КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX ЭЦП

Важные документы защищаются подписями людей и печатями организаций. Однако бумажный документооборот отличается низкой скоростью и большими затратами на почтовые услуги. Решить эти проблемы помогает электронная подпись.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Картинка с бумажной подписью

Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно получить не совсем приятные последствия.

Заключение договоров — дело привычное. Их заключают в банках, в больницах, при покупке мебели, оплате обучения. Прочитать договор, проверить реквизиты юридического лица, с которым заключается договор, убедиться в наличии печати и подписи — стандартная процедура, которая уменьшает риск обмана. Однако приобретённые навыки работы с бумажными договорами не могут просто так перейти в цифровой мир в силу специфики электронных документов.

В этой статье хочется рассказать о своем опыте знакомства с российскими электронными подписями (ЭП), которые используются для подписания договоров с физическими лицами в том числе и страховыми компаниями, а также подводных камнях, на которые наткнулся при этом.


Для меня эта история началась при заключении договора со страховой компанией ООО СК “Сбербанк страхование”. После оформления мне показались подозрительными некоторые факты (небольшой спойлер: всё оказалось хорошо) и я стал разбираться, как же мне проверить, что полученный документ действительно выдан страховой компанией, а не некими третьими лицами.

Что же меня насторожило?

После расчёта суммы в калькуляторе на сайте и заполнения формы с паспортными и контактными данными мне на электронную почту пришло письмо, в котором кроме общей информации, полезных ссылок и контактов было 3 вложения: памятка, правила страхования и сам полис. Я ознакомился с документами, оплатил страховку и стал ждать подписанную версию полиса.

Через полчаса ожидания я стал волноваться, быстрый поиск показал, что у страховой компании есть аж 3 разных активных домена: www.sberbank-insurance.ru
, www.sberins.ru
и sberbankins.ru
, что не добавляло мне уверенности в компании.

Звонок в контакт центр принёс информацию о том, что присланный полис и является финальным документом с ЭП страховой компании. Мне показалось странным, что компания отдаёт уже подписанный документ еще до факта оплаты клиентом и я стал проверять полученный pdf файл.

Содержание
  1. Что такое электронная подпись?
  2. Для чего нужна?
  3. Настройка «КриптоПро» CSP
  4. Настройка работы с Рутокен ЭЦП 2.0
  5. Получаем тестовый сертификат
  6. Подпись средствами «КриптоПро CSP»
  7. Rosa Crypto Tool
  8. Trusted eSign
  9. Резюме
  10. P. S.
  11. Часто задаваемые вопросы
  12. Сложно ли подделать или взломать ЭП?
  13. Как поставить электронную подпись?
  14. Как выглядит электронная подпись на документе?
  15. Насколько электронная подпись равноценна подписи на бумаге?
  16. Можно ли физическому лицу иметь несколько электронных подписей?
  17. Когда для получения ЭЦП нужна нотариально заверенная доверенность?
  18. КриптоПро CSP
  19. Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро
  20. Немного про корневые и промежуточные сертификаты
  21. Что важно знать об электронной подписи?
  22. Инструменты КриптоПро
  23. Глава вторая
  24. Как зарегистрировать сертификат ЭЦП?
  25. Установка сертификатов
  26. Создание подписанного документа
  27. Глава первая
  28. Заключение

Что такое электронная подпись?

Электронная подпись (далее ЭП и ЭЦП) — особый реквизит электронного документа, который обеспечивает его защиту от подделывания и позволяет установить личность подписанта.

Понятие электронной подписи регулируется Федеральным законом № 63. Согласно ему под ЭЦП следует понимать информацию в электронной форме, присоединяемую или связанную каким-либо образом с электронным документом для идентификации лица, подписавшего его.



Виды электронной подписи установлены пятой статьей Федерального закона № 63. Закон определяет два вида ЭП — простую и усиленную. Усиленная подпись, в свою очередь, может быть квалифицированной и неквалифицированной:

  1. Простая ЭП подтверждает факт формирования подписи определенным лицом при помощи кодов, паролей и других вспомогательных средств. Данный вид ЭП открывает доступ к возможностям Единого портала госуслуг, используется во внутреннем электронном документообороте для подтверждения авторства, однако не может гарантировать отсутствие изменений в документе после его подписания.
  2. Неквалифицированная ЭП обладает 3 признаками:
    • позволяет установить авторство;
    • дает возможность зафиксировать наличие изменений в документе после его подписания;
    • при ее создании используются криптографические алгоритмы.
  3. Квалифицированная ЭП включает в себя все признаки неквалифицированной и два дополнительных:
    • ключ проверки подписи закрепляется квалифицированным сертификатом, получить который можно только в специализированном удостоверяющем центре.
    • создание и проверка квалифицированной ЭП осуществляется при помощи сертифицированного ФСБ программного обеспечения.



Для чего нужна?


Электронная подпись дает возможность:

  • установить авторство;
  • защитить документы от подделки;
  • обеспечить засекреченность информации;
  • придать документам юридическую значимость;
  • засвидетельствовать целостность данных.
  • Электронный документооборот. Обменом документами через Интернет пользуются как мелкие, так и крупные российские компании в целях экономии времени и денег. Электронный документооборот позволяет передавать информацию собственным сотрудникам и внешним партнерам. Электронная подпись дает возможность компаниям и физическим лицам обмениваться юридически значимыми документами — с ее помощью можно подписать договор, коммерческое предложение, накладную, счет и т.д.
  • Электронные торги. Данная форма торговли подразумевает размещение заказов на поставку товаров на интернет-площадках. Для получения аккредитации и проведения операций на подобных площадках трейдеры используют электронную подпись.
  • Электронная отчетность. Электронная подпись позволяет упростить сдачу отчетности в контролирующие органы (налоговую, Пенсионный фонд и т.д.). Для сдачи электронной отчетности требуется наличие квалифицированной ЭП.

Простую электронную подпись можно создать самостоятельно. В Интернете есть большое количество ресурсов, позволяющих сгенерировать электронную подпись онлайн: Comodo, GlobalSign, My Credential и т.д.

Сделать электронную подпись самому можно в программе Microsoft Word. Для этого необходимо перейти на вкладку «Вставка», далее в разделе «Текст» найти кнопку «Строка подписи». После нажатия на эту кнопку появится диалоговое окно, в котором можно указать ФИО подписывающего, его должность, адрес электронной почты и инструкции. Чтобы прикрепить электронную подпись к документу, нужно перейти во вкладку «Файл», пункт «Сведения», нажать на кнопку «Защита документа» и в выпадающем списке выбрать пункт «Добавить цифровую подпись».

Сделать электронную подпись на компьютере можно при помощи специального программного обеспечения, использующего криптографические алгоритмы. При создании ЭП необходимо сохранить на флешку, дискету или другой носитель закрытую часть ключа. Таким образом, пользоваться данной подписью сможет только лицо, имеющее доступ к закрытой части ключа.

Важно:
что касается квалифицированной ЭП, то ее можно получить только в аккредитованном удостоверяющем центре, зарегистрировав сертификат электронной цифровой подписи.

Время на прочтение

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2016 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign. Оба эти продукта для работы с криптографией используют «КриптоПро CSP» для Linux. Поэтому, перед тем как обратиться к описанию самих продуктов, поговорим немного про «КриптоПро CSP».

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто. А в Linux доступен только консольный интерфейс. Надеюсь, что компания «КриптоПро» в курсе этой ситуации, и в будущем нас ждут новые красивые и удобные интерфейсы, как для Windows, так и для Linux.

Для настройки нам понадобится:

  • Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
  • Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
  • Рутокен ЭЦП 2.0.

Настройка «КриптоПро» CSP

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут
или тут
), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.0 не является 100% совместимой с 3.x. Дополнительная причина – всегда приятно иметь полную инструкцию по настройке в одном месте, а не переключаться с одного окна на другое.

Приступаем к настройке.

Скачиваем «КриптоПро CSP» для Linux с официального сайта КриптоПро — www.cryptopro.ru/downloads

Распаковываем «КриптоПро CSP» для Linux:

   tar -zxf ./linux-amd64_deb.tgz  
  

Далее у нас есть 2 варианта – автоматическая установка и установка вручную. Автоматическая установка запускается командой:

   sudo ./install.sh   
  
   sudo ./install_gui.sh  
  

Здесь надо отдать должное разработчикам «КриптоПро» – автоматическая установка для большинства дистрибутивов отрабатывает успешно. Хотя бывают и нюансы. Например, если у вас не хватает некоторых пакетов, то установка будет успешно завершена, хотя некоторый функционал работать не будет.

ЭЦП:  Где хранятся сертификаты электронной подписи (эцп) на компьютере: как найти ключ

Если что-то пошло не так, или вы по тем или иным причинам хотите использовать установку в ручном режиме, то вам необходимо выполнить:

   dpkg -i ./cprocsp-curl-64_4.0.0-4_amd64.deb lsb-cprocsp-base_4.0.0-4_all.deb lsb-cprocsp-capilite-64_4.0.0-4_amd64.deb lsb-cprocsp-kc1-64_4.0.0-4_amd64.deb lsb-cprocsp-rdr-64_4.0.0-4_amd64.deb  
  

Для установки пакетов в ROSA используйте urpmi
, вместо dpkg -i
.

Устанавливаем лицензию для «КриптоПро CSP» для Linux и проверяем, что все работает нормально:

   cpconfig -license -set <серийный_номер>
cpconfig -license –view  
  

Мы должны получить что-то вроде:

   License validity:
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Expires: 3 month(s) 2 day(s)
License type: Server.  
  

Настройка работы с Рутокен ЭЦП 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало. Я буду использовать Рутокен ЭЦП 2.0, который имеет сертификат ФСБ и поддерживает работу как с новыми, так и со старыми ГОСТами.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

   apt-get install libpcsclite1 pcscd libccid  
  

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

   dpkg -i ./cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb ./cprocsp-rdr-rutoken-64_4.0.0-4_amd64.deb ./cprocsp-rdr-pcsc-64_4.0.0-4_amd64.deb ./lsb-cprocsp-pkcs11-64_4.0.0-4_amd64.deb  
  

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Воспользуемся тестовым УЦ компании «КриптоПро» по адресу — https://www.cryptopro.ru/certsrv/

Создаем запрос на сертификат с параметрами по умолчанию.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Проверим, что сертификат получен успешно.

Чтобы убедиться, что «КриптоПро CSP» успешно увидел токен, выполним:

   list_pcsc  
  

Мы должны получить что-то вроде:

   Aktiv Rutoken ECP 00 00  
  

Теперь проверяем, что сертификат на токене видится успешно:

   csptest -keyset -enum_cont -verifyc -fq  
  
   CSP (Type:80) v4.0.9014 KC1 Release Ver:4.0.9842 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 13476867
\\.\Aktiv Rutoken ECP 00 00\822506788-dfcd-54c9-3a5e-e0a82a2d7f0
OK.
Total: SYS: 0,020 sec USR: 0,160 sec UTC: 0,870 sec
[ErrorCode: 0x00000000]  
  

Записываем в хранилище сертификатов КриптоПро информацию об этом сертификате:

   csptestf -absorb -cert -pattern 'rutoken'

Match: SCARD\rutoken_ecp_351d6671\0A00\62AC
OK.
Total: SYS: 0,010 sec USR: 0,140 sec UTC: 1,040 sec
[ErrorCode: 0x00000000]  
  

Проверим, что сертификат успешно сохранился в хранилище:

   certmgr -list -cert -store uMy

Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores
 
=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=Trusted eSign Test
Serial              : 0x120019F5D4E16D75F520A0299B00000019F5D4
SHA1 Hash           : 0x016f443df01187d5500aff311ece5ea199ff863e
SubjKeyID           : 204e94f63c68595e4c521357cf1d9279bff6f6e5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 22/02/2017  10:53:16 UTC
Not valid after     : 22/05/2017  11:03:16 UTC
PrivateKey Link     : Yes                
Container           : SCARD\rutoken_ecp_351d6671\0A00\62AC
Provider Name       : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info       : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.2
=============================================================================
 
[ErrorCode: 0x00000000]  
  

На этом основная настройка завершена, и мы можем начинать подписывать или шифровать файлы с использованием различных средств. Переходим к тому, зачем задумывалась эта статья.

Подпись средствами «КриптоПро CSP»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

  • Отсутствие хорошей документации;
  • Отсутствие графического интерфейса.

Подписать можно с помощью команды:

   csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256  
  

Здесь,

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

   csptestf –sfsign  
  

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Rosa Crypto Tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2016 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2. Сейчас утилита поддерживает работу только с «КриптоПро CSP» для Linux, однако в ближайшее время будет добавлена поддержка других криптопровайдеров.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Вставляем токен и запускаем утилиту.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

+ На порядок проще использовать;

— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:

abf.io/uxteam/rosa-crypto-tool-devel

Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Trusted eSign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

К сожалению, продукт пока доступен только в виде deb пакета для 64-битных систем. С чем связано такое ограничение, непонятно. Будем надеяться, что в ближайшее время компания выпустит и rpm пакет, а также версии для 32-битных дистрибутивов Linux.

Скачиваем с официального сайта deb-пакет и устанавливаем командой:

   dpkg –i ./trustedesign-x64.deb  
  

Запускаем Trusted eSign.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Сразу видно, что разработка не обошлась без дизайнера. Никакого сарказма. Все действия делаются просто и логично, а внешний вид радует глаз. К сожалению, большинство средств и программ в области ИБ от российских разработчиков разработаны без привлечения UX-специалистов и дизайнеров и заставляют своих пользователей страдать и плакать кровавыми слезами. Создается впечатление, что другими средства информационной безопасности просто не могут быть. “ Цифровые технологии” опровергают это. Плата за красоту и удобство – необходимость платить за лицензию.

Но вернемся к подписи.

Выбираем раздел “Электронная подпись”:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Выбираем «Сертификат для подписи»:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Выбираем файлы для подписи и жмем «Подписать»:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Что под капотом? Процитирую с сайта: “Приложение создано на современном движке Electron, для вызова криптографических операций применяется библиотека OpenSSL. Совместимо с СКЗИ “КриптоПро CSP 4.0” и поддерживает все криптографические алгоритмы, реализованные в нем.” Для тех, кто ещё не в курсе Electron — это фреймворк для создания десктопных приложений на платформе node.js.

Сравним Trusted eSign с Rosa crypto tool:

+ Более удобный и красивый интерфейс

— Платная лицензия

Резюме

Подведем итог. В конце 2016 – начале 2017 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

ЭЦП:  ЭП — ALT Linux Wiki

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux. Хорошие и удобные продукты российских разработчиков помогут государственным организациям и структурам нормально работать и выполнять требования по импортозамещению.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

P. S.

Наверняка есть немало пользователей, особенно пользователей Linux, кто считает, что консольных утилит достаточно. А также специалистов по информационной безопасности, которые считают, что дизайн и удобство — излишество в ИБ. Но я не могу с ними согласиться. Консольные утилиты, несомненно, идеальны для автоматизации. Но большинству пользователей удобнее работать с графическими интерфейсами. Даже в Linux.

Часто задаваемые вопросы

Использование электронной подписи связано с множеством нюансов. Ниже приведены часто задаваемые вопросы по поводу электронной подписи и ответы на них.



Сложно ли подделать или взломать ЭП?


Теоретически это возможно, но на практике — очень сложно реализуемо. Для взлома электронной подписи, созданной при помощи криптографических алгоритмов, нужны огромные вычислительные мощности, при этом процесс займет немалое количество времени.



Как поставить электронную подпись?


Важно:
постановка электронной подписи запрещает дальнейшее редактирование документа, поэтому нужно убедиться в правильности текста перед подписанием.

Для примера возьмем программу КриптоПро. Чтобы с ее помощью поставить электронную подпись на документ Microsoft Word, сначала необходимо установить на компьютер надстройку CryptoPro Office Signature. Далее в Word’e нужно проследовать по пути: Файл — Подготовить — Добавить ЭП КриптоПро.

Если нужно защитить при помощи ЭП электронное письмо, лучше всего воспользоваться клиентом Microsoft Outlook. В нем нужно проследовать по пути: Файл — Параметры ЦУБ — Защита электронной почты. Откроется диалоговое окно, в котором можно настроить параметры подписи. Далее перед отправкой писем нужно будет перейти в меню «Параметры» — «Разрешение» и нажать кнопку «Подписать».



Как выглядит электронная подпись на документе?


Как выглядит электронная подпись на документе — один из часто задаваемых вопросов, который стоит рассмотреть отдельно. Дело в том, что электронная подпись является криптографическим шифром, и зафиксировать ее подлинность можно только в электронном документе. Подпись может выглядеть как:

  • набор символов, обозначающий проверочный ключ;
  • графическое изображение, имитирующее подпись и печать;
  • набор метаданных, невидимый пользователю — невидимую подпись можно создать в Microsoft Word и других продуктах MS Office. При добавлении подобной подписи документ станет недоступен для редактирования, а в окне «Состояние» будет добавлен специальный символ, обозначающий, что документ заверен электронной подписью.

Никак, бесплатными квалифицированными электронными подписями обеспечиваются только государственные организации.



Насколько электронная подпись равноценна подписи на бумаге?


С точки зрения закона, только квалифицированная ЭП обладает абсолютной юридической силой и является аналогом подписи на бумажном документе. Однако это не препятствие для использования неквалифицированной ЭП в электронном документообороте и в процессе электронных торгов. Контрагенты могут договориться об использовании простой или неквалифицированной ЭП, а большинству площадок, проводящих электронные торги, достаточно неквалифицированной подписи.



Можно ли физическому лицу иметь несколько электронных подписей?


Да, физлицо может создать несколько сертификатов ЭП и пользоваться ими всеми на свое усмотрение.



Когда для получения ЭЦП нужна нотариально заверенная доверенность?


Представителю юридического лица, который подает заявление, чтобы оформить электронную подпись, может понадобиться доверенность в том случае, если он не является руководителем организации. Начальнику этой организации следует выдать своему представителю заверенную нотариусом доверенность на заключение договора от имени юридического лица. Доверенность заменит копию приказа о назначении руководителя организации в пакете документов на регистрацию сертификата ЭЦП.

Электронная подпись стала важным инструментом в современном документообороте, повысившим его эффективность и скорость. Также ЭП позволила упростить взаимодействия физических и юридических лиц с государственными учреждениями. Создание ЭП — несложный процесс, а преимущества электронной подписи стоят того, чтобы активно ею пользоваться.

Ссылка на источник

КриптоПро CSP

Для подписи электронных документов, будем использовать программное обеспечение КриптоПро CSP.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Использование иных криптографических программ под административную ответственность руководителей и лиц, использующих ПО СКЗИ, не имеющих действующего сертификата соответствия ФСБ РФ.

Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро

Время на прочтение

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Для собственного использования создал инструкцию для подведов. Буду рад, если кому-нибудь пригодится в работе. Ниже представлен текст с картинками из инструкции по созданию подписанного ЭЦП электронного документа, с использованием ПО КриптоПро. В самом конце приложена ссылка на исходник, он выполнен в виде Гугл документа, шаблон — брошюра, формат листа А4. Его можно использовать по своему усмотрению.


Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

Однако просто списка недостаточно, нужны хотя бы ссылки на сайты этих УЦ, а также надо найти корневые сертификаты непосредственно от первоисточника, Минкомсвязи. Следующий точкой в поиске этой информации стал портал pravo.gov.ru
, где перечислены ссылки на некоторые корневые сертификаты. Страница доступна только по http протоколу, контрольных сумм опять нет.

Приглядевшись, можно заметить, что первые 4 ссылки ведут на портал https://e-trust.gosuslugi.ru
. Не совсем понятно, почему именно поддомен сайта госуслуг стал центральным в системе корневых сертификатов, но, кажется, тут приведена вся актуальная информация по корневым и промежуточным сертификатам.

На странице головного УЦ https://e-trust.gosuslugi.ru/MainCA
приведены 10 корневых сертификатов от Минкомсвязи, для разных ГОСТ алгоритмов и с разными сроками действия. Тут же доступны слепки ключей, можно проверить, что скачанный сертификат никто не подменил. Сам сайт имеет сертификат от Thawte
.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

  1. аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
  2. добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
  3. оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.

UPD 0
: В комментариях подсказали онлайн сервис на портале госуслуг для проверки ЭП документов: https://www.gosuslugi.ru/pgu/eds
. К сожалению, не заработало в моём случае, но может быть полезно.

UPD 1
: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите
, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 73 пользователя.

Воздержались 28 пользователей.

Что важно знать об электронной подписи?

Электронная подпись позволяет защитить документы от подделки и несанкционированного доступа, упрощает и ускоряет документооборот внутри организаций и между ними. Квалифицированная ЭП приравнивается к рукописной, благодаря чему имеет большую область применения.

Электронная подпись позволяет сэкономить не только время, но и деньги — приобретая госуслуги в электронном виде, можно сэкономить от 30% на госпошлине.

В текст документа, заверенного ЭП, невозможно внести изменения незаметно. Подпись поможет установить, как выглядел документ в момент подписания. Пользоваться ЭП — легко и удобно. Процесс подписания занимает около минуты.

Важно:
квалифицированную ЭП нужно обновлять каждые 12 месяцев — такой срок действия сертификата открытого ключа установлен законом.

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

ЭЦП:  МОЙ АРБИТР РУ ОФИЦИАЛЬНЫЙ И ПРОФЕССИОНАЛЬНЫЙ

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк
. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Как зарегистрировать сертификат ЭЦП?

Оформление электронной подписи происходит в удостоверяющем центре. Для получения ключа ЭП нужно подать заявление и предоставить сотрудникам центра пакет документов.

Представитель юридического лица прикладывает к заявлению паспорт, выписку из ЕГРЮЛ, документ, подтверждающий факт оплаты услуг удостоверяющего центра, а также учредительные документы: заверенную копию Устава и заверенную копию приказа о назначении руководителя организации. Физическому лицу будет достаточно предоставить заверенную нотариусом копию паспорта, ИНН и подтверждение оплаты.

После прохождения процедуры регистрации сертификата заявитель получает сертификат ключа проверки ЭЦП на съемном носителе вместе с установочным файлом специального софта (КриптоПро, Vipnet и т.д.), необходимого для работы с электронной подписью.

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

Создание подписанного документа

Подписать можно абсолютно любой файл. 

Перейдите в пункт “Создание подписи”

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX
КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Выберите подпись, которой необходимо подписать документ. Обратите внимание — ЭЦП должно быть актуальной. 

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок — под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла — сам документ и его подпись. Размещать или пересылать необходимо оба документа.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК»
. Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5.0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

В Adobe Acrobat Reader DC проверка тоже не успешна:

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

КАК Я НАСТРАИВАЛ НОВЫЕ УТИЛИТЫ ПО РАБОТЕ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ В LINUX

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

  • Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
  • Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
  • Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

  • Нужно как-то найти и скачать корневой и промежуточный сертификаты. Непонятно, откуда его можно скачать официально, а поиск в сети может привести к установке левых сертификатов, через которые мошенники могут атаковать незадачливого пользователя;
  • Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
  • Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.

Заключение

Инструкцию делал для подведов. Писал максимально простым языком. Если кому то пригодится в работе — буду рад.

Ссылка
на исходник инструкции в виде брошюры на Гугл диске

Оцените статью
ЭЦП64
Добавить комментарий