@DyadyaGe

Доброго времени суток. Появилась задача проверить ЭЦП в письме. С одной стороны в инете куча теоретической инфы по шифрованию и использованию ЭЦП. С другой мне пока так и не понятен конкретный механизм проверки ЭЦП. Тем более что пишут мол можно самому создать ЭЦП.
Вот предположим я решил создать свою ЭЦП, подписать ею документ, отправить по почте и проверить письмо. Можно, конечно, в банке (или любом другом удостоверяющем центре) заказать реальную ЭЦП и все остальное проделать с ней. Но все равно остается вопрос как это сделать?

0

@websyst_ru

Никак.

Этим занимается криптопровайдер, поэтому проверка должна быть либо на сервере, либо локально после получения файла.
Либо после получения файла в письме на сервере. Но во всех случаях для проверки потребуется криптопровайдер.

Если нужна проверка на корректность, то можно воспользоваться библиотеками крипто-про https://cpdn.cryptopro.ru/

При проверке на соответствие необходимо иметь корректный сертификат пользователя у себя.

При локальной и ручной проверке, достаточно иметь криптопровайдер(рекомендую крипто-про)

1

@DyadyaGe

Тоесть та организация, которая выдала ЭЦП? Например сертифицированный банк?
Не совсем понятно чем отличается проверка на корректность от проверки подлинности письма с ЭЦП.
Запутался в этих сертификатах. Выдала мне организация ЭЦП. Лежит он у меня на флешке. Как его прикрепить к письму и как человек проверит письмо, что это я подписал? Где тут сертификат?
Вы уж простите за глупые вопросы. Пощупать бы все руками )))
И ещё, говорят, что подобный модуль делается не на php, а на js. Это так?

Добавлено через 3 минуты
Хотя вот по вашей ссылке прочитал про использование с PHP, но что-то сходу не разобрался. Но вопрос с js снимается

0

@websyst_ru

Нет, криптопровайдет - это средство для работы с ЭЦП (программа на ПК)
Лучшей для себя считаю программму КРИПТО-ПРО. cryptopro.ru (имхо)

ЭЦП может быть просроченной, отозванной, заблокированной, но оригинальной.
ЭЦП Может быть не отозванной, не заблокированной, не просроченной, но несоответствующей ключам контейнера.

По идее должен быть на той же флешке, или в отдельном письме от центра. обычно в расширении cer, которое открывается на компе по умолчанию.Остальное - это закрытые ключи, которые не просматриваются.
Если это не обычная флешка, а непосредственно закрытая usb ЭЦП, то вытащить и посмотреть можно только с помощью криптопровайдера (крипто-про, vip-net)

Если прям совсем ничего не понятно, то обратитесь в центр, они делают настройку и проводят консультацию бесплатно.


Взаимодействие можно сделать на любом языке.

Я сомневаюсь, что это, то , что вам нужно... Вероятно вы вообще пошли не в ту степь.
Ведь.

Т.е. вам тупо нужно подписать и отправить файл. Это локальный файл для личного использования.

алгоритм такой.

1. Устанавливаете криптопровайдер(программу)
2. Импортируете собственный сертификат (с помощью этой же программы или просто нажав на сертификат)
3. Импортируете сертификаты центра сертификации,/цепочку сертификатов. (этого может не потребоваться, смотря что за центр)
4. Подписываете файл (прям внутри этой программы, если новая версия, если старая то доп.средствами)
5. Отправляете адресату. Где он может проверить ЭЦП, имея программу-криптопровайдер у себя тоже.


Но в зависимости от файла может потребоваться прикрепить файл эцп к файлу.(сертификат, в формате .sig
Это то, о чем я говорил перед этим. Проверить оригинальность можно только путём сравнения её с сертификатом пользователя. (на старый версиях), в новых эцп либо вшивается в файл либо формируется автоматом.

В некоторых случаях этого не требуется.Например, если это Word,excel и т.д.
то проверку ЭЦП можно посмотреть прям в программе, без дополнительных. PDF тоже это умеет.


Но в большинстве случаев по доп файлу.

В php и организация взаимодействия - это не ваш случай.

1

@DyadyaGe

Хорошо, а если такая ситуация. На сайте делается запрос на обработку персональных данных. Человеку приходит письмо с таким запросом или прям на сайте такая страница загружается с текстом соглашения на обработку данных. И такое письмо нужно подписать ЭЦП. Как тогда поступить?

0

@websyst_ru

Если класс защищенности персональных данных не выше 4го-3го (К3), то вообще ничего не нужно.
Соглашение на обработку - это публичная оферта. Его подписывать не нужно.

ЭЦП в письме имеет только функцию подписи. Если требуется прям заверить письмо. То тогда - да. Вероятно, нужно взаимодейтствовать как клиент-сервер.

Вариант с проверкой чужой ЭЦП на ПК третьей стороны - плохая идея.т.к. это распространение персональных данных. Это как минимум требует согласия каждого владельца ЭЦП. В этом случае соглашение в варианте публичной оферты невозможно. Т.к.любой пользователь в любой момент может сказать "я не разрешал", его подписи нет, а правонарушение есть.

Я вижу только 2 варианта.

1. Формировать документ (письмо/содержимое письма) в виде файла и подписывать его на сервере, либо возвращать (загружать) на сервер от пользователя обратно, после того. как он подпишет у себя на пк. (технически самый простой вариант) но пользователи задолбят вопросами что как где и куда. Если их много и они меняются, то этот вариант отпадает.

2. Организовывать подписание непосредственно на сервере. И, желательно, непосредственно в файле для пользователя. В противном случае вам придётся брать ответственность за каждое письмо. Это будет тоже самое, что вы просто будете говорить "письмо норм, верьте нам". При любом подозрении на подделку и мошенничество - виноватыми останетесь вы.

Подписание документа должно включать в себя отправку как минимум открытого ключа(сертификат открытого ключа) пользователя на сервер с его сохранением, чтобы всегда можно было доказать соответствие ключа подписи, что вы не замешаны подделке. Что этот ключ принадлежит именно пользователю и он настоящий.

В большинстве случаев закон требует и логирование всех операций с документами и ЭЦП.
Погуглите для своей области. не могу знать.

вообще
Не до конца понятно. Если вы хотите подписывать соглашение о персональных данных на публичном зайте, область работы которого не регламентируется особыми правилами или законами, то ничего не нужно. просто галочки хватит. в этом случае на вас ответственность только за утечку или незаконное распространение данных.

1

@DyadyaGe

Сайт может и публичный, в том плане, что видят все. Но вот инфа для зарегистрированных пользователей как бы конфиденциальная. Зарегистрированным пользователям нужно ввести свои паспортные данные и ещё кое-какую инфу. Администрация сайта будет с этими данными чего-то делать. И благодаря ей получать дополнительную инфу. Часть этой инфы зарегистрированные люди будут видеть на этом сайте. На что они тоже дают согласие. Потому на мой взгляд и нужна ЭЦП.
Пользователей не много, и они сильно не меняются. Разве что в начале все скопом могут попробовать все это сделать. А потом редкие изменения.

0

@websyst_ru

эцп в этом случае не обязательна. Это стандартная публичная оферта стандартного порядка правил персональных данных.
Класс этих данных ничего особого не требует. Если говорить совсем коротко и сжато, то от вас требуется лишь их безопасное сохранение и не выходить за рамки описанного согласия. + Не размещать и желательно даже не хранить их на серверах за пределами страны. Иначе к вам возрастут требования.


Для контраста:
Госуслуги - публичная оферта(физ)
Банк(тиньков) - публичная оферта (на момент регистрации и подачи документов)
Федресурс - публичная оферта
Яндекс(деньги) - публичная оферта
Webmoney - публичная оферта
и т.д.

Во все эти сервисы предоставляются паспортные данные, фио, адреса, телефоны, email'ы. И всё ограничивается лишь галочкой согласия.
Это всё происходит без ЭЦП. Отсюда резонный вопрос: ваша организация серьёзней,чем они? )


Не говорю что внедрить ЭЦП это плохая идея. Но зачем?

В любом случае ссылку уже отдал, оттуда и начинайте работу, если приспичило.
А еще, если вы ознакомитесь с законом о персональных данных, то получите все ответы, которые у вас могут возникнуть
http://www.consultant.ru/docum... LAW_61801/
В том числе, попадает ли ваша деятельность в категорию, где нужна эцп.

1

@DyadyaGe

Я с Украины ))) закон слегка отличается ))) + не все озвучил
Приспичило ))) Даже не моя идея, или не совсем моя, а скажем нарвался по учебе )))
Тут ещё проблема в том, что ПО по вашей ссылке для линуксов. Я начал разрабатывать на винде с помощью докера и связанной убунты. То ещё удовольствие с созданием контейнеров (пока полностью не разобрался). Хотя когда получается, то результат мне нравится, удобно.

В отношении рекомендованого вами ПО. Я правильно понимаю, что оно может работать со всеми ЭЦП из РФ плюс создавать свои ЭЦП?

0

@websyst_ru

тогда руководтствуйтесь законом своей страны. По нему я вам не подскажу. но суть та же

вообще ничего подобного
Оно многоплатформенное. +есть ещё одно "VipNet" зовётся на счёт "ваших" аналогов не в курсе.

правильно

есть серверная часть программы. которая как раз для всех этих целей.

1

@DyadyaGe

Это я понимаю )) Отличия есть, но в данной ситуации у меня просто такая задача, которая от меня особо не зависит. Учеба )))
Уже начал читать про украинские криптопровайдеры. Какой-то выбор есть. Но по ним почти нет инфы и инструкций. Разве что как зайти в личный кабинет и получить ЭЦП )
Интересно, насколько совместимо наше и ваше ПО? ))) Надо таки либо помирить докер с виртуалкой, либо собрать комп под какую-нибудь убунту/дебиан, потому что даже не представляю пока как её в докере запустить.

0

@DyadyaGe

А что скажите про OpenSSL и GPG? Их для этой цели тоже ведь похоже можно использовать?

0

@websyst_ru

Ну это немного другая технология. использовать-то можно.

В этом случае вы заверяете только подлинность информации, пришедшей от пользователя.
А в первом случае вы заверяете согласие пользователя на "информацию".

0

@DyadyaGe

Тоесть они не несут информации о том, кто их подписал?А что скажите про это https://habr.com/ru/post/550664/
Там идет речь кроме всего и конвертации ЭЦП. Кстати, у меня расширение jks.

0

@websyst_ru

Не несут, а только технически обозначают,что информация, которая поступила из подсети/пользователя не нуждается в проверке, т.к. верификация уже была сделана.

Законно заверить документ можно только с помощью квалифицированной электронной подписью.

Я выше уже писал
В статье как раз говорится об этом способе
"Подписываем документ. Подпись будет отсоединенная, в формате PKCS#7 в отдельном файле (document.pdf.sig)"

Подпись будет законная, как положено.
Но это не ваш случай, т.к. вы хотите получать подпись от пользователя(если я правильно всё понял). Не располагая закрытыми ключами ЭЦП так сделать не получится. Если это не предприятие и сотрудники внутри него, а открытый интернет - не то.

0

@DyadyaGe

Нет, мне нужно получить подписанное письмо, вернее проверить его или подписать (как начинаю понимать, открытым ключом, сертификатом), и положить к себе на сервер. Не ходить же для проверки писем на государственный сайт.

0

@websyst_ru

Да. С самого начала об этом и говорил)
Упрощенный вариант: прочитать сертификат пользователя и сохранить себе его ключ. Проверка корректности всё-равно выполняется на стороне пользователя. В этом случае он не сможет подписать, т.к. криптопровайдер не разрешит.

0

@DyadyaGe

так если я сохраню себе его ключ, то смогу вместо него подписать все что угодно... Хотя вы пишите, что Видимо я не смогу подписать, потому что криптопровайдеру нужен рядом оригинал?

0

@websyst_ru

речь про открытый. Сертификат открытого ключа. И нет, не сможете.

вы хотите самостоятельно подписывать документ от имени пользователя на своём сервере? Так не получится)
только если вы сохраните весь набор ключей и контейнеров+сертификат

0

@DyadyaGe

Потому что нужно быть той организацией, которая выдала ключ, потому что у неё все это есть? (криптопровайдер - аналог этой организации у себя на компе?)
А проверить то подписанный документ я могу?
Или только создать свой криптопровайдер и пройти "акредитацию" у государства, либо довольствоваться тем, что эта ЭЦП будет значима только для меня?

0