ЭП — ALT Linux Wiki

Основные механизмы[править]

Технология открытого ключа — это E DS. Рассмотрим иллюстрацию ее функционирования.

Для большей ясности мы сосредоточимся на механизмах универсальных алгоритмов, которые могут быть использованы как для шифрования, так и для электронной подписи. К таким алгоритмам, в частности, относится Интернет-стандарт RSA, принятый российским правительством.

До 2001 года Россия принимала Постановление 1094. Современные алгоритмы ЭЦП, такие как действующий в настоящее время стандарт ГОСТ Р 34.10-2022 и другие более сложные системы, более сфокусированы в определенном направлении.

Они не предназначены для подписания документов. Тот факт, что хэш не шифруется, технически отличает специализированные алгоритмы. В этом случае вместо шифрования с помощью закрытого ключа выполняются вычисления, а результат сохраняется в виде подписи.

Дополнительные расчеты выполняются, когда подпись проверена с использованием открытого ключа. Стоимость более ценных криптовалют — это потеря универсальности. Читатель, который не обучен, может быть легче понять пример с помощью универсального алгоритма выше.

Авторизация на сайте госуслуг[править]

На сайте Gosuslugi для авторизации следует использовать электронную подпись.

1. В браузере Firefox на странице авторизации Gosuslugi нажмите на ссылку «Войти с электронной подписью» :
2. Подключите токен с ключом к компьютеру, нажмите «Готово» :
3. Выберите сертификат ключа проверки электронной подписи, щелкнув левой кнопкой мыши по строке сертификата:
4. Введите пин-код пользователя и нажмите «Продолжить»:

Аппаратная часть[править]

В России доступны следующие конструкции жетонов:

Программные токены: Рутокен Lite, Рутокен S.

Аппаратные носители с поддержкой российской криптографии: Рутокен ЭЦП, JaСarta ГОСТ, MS_KEY K.

Мы используем следующие списки программных routencene_lite и аппаратных routen EDS поддерживаемых криптографических механизмов в качестве примеров:

$ pkcs11-tool --module /usr/local/lib64/librtpkcs11ecp.so -M
Supported mechanisms:
  RSA-PKCS-KEY-PAIR-GEN, keySize={512,2048}, hw, generate_key_pair
  RSA-PKCS, keySize={512,2048}, hw, encrypt, decrypt, sign, verify
  RSA-PKCS-OAEP, keySize={512,2048}, hw, encrypt, decrypt
  MD5, digest
  SHA-1, digest
  GOSTR3410-KEY-PAIR-GEN, hw, generate_key_pair
  GOSTR3410, hw, sign, verify
  mechtype-0x1204, hw, derive
  GOSTR3411, hw, digest
  GOSTR3410-WITH-GOSTR3411, hw, digest, sign
  mechtype-0x1224, hw, wrap, unwrap
  mechtype-0x1221, hw, encrypt, decrypt
  mechtype-0x1222, hw, encrypt, decrypt
  mechtype-0x1220, hw, generate
  mechtype-0x1223, hw, sign, verify

$ pkcs11-tool --module /usr/local/lib64/librtpkcs11ecp.so -M
Supported mechanisms:

Пустая страница — это Рутокен Лайт. в отличие от Рутокен ЭЦП, в котором используются алгоритмы ГОСТ и RSA.

К аппаратным токенам без поддержки российской криптографии, как уже упоминалось выше, относятся, в частности, JaCarta PKI и eToken.

Использование аппаратных токенов, поддерживающих российскую криптографию, безопасно из-за их низкой стоимости. Аппаратный токен также имеет очевидные преимущества в виде сертифицированного сервиса криптопровайдера и невосстанавливаемого секретного ключа.

Rootken EDS 2.0 с поддержкой ГОСТ Р 34.10-2022

Доступ к сайту госуслуг[править]

Мы будем использовать EDS Rutoken для доступа к общественным услугам и выполнить следующие действия:

1. Скачайте программу «Рутокен плагин» по ссылке;
2. Установите Рутокен плагин — скопируйте файлы плагина (npCryptoPlugin.so и librtpkcs11ecp.so) в ~/. mozilla/plugins/ ;
3. Подключитесь к сайту программы Registry Centre и следуйте инструкциям — инициализируйте токен, сгенерируйте пару ключей, сгенерируйте и локально сохраните файл с запросом подписи PKCS#10 ;
4. Свяжитесь с центром сертификации, который готов выдать сертификат после запроса подписи, получите сертификат в виде файла ;
5. Используйте интерфейс «Registration Center» для регистрации сертификата из полученного файла в качестве токена;
6. Скачайте пакет в формате «deb», файл IFCPlugin-x86_64, через deb;
7. Используйте Midnight Commander (команда mc) для «доступа» к файлу пакета как к директории;
8. Скопируйте содержимое директории CONTENTS/usr/lib/mozilla/plugins в локальный каталог ~/. mozilla/plugins;
9. В браузере Firefox на сайте «Госуслуги» поочередно щелкните по ссылкам «Подключить» и «Подключить электронно».

Основная проблема в осуществлении этой инструкции — найти удостоверяющий центр, готовый работать с запросом на подпись.

Инструментарий производства компании «лисси софт»[править]

Еще одним поставщиком программного обеспечения для использования электронных подписей является компания Lisi Soft. Помимо обычных программных средств для ЦС и распространенных провайдеров криптоуслуг, в распоряжении компании «ЛИСИ СОФТ» имеется ряд инновационных технических решений. Провайдеры криптоуслуг привлекаются для хранения токенов программного обеспечения в облаках.

Программное обеспечение, разработанное компанией Lissy SOFT, характеризуется строгими стандартами и техническими требованиями. Криптопровайдеры, такие как специально созданные и единственные в своем роде библиотеки PKCS11. Разработчики утверждают, что они хорошо интегрируются в программное обеспечение с открытым исходным кодом и позволяют ему поддерживать стандарты. Используйте инструменты набора OpenSSL и HTML-браузер, если это возможно.

Доступ к государственным сайтам может быть организован с помощью системы L ISSY SOFT». Совместимость с «IFCPlugin», плагином для браузера для внедрения ЭЦП, является вторым требованием. Второе — наличие PKCS 10 для проверки сертификатов.

Для доступа к веб-сайтам, использующим российские технологии, иногда может потребоваться использование различных технологий. Зашифрованный канал передачи данных организован с использованием алгоритмов ГОСТ.

В этом сценарии должны быть подключены соответствующие алгоритмы в браузере. К сожалению, российская криптография не полностью поддерживается официальными сборками Firefox и Chrome. Время от времени вам нужно использовать альтернативные сборки. Такие компании, как Cryptopro и Lissy Soft, имеют сборки в альтернативных распределениях, которые являются частью их арсенала крипто -инструментов.

В первую очередь нас интересуют сайты государственных услуг и электронные торговые площадки. Работа с ОС из Реестра отечественного ПО пока поддерживается не всеми ЭТП. Тем не менее, ситуация улучшается.

Наиболее популярным использованием E DS для веб -сайтов является аутентификация и подпись для документов, созданных на платформе. Аутентификация фактически напоминает подписание документов в том, что веб -сайт будет генерировать ряд символов для отправки клиенту.

Клиент отвечает своим закрытым ключом (и, чуть позже, сертификатом). Подпись клиента заверяется службой сайта. То же самое происходит при подписании юридических документов. Здесь вместо бессистемной последовательности слов появляется документ.

Интерфейсы, форматы и протоколы[править]

При создании электронной подписи используются международные стандарты хранения и доступа к данным. Основополагающие требования в области образования:

Важно понимать, что при создании стандартов PKCS11 и RKS S15 изначально не учитывалась специфика криптосредств, сертифицированных в Российской Федерации. Стандарты необходимо было доработать, чтобы они полностью поддерживали отечественную криптографию.

По мере завершения работы над стандартами становится очевидным, что их реализация несовместима с ними. В частности, это касается сертифицированных в Российской Федерации поставщиков криптоуслуг. В настоящее время все лицензированные поставщики криптоуслуг используют контейнеры для хранения токенов-ключей, которые несовместимы с другими видами хранения.

Технический комитет по стандартам «Криптографическая защита информации» (ТК 26), состоящий из экспертов, в настоящее время отвечает за доработку стандартов, разработку рекомендаций и обеспечение интероперабельности в области ЭЦП. Восприятие общественностью работы комитета и его эффективности может быть разным, но само существование такой платформы крайне важно.

Краткая аннотация[править]

Вниманию читателей предлагается исследовательская работа, в ходе которой выявлен ряд проблем с применением средств ЭЦП, возникающих у пользователей Linux. В частности, выяснились следующие не вполне очевидные моменты:

• Возможность получения и использования личного сертификата цифровой подписи для доступа к государственным услугам в настоящее время доступна только за плату от коммерческих организаций;
• Носители электронной подписи, выданные конечным пользователям различными уполномоченными организациями, могут быть несовместимы друг с другом и с порталами для доступа к услугам, включая государственные услуги;
• Уровень безопасности носителей электронной подписи, выданных конечным пользователям в больших масштабах, в настоящее время недостаточен для обеспечения безопасности услуг, предоставляемых конечным пользователям.

По словам авторов работы, пользователи решений, которые полагаются на механизмы EDS, должны найти результаты полезными.

В статье подробно рассказывается, как использовать ЭЦП в ALT OS и какие возможности приложения доступны для России.

Понимание того, что необходимо сделать для «обычного пользователя» ТМ, является основной задачей.

Полное использование определяется как использование сертификата, хранящегося на отдельном физическом носителе, так и возможность подписывать документы электронным способом через пользовательский интерфейс веб-сайта.

На эту тему уже проводились исследования, результаты которых позволили сделать вывод, что все функционирует. В частности, в лабораторных условиях было проведено исследование совместимости современных криптосредств с порталами госуслуг РФ под управлением ОС Linux.

Криптопро csp[править]

По данным Cryptobase, сертифицированного криптопровайдера с наивысшим рейтингом. поддерживает программные токены, созданные с помощью программы UC CryptoPro. Плагины программных кедов поддерживают CryptoPro CSP.

Поддерживает почти все токены программного обеспечения, распределенные и проданные в Российской федерации, но имеет закрытый ключ, который можно извлечь. Потенциально, поскольку нет опубликованных сообщений об успешных попытках получить закрытый ключ к текущей версии криптопоприма.

Версия под Linux имеет интерфейс командной строки с нестандартным (несовместимым с POSIX.2) синтаксисом. Поддерживается большинство современных дистрибутивов, в том числе ALT.

Сертификаты пользователей и документы CA хранятся в местных кэшах, которые вручную управляются в версиях Cryptopro CSP до 4.0. Копия сертификата пользователя и вся цепочка сертификатов CA, вплоть до корневого сертификата, должны присутствовать в одном и том же локальном кэше, чтобы он функционировал должным образом.

До тех пор, пока цепочка проверяется при аутентификации и фактическая действительность сертификата не является фактором, технология теоретически не противоречит технологическим постулатам КриптоПро. Но мы осознаем, что сертификат является нашим собственным.

Разработчики КриптоПро утверждают, что CSP автоматически загружает цепочку сертификатов CAC в новых версиях программы. Однако в локальном кэше пользовательских сертификатов всегда присутствует только тот сертификат пользователя, который используется в данный момент.

Разработчики третьей стороны пытаются обучить КриптоПро CSP выполнять обычные пользовательские функции. Например, rosa-crypto-tol автоматизирует шифрование и подписание документов. Существуют дистрибутивы ALT, содержащие этот пакет.

Самая популярная программа, используемая властями сертификатов. Он производит контейнер с замкнутым форматом на токене для хранения ключа. Работа с контейнерами возможна с CryptoPro CSP. Любой современный токен инициализируется как программное обеспечение, которое поддерживается одним криптопровадером.закрыто;Лицензия должна быть приобретена.

Электронные торговые площадки поддерживают единый браузерный плагин ЭЦП, доступный для Linux. Для доступа к криптопровайдерам PKCSX11 использует библиотеку КриптоПро CSP. На данный момент поддерживаются токены, инициализированные КриптоПро CSP или uC.

Еще один популярный набор от лицензированного криптопровайдера и на CHe знаком с работой с аппаратными токенами, но он не предлагает преимуществ в плане поддержки онлайн-сервисов и торговых платформ.

Криптопровайдеры[править]

CryptoProvider — это часть программного обеспечения, которое предоставляет пользователю доступ к криптографическим операциям, таким как хэшинг и электронная подпись. Для аппаратного токена CryptoProvider реализуется как обычная служба пользователей;Для ключа хранилища он реализован непосредственно на компьютере.

Криптопровайдер является одним из основных векторов атаки для защиты пользовательских данных. В случае успеха атаки злоумышленник сможет скопировать секретный ключ и подделать код приложения своим собственным.

Правительство стремится обезопасить граждан от возможной утечки секретных ключей в ситуациях, когда криптография применяется для обеспечения юридической силы электронной подписи и в ситуациях, когда используются криптографические средства защиты информации. По сути, это означает, что к работе с квалифицированной электронной подписью допускаются только криптопровайдеры, имеющие уникальный сертификат и успешно прошедшие необходимые проверки.

» Рутокен ЭЦП» получила сертификат криптопровайдера для использования на территории Российской Федерации. В первых двух случаях используются аппаратные токены, в остальных — специализированные приложения.

Список поддерживаемых алгоритмов, в том числе для зашифрованных и расшифрованных документов, и наличие графического интерфейса пользователя у разных криптопровайдеров различаются. Сертифицированный криптопровайдер обязан выполнять только те задачи, которые непосредственно связаны с реализацией алгоритмов, а не все эти задачи.

Все остальное может выполнять приложение, разработанное третьей стороной. Пользовательский интерфейс выполняется провайдерами на аппаратных токенах с помощью несертифицированного стороннего приложения. Для связи с криптопровайдером приложение, реализующее пользовательский интерфейс, использует другой стандартный язык PKCS11.

В этом случае ключ может быть найден пользователем непосредственно в браузере Firefox. На самом деле браузер через интерфейс PKCS11 получает доступ к специальному программному слою, реализующему механизмы доступа к определенному аппаратному токену.

Фраза «крипто-провайдер», а также более точная идея «средства криптографической защиты информации» используются на современном языке. Эти идеи идентичны друг другу. Второй термин чаще используется в отношении сертифицированных технических решений, тогда как первый термин является более формальным.

Открытые инструменты[править]

Открытое программное обеспечение на текущий момент позволяет реализовать практически полный программный стек для работы с ЭЦП.

Проект PC-SC создал P C/SC, который намекает на семейство Linux. Не было упоминания о композиции программного стека, которая представлена в этом документе (если он вообще отображается на веб -сайте). В будущем мы предположим, что конкретная опция реализации участвует по умолчанию, если она не указана.

В рамках проекта OpenSC библиотека, реализующая интерфейс PKCSU11, и набор инструментов для ее использования. Инструментарий поддерживает множество аппаратных токенов, включая Рутокен ЭЦП.

С помощью OpenSC вы можете выполнять следующие операции на аппаратном токе:

• Инициализировать токен — сбросить его начальное состояние;
• Установить PIN-коды администратора и пользователя (если поддерживается);
• Сгенерировать пару ключей (если поддерживается библиотекой PKCS#11);
• Импортировать в токен сертификат, подписанный центром сертификации.

Библиотека PKCS#11 из комплекта OpenSC позволяет выполнять на поддерживаемых токенах полный набор операций с электронной подписью. К поддерживаемым токенам относится также Рутокен ЭЦП.

. В рамках OpenSC можно использовать открытый программный стек, а при использовании свободно распространяемой закрытой библиотеки производства «Актив» — закрытый. Принципиально важно понимать, что для Рутокен ЭЦП существует две разные программные поддержки формата хранения ключей на токене: одна из них несовместима с другой, а вторая — не имеет другого решения этой проблемы в принципе.

Приложениям требуется доступ к функциям библиотеки и возможностям токенов для того, чтобы полностью использовать возможности ЭЦП. Иллюстрацией такой реализации является программное обеспечение с открытым исходным кодом проекта Openssl. В частности, оно поддерживается:

• Шифровать данные;
• Расшифровывать данные;
• Подписывать документ;
• Проверять подпись;
• Генерировать запрос на подписание сертификата;
• Импортировать сертификат;
• Экспортировать сертификат.

Кроме того, с помощью OpenSSL можно реализовать функциональность полноценного удостоверяющего центра, в том числе:

• Выпуск клиентских сертификатов путем подписания запросов на подпись в формате PKCS#10
• Отзыв клиентских сертификатов
• Учет выданных и отозванных сертификатов.

Отсутствие модуля с открытым исходным кодом для взаимодействия с библиотеками PKCS12 является основным недостатком OpenSSL.

Существует закрытая реализация модуля, созданная компанией «Active», но она не входит в стандартный дистрибутив OpenSSL. Алгоритмы ГОСТ пока не поддерживаются открытой реализацией модуля.

Firefox, другой известный браузер, может взаимодействовать с библиотеками PKCS111 в дополнение к OpenSSL. Выберите в меню «Параметры», затем войдите во второе окно программы для подключения библиотеки PKCS11.

Вы можете выбрать путь к файлу PKCS11 и ввести локальное имя для этой библиотеки во вновь открывшемся окне. Для различных видов физических и виртуальных устройств могут быть загружены различные модули PKCS11.

К сожалению, Firefox не обладает достаточной функциональностью для подписания документов. [3] ГОСТу не хватает подключенного модуля (плагина), который позволяет связываться с объектами по токену с сайта, для полноценного открытого программного стека ЭЦП без поддержки. Мы ожидаем написание плагина в ближайшее время. открыть, или.

На российском рынке программного обеспечения ЭЦП доминирует компания «КриптоПро». «КриптоПро CSP» — это криптопровайдер, плагин для браузера, а также программное обеспечение для поддержки работы КриптоПро CSP.

Подпись документа[править]

Электронная подпись создается инфраструктурой открытых ключей с использованием асимметричного метода шифрования. Только один из этих ключей может расшифровать данные, которые были зашифрованы другим.

Секретный ключ пары — тот, который закрыт и хранится максимально скрытно. Второй — публичный и открытый; он доступен для свободного распространения в сертификате вместе с ключом к информации о владельце сертификатов электронной подписи, а также подписью владельца (от доверенной стороны) и информацией об авторстве.

Центр сертификации (ЦС), наделенный полномочиями определять и подтверждать соответствие владельца ключа, делает подпись от имени организации. После предъявления документов цифровой сертификат обеспечивает проверку соответствия и заверяется электронной подписью.

Пара ключей доступна ЦС для подписания клиентского сертификата. Уникальная таблица, содержащая проверенные данные о владельце сертификата, объединяется с его открытым ключом. В этот документ внесены следующие два изменения.

Во-первых, документ становится отдельной цепью символов с фиксированной длиной, известной как хэш. Сгенерированный хэш затем шифруется с использованием закрытого ключа, принадлежащего сертифицирующему центру. Шифрование является формой электронной подписи.

Информация об пользователе и его ключ приглашается к подписанному документу в этом случае. Все это является документом, который содержит подробную информацию о пользователе и его открытом ключе и носит подпись CA.

Электронная подпись любого другого документа оформляется так же, как и в случае с данными пользователя на сертификате (для электронной подписи). файл, содержащий заявку на услугу, в качестве иллюстрации. Файл хэшируется, шифруется пользовательским ключом и прикрепляется к документу. В результате вы получаете подписанный документ.

Проверка подписи[править]

Асимметричное шифрование обычно позволяет расшифровать только один ключ с помощью другого ключа в паре. Поэтому в случае с сертификатом для расшифровки зашифрованного хэша документа можно использовать открытый ключ центра сертификации.

Расшифрованный код будет доступен каждому пользователю, который получил сертификат CA и использовал его в качестве доказательства хэш -шифрования данных из его компьютерного файла. Уникальный результат функции хэширования позволяет проверить соответствие между двумя взломами.

Сертификат УЦ будет проверен снова таким же образом, как и раньше. Поэтому «корневой» или неподписанный сертификат находится в конце цепочки подписанных сертификатов. Самоподписанный сертификат — это сертификат, подписанный пользователем. Корневой сертификат является отправной точкой для удостоверяющих центров в Российской Федерации, получивших официальную аккредитацию.

Сертификат содержит следующую информацию: открытый ключ пользователя и дата истечения срока действия. Подпись считается недействительной, если истекает хотя бы один сертификат в цепи.

Если сертификат клиента будет отозван центром сертификации, подпись будет считаться недействительной. Отзыв сертификата выгоден, например, в случае раскрытия секретного ключа. Вы можете связаться с банком, если вы потеряли банковскую карту.

Программная часть[править]

Следующие элементы составляют стек программного обеспечения, используемого для электронных подписей:

• Реализация низкоуровневого интерфейса для доступа к хранилищу ключей — например, интерфейс PC/SC для доступа к физическим единицам — токенам;
• Модуль, реализующий интерфейс PKCS#11 для взаимодействия с криптовалютными провайдерами — например, реализованный на аппаратном токене;
• Криптопровайдер, реализующий соответствующие криптографические алгоритмы и выполняющий действия с ними — например, электронную подпись или шифрование данных;
• Пользовательское приложение, взаимодействующее с другой — по отношению к криптопровайдеру — стороной.

Место примера:

• Программное обеспечение с открытым исходным кодом pcsc-lite реализует интерфейс PC/SC для взаимодействия с аппаратным токеном Рутокен ЭЦП;
• Библиотека libcppksc11.so программного обеспечения КриптоПро CSP взаимодействует с контейнером на токене для хранения закрытого ключа и сертификата пользователя;
• Приложение командной строки cryptcp программного обеспечения КриптоПро CSP взаимодействует с libcppksc11. Функции криптопровайдера полностью реализованы в программных компонентах КриптоПро CSP, аппаратный криптопровайдер токенов не используется.

Другой пример:

• Программное обеспечение с открытым исходным кодом pcsc-lite реализует интерфейс PC/SC для взаимодействия с аппаратным токеном Рутокен ЭЦП;
• Библиотека libcppksc11.so программного обеспечения КриптоПро CSP взаимодействует с контейнером, размещенным в токене для хранения закрытого ключа и сертификата пользователя;
• Приложение-плагин CryptoPro EDS Browser, запущенное в html-браузере Firefox, взаимодействует с библиотекой libcppksc11. Таким образом, библиотека через интерфейс PKCS#11 позволяет подписывать документы в интерфейсе браузера на сайтах электронной коммерции; при этом функции криптопровайдера полностью реализованы в программных компонентах КриптоПро CSP, аппаратный провайдер крипто-токенов не используется.

Третий пример:

• Программное обеспечение с открытым исходным кодом pcsc-lite реализует интерфейс PC/SC для взаимодействия с аппаратным токеном Рутокен ЭЦП;
• Librtpksc11. так от Aktiv обеспечивает взаимодействие с криптопровайдером токенов;
• Криптопровайдер токенов работает, подписывая передаваемые ему данные секретным ключом; секретный ключ не покидает пределов токена;
• Приложение Рутокен Plugin, запускаемое в составе html-браузера Firefox, взаимодействует с библиотекой librtpksc11. Таким образом, библиотека через интерфейс PKCS#11 позволяет подписывать документы в интерфейсе браузера на совместимых веб-сайтах; таким образом, функции криптопровайдинга полностью реализованы в аппаратном токене.

Предполагаемая область применения ЭЦП, уровень технической грамотности пользователя и готовность удостоверяющего центра к работе с запросом на получение сертификата подписи — вот три фактора, которые определяют выбор конкретной реализации стека.

Есть два дополнительных приложения, которые необходимо рассмотреть с точки зрения пользователя. Первое — это программа, которую использует центр сертификации. На сайте Госуслуг вы можете запросить электронную подпись. Второе — это программа, с которой мы хотим быть совместимы в будущем. программа, используемая для электронной подписи документов.

Если ЦС, у которого мы ищем сертификат PKCS10, не способен обрабатывать запросы на подпись (т.е. у нас нет выбора (поскольку он рассматривает любой токен как программный).

Пара ключей обычно генерируется программой УЦ, которая также хранит сертификат и записывает его на токен. Создатель программного обеспечения УЦ будет единственным, кто имеет доступ к закрытому контейнеру, где будут храниться сертификат и ключ.

Для доступа к контейнеру с ключами необходимо приобрести криптопровайдер у того же разработчика. Один разработчик будет работать в EDS. Вы можете использовать аппаратное обеспечение для токенизации программного обеспечения. В итоге токен придется транспортировать.

Нам неважно, какое программное обеспечение используется, лишь бы центр сертификации, у которого мы хотим получить сертификат PKCS10, был способен обрабатывать запросы подписи Pkcs 10 и реализовывать эту версию протокола (PRS). Для сотрудничества с нами можно использовать криптопровайдера, дружественного ко всем нашим целевым приложениям.

Взятие веб -сайта общественных услуг или электронных торговых платформ в качестве примеров. В этой ситуации просто создайте запрос на подпись и представьте его в CA вместе с вашими бумажными документами, чтобы получить сертификат;Вам не нужно приносить токен.

К сожалению, не многие УЦ оснащены оборудованием для обработки запросов на подпись. Отчасти это связано с тем, что пользователи не имеют достаточной технической подготовки, чтобы проверить, правильно ли был сделан запрос на подпись. У этой проблемы есть решение в виде руководства.

Торговые площадки[править]

Для электронных торговых платформ, аналогичных порталу общественных услуг, электронные цифровые механизмы сигналиста позволяют аутентификации сайта с использованием сертификатов токенов.

Другими словами, можно принять участие в аукционах и размещать заявки. Эта функциональность является фундаментальной для большинства ETP. Информационные системы EDS должны работать правильно.

В конце 2022 года исследование совместимости пяти федеральных электронных торговых площадок с ОС из Реестра российских программ (РП) провела компания «Базальт СПО», Москва, при содействии специалистов «Визнес-ИНФО», Санкт-Петербург, и НТЦ «Галэкс».

Большинство федеральных торговых площадок, включая Единую электронную торговую площадку, РТС-тендер и Сбербанк-АСТ, могут работать под управлением ОС семейства Linux, говорится в исследовании.

Все торговые площадки, за исключением «Единой электронной площадки», имеют официальные инструкции, в которых указано, что поддерживается только операционная система Windows. Согласно официальному ответу службы технической поддержки на запрос о подтверждении данной информации, информация является недостоверной. На сайте «Единой электронной торговой площадки» приведены инструкции по настройке браузеров без упоминания конкретных операционных систем.

В таблицу внесены результаты исследования

Для ЭТП, обеспечивающих совместимость с Linux, единственным поддерживаемым криптосредством в данный момент является Cades plugin, который умеет использовать в качестве криптопровайдера только КриптоПро CSP.

Компонент ОС Windows, известный как Capicom, является единственным способом для других торговых платформ получить доступ к возможностям ЭЦП. Исследователи из Etersoft провели исследование, в результате которого удалось определить теоретическую стоимость Capicom for Wine.

Угрозы и атаки[править]

В отличие от шифрования, главной целью атакующего в электронной подписи не является получение расшифрованного текста или подделки. Для шифрования и декодирования, с другой стороны, это не так.

Для подписи электронных документов в Российской Федерации используются криптографические алгоритмы, соответствующие Государственному стандарту нормативной документации Российской Федерации (ГОСТ Р). На момент написания данной статьи (вторая половина 2022 года) не существует известных стратегий атак, выходящих за рамки метода грубой силы.

Первичные векторы атаки в случае электронной подписи направлены на то, чтобы лишить злоумышленников секретного ключа. Если ключ хранится в файле диска, к нему можно получить доступ к чтению каким -либо образом. Для этого можно использовать инфекцию вирусами.

Если ключ зашифрован, его можно получить в момент применения, например, когда программа, обрабатывающая электронную подпись, уже использует ее для обработки данных. В этом случае задача усложняется, поскольку необходимо либо выявить недостаток в программе, либо самостоятельно придумать, как расшифровать ключ.

Секретный ключ можно хранить на отдельном аппаратном устройстве, чтобы он никогда не покидал пределов этого физического устройства, что вдвойне затрудняет его получение. В этом случае для получения доступа необходимо украсть само устройство.

Отсутствие устройства предупреждает владельца о том, что ключ был взят. Владелец сертификата не будет знать, что его просят отменить сертификат, если кража ключа произойдет в каких -либо других обстоятельствах.

Еще раз, банковская карта, которая служит методом аутентификации для доступа к банковскому счету, используется в качестве аналогии. Владелец расслаблен, пока у него есть. Карта должна быть заблокирована, если она потеряна. Если злоумышленник обнаружен, он должен быть незаметно скопировать карту, чтобы доступ не был ограничен. Методы клонирования аппаратного токена еще не известны.

Отдельные физические объекты, используемые в электронном документе, теперь принято называть токенами. Токены могут быть связаны с компьютером с помощью Bluetooth, USB-интерфейсов или специализированного считывающего оборудования.

Сегодняшние жетоны могут подключаться через USB. Тем не менее, интерфейс соединения не является тем, где лежит основное различие между различными типами токенов. Токены можно разделить на две категории: те, которые в основном используются для ключевого хранилища, и те, которые «знают», как выполнять криптографические операции самостоятельно.

Единственный способ, которым первый тип токенов отличается от обычных вспышек, — это то, что вам нужно специальное программное обеспечение, чтобы избавиться от них. Если нет, это внешнее хранилище данных, и если у него есть пароль или другие средства для снятия средств.

Секретный ключ никогда не покидает границы токенового узла, который является основным различием между аппаратными жетонами и вторым типом токенов. Для этого уникальный набор программного обеспечения загружается на токен и активируется, когда он подключается к компьютеру.

Поскольку он генерируется прямо на аппаратном токене, секретный ключ никогда не покидает пределов аппаратного токена. Затвор документа загружается в токен, и подпись делается с помощью хранящегося там секретного ключа. Мы всегда знаем, где находится секретный ключ, потому что мы знаем, где находится токен.

Список поддерживаемых криптографических алгоритмов — одна из ключевых характеристик аппаратного токена. Лучше всего выбрать современный токен, если мы хотим использовать аппаратный токен для аутентификации на домашнем компьютере. Нам требуется уникальный код для проверки личности, если мы хотим пройти аутентификацию на портале государственных услуг.

Список криптографических методов для Etoken и Jacarta Gost токенов, которые поддерживаются. Утилита Open PKCS11-TOOL используется в качестве клиентского приложения для списка механизмов, которые могут функционировать в качестве клиента любой библиотеки. Параметр «M», который исходит от слова «механизм», используется в этом контексте.

Программное обеспечение «Safenet» включает в себя библиотеку для Etoken и библиотеку для Jacarta, оба из которых доступны с веб -сайта «Aladdin R. D.

$ pkcs11-tool --module /usr/local/lib64/libeToken.so.9.1.7 -M
Supported mechanisms:
  DES-MAC, keySize={8,8}, sign, verify
  DES-MAC-GENERAL, keySize={8,8}, sign, verify
  DES3-MAC, keySize={24,24}, sign, verify
  DES3-MAC-GENERAL, keySize={24,24}, sign, verify
  AES-MAC, keySize={16,32}, sign, verify
  AES-MAC-GENERAL, keySize={16,32}, sign, verify
  RC4, keySize={8,2048}, encrypt, decrypt
  DES-ECB, keySize={8,8}, encrypt, decrypt, wrap, unwrap
  DES-CBC, keySize={8,8}, encrypt, decrypt, wrap, unwrap
  DES-CBC-PAD, keySize={8,8}, encrypt, decrypt, wrap, unwrap
  DES3-ECB, keySize={24,24}, hw, encrypt, decrypt, wrap, unwrap
  DES3-CBC, keySize={24,24}, hw, encrypt, decrypt, wrap, unwrap
  DES3-CBC-PAD, keySize={24,24}, hw, encrypt, decrypt, wrap, unwrap
  AES-ECB, keySize={16,32}, encrypt, decrypt, wrap, unwrap
  AES-CBC, keySize={16,32}, encrypt, decrypt, wrap, unwrap
  AES-CBC-PAD, keySize={16,32}, encrypt, decrypt, wrap, unwrap
  mechtype-0x1086, keySize={16,32}, encrypt, decrypt, wrap, unwrap
  mechtype-0x1088, keySize={16,32}, encrypt, decrypt, wrap, unwrap
  RSA-PKCS-KEY-PAIR-GEN, keySize={1024,2048}, hw, generate_key_pair
  RSA-PKCS, keySize={1024,2048}, hw, encrypt, decrypt, sign, sign_recover, verify, verify_recover, wrap, unwrap
  RSA-PKCS-OAEP, keySize={1024,2048}, hw, encrypt, decrypt, wrap, unwrap
  RSA-PKCS-PSS, keySize={1024,2048}, hw, sign, verify
  SHA1-RSA-PKCS-PSS, keySize={1024,2048}, hw, sign, verify
  mechtype-0x43, keySize={1024,2048}, hw, sign, verify
  mechtype-0x44, keySize={1024,2048}, hw, sign, verify
  mechtype-0x45, keySize={1024,2048}, hw, sign, verify
  RSA-X-509, keySize={1024,2048}, hw, encrypt, decrypt, sign, sign_recover, verify, verify_recover, wrap, unwrap
  MD5-RSA-PKCS, keySize={1024,2048}, hw, sign, verify
  SHA1-RSA-PKCS, keySize={1024,2048}, hw, sign, verify
  SHA256-RSA-PKCS, keySize={1024,2048}, hw, sign, verify
  SHA384-RSA-PKCS, keySize={1024,2048}, hw, sign, verify
  SHA512-RSA-PKCS, keySize={1024,2048}, hw, sign, verify
  RC4-KEY-GEN, keySize={8,2048}, generate
  DES-KEY-GEN, keySize={8,8}, generate
  DES2-KEY-GEN, keySize={16,16}, generate
  DES3-KEY-GEN, keySize={24,24}, generate
  AES-KEY-GEN, keySize={16,32}, generate
  PBE-SHA1-RC4-128, keySize={128,128}, generate
  PBE-SHA1-RC4-40, keySize={40,40}, generate
  PBE-SHA1-DES3-EDE-CBC, keySize={24,24}, generate
  PBE-SHA1-DES2-EDE-CBC, keySize={16,16}, generate
  GENERIC-SECRET-KEY-GEN, keySize={8,2048}, hw, generate
  PBA-SHA1-WITH-SHA1-HMAC, keySize={160,160}, hw, generate
  PBE-MD5-DES-CBC, keySize={8,8}, generate
  PKCS5-PBKD2, generate
  MD5-HMAC-GENERAL, keySize={8,2048}, sign, verify
  MD5-HMAC, keySize={8,2048}, sign, verify
  SHA-1-HMAC-GENERAL, keySize={8,2048}, sign, verify
  SHA-1-HMAC, keySize={8,2048}, sign, verify
  mechtype-0x252, keySize={8,2048}, sign, verify
  mechtype-0x251, keySize={8,2048}, sign, verify
  mechtype-0x262, keySize={8,2048}, sign, verify
  mechtype-0x261, keySize={8,2048}, sign, verify
  mechtype-0x272, keySize={8,2048}, sign, verify
  mechtype-0x271, keySize={8,2048}, sign, verify
  MD5, digest
  SHA-1, digest
  SHA256, digest
  SHA384, digest
  SHA512, digest
  mechtype-0x80006001, keySize={24,24}, generate

$ pkcs11-tool --module /usr/local/lib64/libjcPKCS11.so.1 -M
Supported mechanisms:
  GOSTR3410-KEY-PAIR-GEN, hw, generate_key_pair
  GOSTR3410, hw, sign, verify
  GOSTR3410-WITH-GOSTR3411, hw, sign, verify
  mechtype-0x1204, hw, derive
  GOSTR3411, hw, digest
  mechtype-0x1220, generate
  mechtype-0xC4321101
  mechtype-0xC4321102
  mechtype-0xC4321103
  mechtype-0xC4321104
  mechtype-0xC4900001

E Token имеет некорректные имена. Для реализации функциональности ЭЦП на доступном оборудовании требуется только минимальный объем системных требований JaCarta.

Современные аппаратные токены могут функционировать как программные, что важно знать. Для записи и хранения секретного ключа они обычно имеют небольшую область памяти с внешним доступом.

Технически говоря, это ничего не значит, но этот подход на самом деле применяется довольно часто. Владелец современного программного токена часто не знает, что его аппаратный токен используется в качестве компьютера, что прискорбно.

К программным токенам относятся, например, «Лайт» и «Рутокен S». Примерами аппаратных токенов, не поддерживающих сертифицированные в России криптографические алгоритмы, являются устройства «eToken» и «Рутокен ЭЦП», а также JaCarta ГОСТ.

Услуги удостоверяющих центров[править]

Своей подписью центр сертификации подтверждает, что открытый ключ соответствует определенному набору записей. Теоретически, ЦС не несет никаких расходов на подписание одного сертификата, поскольку подписи обычно делаются быстро и недорого.

Накладные расходы, связанные с обслуживанием аккредитованного CA, составляют вторую часть стоимости сертификата. Это включает в себя цену сертификата BYGCA, который является платным товаром, а также цену организационных гарантий для защиты данных.

Когда пользователь хочет использовать свой сертификат на электронных торговых площадках, необходим повторный расчет стоимости сертификата. Согласно правилам электронных торговых площадок, владелец сертификата должен быть проверен на подлинность при двух обстоятельствах: во-первых, если срок действия сертификата не истек; во-вторых, если его подпись подлинная.

Во-вторых, если в сертификате четко указано, что он предназначен для работы на определенном сайте, это будет отмечено в таблице, где хранится вся остальная информация о сертификате. Итак, центр сертификации платит определенную сумму денег за каждую такую запись в сертификате пользователя.