.

Mencipta kunci dan permohonan sijil PKCS#10

Untuk mendapatkan sijil oleh pengguna CA, dua skim boleh digunakan: berpusat dan jauh. Dengan skim terpusat, pengguna datang ke CA dan diberikan fail yang mengandungi kunci dan sijil. Kemudian dia meletakkan fail ini pada pemacu kilat. Skim ini mudah dan mudah, tetapi tidak selamat, kerana ia membolehkan pekerja CA mengetahui kunci pengguna. Tetapi dalam beberapa kes penggunaan skim ini adalah wajar.

Skim paling selamat untuk mendapatkan sijil diedarkan. Pengguna mencipta kunci, mencipta aplikasi PKCS#10 untuk sijil, yang mengandungi kunci pengesahan tandatangan elektronik dan data pengenalannya. Pengguna menandatangani aplikasi ini dengan kunci tandatangan digitalnya dan membawanya ke CA. CA menyemak tandatangan pada aplikasi, mengesahkan data pengenalan pengguna, contohnya, dengan data pasport dan mengeluarkan sijil. Kemudian sijil dicetak dan pengguna menandatangani dokumen yang mengesahkan pematuhan sijil yang dikeluarkan dengan tandatangan manual.

Sebagai sebahagian daripada penyelesaian yang sedang dibincangkan, penjanaan kunci dan penciptaan aplikasi dijalankan menggunakan program khas daripada MagPro CryptoPacket. Program ini disertakan dalam kit pengguna CryptoTunnel.

Program ini mempunyai sistem yang fleksibel konfigurasi, yang dengannya anda boleh membuat aplikasi sepenuhnya pelbagai jenis sijil, mengembangkan set standard maklumat pengenalan, menambah peranan dan hak pengguna kepada sijil, sebagai contoh, untuk menyekat akses kepada sumber web; menambah pelbagai atribut pada aplikasi.

Selepas mencipta kunci, pengguna mesti memastikan ia disimpan dengan selamat

Jenis sijil untuk tandatangan elektronik di tapak WEB

Portal kami akan menggunakan beberapa jenis sijil:

Sijil akar CA

Sijil ini digunakan untuk mengesahkan semua sijil lain peserta portal Web.

Sijil pengesahan pelayan TLS

Sijil ini digunakan untuk mengesahkan pelayan oleh pelanggan apabila membuat sambungan TLS selamat apabila memindahkan dokumen yang ditandatangani ke tapak web

Sijil pengesahan pelanggan TLS

Sijil ini digunakan untuk mengesahkan klien oleh pelayan dan untuk akses klien ke akaun peribadinya apabila membuat sambungan TLS selamat apabila memindahkan dokumen yang ditandatangani ke tapak web

sijil tandatangan elektronik pelanggan

Pelanggan menambah sijil ini pada tandatangan elektroniknya, dan dengan itu pihak yang bergantung boleh mengesahkan tandatangan dan mengenal pasti penandatangan

Sijil menandatangani pelayan OCSP

Dengan sijil ini, pelayan OCSP menambahkannya pada respons yang ditandatangani untuk mengesahkannya

Sijil menandatangani pelayan TSA

Dengan sijil ini, pelayan TSA menambahkannya pada respons yang ditandatangani untuk mengesahkannya dan memberikannya kepentingan undang-undang.

Semua jenis sijil ini boleh dibuat menggunakan utiliti daripada MagPro CryptoPacket dan CA berdasarkan MagPro CryptoPacket.

Mendapat sijil daripada CA

Apabila menerima aplikasi daripada pengguna, pentadbir CA mencipta salinan sandaran aplikasinya. Kemudian ia menyemak aplikasi dan, menggunakan utiliti openssl, mencipta sijil pengguna, menandatanganinya pada kunci CA dan juga memastikan sandarannya. Di samping itu, untuk memastikan kesahihan undang-undang, pentadbir mencetak maklumat daripada sijil (maklumat ini diperoleh menggunakan utiliti openssl.exe) dan menerima tandatangan manual pengguna di bawah cetakan ini. Kemudian berikan pengguna sijilnya dalam fail.

seterusnya pada masa ini kami dapat menggunakan CA dan mempelajari cara membuat kunci pengguna, menerima aplikasi untuk sijil daripadanya dan mengeluarkan sijil berdasarkan aplikasi yang diterima. Pengguna memperakui penerimaan dan pematuhan sijil dengan tandatangan manualnya, dan oleh itu kami boleh mengatakan bahawa kami telah menggunakan PKI, yang memastikan kepentingan undang-undang tandatangan elektronik pengguna

Tugas seterusnya ialah menggunakan PKI yang digunakan untuk menyelesaikan masalah aplikasi - mengatur penghantaran selamat dokumen elektronik yang ditandatangani ke tapak Web menggunakan pelayar dan menerimanya untuk diproses di laman web.

Pengesahan tandatangan elektronik dan modul storan (pelayan)

Biasanya tapak web digunakan pada beberapa pelayan web (Apache, IIS, nginx, dll.). Laman web ini mengandungi akaun peribadi untuk setiap pengguna yang berdaftar di laman web ini. Untuk mengakses akaun peribadi anda, pengguna mesti melalui prosedur pengesahan. Biasanya, pengesahan terdiri daripada memasukkan nama pengguna dan kata laluan yang dipersetujui semasa mendaftarkan pengguna.

Selain itu, borang input web digunakan untuk memuat naik dokumen elektronik ke pelayan.

Untuk "melampirkan" pengesahan tandatangan elektronik dokumen yang dimuat naik ke tapak ke sistem ini, untuk memastikan perlindungan sambungan antara penyemak imbas pengguna dan tapak, serta untuk memastikan pengesahan kriptografi yang ketat pengguna untuk mengakses akaun peribadi, produk MagPro CryptoServer harus dipasang pada pelayan.

Penyelesaian seni bina akan kelihatan seperti ini:

CryptoServer dipasang di hadapan pelayan Web yang dilindungi. Dalam kes ini, pelayan Web dikonfigurasikan sedemikian rupa sehingga ia menerima sambungan masuk hanya daripada CryptoServer (lihat arahan persediaan). CryptoServer menerima sambungan HTTP masuk, menyahsulitnya dan mengubah halanya ke pelayan Web. Selain itu, CryptoServer menambah pengepala X509-Cert pada permintaan HTTP, di mana ia menghantar sijil digital pelanggan yang telah lulus prosedur pengesahan. Sijil ini kemudiannya digunakan untuk akses pelanggan ke akaun peribadinya. Untuk menyemak tandatangan elektronik di bawah dokumen yang dihantar, CryptoServer menyertakan utiliti openssl, yang membolehkan anda menyemak pelbagai jenis tandatangan, mendapatkan sijil penandatangan atau rangkaian sijil daripada sampul surat PKCS#7, dsb. Untuk menyemak tandatangan elektronik, halaman web untuk menerima dokumen mesti menghubungi utiliti ini.

Modul penjanaan EP (pelanggan)

Tugas utama pengguna apabila mengakses laman web adalah untuk memuat naik dokumen elektronik dan data teks ke tapak, serta memuat turun dokumen elektronik dari tapak. Untuk melindungi sambungan web ke tapak melalui protokol SSL/TLS dan untuk menandatangani data dalam talian yang dihantar ke tapak, CryptoTunnel harus digunakan di stesen kerja klien.

Kelebihan utama CryptoTunnel:

• menyediakan perlindungan untuk sambungan web antara mana-mana pelayar dan tapak web menggunakan protokol SSL/TLS dengan sokongan untuk algoritma kriptografi Rusia
• membolehkan anda mengesahkan pengguna menggunakan sijil digital untuk mengakses akaun peribadi pengguna
• membolehkan anda menandatangani dokumen dalam talian apabila dimuat naik ke tapak tanpa menggunakan CSP dan Active X
• menyokong semakan status sijil dalam talian (OCSP)
• menyokong mendapatkan cap masa yang dipercayai di bawah tandatangan elektronik (TimeStamp)
• menyokong pelbagai token USB dan kad pintar untuk menyimpan kunci
• tidak memerlukan pemasangan pada tapak pengguna, diedarkan dengan menyalin
• boleh disimpan pada pemacu kilat biasa dan dijalankan daripadanya
• tidak memerlukan hak pentadbir sistem untuk beroperasi
• menyokong kerja dengan mana-mana pelayar web (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Safari Apple, dll.)
• tidak "terikat" pada satu komputer - pengguna boleh menggunakan satu set untuk kegunaan di pejabat dan di rumah - menjimatkan wang
• mempunyai antara muka pengguna yang mudah dan intuitif, yang menghapuskan keperluan untuk latihan pengguna
• membolehkan anda meminimumkan kos sokongan teknikal untuk pengguna
• boleh bekerja pada spektrum yang luas sistem pengendalian(penyelesaian merentas platform)

CryptoTunnel menandatangani data dan fail yang dihantar melalui borang Web, jika borang Web ini ditanda khas. Iaitu, borang Web mesti mengandungi medan dengan nama yang diberikan. Nama ini ditulis dalam fail konfigurasi CryptoTunnel dan selepas itu CryptoTunnel mula menandatangani data atau fail yang dihantar dalam medan ini. Di samping itu, salah satu medan tersembunyi dalam borang Web boleh menentukan jenis tandatangan (DAPAT atau DETACHED), dan medan tersembunyi yang lain boleh menentukan URL perkhidmatan cap waktu yang dipercayai. Nama medan ini juga mesti dinyatakan dalam fail konfigurasi CryptoTunnel. Jika tandatangan adalah dari jenis DETACHED, maka dalam fail konfigurasi CryptoTunnel anda harus menyatakan nama medan di mana tandatangan DETACHED ini akan dihantar ke pelayan. Di sana anda juga harus menentukan nama medan di mana cap masa akan dihantar ke pelayan.

Ini adalah SEMUA tindakan yang perlu dilakukan agar CryptoTunnel mula menandatangani data dan fail yang dihantar melalui borang Web. Tidak perlu menulis sebarang skrip tambahan, memanggil Active X, dsb.

Organisasi pelbagai EP

ES berbilang diperlukan jika dokumen mesti ditandatangani oleh beberapa orang. Dalam kes ini, dokumen itu biasanya disiarkan di tapak web dalam cara yang ia hanya tersedia kepada pengguna yang memerlukan tandatangan elektronik. Pemisahan akses ini dipastikan oleh pengesahan pengguna menggunakan sijil digital.

Apabila menggunakan CryptoTunnel, pengguna tidak perlu memuat turun dokumen, dan kemudian menandatangani dan memuat naik dokumen ke pelayan sekali lagi - CryptoTunnel akan melaksanakan semua operasi ini secara automatik apabila anda mengklik pada butang pada halaman web.

perkhidmatan OCSP

Selalunya berlaku bahawa CA membatalkan sijil pengguna (contohnya, jika kunci pengguna dicuri oleh penyerang). Pada masa yang sama, pengguna lain mesti dimaklumkan tentang pembatalan sijil ini supaya mereka tidak lagi mempercayainya. Terdapat beberapa cara untuk memberitahu pengguna tentang ulasan.

Kebanyakan dengan cara yang mudah ialah pengedaran senarai pembatalan (CRL). Iaitu, CA mencipta dan mengemas kini fail khas secara berkala, yang juga dimuat turun oleh pengguna secara berkala.

Cara lain ialah menggunakan perkhidmatan semakan status sijil dalam talian - perkhidmatan OCSP. Untuk menyemak status mana-mana sijil, CryptoTunnel dan CryptoServer secara automatik menjana permintaan OCSP dan menghantar permintaan ini kepada perkhidmatan melalui rangkaian. Perkhidmatan ini mengesahkan sijil, menandatangani hasil pengesahan tandatangan elektroniknya dan mengembalikan respons kepada pelanggan. Pelanggan melihat respons, menyemak tandatangan di bawahnya dan memutuskan sama ada untuk mempercayai sijil ini atau tidak.

Mencipta perkhidmatan OCSP adalah mungkin menggunakan utiliti openssl daripada MagPro CryptoPacket. Perlu diingat bahawa pilihan antara CRL dan OCSP sentiasa mengikut budi bicara pencipta tapak. CRL lebih murah sedikit, OCSP lebih selamat sedikit.

Perlu diingat bahawa CryptoTunnel dan CryptoServer menyokong kedua-dua OCSP dan CRL.

Perkhidmatan Cap Masa TSA

Tujuan utama perkhidmatan cap masa adalah untuk mengesahkan fakta bahawa dokumen itu telah ditandatangani oleh tandatangan elektronik tidak lewat daripada masa yang dinyatakan dalam cap masa.

Untuk mencipta cap masa, CryptoTunnel mencipta permintaan TSA, yang mana ia melampirkan cincang daripada tandatangan elektronik; menghantar permintaan ini kepada TSA. Perkhidmatan TSA menambah masa semasa pada cincang ini dan menandatangani hasilnya dengan tandatangan elektroniknya. Ini mencipta cap masa yang dipercayai.

Untuk mencipta perkhidmatan cap masa yang dipercayai dalam talian, anda harus menggunakan produk TSA MagPro. Dalam kes ini, URL perkhidmatan cap masa ditentukan oleh halaman Web di mana borang tandatangan Web terletak

Bahagian pelanggan TSA dibina ke dalam CryptoTunnel. Apabila menerima cap masa pada tandatangan digital, semua tindakan dilakukan secara automatik, tanpa penglibatan pengguna.

Penimbangtara

Pengadil adalah program khas, yang digunakan apabila menganalisis konflik menggunakan tandatangan elektronik.

Pengadil membenarkan anda untuk menggambarkan identiti sijil yang terdapat dalam tandatangan PKCS#7; memvisualisasikan rantaian amanah dan masa penciptaan tandatangan elektronik (TimeStamp). Untuk menyelesaikan konflik, Penimbang Tara menyemak tandatangan di bawah dokumen yang ditentukan dan menentukan sama ada ia dibuat oleh pemilik sijil.

Perlu diingatkan bahawa untuk dapat menganalisis konflik, dokumen dan tandatangannya mesti disimpan dalam arkib elektronik untuk masa yang lama.

Perlindungan data peribadi di tapak WEB

Data yang ditukar antara pelayar pelanggan dan tapak mungkin mengandungi data peribadi dan maklumat sulit. Jika semua pengguna tapak berminat untuk melindungi maklumat sulit, maka perlindungan data peribadi adalah keperluan Undang-undang Persekutuan 152-FZ "Mengenai Data Peribadi".

Apabila menggunakan tapak, data berisiko apabila dihantar melalui Internet dan semasa penyimpanan selanjutnya pada pelayan tapak.

Perlindungan semasa penghantaran antara pelanggan dan pelayan

Internet adalah saluran yang tidak selamat untuk menghantar maklumat. Ancaman utama apabila menghantar data melalui Internet ialah serangan "man in the middle", iaitu penyerang menyambung ke talian antara klien dan pelayan dan menggantikan maklumat yang dihantar. Satu-satunya cara untuk melindungi data di Internet adalah dengan menyulitkan data tersebut. Memandangkan penyulitan ialah kaedah kriptografi untuk melindungi maklumat, ia tertakluk kepada keperluan FSB untuk cara perlindungan maklumat kriptografi - kehadiran sijil FSB.

Protokol SSL/TLS digunakan untuk melindungi sambungan secara kriptografi antara penyemak imbas pengguna dan tapak Web (sambungan Web). "CryptoTunnel" menyediakan perlindungan data menggunakan protokol ini yang mematuhi sepenuhnya keperluan FSB. Oleh itu, CryptoTunnel ialah penyelesaian yang diperakui yang memenuhi sepenuhnya keperluan untuk cara teknikal perlindungan data peribadi.

Perlindungan storan

Apabila menyimpan data dalam arkib elektronik tapak web, data ini mesti disimpan dalam bentuk yang disulitkan. Mencipta arkib elektronik yang selamat ialah topik artikel yang berasingan.

1. Proses menandatangani dokumen. Algoritma pengesahan tandatangan elektronik

Proses menandatangani dokumen adalah seperti berikut. Pada langkah pertama, fungsi khas (fungsi hash) dibina, mengingatkan kepada checksum; ia mengenal pasti kandungan dokumen ("cernaan" dokumen dibuat). Dalam langkah kedua, pengarang dokumen menyulitkan kandungan fungsi cincang dengan kunci peribadi peribadinya. Fungsi cincang yang disulitkan diletakkan dalam mesej yang sama seperti dokumen itu sendiri. Tandatangan digital ialah terbitan daripada "cernaan" dan kunci peribadi peribadi, yang menjamin keunikan mutlaknya (lihat Rajah 14.1).

nasi. 14.1 – Algoritma untuk menjana tandatangan digital

Fungsi cincang yang digunakan dalam algoritma mesti memenuhi beberapa keperluan, iaitu:

Mesej dalam sebarang panjang mesti ditukar kepada jujukan binari

panjang tetap;

Versi mesej yang dicincang yang dihasilkan mesti bergantung pada setiap bit mesej asal dan susunannya;

Tiada cara untuk memulihkan versi mesej yang dicincang itu sendiri.

mesej.

Algoritma pengesahan tandatangan elektronik

Algoritma pengesahan tandatangan elektronik adalah seperti berikut. Pada peringkat pertama, penerima mesej membina versi sendiri bagi fungsi cincang dokumen yang ditandatangani.

Pada peringkat kedua, fungsi cincang yang terkandung dalam mesej dinyahsulit menggunakan kunci awam penghantar. Langkah ketiga membandingkan dua fungsi hash. Kebetulan mereka menjamin kedua-dua ketulenan kandungan dokumen dan kepengarangannya (lihat Rajah 14.2).

nasi. 14.2 – Pengesahan EDS

Tandatangan digital elektronik, seperti mana-mana data lain, boleh dipindahkan bersama-sama dengan

ditandatangani, iaitu, data yang dilindungi olehnya. selain itu, tandatangan digital membolehkan anda memastikan bahawa data tidak diubah (secara tidak sengaja atau sengaja) semasa penghantaran kepada penerima.

Penyulitan dan tandatangan elektronik boleh berjaya digunakan bersama. Mula-mula anda boleh menandatangani dokumen dengan kunci peribadi peribadi anda, dan kemudian menyulitkannya dengan kunci awam penerima. Tandatangan mengesahkan identiti, penyulitan melindungi surat daripada mengintip.

2. Pengesahan

Kriptografi kunci awam menyediakan perkhidmatan identiti, pengesahan dan kebenaran yang diedarkan selamat. Masalah seperti ini timbul apabila subjek (pengguna sistem) mempunyai akses kepada maklumat. Khususnya, apabila menyambungkan klien ke pelayan dalam saluran terbuka (Internet). Data pengenalan pelanggan dan pelayan terdapat dalam sijil kunci awam sepadan yang dikeluarkan oleh pihak berkuasa pensijilan tunggal atau pihak berkuasa pensijilan daripada hierarki yang sama. Oleh itu, apabila pelanggan menyambung ke pelayan, pengenalan bersama boleh dibuat.

Pengesahan—menyemak sama ada pengecam yang dibentangkan kepada klien atau pelayan adalah miliknya—boleh dilaksanakan berdasarkan PKI dan sijil kunci awam yang sepadan.

Pengesahan boleh dilakukan dalam beberapa cara.

1. Pelayan menghantar permintaan pengesahan kepada pelanggan yang disulitkan dengan kunci awam pelanggan yang diperoleh daripada sijil kunci awam pelanggan. Pelanggan menyahsulit permintaan dengan kunci peribadi peribadinya dan mengembalikannya kepada pelayan, sekali gus mengesahkan bahawa dia adalah pemilik kunci persendirian yang sepadan, dan, oleh itu, data pengenalan dalam sijil adalah miliknya.

2. Pelayan menghantar permintaan pengesahan teks yang jelas. Pelanggan bertindak balas kepada permintaan dengan menandatanganinya dengan tandatangan digital elektroniknya sendiri.

Pelayan mengesahkan tandatangan digital pelanggan menggunakan kunci awam yang diperoleh daripada sijil kunci awam pelanggan dan memastikan bahawa pelanggan benar-benar mempunyai kunci peribadi peribadi yang sepadan.

Skim yang diterangkan dipanggil protokol bukti pemilikan, kerana pengirim membuktikan bahawa dia memiliki kunci rahsia peribadi yang diperlukan untuk penyahsulitan dan penciptaan tandatangan digital elektronik.

3. Merundingkan kunci rahsia sesi kongsi Kriptografi kunci awam juga membenarkan dua pihak bersetuju mengenai kunci sesi rahsia yang dikongsi apabila bertukar maklumat melalui saluran komunikasi tidak selamat.

Skim untuk menjana kunci sesi kongsi adalah seperti berikut. Pertama, pelanggan dan pelayan masing-masing menjana satu nombor rawak, yang digunakan sebagai separuh daripada kunci rahsia sesi kongsi mereka. Pelanggan kemudiannya menghantar pelayan separuh daripada kunci peribadinya, disulitkan dengan kunci awam yang diperoleh daripada sijil kunci awam pelayan. Pelayan menghantar kepada pelanggan separuhnya, disulitkan dengan kunci awam yang diperoleh daripada sijil kunci awam pelanggan. Setiap pihak menyahsulit mesej yang diterima dengan separuh kunci rahsia yang hilang dan mencipta kunci rahsia yang dikongsi daripada kedua-dua bahagian ini. Setelah melengkapkan protokol sedemikian, pihak-pihak boleh menggunakan kunci rahsia yang dikongsi untuk menyulitkan mesej berikutnya.

4. Penyulitan tanpa terlebih dahulu menukar kunci rahsia simetri Teknologi penyulitan kunci awam membolehkan anda menyulitkan sejumlah besar data jika pihak yang bertukar maklumat tidak mempunyai kunci biasa Algoritma penyulitan kunci awam sedia ada memerlukan lebih banyak sumber pengkomputeran daripada algoritma simetri, jadi ia menyusahkan untuk menyulitkan volum data yang besar. Walau bagaimanapun, adalah mungkin untuk melaksanakan pendekatan gabungan menggunakan kedua-dua penyulitan simetri dan penyulitan kunci awam.

Pertama, algoritma penyulitan dengan kunci rahsia dipilih (GOST 28147-89, DES, dll.), kemudian kunci sesi rawak dibuat, yang akan digunakan untuk menyulitkan data. Pengirim kemudian menyulitkan kunci sesi ini menggunakan kunci awam penerima. Ia kemudian menghantar kunci yang disulitkan dan data yang disulitkan kepada penerima. Dengan kunci peribadi peribadinya, penerima menyahsulit kunci sesi dan menggunakannya untuk menyahsulit data.

Pengesahan amanah tandatangan digital

Apabila menerima mesej yang ditandatangani dengan tandatangan elektronik, persoalan kepercayaan dalam tandatangan ini timbul (sama ada tandatangan digital ini benar-benar milik pengirim mesej). Integriti tandatangan boleh disahkan menggunakan kunci awam dan algoritma kriptografi yang diketahui oleh penghantar. Walau bagaimanapun, adalah perlu untuk memastikan bahawa kunci awam yang digunakan untuk pengesahan sebenarnya adalah milik subjek yang namanya ditandatangani mesej.

Jika ada kemungkinan untuk mencari sijil kunci awam penghantar yang dikeluarkan oleh CA yang dipercayai, maka adalah mungkin untuk mendapatkan sijil yang meyakinkan

pengesahan bahawa kunci awam pengirim sebenarnya adalah milik pengirim. Oleh itu, anda boleh mengesahkan bahawa kunci awam kepunyaan pengirim tertentu jika sijil didapati bahawa: · mempunyai tandatangan yang sah secara kriptografi daripada pengeluarnya;

Mengesahkan hubungan antara nama pengirim dan kunci awam pengirim;

Dikeluarkan oleh pihak berkuasa pensijilan yang dipercayai.

Jika sijil kunci awam penghantar sedemikian telah ditemui, ketulenan sijil ini boleh disahkan menggunakan kunci awam pihak berkuasa pensijilan.

Walau bagaimanapun, timbul persoalan untuk mengesahkan bahawa kunci awam adalah milik pihak berkuasa pensijilan yang diberikan. Anda perlu mencari sijil yang mengesahkan ketulenan pihak berkuasa pensijilan ini. Oleh itu, semasa proses pengesahan sijil, kemajuan sepanjang rantaian sijil (laluan pensijilan) berlaku. Di penghujung rantaian sijil, yang memimpin daripada sijil kunci awam penghantar melalui beberapa pihak berkuasa pensijilan, terdapat sijil yang dikeluarkan oleh CA yang dipercayai sepenuhnya. Sijil sedemikian dipanggil sijil punca dipercayai kerana ia membentuk punca (nod paling atas) dalam hierarki perhubungan identiti kunci awam yang dianggap dipercayai.

Jika terdapat kepercayaan eksplisit dalam sijil punca dipercayai yang diberikan, maka terdapat kepercayaan tersirat dalam semua sijil yang dikeluarkan oleh sijil punca dipercayai dan semua CA yang diperakui olehnya.

Satu set sijil akar dipercayai yang dipercayai secara eksplisit ialah satu-satunya maklumat yang perlu diperoleh dengan cara yang boleh dipercayai. Set sijil ini adalah asas sistem amanah dan justifikasi untuk kebolehpercayaan infrastruktur kunci awam.

Secara umum, semasa mengesahkan sijil, anda perlu menyemak medan sijil berikut:

· Jenis sijil – sijil dibenarkan untuk digunakan dalam mod ini.

· Tempoh sah laku – Sijil itu sah pada masa ini.

· Integriti – Tandatangan digital CA yang mengeluarkan sijil adalah betul.

· Kesahihan – sijil tidak dibatalkan.

· Amanah – sijil CA akar hadir dalam stor "dipercayai".

akar CA".

· Larangan – CTL tidak melarang penggunaan sijil untuk tugasan tertentu.

Hari ini kita akan bercakap tentang:

• mengapa topik kriptografi dan tandatangan elektronik menarik hari ini;
• apakah peraturan yang berkuat kuasa pada topik ini;
• apakah keupayaan kriptografi yang dilaksanakan dalam platform 1C;
• bagaimana keupayaan ini boleh dikembangkan menggunakan komponen luaran;
• Mari kita bincangkan tentang subsistem "Tandatangan Elektronik" dalam BSP;
• mengenai pelaksanaan perkhidmatan 1C-EDO dan 1C:DirectBank, pembangunan yang saya selia;
• kami akan menyentuh isu membangunkan penyelesaian kami sendiri untuk bekerja dengan kriptografi pada platform 1C:Enterprise;
• Mari lihat masalah biasa yang timbul apabila melaksanakan EDI di perusahaan - saya akan memberitahu anda cara menyelesaikannya.

Saya ingin menarik perhatian anda kepada dua istilah yang akan digunakan dalam kelas induk.

• Yang pertama ialah EDI, dokumen elektronik perolehan. Ini yang kami maksudkan kedua-dua aliran dokumen elektronik dalaman di perusahaan dan luaran dengan kontraktor pihak ketiga.
• Pengurangan kedua ialah EP. Di Internet terdapat penyahkodan: "kerajaan elektronik" dan "pemacu elektrik". Kami akan memilikinya tandatangan elektronik.

Mengapakah isu kriptografi dan tandatangan elektronik relevan pada masa ini?

• Untuk perusahaan moden kepantasan proses perniagaan adalah salah satu kelebihan daya saing . Apabila menggunakan pengurusan dokumen elektronik, kos masa dikurangkan secara statistik sebanyak 75%.
• Apabila beralih kepada pengurusan dokumen elektronik, menjimatkan sumber anda sendiri(kertas, kartrij pencetak, ruang penyimpanan untuk dokumen, masa pekerja untuk menyusun kertas kerja). Semua ini sangat membantu syarikat.
• Hampir setiap perusahaan kini menggunakan saluran perbankan jauh, dan keselamatan pembayaran jarak jauh sangat relevan pada masa ini.
• Semua pembayar cukai utama kini memasukkan dalam kontrak mereka peruntukan bahawa jika anda ingin bekerja dengan mereka, tukar dokumen secara elektronik. Semuanya menjadi elektronik- invois elektronik, pesanan elektronik, dsb. Jika anda ingin menyertai lelongan, anda mesti mempunyai tandatangan elektronik.
• Semua ini secara beransur-ansur menjadi meluas, tetapi walaupun ini, penduduk kita tidak mempunyai maklumat yang mencukupi. Ini mewakili peninggalan yang serius, dan oleh itu tujuan semakan ini adalah untuk memberi anda kursus yang akan membantu anda menavigasi isu ini dan mengetahui perkara yang boleh anda pelajari dan tempat yang boleh anda tonton.

Rangka kerja kawal selia, amalan pemakaian

Apakah konsep yang akan kita lihat?

Dokumen elektronik

Dokumen elektronik ialah sebarang maklumat yang dikemukakan dalam bentuk elektronik:

• Anda telah mengambil gambar kereta anda - imej ini adalah dokumen elektronik;
• menghantar kenyataan kepada bos emel- ini juga dokumen elektronik.

Mana-mana dokumen boleh ditukar menjadi dokumen digital, tetapi tidak setiap dokumen elektronik boleh dikenali tanpa campur tangan manusia.

Pemprosesan mesin lebih menjanjikan, begitu banyak dokumen boleh dibahagikan kepada dokumen elektronik rasmi dan tidak rasmi.

• Dengan dokumen tidak rasmi, kami bermaksud bahawa seseorang melihat gambar dan melihat bahawa nombor kereta adalah itu dan itu.
• Dan untuk dokumen elektronik rasmi, skim biasanya dibangunkan yang menentukan komposisi medan, sekatannya, mandatori atau pilihan, dsb. Dokumen rasmi tersebut boleh dikenali secara automatik.

Masa depan terletak pada dokumen elektronik rasmi. Jabatan secara beransur-ansur bergerak ke arah baharu. Ramai daripada mereka mengeluarkan peraturan mereka sendiri yang menerangkan dalam format apa maklumat boleh ditukar.

• Sebagai contoh, Mahkamah Timbang Tara Menerima dokumen hanya dalam format PDF.
• Dan invois elektronik mesti dihantar dalam format XML, dan terdapat rangka kerja kawal selia khas yang menerangkan medan yang diperlukan. Pembayar cukai yang ingin menukar invois secara elektronik mesti mematuhi keperluan ini dengan tegas.

Sebelum ini, terdapat masalah yang Perkhidmatan Cukai Persekutuan mewajibkan kami beralih kepadanya format baharu dokumen elektronik adalah lebih kurang sama dengan format baharu pelaporan elektronik- mulai 1 Mac akan ada format baharu, dan kemudian "sekurang-kurangnya rumput tidak akan tumbuh." Kini, selepas beberapa tahun, mereka menerbitkan format tersebut, menunggu maklum balas dan kemudian memberi amaran bahawa mereka perlu menukarnya dengan lancar sepanjang tahun ini. Pada masa yang sama, kedua-dua format lama dan baharu diterima secara selari. IRS harus sentiasa menerima dokumen dalam apa-apa format kerana dokumen boleh berumur lima tahun dan ia masih harus diterima secara elektronik.

Tandatangan elektronik

Undang-undang No. 63-FZ memperkenalkan konsep tandatangan elektronik. Sebelum ini, terdapat konsep "tandatangan digital elektronik" (EDS), kini lebih tepat untuk menggunakan istilah "tandatangan elektronik". Mengikut undang-undang ini ada tiga jenis tandatangan elektronik.

• Jenis pertama ialah tandatangan elektronik mudah. Sebagai contoh, apabila menggunakan perbankan mudah alih Anda menerima SMS dengan kata laluan sekali sahaja, dan anda mengesahkannya - ini serupa dengan tandatangan elektronik yang mudah. Tandatangan ini hanya boleh mengenal pasti penulis.
• Jenis kedua dan ketiga ialah tandatangan elektronik yang dipertingkatkan. "Diperkukuh" bermaksud bahawa beberapa jenis alat kripto digunakan. Tandatangan dipertingkatkan dibahagikan dengan tidak mahir dan berkelayakan.

Tandatangan elektronik yang layak dipertingkat kadangkala hanya dipanggil tandatangan elektronik yang layak (QES). Ini adalah tandatangan elektronik berdasarkan sijil yang dikeluarkan oleh pihak berkuasa pensijilan bertauliah. Kementerian Telekom dan Komunikasi Massa mengekalkan senarai pusat pensijilan yang mengeluarkan sijil tandatangan elektronik.

Sijil tandatangan elektronik(ia juga boleh dipanggil sijil kunci pengesahan tandatangan elektronik) - ini kertas atau dokumen elektronik yang mengenal pasti dengan jelas siapa pemilik tandatangan itu.

Tandatangan elektronik yang layak paling banyak digunakan. Tujuan utamanya ialah ia mengesahkan kepengarangan, menjamin bukan penolakan, dan memastikan integriti data yang ditandatangani. Ini bermakna jika anda menandatangani invois elektronik dengan tandatangan elektronik yang layak, maka:

• Anda tidak boleh mengatakan bahawa ini bukan tandatangan anda;
• Anda tidak boleh menolak (membatalkannya);
• anda boleh menyemak sama ada perubahan telah dibuat pada dokumen ini selepas anda menandatanganinya.

Jika kita bercakap tentang penggunaan tandatangan elektronik, maka ia patut membahagikannya kepada tempatan dan awan.

• Tandatangan elektronik tempatan- situasi apabila anda menandatangani beberapa dokumen pada komputer anda. Dalam kes ini, alat kripto diperlukan, memasang sijil adalah banyak kesukaran.
• Tandatangan elektronik awan- situasi apabila anda mempercayai penyimpanan kunci peribadi kepada pemegang tertentu dalam "awan", dan untuk menandatangani dokumen, anda perlu membawanya ke awan ini. Kemungkinan besar, anda akan menerima kata laluan sekali sahaja pada telefon anda, yang perlu anda sahkan. Dan selepas pengesahan, tandatangan elektronik akan dihasilkan pada pelayan di awan, dan anda akan menerima dokumen yang ditandatangani.

FSB mengeluarkan surat penjelasan yang menjelaskannya tandatangan elektronik awan tidak layak. Oleh itu, jika undang-undang mengatakan bahawa dokumen mesti ditandatangani dengan tandatangan elektronik yang layak, dan dokumen anda ditandatangani dalam "awan", maka perlu diingat bahawa mungkin terdapat masalah dengan ini - anda perlu mendekati perkara ini dengan berhati-hati.

Apakah perkara menarik lain yang boleh anda beritahu kami tentang perundangan yang akan menjejaskan kami?

• Pada tahun 2016, sebuah pusat pensijilan tunggal Kementerian Telekom dan Komunikasi Massa Rusia muncul, yang membolehkan anda membina rantaian kepercayaan sehingga mana-mana sijil. Pusat pensijilan ketua Kementerian Telekom dan Komunikasi Massa ini mengeluarkan sijil kepada pusat pensijilan bertauliah, dan mereka sudah mengeluarkan sijil kepada individu dan entiti undang-undang. Oleh itu, untuk mana-mana tandatangan elektronik adalah sentiasa mungkin untuk membina rantaian kepercayaan. Ini sangat mudah, kerana sebelum ini sukar untuk mengesahkan dalam amalan bahawa tandatangan daripada pihak berkuasa pensijilan lain adalah sah.
• Sesuatu yang benar-benar baharu - pada awal tahun 2017, Kementerian Telekom dan Komunikasi Massa menghasilkan inisiatif perundangan untuk memindahkan pengeluaran semua tandatangan elektronik yang layak kepada monopoli negeri. Untuk ini, Bank Pusat dan Kementerian Pembangunan Ekonomi secara literal menjawab pada bulan Julai bahawa ini tidak boleh dilakukan, kerana ia akan menghilangkan pekerjaan dan memusnahkan apa yang telah dibangunkan selama ini. Kemungkinan besar, inisiatif perundangan ini tidak akan pergi lebih jauh, tetapi ada idea sedemikian.

Ciri menggunakan EDI dengan ES dalam syarikat

Apakah ciri menggunakan pengurusan dokumen elektronik dalam syarikat? Sila ambil perhatian bahawa apabila anda melancarkan projek yang berkaitan dengan tandatangan elektronik dan kriptografi, perkhidmatan perundingan sangat penting.

Jika syarikat melancarkan pengurusan dokumen elektronik, Itu:

• tugas pertama ialah menetapkan penggunaan pengurusan dokumen elektronik dalam dasar perakaunan;
• seterusnya anda perlukan mengeluarkan perintah kepada perusahaan, di mana untuk menunjukkan orang yang boleh menandatangani dokumen;
• jika anda bertukar dengan rakan niaga, anda mesti mempunyai perjanjian yang menyatakan cara anda akan membatalkan dan melaraskan dokumen. Sebagai contoh, jika anda tidak menyukai beberapa dokumen kertas, maka anda dan rakan niaga anda boleh bersetuju dan hanya mengoyakkannya, dan semuanya akan baik-baik saja. Tetapi dalam bentuk elektronik semuanya agak rumit, kerana bilangan salinan dokumen yang anda hasilkan dan tandatangani boleh menjadi tidak terhad. Dan walaupun anda dan rakan niaga anda bersetuju untuk membatalkan dokumen ini, maka setara elektroniknya tidak mencukupi untuk mengalih keluar dari pangkalan data anda sahaja. Untuk melaraskan dokumen elektronik atau menolaknya, anda perlu mencipta dokumen elektronik baharu berdasarkannya, dan di dalamnya menunjukkan rupa transaksi anda sekarang. Dan hanya selepas anda menandatangani dokumen elektronik baharu ini di kedua-dua belah pihak, maklumat tentang transaksi akan direkodkan dalam borang yang anda perlukan.

Semua ini perlu ditulis dan digunakan.

Kesediaan rangka kerja kawal selia

Saya akan menghargai kesediaan rangka kerja kawal selia kami - sudah ada beberapa jenis "bangunan", tetapi ia masih perlu disiapkan.

• Sebagai contoh, tidak ada pemahaman tentang bagaimana dalam tempoh lima tahun kami akan mengesahkan tandatangan elektronik dalam arkib dokumen elektronik. Kerana sijil itu sah selama satu tahun, dan apabila tempoh sahnya tamat, tandatangan akan menjadi tidak sah - tidak jelas cara menyemaknya.
• Tidak jelas apakah "tarikh tandatangan" itu. Untuk beberapa dokumen perakaunan, adalah penting untuk mengetahui pada masa mana dokumen itu ditandatangani. Kini, apabila menandatangani dokumen, anda boleh "menipu" - tukar tarikh komputer, tandatangani, dan ia akan kelihatan seolah-olah dokumen itu ditandatangani "secara retroaktif." Oleh itu, untuk memastikan bahawa dokumen itu telah ditandatangani pada masa itu, mesti ada salah satu pilihan:
  • atau perlu ada pusat tunggal untuk mengedarkan cap waktu, supaya pada masa menandatangani dokumen, kami menghubungi beberapa pusat perkhidmatan persekutuan, yang akan mengeluarkan cap masa untuk kami menandatangani;
  • atau, apabila anda menukar invois elektronik, terdapat pautan ketiga - ini ialah pengendali pengurusan dokumen elektronik. Ia melewati dokumen sendiri dan menghalang "penipuan" kerana ia menghasilkan resit sendiri (pengesahan), yang menunjukkan tarikh dan masa.

Secara umum, terdapat ruang untuk penambahbaikan.

Mekanisme kriptografi dalam platform 1C:Enterprise 8

Mekanisme kriptografi dalam platform muncul dalam versi 8.2 - ini adalah mekanisme yang agak muda. Platform itu sendiri tidak mengandungi algoritma kripto, ia hanya mengandungi panggilan dan objek yang anda boleh mengakses dana kripto yang terdapat pada komputer:

• untuk Windows - ini ialah antara muka CryptoAPI;
• untuk Linux tiada antara muka sedemikian; modul kriptografi diakses secara langsung.

Daripada ini menjadi jelas bahawa kriptografi hanya boleh digunakan jika alat kripto dipasang pada komputer. Dan, sebaliknya, platform 1C:Enterprise itu sendiri tidak perlu diperakui dari segi kriptografi.

Operasi kriptografi asas dalam platform 1C:Enterprise 8:

• Anda tahu bahawa platform boleh berfungsi dalam mod yang berbeza: tebal, nipis, pelanggan web, gabungan luar dan aplikasi mudah alih. Kriptografi disokong dalam semua mod pelancaran ini- untuk aplikasi mudah alih, sokongan untuk mekanisme kriptografi muncul dalam versi 8.3.10. Saya akan mengesyorkan membaca Pembantu Sintaks dan melihat kaedah yang tersedia dalam mod pelancaran, kerana terdapat batasan di sana.
• Platform ini membolehkan anda bekerja dengan sijil kunci awam (X.509) yang dipasang pada komputer. Kami tidak boleh mengeluarkan sijil baharu atau meminta pengeluarannya, kami hanya bekerja dengan apa yang kami ada - menggunakan mekanisme platform kami boleh mencari sijil pada komputer, membaca atributnya, memuat naiknya ke fail dan menyemak kesahihannya.
• Dalam amalan saya, saya sering menghadapi salah faham tentang Bagaimanakah penyulitan dan penyahsulitan berfungsi dalam platform?. Ini amat penting apabila anda melakukan penyepaduan dengan beberapa kontraktor luar yang tidak bekerja pada 1C. Apabila anda menyulitkan dokumen, anda menghantarnya ke sisi lain, dan di sana mereka cuba menyahsulitnya. Sebagai contoh, soalan sering timbul jika, apabila menyediakan penyedia kripto dalam 1C, algoritma GOST 28147-89 ditentukan, iaitu simetri, dan apabila menyahsulit ia memerlukan akses kepada kunci persendirian. Biar saya ingatkan anda bahawa algoritma penyulitan simetri bermakna anda menggunakan kunci yang sama untuk penyulitan dan penyahsulitan. Dan penyulitan asimetri ialah apabila data disulitkan menggunakan kunci awam, dan satu lagi kunci peribadi (rahsia) digunakan untuk penyahsulitan. Kontraktor bertanya: "Tetapi anda mengatakan bahawa algoritma penyulitan adalah simetri, maka mengapa bahagian sulit kunci diperlukan semasa menyahsulit?" Mari kita fikirkan bagaimana mekanisme penyulitan dalam platform berfungsi:
  • kunci dengan panjang tetap dibuat secara rawak, dengan bantuan set data disulitkan menggunakan algoritma simetri;
  • maka kunci itu sendiri disulitkan dengan algoritma asimetri menggunakan kunci awam sijil penerima;
  • penyulitan menggunakan algoritma simetri berfungsi lebih pantas - kami menyulitkan sejumlah besar data dengannya, dan kemudian dengan cepat menyulitkan kunci kecil dengan panjang tetap menggunakan algoritma asimetri;
  • data yang disulitkan, senarai sijil penerima dan kunci yang disulitkan itu sendiri dibungkus ke dalam satu paket data mengikut spesifikasi PKCS#7;
  • paket ini dihantar ke bahagian penerima;
  • dan penyahsulitan berfungsi dalam susunan terbalik.
• Menandatangani dan mengesahkan tandatangan elektronik. Apabila menandatangani menggunakan platform, bahagian peribadi kunci diakses dan integriti (kesahan matematik) tandatangan diperiksa, dibina ke dalam platform. Dari sudut kepentingan undang-undang, ini tidak mencukupi. Jika anda ingin menyemak tandatangan elektronik pada dokumen, anda mesti menyemak:
  • kesahan sijil;
  • kesahan matematik data yang anda hantar.

Inilah yang dilakukan dalam mekanisme BSP - kita akan bercakap mengenainya sedikit kemudian. Platform tidak melakukan ini.

Sambungan TLS selamat untuk mengatur saluran pertukaran data yang disulitkan. Dua versi TLS disokong - 1.0/1.2. Versi TLS ditetapkan oleh sumber yang anda gunakan untuk membuat sambungan - jika sumber menggunakan protokol 1.2, maka platform akan meningkatkan sambungan yang disulitkan kepada 1.2. Jika anda menggunakan BSP, maka apabila anda mengakses sumber yang alamatnya mengandungi “https”, penyulitan dihidupkan secara automatik. Jika alamat mengandungi "http", maka trafik tidak disulitkan. Satu lagi perkara menarik yang boleh saya katakan ialah sebelum ini sambungan yang disulitkan hanya diwujudkan dengan algoritma RSA, dan kini dengan algoritma GOST juga. Penyemak imbas belum lagi menyokong algoritma GOST, tetapi platform itu sudah pun menyokongnya. Tetapi tidak semuanya begitu baik, malangnya.

Saya telah menyebut bahawa platform hanya boleh berfungsi dengan alat crypto yang dipasang pada komputer itu sendiri. Sehubungan itu, terdapat had - jika anda ingin menggunakan kriptografi, anda mesti mempunyai beberapa jenis alat kripto. Pada masa yang sama Alat kripto tidak boleh digunakan dalam mod mudah alih ia mesti dipasang pada OS. Nampaknya mereka memasukkan token dengan cara kripto ke dalam komputer, platform berfungsi dengannya - ia tidak akan berfungsi seperti itu.

Tandatangan elektronik dijana hanya dalam format PKCS#7(fail luaran yang berasingan), platform tidak mengetahui cara lain.

Sesetengah agensi memerlukan format tandatangan XMLDSig- dalam versi yang dipermudahkan, situasinya ialah apabila dalam fail XML anda boleh mengambil set teg tertentu, menandatanganinya dan meletakkan tandatangan dalam teg seterusnya, supaya terdapat beberapa tandatangan dalam satu dokumen. Platform tidak boleh berbuat demikian.

Saya juga akan ambil perhatian bahawa Sukar untuk mendiagnosis masalah menggunakan platform. Sebagai contoh, terdapat alat kripto pada komputer, terdapat sijil, terdapat bahagian peribadi kunci di suatu tempat, dan jika platform mula memanggil semua ini dan pada satu ketika sesuatu tidak sesuai bersama, ralat hanya diberikan - bahawa kegagalan berlaku dan operasi tidak berlaku. Apa yang berlaku di sana, di mana masalahnya, tidak jelas. Oleh itu, terdapat ruang untuk kedua-dua platform dan dana crypto untuk bergerak ke arah ini.

Kriptografi dalam komponen luaran

Untuk mengalih keluar sekatan platform, anda boleh cuba membuat komponen luaran.

• Untuk tujuan ini, syarikat 1C mempunyai keseluruhan metodologi, ia dipaparkan pada cakera ITS di https://its.1c.ru/db/metod8dev#content:3221:hdoc. Contoh dilampirkan padanya, anda boleh menggunakannya.
• Apabila membangunkan komponen luaran, anda anda perlu membuat binaan untuk semua sistem pengendalian yang dijalankan oleh pelanggan anda. Adalah baik jika anda mengetahui lebih awal bahawa anda mempunyai 100 pelanggan, dan kesemuanya mempunyai Windows 32-bit. Jika ini tidak berlaku, anda harus membina:
  • untuk Linux;
  • untuk Windows (32-bit dan 64-bit);
  • jika pelanggan anda bekerja melalui penyemak imbas, anda perlu membina sambungan untuk setiap penyemak imbas secara berasingan.

• Ia menjadi lebih teruk semasa digunakan. Anda bekerja dengan komponen luaran seolah-olah ia adalah objek yang sifatnya hanya anda tahu. Jika anda membuat kesilapan di suatu tempat semasa pelaksanaan, kod program untuk berinteraksi dengan objek ini tidak akan dapat berfungsi.
• Terdapat satu lagi masalah - tidak jelas bagaimana anda akan menyampaikan komponen luaran ini kepada pelanggan. Pelanggan sudah mempunyai platform, semuanya jelas dengan alat kripto, dan kini anda telah menulis komponen luaran yang menghubungkan alat kripto dan platform. Tetapi di mana komponen luaran ini terletak, cara anda menghantarnya kepada pelanggan tidak jelas.
• Anda sepatutnya menyelenggara dan mengemas kini kod program. Jika anda menggunakan komponen luaran anda dalam penyelesaian standard, maka apabila mengemas kininya, semua ini perlu diambil kira. Dan jika dilepaskan versi baharu platform, anda mesti menguji semula segala-galanya.
• makan contoh siap sedia komponen luaran. Kebanyakan contoh yang bersinar dalam amalan saya, ini adalah komponen luaran untuk Sberbank. Lebih tepat lagi, Sberbank menghasilkan komponen luaran untuk perkhidmatan 1C:DirectBank. Komponen luaran ini melaksanakan format tandatangan elektroniknya sendiri dan mewujudkan sambungan yang disulitkan.

Subsistem BSP “Tandatangan elektronik”

Sekarang mari kita bercakap tentang cara untuk memudahkan kerja.

"1C: Library of Standard Subsystems" (BSP) ialah konfigurasi standard sedia dibuat daripada 1C, satu set subsistem berfungsi universal, salah satunya dipanggil "Tandatangan Elektronik".

Saya ingin segera menarik perhatian anda kepada fakta bahawa BSP itu sendiri adalah sejenis tahap yang terpencil daripada platform, yang mempunyai perisian dan antara muka pengguna. Subsistem "Tandatangan Elektronik" melaksanakan perisian dan antara muka pengguna untuk bekerja dengan alat kriptografi (penyulitan, tandatangan elektronik).

Apabila mempertimbangkan subsistem "Tandatangan Elektronik", adalah penting untuk memahami kandungannya:

• Fungsi asas, di mana perkara dilaksanakan yang tidak boleh disentuh jika anda mahu semuanya berfungsi.
• Dan terdapat bahagian ganti khas untuk pembangun seperti kami, di mana anda boleh menambah sesuatu untuk menjadikan sesuatu berfungsi dengan cara yang berbeza. Jika sesuatu tidak ada, saya mengesyorkan menulis kepada mereka yang membangunkan BSP supaya mereka memasukkan kemungkinan mengatasi dalam fungsi asas, dan kemudian anda boleh melakukan apa yang anda perlukan di bahagian yang diganti.

Bilangan objek dalam subsistem tidak begitu besar; hanya terdapat dua direktori:

• “Program Tandatangan dan Penyulitan Elektronik”;
• "Sijil Tandatangan Elektronik dan Kunci Penyulitan."

Tetapi bilangan baris kod dalam modul biasa adalah sangat besar - 11.5 ribu baris kod. Dan bekerja dengan subsistem itu sendiri tidak begitu mudah.

Bagaimana untuk mengintegrasikan subsistem "Tandatangan Elektronik"?
Katakan anda mempunyai beberapa jenis konfigurasi dan anda memutuskan bahawa anda perlu membina subsistem ini ke dalamnya:

• Pertama sekali, anda perlu membaca di ITS bagaimana subsistem dibenamkan;
• selanjutnya - baca arahan untuk subsistem (Bab "Mengkonfigurasi dan menggunakan subsistem semasa membangunkan konfigurasi", subseksyen "Tandatangan Elektronik") - prosedur operasi ditulis di sana;
• Anda pastinya harus membiasakan diri dengan contoh panggilan ke subsistem "Tandatangan Elektronik" dalam pangkalan data demo BSP;
• dan pada akhirnya, selepas subsistem telah dibina, anda perlu menyemak:
  • terdapat pemeriksaan platform lanjutan apabila anda membenamkan objek;
  • dan terdapat juga pemprosesan berasingan pada ITS "Memeriksa penyepaduan subsistem BSP" - dengan bantuannya anda boleh menyemak bagaimana anda telah membina semuanya.

Dan jika anda mempunyai konfigurasi dari awal, maka anda mengambil subsistem dan menulis berdasarkannya - anda akan mengemas kini sendiri.

Bagaimana untuk menguji tandatangan elektronik?

• Untuk ujian boleh gunakan sijil yang ditandatangani sendiri- lepaskannya pada alat crypto anda daripada Microsoft, yang terbina dalam Windows.
• Atau anda boleh gunakan CIPF luaran. Dengan CryptoPro anda boleh:
  • muat turun versi percubaan daripada tapak web anda;
  • memesan sijil ujian anda melalui pusat pensijilan ujian;
  • memasang sijil akar pihak berkuasa pensijilan ujian;
  • muat turun dan pasang senarai pembatalan sijil (CRL) daripada CA ini.

Oleh itu, "tanpa meninggalkan sofa," anda akan menerima persekitaran ujian untuk bekerja dengan sijil dan kriptografi. Ini boleh digunakan.

Fungsi utama subsistem “Tandatangan Elektronik” daripada BSP

Ini adalah contoh pangkalan data demo BSP. Dalam bahagian "Pentadbiran" terdapat dua pilihan berfungsi: "Penyulitan" dan "Tandatangan elektronik". Jika anda telah mendayakannya, anda boleh pergi ke tetapan.

Dalam tetapan terdapat dua direktori: "Program" dan "Sijil". Dalam "Program" sistem menentukan program yang dipasang dan segera menunjukkan sama ada semuanya baik atau semuanya buruk. Jika anda menggunakan beberapa alat kripto khusus yang tiada dalam BSP, anda boleh mengklik butang "Tambah" dan tentukan parameter untuk mengaksesnya di sana.

Jika anda bekerja melalui klien web, subsistem BSP akan menggesa anda untuk memasang sambungan terlebih dahulu untuk bekerja dengan fail dan sambungan untuk bekerja dengan kriptografi. Ini sangat mudah kerana anda tidak perlu mengkonfigurasinya sendiri - sistem akan mencari sambungan dan menawarkan untuk memasangnya.

Sijil boleh ditambah dalam dua cara.

• Pilihan pertama ialah "Daripada yang dipasang pada komputer." Dalam kes ini, kotak dialog dibuka di mana kami menunjukkan cara kami akan menggunakan sijil ini.

• Dan pilihan kedua - anda boleh memesan pengeluaran sijil baru yang layak. Sila ambil perhatian bahawa platform itu sendiri tidak membenarkan anda untuk memerintahkan pengeluaran sijil, tetapi BSP membenarkan. BSP telah berintegrasi dengan pusat pensijilan 1C, yang mengeluarkan sijil tandatangan elektronik yang layak. Anda boleh pergi melalui wizard tetapan:
  • sistem akan memberitahu anda dokumen yang perlu diisi dan dicetak untuk mengeluarkan sijil;
  • anda perlu membuat perjanjian dengan rakan kongsi yang boleh mengesahkan identiti anda dan memindahkan dokumen ke 1C;
  • selepas 1C menerima dokumen, sijil akan dikeluarkan;
  • sistem akan mencarinya dan memasangnya pada komputer anda.

Oleh itu, pengguna menerima sijil tandatangan elektronik yang layak tanpa meninggalkan program.

Kemudian keajaiban berlaku - menyemak sijil dengan mendiagnosis ketepatan tetapan. Dialog ini membolehkan anda menyemak cara kriptografi dikonfigurasikan dengan betul pada komputer anda - sistem akan cuba menandatangani dengan sijil, mengesahkan, menyulitkan, menyahsulit. Anda juga boleh memasukkan beberapa diagnostik tambahan anda sendiri di sini.

Jika anda atau pelanggan anda mempunyai sebarang masalah, jalankan "Diagnostik" dan semuanya akan menjadi jelas. Sekiranya terdapat masalah, seperti dalam contoh pada slaid, anda boleh mengklik pada ikon ralat, ia akan menunjukkan kepada anda sebab yang mungkin dan cuba memberitahu anda apa yang perlu diperbaiki.

Anda boleh melihat cara membuat panggilan untuk menandatangani dan penyulitan/penyahsulitan menggunakan contoh direktori “Fail” dalam pangkalan data demo BSP atau dalam “1C: Pengurusan Perdagangan”, “1C: ERP” - terdapat subsistem yang sama di sana.

Perkhidmatan "1C-EDO" dan "1C: Direct-Bank"

Bagaimanakah kriptografi digunakan dalam perkhidmatan? Perkhidmatan pertama, 1C-EDO, ialah perkhidmatan yang direka untuk pertukaran dokumen elektronik penting secara sah melalui pengendali mesra syarikat 1C.

• Kefungsian pelanggan dibangunkan dalam Perpustakaan Dokumen Elektronik.
• Apabila anda cuba menyambung ke pelayan, sambungan SSL yang disulitkan (melalui HTTPS) menggunakan algoritma RSA berlaku.
• Kebenaran dengan kriptografi digunakan. Memandangkan pelayan tidak mengetahui apa-apa tentang kami, mereka menghantar kepada anda token yang disulitkan, dan jika anda adalah orang yang "betul", maka anda menyahsulit token ini menggunakan kunci persendirian dan kemudian menggunakannya untuk menukar data.
• Anda boleh melihat dokumen elektronik, menandatanganinya, menyemaknya, membungkusnya ke dalam pakej data dan menghantarnya.
• Pengesahan dan, secara amnya, semua kriptografi berfungsi melalui BSP. Pengesahan tandatangan elektronik dilakukan dalam dua peringkat:
  • Pertama, kesahihan sijil itu sendiri diperiksa: tempoh sah, rantaian amanah, sifat;
  • Jika semuanya baik dengan sijil, maka cincangan matematik dikira. Jika semuanya baik dengan matematik, tandatangan itu dianggap sah dan dilampirkan pada dokumen.
• Juga, dengan bantuan BSP, diagnostik lanjutan tetapan EDI dilaksanakan - ditentukan bahawa pelayan tersedia, dan semuanya teratur dengan peserta dalam aliran dokumen elektronik - dia mempunyai rancangan tarif aktif, dsb.

Perkhidmatan kedua ialah "1C: DirectBank". Tujuannya adalah untuk menukar dokumen elektronik dengan bank secara langsung, memintas program bank pelanggan.

• Perkhidmatan ini juga disediakan dalam "Perpustakaan Dokumen Elektronik".
• Teknologi terbuka DirectBank diterangkan pada GitHub.
• Apa yang baharu ialah saluran komunikasi yang disulitkan dengan perkhidmatan itu boleh dinaikkan menggunakan algoritma GOST.
• Menyediakan pertukaran dilakukan seperti berikut: 1C membuat permintaan kepada bank untuk menerima tetapan untuk pelanggan tertentu. Sekiranya perlu, bersama-sama dengan tetapan, bank menghantar komponen luaran, yang digunakan dalam pertukaran selanjutnya (ini adalah cara Sberbank melaksanakannya).
• Keizinan dilakukan sama ada dengan token yang disulitkan atau melalui SMS (melalui kata laluan sekali sahaja).
• Menandatangani dan mengesahkan tandatangan elektronik berfungsi sama ada melalui BSP atau melalui komponen luaran (bergantung pada cara bank itu sendiri melaksanakannya).
• Dan diagnostik di sini dibuat lebih menarik, melalui kitaran penuh pertukaran dokumen elektronik jenis khas- "Siasatan permintaan".
  • Sistem 1C log masuk ke sistem bank dan menghantar ke sana dokumen elektronik dengan tandatangannya;
  • Bank menyemak tandatangan elektronik pelanggan, menjana notis bahawa semuanya baik-baik saja dan menandatangani notis itu dengan tandatangannya;
  • Notis itu tiba pada 1C, yang menyemak bahawa tandatangan bank adalah sah dan kemudian mengatakan bahawa semuanya teratur.

Berikut ialah kitaran mini - ia menjelaskan dengan jelas betapa betul pertukaran anda dengan bank disediakan.

Penyelesaian sendiri dengan kriptografi pada platform 1C

Bagaimana untuk membangunkan penyelesaian kriptografi anda sendiri?

Anda boleh membuat konfigurasi dari awal - buka "Syntax Assistant" dan gunakan keupayaan platform untuk operasi kriptografi. Tetapi saya akan mengesyorkan menggunakan BSP - banyak perkara telah ditulis di sana. Dalam kes ini, anda perlu menulis bukan 11 ribu baris kod, tetapi kurang. Tetapi lima ribu baris kod - pasti.

Saya telah memberitahu anda bagaimana untuk menguji. Anda boleh mendapatkan sijil ujian dan cuba bekerja.

Jika anda telah membangunkan konfigurasi dari awal, anda mengekalkannya sendiri. Dan jika anda menggunakan BSP semasa membangunkan, dan ia mengeluarkan beberapa peluang baru, maka anda boleh mengemas kini subsistem BSP dan mencuba ciri ini. Akan ada kesukaran dalam apa jua keadaan, kerana tidak ada "peluru perak" di sini. Saya akan mendekati penilaian sama ada sesuatu itu bernilai atau tidak berbaloi untuk dicipta, bergantung pada masalah yang ingin anda selesaikan. Apabila mempertimbangkan tugas tertentu, anda sudah memilih: penyelesaian anda atau yang standard berdasarkan BSP.

Contoh penyelesaian kami sendiri ialah pembangunan rakan kongsi Industri IT. Mereka membangunkan modul kecil untuk pengurusan dokumen elektronik dalaman berdasarkan 1C:UPP. Di sana, berdasarkan borang bercetak, dokumen elektronik dihasilkan, yang dikaitkan dengan dokumen asas maklumat, dan mungkin untuk menandatanganinya dengan tandatangan elektronik. Aliran dokumen mudah dalam syarikat, tetapi ia masih perlu disertakan.

Kesukaran dalam melaksanakan kriptografi dan tandatangan elektronik dalam organisasi

Apa yang ada masalah utama?

• Jika anda perlu memasang pada satu komputer dua mata wang kripto, konflik akan berlaku. Contohnya, jika pelaporan anda berfungsi melalui VipNet, dan aliran dokumen elektronik dengan rakan niaga melalui CryptoPro. Bagaimana untuk menyelesaikan masalah ini?

Pilihan pertama adalah untuk mengagihkan dana crypto ini ke seluruh komputer yang berbeza.

Jika ini tidak mungkin, maka untuk salah satu perkhidmatan yang anda perlukan untuk mengeluarkan sijil pada cara kripto yang lain - apabila anda memesan sijil daripada pihak berkuasa pensijilan, anda boleh menentukan cara kripto mana yang akan anda gunakan.

• Kadang-kadang dengan pelanggan Kriptografi tidak berfungsi dalam pelayar IE- anda perlu memasang sambungan, tetapi ia tidak dipasang. Nasihat remeh - jalankan penyemak imbas sebagai pentadbir. Ini akan memasang sambungan dan masalah akan diselesaikan.
• Program 1C tidak selalu melihat token JaCard. Saya tidak tahu apa masalahnya, sama ada JaCard atau platform. Anda memasang semula alat crypto - ia berfungsi untuk beberapa lama, dan selepas but semula sistem ia ranap semula. Atas sebab tertentu, 1C dan JaCard tidak begitu mesra.
• Terdapat satu lagi masalah - apabila menyemak sijil, platform sentiasa cuba menyemak sejauh mana sijil ini boleh dipercayai, dan kadangkala ia gagal. Mengapa ini berlaku? Terdapat senarai pembatalan yang termasuk sijil tidak sah. Sebagai contoh, apabila pekerja meninggalkan syarikat, syarikat mesti memaklumkan pihak berkuasa pensijilan bahawa pekerja itu telah keluar dan sijilnya tidak sah. Selepas itu pihak berkuasa pensijilan mengeluarkan senarai pembatalan, yang termasuk sijil ini, selepas itu ia mula dianggap tidak sah. Kadang-kadang atas sebab tertentu tidak mungkin untuk menyemak sijil dalam senarai pembatalan. Apa masalahnya? Senarai ulasan ini tiada kaitan dengan 1C ia dikemas kini secara automatik oleh alat crypto itu sendiri. Untuk melakukan ini, saluran yang stabil mesti dikonfigurasikan dengan pihak berkuasa pensijilan. Jika senarai pembatalan tidak dikemas kini secara automatik, ini bermakna perkhidmatan dalam pihak berkuasa pensijilan tidak dikonfigurasikan dengan cukup baik, atau ia tidak wujud sama sekali. Tukar pihak berkuasa pensijilan dan masalah akan hilang.
• Apabila terdapat banyak sijil (contohnya, lebih daripada 30), kesukaran bermula. Katakan anda telah memindahkan perniagaan anda ke rel elektronik, dan pada pertengahan hari bekerja ternyata tandatangan itu tidak sah kerana sijilnya telah tamat tempoh. Pengeluaran sijil mengambil sedikit masa, perniagaan sedang sibuk, dan begitu juga anda. Untuk kes sebegini anda perlu menggunakan perisian khusus untuk mengekalkan senarai sijil. Terdapat program yang membolehkan anda mengawal kitaran hidup sijil, dan apabila tamat tempoh, mereka menghantar peringatan kepada pentadbir. Ini adalah pilihan yang remeh, tetapi ia membolehkan anda lebih kurang mengatur sijil.

• Pertukaran dengan data daripada 1C berlaku daripada pelayan, oleh itu:
  • buka port pada pelayan 1C:Enterprise;
  • hak akaun pelayan mesti mempunyai "akses Internet";
  • jika anda mempunyai kluster pelayan, maka semua pelayan 1C yang termasuk dalam kluster mesti mempunyai port terbuka.
• Jika tiada kepercayaan terhadap sumber luar, Terdapat artikel berasingan mengenai "Diagnostik masalah "Pengesahan nod jauh gagal" ITS.
• Peraturan keselamatan asas:
  • Kami tidak menyimpan kata laluan pada pelekat;
  • Selepas bekerja, kami mengeluarkan token dari mesin;
  • Kami sentiasa mengemas kini antivirus.
    Jika tidak, ternyata anda telah memasang dana kripto yang disahkan, kunci, dan terdapat virus di sekeliling yang boleh mengambil kesempatan daripada ini. Oleh itu, lindungi perimeter.

Sumber maklumat

Soalan

Saya akan mengesyorkan menggunakan pihak berkuasa pensijilan yang mana anda akan terus bekerja dalam pertukaran dokumen elektronik. Contoh - terdapat pengendali pengurusan dokumen elektronik "Taxcom", ia mempunyai pusat pensijilan. Jika anda akan melancarkan pengurusan dokumen elektronik melalui Taxcom, maka wajar untuk menghubungi mereka untuk mendapatkan sijil.

Anda mengatakan bahawa FSB memberikan sedikit penjelasan tentang sijil awan. Bagaimana jika sijil disimpan bukan secara tempatan, tetapi dalam awan, ia tidak boleh dianggap diperkukuh. Dalam kes pertukaran standard invois dan UPD, bolehkah kami menggunakan sijil awan atau adakah sijil yang diperkukuh masih diperlukan?

Undang-undang mengatakan bahawa apabila menukar invois, tandatangan elektronik yang dipertingkatkan diperlukan, jadi "awan" tidak akan berfungsi di sini. Tetapi untuk jenis dokumen elektronik lain - sila.

Secara kasarnya, untuk mana-mana aliran e-dokumen standard yang kami gunakan dalam 1C, adakah kami memerlukan sijil yang dipertingkatkan?

Tidak, bukan untuk semua orang. Undang-undang hanya bercakap tentang invois elektronik. Mereka mesti ditandatangani dengan tandatangan elektronik yang berkelayakan. Tiada apa-apa ditulis mengenai dokumen yang tinggal. Ini bermakna bahawa untuk invois dan pesanan anda boleh menggunakan tandatangan elektronik tidak layak yang diperkukuh - termasuk dalam awan.

Adakah tiada apa-apa tentang UPD di sana? Malah, UPD kini sama dengan invois.

Terdapat takrifan yang tidak jelas di sana - invois dengan penunjuk lanjutan, tetapi ini tidak sama dengan UPD. Oleh itu, saya berpendapat bahawa UTD termasuk dalam kategori tandatangan elektronik yang tidak layak.

Dan apakah fungsi dalam keseluruhan rantai ini dilakukan oleh pengendali - "1C-EDO" atau "Takskom"? Biasanya, melalui operator, kami menghantar dokumen kepada agensi kerajaan dan menukar invois, tetapi apabila menukar dokumen lain dengan rakan niaga, mengapa kami memerlukan operator?

Operator juga telah bekerja di pasaran selama beberapa hari; Itulah yang mereka katakan - anda menghantar satu invois, dan dua dokumen lagi adalah percuma. Anda masih akan bertukar-tukar invois melalui mereka, jadi lebih mudah untuk menghantar dokumen sendiri melalui mereka juga. Perkara lain ialah jika anda menggunakan pelan yang dipermudahkan dan anda tidak mempunyai invois, maka anda boleh meminta operator mencari pelan tarif yang murah untuk anda. Dan dalam "Perpustakaan Dokumen Elektronik" yang sama adalah mungkin untuk menukar dokumen dengan tandatangan elektronik melalui e-mel, melalui FTP, dsb. Tetapi apabila anda mempunyai 100 rakan niaga, mengatur saluran komunikasi anda sendiri untuk setiap daripada mereka akan menjadi sukar dari segi sokongan.

Dan jika kita ingin menguji sijil yang ditandatangani sendiri, melalui pengendali kita boleh menguji beberapa jenis pertukaran menggunakan sijil yang ditandatangani sendiri?

Tidak, melalui operator - tidak. Jika anda benar-benar ingin mengujinya, tulis kepada syarikat 1C yang anda ingin sambungkan kepada perkhidmatan EDI untuk mengujinya.

Mereka mengatakan bahawa kami bukan pihak berkuasa pensijilan.

Tulis kepada saya, saya akan membantu.

Dan jika kita bertukar tanpa pengendali EDF, mereka membawa saya dokumen elektronik yang ditandatangani, dan saya mahu memuat naiknya ke 1C untuk menyimpannya di sana. Adakah BSP mempunyai alatan yang mencukupi untuk menyemak sama ada ia adalah CEP dan mempunyai butiran yang betul, supaya semua ini boleh dilakukan secara automatik tanpa tetingkap modal, dsb.?

Saya tidak pernah melihat kes sebegini dalam amalan saya, tetapi dalam BSP adalah mungkin untuk memuat naik fail dan menyemak tandatangan elektroniknya. Kemungkinan besar, anda hanya perlu melukis beberapa jenis master untuk senario ini: semak folder, ambil dokumen, ambil tandatangan, semak semuanya, letakkannya di tempat yang sepatutnya dan katakan semuanya ok. Mengenai penyegerakan panggilan - semua ini dilaksanakan dalam BSP segala-galanya dalam pelayar berfungsi dalam mod tak segerak.

Bagaimana jika anda bekerja di 1C melalui terminal? Adakah mungkin untuk memasang "CryptoPro" dan memajukan kekunci untuknya di terminal? Apakah ciri dan masalah? Dan, sewajarnya, jika kita mempunyai lebih daripada 20 entiti undang-undang dan setiap satu daripada mereka mempunyai dua kunci, bagaimanakah hak untuk kunci ini dibezakan? Pada tahap 1C atau apa?

Dalam BSP itu sendiri, apabila anda memuatkan bahagian awam kunci, adalah mungkin untuk menentukan pengguna mana yang akan mempunyai akses kepadanya. Di sana anda boleh log masuk di bawah nama anda dan hanya melihat sijil anda. Tetapi pada masa yang sama mereka semua akan berada di komputer itu sendiri. Oleh itu, anda faham, pastinya tidak perlu memasang bahagian sulit dalam pendaftaran, kerana bahagian sulit kunci boleh dipindahkan dari mesin ke mesin tanpa sebarang masalah. Lebih baik gunakan token. Ia adalah mungkin untuk memajukan token dengan bahagian peribadi kunci ke pelayan terminal. Lelaki yang membuat kunci itu sendiri membantu anda menyediakannya supaya kunci ini kelihatan dalam terminal. Cubalah, percubaan, cari kunci lain, cari orang untuk membantu anda menyediakannya. Tetapi di sini anda perlu memahami bahawa terowong ini dari pelayan terminal ke kunci anda tidak selamat. Anda menjana dokumen elektronik pada pelayan terminal dan sebut - tandatanganinya. Apa yang akan berlaku? Data dipindahkan melalui saluran tidak selamat, pertama ke komputer tempatan tempat kunci dipasang, tandatangan elektronik terbentuk, kemudian data dipindahkan kembali ke pelayan terminal. Tetapi saluran ini tidak dilindungi. Ia hanya boleh dilindungi dengan memasang khusus perisian, yang menjadikan terowong antara pelayan terminal dan mesin tempatan selamat. Jika anda ingin bekerja dengan selamat, maka anda perlu membekalkan token, memajukannya ke terminal dan memasang perisian untuk menyulitkan saluran antara pelayan terminal dan mesin klien.

Beritahu saya, adakah terdapat perbezaan dalam kelajuan antara menandatangani invois elektronik dan perjanjian 100 halaman yang diimbas (yang merupakan grafik semata-mata).

Semakin besar dokumen, semakin perlahan ia ditandatangani, kerana terdapat penyulitan tak segerak - cincang dikira menggunakan algoritma tak segerak. Tetapi dari sudut pandangan sama ada anda menandatangani invois elektronik dengan beberapa baris atau fail 10MB, anda tidak akan melihat perbezaan secara visual. Notis hanya untuk jilid 1000-3000 dokumen.

Berkenaan perayauan 1C-EDO. Teksi mempunyai perayauan antara pengendali. Sejauh manakah kecekapan ini dalam 1C-EDO? Adakah anda mempunyai pengalaman sedemikian? Kerana semua rakan niaga menggunakan operator yang berbeza dan sangat sukar untuk memilih operator dengan liputan maksimum. Siapa yang akan anda cadangkan?

Jika anda memilih antara "1C-EDO" dan lain-lain, maka sudah tentu, "1C-EDO". Tetapi 1C-EDO mempunyai beberapa masalah dengan perayauan - ia tidak menyokong banyak pengendali. Terdapat sumber yang berasingan untuk 1C-EDO, terdapat senarai pengendali yang disokong, saya fikir ia perlu diisi semula dari semasa ke semasa.

Di mana untuk menyimpan arkib dokumen yang ditandatangani? Secara tempatan dalam syarikat atau dalam awan? Adakah mungkin untuk memastikan kesahihan dokumen yang disimpan dalam awan?

Tempat kami menyimpan dokumen yang ditandatangani (dalam awan atau tidak) adalah tidak penting. Secara matematik, cincang telah dikira, dan kandungan dokumen tidak boleh diganti tanpa jejak. Anda kemudian boleh memindahkannya ke suatu tempat sekurang-kurangnya 10 kali, tandatangan sentiasa boleh disahkan secara matematik semata-mata. Jika perkhidmatan awan adalah mudah, sila simpan di dalamnya, ia mungkin lebih menarik.

Adakah operator menyediakan perkhidmatan sedemikian?

Jika anda membuat perjanjian berasingan dengannya untuk menyimpan sandaran, mereka melakukannya dengan bayaran yang berasingan.

Tidakkah mereka menyimpan dokumen yang ditandatangani?

Mereka disimpan secara fizikal, tetapi mereka tidak dikehendaki secara sah untuk menyimpannya. Mereka dikehendaki menyimpan resit sahaja. Jika pejabat cukai datang kepada mereka dan bertanya sama ada dokumen itu dan itu telah diluluskan, mereka akan menunjukkan kepada anda, ya, inilah resitnya, lihat - tandatangan itu dan ini. Apa yang ada di dalam dokumen ini bukan lagi persoalan bagi mereka.

Dan untuk UPP, tidakkah operator menyediakan sebarang pemprosesan untuk EDI?

Saya tidak boleh mengatakan apa-apa tentang pengendali, terdapat banyak daripada mereka, dan masing-masing mempunyai perkembangan mereka sendiri, tetapi UPP sendiri mempunyai pengurusan dokumen elektronik.

****************

Artikel ini ditulis berdasarkan keputusan yang dibaca pada persidangan KOMUNITI INFOSTART EVENT 2017. Lebih banyak artikel boleh dibaca.

Pada tahun 2020, kami menjemput semua orang untuk mengambil bahagian dalam 7 pertemuan serantau, serta ulang tahun INFOSTART EVENT 2020 di Moscow.