Elektronický podpis pkcs 7. Primární klasický podpis

4.3 Pravidla pro vytváření elektronických podpisů Při vytváření elektronických podpisů všech typů by měly být použity následující algoritmy:


název
URI

Výpočet hash součtu

GOST R 34.11-94

http://www.w3.org/2001/04/xmldsig-more#gostr3411

Tvorba podpisu

GOST R 34.10-2001

http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411

Kanonalizace (pro XMLDSig)

Exkluzivní kanonikalizace XML 18. července 2002

http://www.w3.org/2001/10/xml-exc-c14n#

Další transformace (pro XMLDSig)

normalizace SMEV



Dále v textu této části, pokud je jméno prvku zadáno bez jmenného prostoru, předpokládá se jmenný prostor urn: //x-artefacts-smev-gov-ru/services/message-exchange/types/1.1.

4.3.1 Podpisy PKCS # 7

Formát PKCS # 7 se používá k podepisování souborů připojených ke zprávám.

Je použita verze 1.5 specifikace PKCS # 7 (RFC-2315).

Na formát podpisu se vztahují následující omezení:

Pro kořenový prvek ContentInfo je jediným platným typem contentType SignedData.

Podpis musí být odpojen (tj. pro prvek SignedData / contentInfo / contentType je jediná platná hodnota 1.2.840.113549.1.7.1 a prvek SignedData / contentInfo / content nesmí chybět).

Pro výpočet výtahu zprávy je povolen pouze algoritmus GOST 34.11-94.

Pro generování EDS je povolen pouze algoritmus GOST 34.10-2001.

Je zakázáno umístit více než jeden EDS do PKCS # 7-crypto zprávy.

V prvku SignerInfo musí být přítomny následující ověřené atributy:


  1. contentType (1.2.840.113549.1.9.3) je vždy 1.2.840.113549.1.7.1.

  2. messageDigest (1.2.840.113549.1.9.4), obsahuje GOST-digest souboru, který má být podepsán.
Formálněji b Ó Většina těchto omezení je popsána v profilu formátu PKCS # 7, Příloha 2. Profil také odráží skutečnost, že v této souvislosti je formát PKCS # 7 používán pouze pro přenos digitálních podpisů, a není používán pro přenos šifrovaných dat a seznamy CRL. Profil používá typy definované ve standardu PKCS # 9 (RFC-2985).

4.4 Elektronické podpisy subjektů interakce - jednotlivců

4.4.1 Obecné požadavky na elektronický podpis generovaný jménem úředníků státních orgánů při meziresortní výměně informací

Certifikáty a klíče elektronického podpisu (článek 3 článku 14 federálního zákona č. 63-FZ „o elektronickém podpisu“) úředníka se vydávají na jméno jednotlivého zástupce orgánu státní správy a používají se v informačních systémech v ustanovení státních a komunálních služeb / výkon funkcí státu a obcí pomocí systému meziresortní elektronické interakce pro vytváření a (nebo) ověřování elektronických podpisů.

Tyto podpisy jsou obdobou vlastnoručních podpisů těchto zaměstnanců a potvrzují mimo jiné skutečnost vytvoření elektronického dokumentu konkrétním pracovníkem OB v IS IS.

Odpovědnost za uložení a použití podpisového klíče EP-SP nese úředník a kontrolují jej zástupci úřadů.

Opětovné vydání stávajících certifikátů klíče ES-JV pro úředníky OV pro použití v meziresortní interakci není povinné - je možné použít dříve vydané a platné certifikáty podpisových klíčů úředníků za předpokladu, že jsou vydány některou z certifikací centra zahrnutá do jednotného důvěryhodného prostoru ES vytvořeného Ministerstvem telekomunikací a masových komunikací RF.

4.4.2 Elektronický podpis pro meziagenturní spolupráci

EP-SP podepisuje obchodní data zprávy ve formátu XML a také připojené soubory. Vzhledem k tomu, že přílohy jsou přenášeny odděleně od obchodních dat, je EP-SP umístěn samostatně na obchodních datech, zvlášť pro každý připojený soubor.

4.4.2.1 Pravidla pro generování elektronického podpisu zpráv


Formát podpisu

XMLDSig odpojen

Transformace, kromě kanonizace

urn: // smev-gov-ru / xmldsig / transform

Požadavky na formátování

Ve struktuře XML podpisu, mezi prvky nepovoleno přítomnost textových uzlů, včetně zalomení řádků.

Podepsaná položka

U požadavků a odpovědí kořenový prvek dokumentu XML, který představuje obchodní data požadavku nebo odpovědi.

Zveřejnění ve zprávě

// SenderProvidedRequestData / PersonalSignature / dsig: Podpis
(pro žádosti),

// SenderProvidedResponseData / PersonalSignature / dsig: Podpis
(pro odpovědi),

Jak vložit podpis do zprávy

Odesláno klient webové služby ve struktuře parametrů metod SendRequest, SendResponse.

Jak extrahovat podpis pro ověření

EDS je načteno a ověřeno klient webové služby.

Soubory tohoto typu a také k jakým účelům jsou určeny, jsou podrobně popsány níže. Původní název tohoto materiálu je PKCS-7 Signature file.

Popis rozšíření

Začněme tedy mluvit o formátu, budeme mluvit dále, ale nyní se pokusme zjistit účel tohoto řešení. Materiál v tomto formátu je e-mailová zpráva, která obsahuje digitální podpis. Tento formát se používá pro bezpečné přeposílání e-mailů. Může je zobrazit pouze příjemce. Tento způsob přenosu ověřuje odesílatele a také potvrzuje, že konkrétní dopis nebyl během procesu odesílání žádným způsobem změněn. Pokud e-mailový program, který používáte, nepodporuje digitální podpisy, soubor P7S se obvykle objeví jako příloha zprávy. E-mailoví klienti pracující s tímto formátem používají standard PKCS. Tím se vytvoří podpis pro e-mailové zprávy.

Mozilla Thunderbird

Takže před námi je soubor P7S. Tento poštovní klient vám řekne, jak jej otevřít. Mozilla Thunderbird v mnoha ohledech opakuje proprietární rozhraní prohlížeče. Toto řešení funguje na podobném principu. Můžete si vybrat vhodný motiv podle svého vkusu. Je možné upravit 5 úrovní písma, stejně jako pozadí v písmenech. Součástí aplikace je knihovna emotikonů. Rychlost práce se blíží rychlosti proprietárního prohlížeče. Maximální čekací doba na přijetí dopisu nebo jeho odeslání je 10 minut. Po uplynutí zadané doby aplikace zjistí, že spojení bylo přerušeno, a v důsledku toho zastaví odesílání. Tento problém lze snadno vyřešit změnou nastavení softwaru.

Jiné aplikace

Existují další nástroje, které podporují formát P7S. Jak takový dokument otevřít, to vám pomůže zjistit program PostBox. I v tomto případě může pomoci Microsoft Outlook. Toto je správce informací, který byl vytvořen společností Microsoft. Program kombinuje možnosti e-mailového klienta s nástroji pro spolupráci. Outlook je součástí sady kancelářských programů Microsoft Office. Můžete se také rozhodnout, jak otevřít soubor P7S pomocí aplikace CryptoARM. Jedná se o univerzální softwarový balík. Umožňuje používat kryptografické nástroje pro obchodní i osobní korespondenci. Prostřednictvím tohoto řešení můžete zajistit ochranu firemních i osobních údajů.

Aplikace dostala velmi pěkné grafické rozhraní. Toto řešení poskytuje silné šifrování i dešifrování dat. Pomocí tohoto nástroje můžete také vytvářet a používat veřejné klíče a také podporu pro práci s certifikáty a poskytovateli kryptografických služeb. Pomocí této aplikace můžete vytvářet libovolný počet digitálních podpisů a také ověřovat jejich pravost. Je podporováno dešifrování souborů. Provádění operací v jedné fázi.

Nyní víte, co je P7S. Jak otevřít soubor s touto příponou a k čemu se tento formát používá, je podrobně popsáno výše.

Pomocí programu "CryptoARM" se můžete podepsat

  • samostatný soubor
  • složka souborů (tím se vytvoří podpis pro každý soubor obsažený v zadané složce. Podepsané soubory se automaticky uloží do složky s původními daty)

Formát souboru P7S používán častěji. * .p7s – podepsané soubory ve formátu PKCS # 7, ale v textové podobě base64 (jako PEM)

Pro formát zprávy PKCS # 7 v kódování Base64 můžete zadat příznak Zakázat záhlaví služby(v tomto případě nebudou v podpisovém souboru použity hlavičky označující začátek a konec bloku s podepsanými daty. Hlavičky jsou vyžadovány, aby bylo možné ověřit digitální podpis dřívější verze programy "CryptoARM").

  1. Zadejte požadované vlastnosti podpisu (komentář k podpisu *, identifikátor zdroje ** včetně času vytvoření podpisu). Kromě toho můžete nastavit parametr "povolit časové razítko na datech, která mají být podepsána", který lze povolit, když je nainstalován přídavný modul TSP.

* Komentář k podpisu může být informace určená ke čtení lidmi, kteří si prohlížejí podepsaný dokument (například „Souhlasím!“)

** Identifikátor zdroje znamená:

  • cesta k původnímu, podepsanému souboru (v počítači nebo na internetu, kde se tento soubor nachází)
  • název souboru (uvádí se, aby v případě změny názvu souboru mohl příjemce podepsaného dokumentu určit jeho původní název)

Vlajka

Vysvětlení
Uložte podpis do samostatného souboru

    Po nastavení příznaku se na souboru vytvoří samostatný elektronický podpis (může se například hodit, pokud dokument posíláte osobě, která nepoužívá CryptoARM a nezajímá ho ani tak podpis, jako např. samotná data)

    V případě absence příznaku bude vygenerován elektronický podpis včetně souboru s počátečními daty (v tomto případě budou dokument a EDS uloženy společně)
Po operaci smažte původní soubor

Pokud se rozhodnete vytvořit sloučený soubor podpisu, můžete po dokončení operace původní soubor odstranit. Tato příležitost je důležitá

  • v první řadě pro pohodlí práce s dokumenty
  • pro ty, kteří potřebují uchovávat a vyměňovat pouze dokumenty podepsané EDS (v rámci předpisů pro správu elektronických dokumentů přijatých organizací)

V případě, že nastavíte vlajku naproti řádku Vymazat původní soubor po operaci, dokument (dokumenty) vybraný k podpisu bude po úspěšném dokončení operace odstraněn.
Zahrňte čas vytvoření podpisu

Při nastavení příznaku - čas podpisu bude zahrnut do souboru podpisu
Zahrnout časové razítko na podepsaná data

Když je příznak nastaven, časové razítko na původních datech bude zahrnuto do souboru EDS

Tento příznak se zobrazí pouze v případě, že je nainstalován modul TSP.
K podpisu přiložte doklad o pravosti
  1. Pokud byl nastaven příznak Zapnout časové razítko na podepisovaných datech , v dalším kroku specifikujte parametry Služby časových razítek :
  1. Zadejte potřebné parametry EDS – osobní certifikát pro vytvoření EDS a hashovací algoritmus.
  1. Zadejte heslo pro přístup k vybranému kontejneru klíčů (certifikát GOST).

    2. Po shromáždění dat pro vytvoření EDS se objeví okno s informacemi o stavu operace a použitých parametrech: certifikát, kterým byl soubor podepsán.

Zadané parametry EDS lze uložit v nastavení jako šablonu pro další použití. Chcete-li to provést, vložte do odstavce příznak Uložte data do nastavení pro budoucí použití a zadejte název nastavení. Všechna data můžete také uložit do existujícího nastavení výběrem jeho názvu ze seznamu.

  1. Začne proces podepisování souboru. Proces můžete zastavit kliknutím na tlačítko Zrušení.
  2. Vygenerovaný soubor EDS bude standardně uložen ve stejném adresáři, kde je umístěn soubor s počátečními daty. Název souboru EDS se shoduje s názvem podepisovaného souboru doplněný o příponu (přípona odpovídá zvolenému výstupnímu formátu). Pokud již soubor se stejným názvem existuje, uložte jej pod jiným názvem.
  3. Po dokončení operace se zobrazí okno. Výsledek operace... Chcete-li zobrazit podrobné informace o výsledcích vytváření podpisu a použitých parametrech: název zdrojového souboru, název výstupního souboru, stav dokončení operace, dobu trvání operace, klikněte Podrobnosti >>.

Pokud chcete zobrazit informace o digitálním podpisu a certifikátu předplatitele, vyberte položku v seznamu oken Výsledek operace a klikněte na tlačítko Správce zpráv.

Otevře se okno správa podepsaných dat, kde si můžete prohlédnout informace o podpisu a certifikátu:

  • zobrazit podepsaný soubor kliknutím na tlačítko Pohled naproti názvu souboru,
  • uložit do zadané cesty kliknutím na tlačítko Uložit,
  • zobrazit informace o podpisu, certifikátu a jeho stavu (tlačítko Pohled)

Záložka do knihy

Informace v záložce
Podpis

Informace o atributech podpisu, době jeho vytvoření, podpisu a použitých hashovacích algoritmech.
Osvědčení

Informace o certifikátu (stav certifikátu / platný atd. /, číslo, informace o majiteli a vydavateli, doba platnosti certifikátu a jeho použití).
Stavy certifikátů

Obecný stav kontroly úplné certifikační cesty (více o stavech certifikátů čtěte v kapitole Kontrola stavu certifikátu). V záložce lze navíc nastavit způsob kontroly stavu certifikátů (podle lokálního SOS; podle SOS přijatého od CA; pomocí Poskytovatele odvolání; ve službě OCSP)
Časová razítka Informace o časovém razítku (stav časového razítka, vlastnosti časového razítka, vlastnosti služby razítka, stav certifikátu služby a podrobnosti)