В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП ЭЦП

Генерация закрытого ключа электронной подписи и запроса на сертификат

Один из этапов получения электронной подписи — генерация ключевого контейнера и запроса на сертификат.

В этой статье мы хотим помочь разобраться, какие бывают ключевые носители, и как тип устройства определяет степень безопасности закрытого ключа электронной подписи (ЭП).

Для этого рассмотрим практическую разницу форматов контейнеров ЭП и способы работы ключевых носителей.


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Из нашей статьи вы узнаете:

ЭЦП — электронная (цифровая) подпись — это аналог рукописной подписи. Она выполняет ту же функцию — обеспечивает юридическую значимость для документов. Только подписывают с помощью ЭЦП документы не бумажные, а электронные. Кроме того, электронная подпись фиксирует информацию, которая была в документе на момент подписания, тем самым подтверждая её неизменность. В статье рассмотрим, что значит электронная подпись.

Контейнер ключей электронной подписи состоит из открытого, закрытого ключа и сертификата. Все его составляющие создаются с помощью криптографических алгоритмов. Для работы с квалифицированной электронной подписью (КЭП) нужно использовать оба ключа — каждый из них выполняет свою функцию.

Рассмотрим, как экспортировать закрытый и открытый ключ электронной подписи при помощи Windows или криптопровайдера КриптоПро CSP.

Важно! Ключи, полученные в аккредитованных удостоверяющих центрах, можно хранить на токене или в компьютере. Удостоверяющий центр ФНС записывает контейнеры ключей только на токены и ставит ограничения на их копирование. Ключи, полученные в налоговой, экспортировать на другие носители запрещено.

Содержание
  1. Что такое закрытый ключ ЭП
  2. Как начать работать с квалифицированной электронной подписью
  3. Что такое открытый ключ ЭЦП
  4. КриптоПро Office Signature
  5. КриптоПро PDF
  6. Неизвлекаемые ключи
  7. Сертификация устройств
  8. Как подписываются документы
  9. Как происходит подписание документа с помощью ЭЦП
  10. Экспорт сертификата из КриптоПро CSP
  11. Программы для работы и алгоритмы шифрования
  12. Доступ к закрытому ключу
  13. Термины
  14. Пассивные ключевые носители
  15. Активные ключевые носители
  16. Как реализовать на практике?
  17. Как экспортировать открытый ключ и сертификат
  18. В чём разница между присоединённой и отсоединённой ЭЦП
  19. Как устроена электронная подпись
  20. Для чего нужен CMS
  21. Как поставить отсоединённую подпись
  22. Как подписать отсоединённой электронной подписью в формате pkcs 7
  23. Виды электронной подписи
  24. Форматы электронной подписи
  25. Присоединённая
  26. Отсоединённая
  27. Интегрированная
  28. Экспорт сертификата через свойства обозревателя
  29. Функциональный ключевой носитель (ФКН)
  30. Стандарт CMS (PKCS #7 и RFC 5652)
  31. Подпись в CMS-формате (signed data type)
  32. Галопом по Европам оставшимся типам
  33. CMS в реальной жизни
  34. ФКН-ключи
  35. Как экспортировать закрытый ключ
  36. Как создать отсоединённую подпись
  37. Средства генерации ключевых пар
  38. Требования к носителям и СКЗИ
  39. Подписание документов электронной подписью
  40. Как сгенерировать
  41. Чтение присоединённой и отсоединённой подписи
  42. Открепленная (отсоединенная) ЭП
  43. Криптопро CSP 5 версии
  44. Совмещенная (прикрепленная/присоединенная) ЭП
  45. Принцип работы электронной подписи
  46. Подведём итоги
  47. Заключение

Что такое закрытый ключ ЭП

Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания электронной подписи в электронном документе.

Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.

Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.

Закрытый ключ хранится в контейнере. В формате КриптоПро контейнер представлен в виде папки, которая содержит несколько файлов с расширением .key. Випнет имеет другой формат, в нём контейнер представлен в виде единственного файла без расширения.

Как человек может удостоверить свою личность в реальном мире? С помощью уникального номера и серии паспорта. Электронная подпись (ЭЦП) также содержит номер, сгенерированный и зашифрованный при помощи криптографического программного обеспечения. Ей можно подписывать цифровые документы или файлы.

В статье рассмотрим, что такое отсоединённая ЭЦП, а также с помощью какого программного обеспечения или сервиса можно подписать документ.

В зависимости от степени защиты, специалисты выделяют три вида электронной подписи:

Усиленная неквалифицированная электронная подпись. Данная ЭЦП подтверждает, что документ был неизменным с момента заверения. Не подходит для работы с госорганами. Чтобы взаимодействовать с контрагентами, стороны должны заключить дополнительное соглашение.

Усиленная квалифицированная электронная подпись. Приравнивает электронный документ к бумажному. Даёт ему полную юридическую силу. С такой ЭЦП можно работать без дополнительных соглашений и взаимодействовать с государственными органами

Как начать работать с квалифицированной электронной подписью

Для работы с КЭП требуется настроить рабочее место: установить СКЗИ и специальный плагин на компьютер. А получить квалифицированную электронную подпись можно только в удостоверяющих центрах. Финансовым участникам рынка КЭП выдают в Центробанке, работникам бюджетных учреждений — в Казначействе, а индивидуальным предпринимателям и юрлицам в УЦ ФНС и её доверенных лиц.

Для ускоренного выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица УЦ «Основание».

Работники индивидуальных предпринимателей получают квалифицированную подпись только в удостоверяющих центрах, которые аккредитованы Минцифры.

УЦ «Калуга Астрал» входит в перечень аккредитованных удостоверяющих центров и имеет все необходимые лицензии для выпуска электронных подписей для физлиц и работников ЮЛ/ИП — «Астрал-ЭТ» и «1С-ЭТП». Данные продукты придают цифровым документам юридическую значимость и позволяют вести деятельность от имени компании.

Что такое открытый ключ ЭЦП

Открытая часть ключевой пары ЭЦП представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.

ЭЦП — это устаревшее понятие. Расшифровывается как электронная цифровая подпись. В настоящее время используется более ёмкое название ЭП, которое расшифровывается как электронная подпись.

Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных получить доступ к ним сможет только владелец закрытой части ключа.

Сертификат содержит в себе следующие данные:


<img class="img-fluid" src="https://astral.ru/upload/iblock/442/xnan46lh1h4c2i6syb9jkzif6k7w5p0x/%D0%B8%D0%BD%D1%84%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0%20_%D0%9A%D0%B0%D0%BA%20%D1%8D%D0%BA%D1%81%D0%BF%D0%BE%D1%80%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D1%82%D1%83%D1%8E%20%D0%B8%20%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%83%D1%8E%20%D1%87%D0%B0%D1%81%D1%82%D1%8C%20%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%20%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9%20%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D0%B8_%20

.png» title=»»>

Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta его можно посмотреть с помощью криптопровайдера или драйвера носителя.

Открытый ключ позволяет проверить электронную подпись под документом, в отличие от закрытого ключа, который нужен для создания электронной подписи. Доступ к закрытому ключу имеет только владелец, а открытый ключ доступен всем участникам электронного взаимодействия. Сертификат ЭП даёт возможность идентифицировать владельца.

Подписание внутри документов Word, Excel, PDF с помощью дополнительного ПО КриптоПро Office Signature и КриптоПро PDF. Формат исходного документа не меняется, информацию о подписи можно просмотреть, открыв документ. Если в документ после подписания внести изменения, подпись будет определяться как недействительная.

КриптоПро Office Signature

Плагин, позволяющий создавать встроенную подпись в документах Word и Excel. Можно создать неотображаемую подпись, которую будет видно только на вкладке подписей, или строку подписи в самом документе. Строка подписи представляет собой графический объект, который можно переместить на любое место в тексте документа, содержит в себе как сведения о подписавшем, так и произвольный рисунок. Есть возможность создания нескольких подписей в одном документе.

После того, как в документе появилась цифровая подпись, он автоматически помечается как окончательный и доступен только для чтения. Любое действие по редактированию документа приведёт к тому, что все подписи из документа будут помечены как недействительные. При открытии документа с подписью на компьютере, где не установлен продукт «КриптоПро Office Signature» подпись будет отображаться как недействительная. Инструкция по работе с КриптоПро Office Signature.

ЭЦП:  КРИПТО ПРО СПС

КриптоПро PDF

Плагин для создания подписи внутри документов PDF. Можно создать видимую подпись (отображается на панели Подписи, и в виде поля подписи в документе), или невидимую (отображается только на панели Подписи). Также позволяет настроить разрешенные изменения, при которых подпись останется действующей (например, добавление комментариев). Есть возможность создания усовершенствованной подписи с отметкой времени. Для использования совместно с программой Adobe Reader модуль КриптоПро PDF распространяется бесплатно. Инструкция по работе с КриптоПро PDF.

Как создать отсоединенную подпись к документу

В правилах работы с информационной системой (ИС) может быть указано, что документы должны загружаться с отсоединенной (или открепленной) подписью. Она создается как отдельный файл с расширением *.sgn или *.sig и не меняет сам документ, поэтому его можно открыть без специальных программ.

Для создания отсоединенной подписи потребуется:

У ИС или площадки могут быть особые требования к файлу подписи. Если вы впервые загружаете документ, рекомендуем уточнить в техподдержке, как его подписать. Например, подпись, у которой в названии должно быть расширение исходного файла (*.pdf.sig), можно сформировать только в Saby Crypto или КриптоАрм.

Вы получите архив, который содержит сам документ и отсоединенную подпись к нему с расширением *.sgn. Если требуется расширение *.sig, распакуйте архив и просто поменяйте расширение у файла подписи.

Отсоединенная подпись появится в той же папке, что и исходный документ.

В указанном выше каталоге будет создано 2 файла: сам документ и отсоединенная подпись.

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

Неизвлекаемые ключи

Создаются с использованием встроенных аппаратных криптографических механизмов внутри специализированных ключевых носителей. Для генерации ключей используется криптографическое ядро внутри микроконтроллера устройства. Такие ключи ЭП хранятся не просто в защищенной памяти с доступом по PIN-коду, но и в специальном типе файлов, с которым умеет работать только криптоядро устройства. При работе с подписью все операции производятся внутри токена, и закрытый ключ никогда не копируется из памяти микроконтроллера.

Неизвлекаемые ключи бывают разного формата: PKCS#11 и “ФКН-ключ”

Используя стандартизированный программный интерфейс (API) библиотеки приложение, или программный криптопровайдер, напрямую работает с криптоядром ключевого носителя.

У носителей, которые называются ФКН (функциональный ключевой носитель) есть возможность работать с неизвлекаемыми Такие носители и криптопровайдер на компьютере, для передачи PIN-кода и другого обмена (в т.ч. данными, которые подписываются), строят защищенный канал. Для этого используется протокол протокол выработки общего ключа с аутентификацией на основе пароля). Выработка ключа — задача устройства ФКН и криптопровайдера на компьютере, поэтому на компьютере также должна быть установлена версия КриптоПро CSP, поддерживающая SESPAKE.

Сертификация устройств

Немного о сертификации ключевых носителей.

Для того, чтобы электронная подпись юридически считалась квалифицированной, средство криптографической защиты информации (СКЗИ), с помощью которого производится генерация ключей и последующая работа с ключами ЭП, должно быть сертифицировано в ФСБ России.

Чтобы проще было запомнить:

Таким образом, в случае с , сгенерированными с помощью программного СКЗИ, в ФСБ России должен быть сертифицирован именно программный ГОСТ-криптопровайдер. А пассивный носитель Рутокен должен быть сертифицирован во ФСТЭК России.

случае с неизвлекаемыми ключами на активном или ФКН-носителе, так как при генерации ключей используется аппаратная криптография, сертифицированным в ФСБ России должен сам носитель.

Как подписываются документы

С помощью ЭЦП можно подписать какой угодно файл. Это может быть текстовый документ, изображение, pdf или даже видео. Ограничений по формату файлов практически нет. Главное – наличие личного сертификата. Без него ваша электронная подпись не будет иметь юридической силы. В сертификате указана информация о сроке действия электронной подписи. Именно через него осуществляется проверка подлинности ЭЦП.

Обратите внимание! Личный сертификат ЭЦП выдаётся в удостоверяющем центре. Центр удостоверяет вашу личность, выдаёт сертификат и управляет его жизненным циклом – приостанавливает, возобновляет и т. д.

Личный сертификат устанавливается на персональный компьютер с помощью сторонней программы. Позже можно создать откреплённую ЭП с помощью программы КриптоАРМ, плагинов КриптоПро или веб-сервисов.

Купить подходящую лицензию КриптоПро рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

Как происходит подписание документа с помощью ЭЦП

Система подписания документов с помощью электронной подписи выглядит следующим образом:


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Закрытый ключ электронной подписи хранят в памяти компьютера или физических носителях: USB-токенах и смарт-картах. Согласно закону «Об электронной подписи» 63-ФЗ, ответственность за хранение закрытого ключа несёт владелец.

Экспорт сертификата из КриптоПро CSP


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Программы для работы и алгоритмы шифрования

С ЭЦП не получится работать сразу. Чтобы шифровать и подписывать документы, недостаточно только иметь сертификат и закрытый ключ, для работы нужно устанавливать специальные программы. С помощью этих программ, которые работают по определённому стандарту шифрования (в России — ГОСТ 34.10-2018), обеспечивается связь закрытого и открытого ключа с документами.

Расшифровка ЭЦП: электронная цифровая подпись. Данное понятие является устаревшим. Сегодня используется термин — электронная подпись, сокращённо ЭП.

Одной из самых популярных программ-криптопровайдеров в России является «КриптоПро CSP». С её помощью можно подписывать и шифровать документы, проверять сертификаты на подлинность, контролировать целостность соответствующего программного обеспечения.

Доступ к закрытому ключу

Для доступа к ключевому контейнеру при работе с любыми защищенными ключевыми носителями обязательно требуется ввести правильный PIN-код Пользователя. P IN-код может не быть длинным и сложным – это компенсируется требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода доступ к содержимому токена или смарт-карты блокируется. Это защищает от случайного подбора PIN-кода. Очень важно установить уникальный PIN-код, который будет сложно подобрать.

Теперь поговорим о том, какие бывают ключевые носители.

Термины

Часть терминов в статье подается в упрощенном виде для простоты понимания.

Используя термин ЭП, мы подразумеваем квалифицированную электронную подпись (КЭП). Это электронная подпись, которая полностью соответствует всем требованиям 63-ФЗ и Приказу ФСБ России № 796 к средствам ЭП и хранится на персональном защищенном ключевом носителе.

Ключи ЭП — закрытый и открытый ключи, которые вместе составляют ключевую пару. Создание (генерация) ключевой пары выполняется криптографическим программным обеспечением , оно может быть установлено в точке выдачи УЦ, у вас на компьютере и в самом ключевом носителе. Закрытый ключ никому разглашать нельзя. Если его кто-то узнал, то он может подписать любой документ от вашего имени. Открытый ключ можно показывать всем. Его значение (это просто длинное число) заносится в сертификат ключа проверки электронной подписи (он же просто «сертификат»), который потом используется при проверке вашей подписи под документом.

Сертификат ЭП выдает Удостоверяющий Центр (УЦ). Форма сертификата КЭП соответствует требованиям Приказа ФСБ РФ № 795. Главная задача УЦ — достоверно определить, что вы – это вы. Для того, чтобы при обмене документами в электронном виде люди точно знали, что подпись, сделанная с использованием вашего сертификата — поставлена именно вами.

Ключи ЭП вместе с сертификатом составляют контейнер ЭП (ключевой контейнер).

Пассивные ключевые носители

Выступают в роли защищенного хранилища для извлекаемых ключей. То есть программный криптопровайдер генерирует ключи, записывает их в защищенную PIN-кодом память устройства и впоследствии работает с ними. Пример такого носителя –

Активные ключевые носители

Могут выступать в роли пассивного ключевого носителя, что снижает безопасность использования ключа ЭП. Но главное их отличие в том, что они являются самостоятельным СКЗИ, если использовать функции аппаратного криптоядра устройства — встроенного микрокомпьютера. Ключи сгенерированные в криптоядре — неизвлекаемые и вся работа с закрытым ключом (в т. ч. формирование ЭП) будет производиться внутри носителя. Активные ключевые носители еще называют криптографическими ключевыми носителям

Пример активного носителя —  Рутокен ЭЦП 3.0 3220

ЭЦП:  ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ

Как реализовать на практике?

Стандарт CMS/PKCS#7 с поддержкой российских криптоалгоритмов реализован в сертифицированных СКЗИ наших партнеров:

Кроме того, стандарт CMS с российской криптографией реализован в Open Source приложении OpenSSL.

Наша компания поддержала CMS c российской криптографией в продукте Рутокен Плагин. Рутокен Плагин предназначен для использования в браузерах, все криптографические операции производятся аппаратно, «на борту» USB-токена.

Как экспортировать открытый ключ и сертификат

В программном обеспечении компьютера нет отдельного функционала экспорта открытого ключа. Но значение открытого ключа содержатся в сертификате. Поэтому пользователю достаточно экспортировать только сертификат. Делается это через свойства обозревателя либо из криптопровайдера КриптоПро CSP. При этом носитель с ключом должен быть подключён к компьютеру.

Экспортировать открытый ключ электронной подписи можно только вместе с закрытым ключом.

В чём разница между присоединённой и отсоединённой ЭЦП

Разница между ними состоит только в том, что первая отделена от подписываемого файла, а вторая является его частью. Приведём пример:

Допустим, у вас есть текстовый файл, который нужно заверить печатью. Вы делаете это с помощью специальной программы, выбирая свой личный сертификат и формат «присоединённая подпись». В этом случае вес текстового документа увеличится. К нему буквально будет прикреплена ваша ЭЦП.

Откреплённая подпись действует наоборот. Она создаётся отдельным .sig-файлом. Чтобы проверить её достоверность, нужны одновременно два файла: текстовый документ, который мы подписали, и откреплённая ЭЦП.

Как устроена электронная подпись

Электронная цифровая подпись — это устройство со сложной технической составляющей.


<img class="img-fluid" src="https://astral.ru/upload/iblock/571/vcrrtp1wi9ep226omt1xfmadqkxm8gv2/%D0%A4%D0%BE%D1%80%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%20%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9%20%D1%86%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BE%D0%B9%20%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D0%B8%20

.png» title=»»>

Электронная подпись состоит из двух основных частей:

Эти составные части выполняют разные функции: с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, документ дешифруется. Таким образом, достигается цель использования ЭЦП — подтверждается то, кем был подписан документ, и заверяется его неизменность с момента подписания.

Закрытый ключ не содержит в себе ничего, кроме механизма, с помощью которого он может шифровать документы. Сертификат же несёт в себе такую полезную информацию, как сведения о владельце, сведения об удостоверяющем центре, срок действия цифровой электронной подписи и т.д. Сертификат выступает в роли главного носителя информации о ЭЦП.

Для чего нужен CMS

Стандарт CMS описывает структуру криптографических сообщений, включающих в себя защищенные данные вместе со сведениями, необходимыми для их корректного открытия или использования. Например, в сообщении размещаются защищенные данные, информация об алгоритме хеширования и подписи, времени подписи, сертификате открытого ключа, цепочке сертификации и т.д. Некоторые из указанных атрибутов носят опциональный характер, но приложение может само определить необходимость их наличия. У каждого алгоритма есть набор параметров, который должен быть согласован на обеих сторонах: для ГОСТ 34.10-2001, помимо открытого ключа, это модуль p, коэффициенты эллиптической кривой a и b и порядок циклической подгруппы точек эллиптической кривой q. И все это нужно каким-то образом передать адресату сообщения.

RSA Laboratories в серии своих стандартов криптографии с открытом ключом (PKCS) предложила решение этой проблемы путем определения синтаксиса для защищенных сообщений в следующих стандартах:

Развитием этих стандартов стал стандарт CMS. C MS кроме

определенной заголовком статьи

подписи поддерживает операции шифрования, хеширования и вычисления имитовставки, в том числе и по российским алгоритмам (RFC 4490), а также множественную инкапсуляцию. Последнее означает, что сообщение формата CMS может лежать внутри другого CMS сообщения.

Всего CMS поддерживает шесть типов данных:

В рамках статьи мы подробно рассмотрим только данные с электронной подписью (signed data).

Чтобы не путаться в терминологии, далее исходные данные, которые мы хотим передать защищенным способом, будут называться данными, а получившееся защищенное сообщение CMS – просто сообщением.

Как поставить отсоединённую подпись

Поставить отделённую подпись с помощью программы КриптоАРМ может даже человек, который буквально только что получил свой первый сертификат.

Давайте действовать поэтапно:

Ставим галочку на опции «Сохранить подпись в отдельном файле», чтобы сделать отсоединённую подпись

Жмём «далее», оставляя все настройки неизменными вплоть до окна «Параметры подписи»

Вот и всё. Дальше нам остаётся только выбрать личный сертификат, с помощью которого мы заверяем документ, и нажать на кнопку «Готово».

Как подписать отсоединённой электронной подписью в формате pkcs 7

Приложение cryptcp — это расширение для программы КриптоПро CSP в виде командной строки. С помощью неё пользователь может создавать запросы на сертификат, шифрование и расшифровку файла, проверять ЭЦП с использованием сертификатов открытых ключей, хеширования файлов. В этом случае формируется откреплённая электронная подпись в формате pkcs 7 в кодировке DER или BASE64.

Когда в информационной системе или электронной площадке требуется подписать документ в формате pkcs 7, не нужно менять ЭЦП. Она добавляется к документу в командной строке с действующим сертификатом электронной подписи

Для подписания документа в системе последовательность команд следующая:

Полный список команд доступен в документе readme программы КриптоПро CSP.

Виды электронной подписи

Существует три вида ЭП, которые используют для различных ситуаций. Рассмотрим, какой может быть электронная подпись, понятие, виды и применение.

Форматы электронной подписи

ЭЦП может формироваться в самом документе, отдельным файлом или интегрироваться в него. В зависимости от типа прикрепления их делят на три вида.

Присоединённая

После подписания электронная подпись содержится в самом документе. Формируется общий файл, где ЭЦП прикрепляется отдельным защищённым контейнером. Подписанный документ можно загрузить на ПК, хранить, скопировать и переслать. Чтобы считывать информацию с такого файла, пользователю потребуется дополнительное программное обеспечение. Если попытаться изменить содержимое документа, ЭЦП удалится

Отсоединённая

После подписания документа формируется два взаимосвязанных файла. Одним из которых является подписанный документ, а вторым — файл, имеющий расширение .sig. Именно второй файл содержит ЭЦП и данные, относящиеся к подписанному документу. Чтобы просматривать информацию, не требуется дополнительное программное обеспечение. Если загрузить, хранить или переслать эти файлы отдельно друг от друга, ЭЦП будет считаться недействительной.

Интегрированная

ЭЦП создаётся как нераздельная часть подписанного документа. Такой файл не подлежит редактированию. Такой способ подписания используют в программах Microsoft Office или Adobe Acrobat. Прочитать информацию с таких документов можно только при наличии установленного на компьютер сертификата ЭЦП.

Экспорт сертификата через свойства обозревателя


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Функциональный ключевой носитель (ФКН)

Это активный носитель, дополнительно имеющий реализацию протокола SESPAKE для построения защищенного канала между криптопровайдером и токеном.

Пример такого устройства — Рутокен ЭЦП 3.0 3220, который также поддерживает активный и пассивный режимы.

Стандарт CMS (PKCS #7 и RFC 5652)

Синтаксис криптографических сообщений (CMS) впервые был определен в PKCS #7, который позже был опубликован в качестве рекомендаций RFC 2315 «PKCS #7: Cryptographic Message Syntax Version 1.5». Спустя еще несколько версий RFC в сентябре 2009 года был принят RFC 5652 «Cryptographic Message Syntax (CMS)», который является действующим стандартом на данный момент.
Под спойлером иллюстрируется тяжелая судьба стандарта.


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Подпись в CMS-формате (signed data type)

Подпись, описанная стандартом CMS, характеризуется следующими особенностями:

Данные с электронной подписью используются не только для подписи содержимого и часто используются для распространения сертификатов и списков отзыва сертификатов (Certification Revocation List, CRL). В таком случае подписываемые данные отсутствуют, а поля Certificates и CRLs, наоборот, присутствуют.

Подписанное Алисой сообщение в формате CMS будет иметь следующий вид (серым отмечены необязательные атрибуты):


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Если Боб решает целиком подписать полученное от Алисы сообщение, то используется механизм инкапсуляции, и сообщение будет выглядеть вот так:


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

CMS предлагает два интересных атрибута, расширяющих возможности обычной подписи: время подписи (Signing Time) и контрасигнатуру (Countersignature). Первый атрибут определяет предполагаемое время осуществления подписи, а второй предназначен для подписи другой подписи (подписывается хеш от значения подписи). Атрибут Countersignature представляет собой структуру Signer Info с отсутствующим в Signed Attributes атрибутом Content Type и обязательно присутствующим атрибутом Message Digest. Атрибут Countersignature может иметь свой собственный атрибут Countersignature.

ЭЦП:  ГОСУСЛУГИ ЛИЧНЫЙ КАБИНЕТ ВХОД ГОСУСЛУГИ ЛИЧНЫЙ КАБИНЕТ ВХОД ПО НОМЕРУ ТЕЛЕФОНА МОСКВА ВОЙТИ НА МОЮ

Если Боб решит подписать только данные, переданные Алисой, и заодно подписать подпись Алисы, то сообщение будет иметь такой вид:


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Галопом по Европам оставшимся типам

СMS предлагает еще несколько интересных типов сообщений, не охватываемых темой этой статьи. Поэтому буквально по паре слов об оставшихся типах для общей картины.
Упакованные данные (enveloped data) представляют собой зашифрованные данные вместе с зашифрованными для одного или более получателей ключами, которыми эти данные были зашифрованы. Комбинация зашифрованного сообщения с одним зашифрованным ключом шифрования для одного получателя называется цифровым конвертом. Данный тип используется в качестве конверта с (подписанными) данными для одного или нескольких получателей.
Хешированные данные (данные вместе со своим хешем) используются для проверки целостности сообщения и часто являются содержимым упакованных данных.
Зашифрованные данные часто используются для шифрования данных для локального хранилища, иногда с выработанным из пароля ключом шифрования.
Данные из аутентифицированного источника (данные с проверкой подлинности) включают в себя данные вместе с их MAC-кодом и зашифрованными ключами аутентификации для одного или нескольких получателей. Используются для защиты целостности сообщений для неограниченного количества получателей.

В следующей статье мы подробно остановимся на сообщениях типа enveloped data с использованием российских криптоалгоритмов.

CMS в реальной жизни

Стандарт CMS имеет немало воплощений в современном мире IT – на нем основаны:

Закономерным развитием идей CMS для сообщений с электронной подписью cтал CAdES (CMS Advanced Electronic Signature), расширенный стандарт подписанных сообщений CMS, который также послужит темой для еще одной нашей статьи.

ФКН-ключи

Для того, чтобы сгенерировать ключи ФКН с защитой канала нужно использовать модели линейки Рутокен ЭЦП 3.0 — именно эти модели имеют поддержку протокола SESPAKE. Важно так же, что для работы и генерации ключей в таком формате подойдет версия КриптоПро CSP 5.0 и новее

Как экспортировать закрытый ключ

Отдельно, закрытый ключ практически никогда не экспортируется. Копируется сразу ключевая пара — открытый ключ вместе с закрытым.

Выполнять экспорт закрытого и открытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

Важно! Если закрытый ключ сделан с использованием другого криптопровайдера, то экспортировать его через КриптоПро не получится.


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Как создать отсоединённую подпись

Добавить к документу отсоединённую ЭЦП проще, чем присоединённую. Она доступна по умолчанию в большинстве программ для электронного документооборота. Сравним по функционалу упомянутые выше программы:

По функционалу и доступности для подписи электронных документов лучше всего выбрать программу КриптоАРМ. Бесплатна только базовая версия – КриптоАРМ СТАРТ.

Средства генерации ключевых пар

Рассмотрим с помощью каких средств криптографической защиты информации (СКЗИ) можно генерировать и использовать разные форматы ключей, на примере устройств Рутокен:

Требования к носителям и СКЗИ

ЭП для работы на торговых площадках нельзя генерировать на незащищенный носитель (флешка, реестр) и токен со встроенной СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, JaCarta SE, JaCarta-2 SE).

Время на прочтение

Статья посвящена обзору стандартов СMS (Cryptographic Message Syntax) для подписанных сообщений.

Подписание документов электронной подписью

Электронная подпись содержит информацию об авторе и подтверждает отсутствие изменений в электронном документе после его подписания. Есть несколько основных способов подписания, но выбор способа зависит от требований контрагента, поэтому прежде чем принимать решение, каким способом и в каком программном обеспечении подписывать документ, уточните у контрагента требования к подписи:

Как сгенерировать

В разделе «Подписи» или «Сотрудники/Подписи» (зависит от конфигурации) кликните заявку — запустится генерация. Порядок действий зависит от того, каким СКЗИ или носителем вы пользуетесь.


В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

В КАКОМ ФОРМАТЕ НАХОДИТСЯ КЛЮЧ ЭЦП

Чтение присоединённой и отсоединённой подписи

Ещё одно важное отличие отсоединённой и присоединённой подписи исходит оттого, что отсоединённая подпись не изменяет подписываемый документ. Это означает, что он будет доступен к чтению без специальных программ или сервисов.

Для чтения документа, который заверен присоединённой печатью, нужны специальные программы для работы с ЭЦП. Они должны проверить подпись и «извлечь» файл перед чтением.

Генерируются на активных и ФКН носителях, с использованием стандартизированного программного интерфейса (API) библиотеки PKCS#11. Например, вся линейка продуктов Рутокен ЭЦП 3.0 содержит в себе возможности аппаратной криптографии.

Для генерации ключей формата можно использовать инструменты от компании Актив:

Или воспользоваться программными ГОСТ-криптопровайдерами:

Открепленная (отсоединенная) ЭП

Локальная программа для подписи и шифрования файлов любого формата. С помощью КриптоАРМ можно расшифровать, посмотреть подпись файла, создать как открепленную подпись документа, так и присоединенную подпись. Инструкция по работе с КриптоАРМ

Криптопро CSP 5 версии

В составе Криптопро CSP есть утилита Инструменты Криптопро, в которой реализована возможность подписывать файлы любого формата. Инструкция по работе с Инструментами Криптопро.

Создаются с помощью программного ГОСТ-криптопровайдера, который устанавливается в операционную систему (ОС).

Контейнеры ГОСТ-криптопровайдеров можно хранить в виде файлов на флеш-накопителях, жестком диске и реестре компьютера или на специализированном ключевом носителе, защищенном PIN-кодом.

Когда ключевые контейнеры хранятся как обычные файлы, возможности анализа, копирования или удаления никак не ограничены, а значит скопировать и удалить их может кто угодно. Поэтому безопаснее хранить ключевые контейнеры на специализированном, защищенном ключевом носителе (смарт-карте или токене), защищенном PIN-кодом. Именно этот вариант мы и будем рассматривать дальше.

Чтобы криптопровайдер (СКЗИ) смог получить доступ к содержимому защищенного ключевого носителя, нужно физически иметь в распоряжении ключевой носитель и знать PIN-код. Все операции с закрытым ключом выполняются в оперативной памяти компьютера.

Т. е. во время операций с закрытым ключом, после ввода правильного PIN-кода, закрытый ключ временно извлекается в оперативную память компьютера.

Таким образом, извлекаемые ключи — это ключи, которые можно скопировать на другой носитель средствами программного криптопровайдера.

ключи — это ключи с запретом копирования стандартными средствами программного криптопровайдера.

Защита от копирования реализуется внутренними программными механизмами самого криптопровайдера. При этом техническая возможность скопировать контейнер (закрытый ключ) остается.  При формировании или импорте контейнера на ключевой носитель может быть установлен запрет на процедуру копирования, такие контейнеры (и закрытые ключи в них) называются неэкспортируемыми. Впоследствии этот параметр

Совмещенная (прикрепленная/присоединенная) ЭП

Разновидность электронной подписи, при создании которой формируется файл, содержащий как саму электронную подпись, так и исходный документ. Создать такую подпись можно через КриптоАРМ или Инструменты Криптопро. В той же папке, в которой хранился исходный документ, появится файл с аналогичным названием, но с расширением, как правило, .sig, .sgn. Размер этого файла несколько больше, чем размер исходного документа. Отправлять контрагенту нужно будет только этот файл. Для проверки и прочтения документа у контрагента должно быть установлено ПО, поддерживающее работу с прикрепленной подписью.

Принцип работы электронной подписи

Электронная подпись работает по асимметричному принципу шифрования. То есть документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого.


<img class="img-fluid" src="https://astral.ru/upload/iblock/817/7ead9ue8nkkllb5uoqq8a4eu9sh4np3x/%D0%A1%D1%85%D0%B5%D0%BC%D0%B0%20%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%20%D0%AD%D0%A6%D0%9F%20%D0%B8%20%D0%B5%D0%B5%20%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B8%20

.png» title=»»>

Объясним принцип работы ЭЦП на пальцах. Подписание документа производится в несколько этапов:

Подведём итоги

Ещё раз пройдёмся по информации выше, выделив основные тезисы, которые стоит запомнить:

Рекомендуем выбрать квалифицированные электронные подписи от УЦ «Калуга Астрал». В каталоге представлены тарифы для физлиц и сотрудников организаций. Индивидуальные предприниматели и руководители юрлица могут воспользоваться услугой Получение КЭП в ФНС под ключ.

Заключение

Для надежной защиты ключей ЭП от копирования и перехвата мы рекомендуем использовать активные носители с возможностью генерации неизвлекаемых ключей на «борту», такие как Рутокен ЭЦП 3.0 3220. Так ваша электронная подпись будет максимально защищена.

Оцените статью
ЭЦП64
Добавить комментарий