Инфраструктура PKI и сертификатов безопасности

Запись от Mr. Docker размещена 23.05.2025 в 20:39

Метки certificate, cryptography, hash, math, pki, security, математика

Нажмите на изображение для увеличения
Название: c98137de-8867-4645-ac39-828c60976209.jpg
Просмотров: 296
Размер: 106.3 Кб
ID: 10839

PKI (Public Key Infrastructure) — это невидимый фундамент цифрового доверия, без которого современный интернет просто рассыпался бы как карточный домик. За этой аббревиатурой скрывается целый комплекс технологий, протоколов, процессов, политик и компонентов, объединённых одной целью — обеспечить безопасное взаимодействие в недоверенной среде.

Представьте, что вы отправляете конфиденциальные данные через интернет. Как убедиться, что их получит именно тот адресат, которому они предназначены? Как гарантировать, что никто не сможет перехватить и прочитать ваше сообщение? И наконец, как получатель может быть уверен, что сообщение действительно от вас, а не от злоумышленника? PKI решает все эти задачи, используя асимметричную криптографию.

Концепция и основы PKI

Асимметричная криптография использует пару ключей — публичный и приватный. Публичный ключ может быть доступен всем, а приватный держится в секрете. Информация, зашифрованная публичным ключом, может быть расшифрована только соответствующим приватным, и наоборот. Это позволяет реализовать две ключевые функции: шифрование данных и цифровую подпись.

Эволюция PKI началась в 1970-х годах с появления концепции асимметричного шифрования, предложенной Уитфилдом Диффи и Мартином Хеллманом. В 1977 году был создан алгоритм RSA (названный по инициалам его создателей — Ривеста, Шамира и Эйдлмана), который стал краеугольным камнем PKI. Следующим важным шагом был стандарт X.509, разработанный Международным союзом электросвязи в 1988 году, который определил формат цифровых сертификатов. В России развитие PKI шло своим путём. В 1990-х годах были разработаны отечественные криптографические алгоритмы, которые легли в основу ГОСТов. ГОСТ Р 34.10-2001, а затем ГОСТ Р 34.10-2012 определили российские стандарты электронной подписи, а ГОСТ Р 34.11-2012 — функцию хеширования. Эти стандарты отличаются от международных аналогов и имеют свои особености, обеспечивая высокий уровень безопасности.

Международные стандарты PKI включают семейство PKCS (Public Key Cryptography Standards), разработанное RSA Laboratories, стандарты IETF (Internet Engineering Task Force), такие как RFC 5280, определяющий профиль сертификата X.509, и стандарты ISO/IEC, охватывающие различные аспекты инфраструктуры открытых ключей. PKI служит основой для множества систем безопасности. Электронная подпись, которая в России регулируется Федеральным законом №63-ФЗ "Об электронной подписи", использует PKI для обеспечения юридической значимости электронных документов. Системы единого входа (SSO) и многофакторной аутентификации (MFA) опираются на PKI для безопасной идентификации пользователей. Защищённые протоколы вроде TLS, используемые для HTTPS-соединений, невозможны без PKI.

Алгоритмы шифрования в PKI разделяются на две основные группы. Асимметричные алгоритмы (RSA, ECC, российский ГОСТ Р 34.10) используются для обмена ключами и цифровых подписей. Они более ресурсоёмки, но решают проблему безопасного обмена ключами. Симметричные алгоритмы (AES, 3DES, российский "Кузнечик") применяются для шифрования непосредственно данных, так как работают быстрее. Обычно в PKI применяется гибридный подход: асимметричное шифрование для обмена ключами и симметричное для шифрования основных данных.

Если углубится в детали, то в основе асимметричной криптографии в PKI лежат сложные математические задачи, которые легко вычислить в одном направлении, но чрезвычайно сложно в обратном. Для RSA — это факторизация произведения двух больших простых чисел, для ECC — задача дискретного логарифмирования на эллиптических кривых, а для российских стандартов — дискретное логарифмирование в конечном поле. Вычислительная сложность этих задач обеспечивает безопасность шифрования. В российской практике широко используется КриптоПро CSP — криптопровайдер, реализующий российские криптографические стандарты. Он интегрируется с различными приложениями и обеспечивает выполнение криптографических операций в соответствии с ГОСТами. Другие отечественные разработки включают ViPNet CSP, Signal-COM CSP и др.

Более подробное рассмотрение математических принципов криптографии в PKI показывает насколько изящно спроектирована эта система. Хеш-функции — математические алгоритмы, преобразующие входные данные произвольной длины в выходную строку фиксированной длины — играют ключевую роль в цифровых подписях. Российский стандарт "Стрибог" (ГОСТ Р 34.11-2012) использует совершенно иной принцип построения, чем популярный SHA-2, что делает его устойчивым к атакам, которые могут быть эффективны против зарубежных аналогов.

Функция хеширования должна обладать рядом свойств: быстрым вычислением, устойчивостью к коллизиям (когда разные сообщения дают одинаковый хеш) и однонаправленностью (невозможно по хешу восстановить исходное сообщение). Алгоритм "Стрибог" обеспечивает все эти свойства, причём в двух вариантах — с длиной хеша 256 и 512 бит.

Принцип работы цифровой подписи в PKI довольно прост: сначала вычисляется хеш документа, затем этот хеш шифруется закрытым ключом отправителя. Получатель расшифровывает подпись открытым ключом отправителя, получая исходный хеш, и сравнивает его с самостоятельно вычисленным хешем документа. Если они совпадают — подпись подлинная.

Доверенные метки времени (TSP — Time-Stamp Protocol) — ещё один важный компонент PKI. Они решают фундаментальную проблему: как доказать, что документ существовал в определённый момент времени и не был изменён после этого? Метка времени представляет собой электронный документ, подтверждающий существование другого электронного документа в указанный момент времени. В России служба доверенных меток времени реализуется через Службу меток времени (TSA — Time-Stamp Authority). TSA генерирует метку времени, включающую хеш документа и время его создания, и подписывает её своим закрытым ключом. Это позволяет доказать, что документ существовал в указанное время и не был изменён позднее.

"КриптоПро TSP" — одно из ведущих российских решений в этой области. Оно полностью соответствует требованиям ФСБ и международному стандарту RFC 3161. В современных условиях, когда юридическая значимость электронных документов критически важна, такие решения незаменимы. Метки времени играют решающую роль в случаях, когда сертификат, которым была создана подпись, уже отозван или срок его действия истёк. Без метки времени невозможно доказать, что подпись была создана в период действия сертификата. С меткой времени такое доказательство становится тривиальным.

Регулирование PKI в России осуществляется в первую очередь Федеральным законом №63-ФЗ "Об электронной подписи", принятым в 2011 году. Этот закон определяет три вида электронной подписи:

1. Простая электронная подпись (ПЭП) — подтверждает факт формирования подписи определённым лицом с использованием кодов, паролей или иных средств.
2. Усиленная неквалифицированная электронная подпись (УНЭП) — создаётся с использованием криптографических средств, позволяет проверить отсутствие изменений в документе и идентифицировать владельца сертификата.
3. Усиленная квалифицированная электронная подпись (УКЭП) — соответствует всем признакам УНЭП, а также создаётся с помощью сертифицированных ФСБ средств и имеет сертификат от аккредитованного удостоверяющего центра.

Только УКЭП признаётся эквивалентом собственноручной подписи во всех случаях, если иное не предусмотрено федеральными законами или соглашением между участниками электронного взаимодействия. УНЭП и ПЭП могут применяться в случаях, предусмотренных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Минцифры России ведёт реестр аккредитованных удостоверяющих центров, имеющих право выдавать квалифицированные сертификаты. Требования к УЦ постоянно ужесточаются — это связано с повышением требований к безопасности и надёжности PKI-инфраструктуры.

С 1 января 2022 года вступили в силу поправки к закону, согласно которым юридическим лицам и индивидуальным предпринимателям квалифицированные сертификаты может выдавать только Удостоверяющий центр ФНС России. Коммерческие аккредитованные УЦ имеют право выдавать квалифицированные сертификаты только физическим лицам, а также уполномоченным представителям юридических лиц и ИП по доверенности. Это нововведение направлено на повышение уровня доверия к сертификатам и централизацию контроля за их выдачей.

Таким образом, PKI в России представляет собой сложную, многоуровневую систему с чёткой регламентацией на законодательном уровне. Это обеспечивает высокую степень доверия к электронным документам и цифровым подписям, что крайне важно в эпоху цифровой трансформации бизнеса и государства. Что интересно, российская PKI-инфраструктура имеет ряд уникальных особенностей, отличающих её от западных аналогов. Например, использование отечественных криптоалгоритмов, более строгие требования к удостоверяющим центрам и центрелизованая модель выдачи сертификатов для бизнеса. Эти особенности обеспечивают дополнительный уровень безопасности и суверенитета в цифровом пространстве.

Принцип работы сертификатов SSL / TLS
Здравствуйте! Никак не могу понять... Допустим, я на сервере создал сертификаты SSL/TLS. Для ftp...

Почему список отозванных сертификатов необходимо подписывать?
Возможно вопрос для некоторых прозвучит глупо, но зачем и почему Список отозванных сертификатов...

Алгоритм безопасности
Здравствуйте, уважаемые форумчане! Предлагается универсальная симметричная высокостойкая...

Политика безопасности допустимого
Добрый день, подскажите пожалуйста - как составляется политика безопасности допустимого риска? на...

Цифровые сертификаты

Цифровой сертификат — это электронный документ, связывающий публичный ключ с идентификатором его владельца. По сути, это цифровой "паспорт", подтверждающий личность в электронном мире. Без сертификатов PKI была бы просто набором разрозненных технологий без практического применения. Стандарт X.509 определяет структуру сертификата, и хотя многие пользователи никогда не видели его содержимого, эта структура хранит массу критически важной информации. Типичный X.509 сертификат включает:

Версию (обычно v3).
Серийный номер (уникальный идентификатор).
Алгоритм подписи (например, RSA, ECDSA или ГОСТ Р 34.10).
Издателя (удостоверяющий центр, выпустивший сертификат).
Срок действия (даты начала и окончания).
Субъект (информация о владельце).
Информацию о публичном ключе.
Расширения (дополнительные поля).
Цифровую подпись издателя.

Интересно, что российские сертификаты имеют небольшие отличия от международных аналогов, связанные с использованием отечественных алгоритмов и дополнительных полей, требуемых законодательством. Например, в сертификатах УКЭП обязательно указывается СНИЛС владельца и объектный идентификатор политики сертификации. Сертификаты организованы в иерархии доверия. В вершине иерархии находятся корневые сертификаты, которые встроены в операционные системы и браузеры. Эти сертификаты самоподписаны — то есть подписаны своим же закрытым ключом. От корневых сертификатов создаются промежуточные, а от них — конечные сертификаты пользователей или серверов. Эта цепочка образует путь сертификации.

Почему нельзя напрямую выдавать сертификаты от корневого центра? Дело в безопасности: закрытый ключ корневого сертификата хранится в строжайших условиях, часто оффлайн, в специальных аппаратных модулях безопасности (HSM). Компрометация корневого ключа была бы катастрофой для всей экосистемы.

Жизненный цикл сертификата включает несколько этапов:
1. Генерация ключевой пары (приватный и публичный ключи).
2. Формирование запроса на сертификат (CSR).
3. Валидация запроса удостоверяющим центром.
4. Выпуск сертификата.
5. Использование сертификата.
6. Обновление перед истечением срока действия.
7. Отзыв (если компрометирован) или истечение срока.

Отзыв сертификата происходит в случае компрометации закрытого ключа, изменения информации о владельце или прекращения деятельности. Информация об отозванных сертификатах распространяется через списки отзыва сертификатов (CRL) или протокол онлайн-проверки статуса сертификата (OCSP).

В мире TLS-сертификатов (используемых для HTTPS) существует несколько уровней валидации. Сертификаты с проверкой домена (DV) проверяют только владение доменом. Сертификаты с проверкой организации (OV) дополнительно верифицируют юридическое лицо. А сертификаты с расширеной валидацией (EV) предполагают углублённую проверку организации, включая физическое местоположение, срок деятельности и т.д. До недавнего времени браузеры визуально выделяли EV-сертификаты, отображая название компании в адресной строке зелёным цветом. Сейчас от этой практики в основном отказались, но EV-сертификаты всё ещё считаются самыми надёжными и использутся банками и другими финансовыми организациями.

Wildcard-сертификаты позволяют защитить все поддомены одного уровня с помощью одного сертификата. Например, сертификат для *.example.com защитит mail.example.com, blog.example.com, но не sub.blog.example.com. Это удобно, но несёт потенциальные риски: компрометация ключа такого сертификата затрагивает все поддомены сразу.

SAN-сертификаты (Subject Alternative Name) — более гибкий вариант. Они позволяют указать несколько конкретных доменов или поддоменов в одном сертификате. Например, можно защитить example.com, mail.example.com и даже домены на других доменных зонах вроде example.org. В современной практике все TLS-сертификаты являются SAN-сертификатами, а различие лишь в количестве альтернативных имён.

Поля расширений сертификатов — это механизм добавления дополнительной информации в сертификат. Они используются для различных целей: ограничения использования ключа, определения политик сертификации, указания точек распространения списков отзыва и т.д. Одно из важнейших расширений — Basic Constraints, которое определяет, является ли сертификат сертификатом удостоверяющего центра. Расширение Key Usage ограничивает использование ключа конкретными операциями — например, только для подписи, только для шифрования или только для аутентификации. Extended Key Usage уточняет эти ограничения, например, указывая что ключ предназначен для аутентификации веб-сервера (TLS Web Server Authentication).

Российские сертификаты УКЭП содержат дополнительные расширения, такие как subjectSignTool (средство электронной подписи владельца) и issuerSignTool (средство электронной подписи издателя), которые указывают на СКЗИ, используемые при создании и проверке подписи.

Защищённые сетевые протоколы широко используют сертификаты для обеспечения безопасности соединений. TLS (Transport Layer Security) — наиболее известный пример, обеспечивающий защиту HTTPS-соединений. При установлении TLS-соединения сервер предъявляет свой сертификат, клиент проверяет его валидность, и если всё в порядке, устанавливается шифрованное соединение.

IPsec (Internet Protocol Security) использует сертификаты для аутентификации узлов при построении защищённых туннелей, что особенно важно для корпоративных VPN. SSH (Secure Shell) может использовать сертификаты вместо традиционных пар ключей для более строгой аутентификации и упрощения управления ключами в крупных инфраструктурах. В России широко распространены защищённые протоколы на базе ГОСТ-алгоритмов. Например, ViPNet использует собственную реализацию защищённых туннелей на базе российской криптографии, а КриптоПро NGate обеспечивает TLS-соединения с использованием отечественных алгоритмов.

Отдельно стоит упомянуть самоподписанные сертификаты — сертификаты, подписанные тем же ключом, для которого они выпущены. Они не входят в общую иерархию доверия и вызывают предупреждения в браузерах и других приложениях. Однако они могут быть полезны для тестирования, внутренних систем или создания собственных закрытых PKI. Преимущества самоподписанных сертификатов — бесплатность и отсутствие зависимости от внешних УЦ. Недостатки — отсутствие автоматического доверия и необходимость вручную распространять и устанавливать такие сертификаты в доверенные хранилища на всех клиентских устройствах. Во внутрених корпоративных инфраструктурах часто используется смешанная модель: создаётся собственный корневой самоподписанный сертификат, который устанавливается на все корпоративные устройства, а от него выпускаются промежуточные и конечные сертификаты. Это позволяет создать собственную PKI без зависимости от внешних удостоверяющих центров.

Рассмотрим практический пример использования сертификатов в защищённом протоколе TLS. Когда пользователь подключается к сайту по HTTPS, происходит следущее:
1. Клиент (браузер) отправляет серверу Client Hello с перечнем поддерживаемых шифронаборов.
2. Сервер отвечает Server Hello, выбирая подходящий шифронабор, и отправляет свой сертификат.
3. Клиент проверяет сертификат: валидность подписи, срок действия, отсутствие в списках отзыва, соответствие домену.
4. Если сертификат верифицирован, клиент генерирует предварительный секретный ключ, шифрует его открытым ключом сервера и отправляет серверу.
5. Сервер расшифровывает предварительный секретный ключ своим закрытым ключом.
6. Обе стороны вычисляют ключи сессии из предварительного секретного ключа и начинают шифрованный обмен данными.

Этот процес демонстрирует, как сертификаты обеспечивают аутентификацию сервера и безопасный обмен ключами для последующего симметричного шифрования. Без надёжной PKI этот механизм был бы уязвим для атак типа "человек посередине", когда злоумышленник может подменить сертификат сервера своим.

Важным аспектом работы с сертификатами является их хранение. Распространены несколько форматов: DER (Distinguished Encoding Rules) — бинарный формат для хранения сертификатов; PEM (Privacy Enhanced Mail) — текстовый формат, представляющий собой Base64-кодированные DER-данные, обрамлённые заголовками "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----"; PKCS#7/P7B — формат для хранения цепочек сертификатов; PKCS#12/PFX — для хранения закрытых ключей вместе с соответствующими сертификатами.

В России распространены также специфические форматы. Например, КриптоПро использует контейнеры HDIMG для хранения закрытых ключей. Эти контейнеры могут располагаться как на жёстком диске, так и на токенах или смарт-картах.

Кстати, о токенах. Защита закрытых ключей — критически важный вопрос. Хранение на жёстком диске не обеспечивает достаточной защиты, поэтому для ответственных сценариев используются аппаратные криптографические устройства — токены и смарт-карты. Российские производители представлены такими решениями как Рутокен от компании "Актив" и JaCarta от компании "Аладдин Р.Д.". Эти устройства не позволяют извлечь закрытый ключ наружу — все криптографические операции происходят внутри устройства, что повышает безопасность. Рутокен выпускается в различных модификациях: Рутокен S, Рутокен ЭЦП, Рутокен Lite и др. Они различаются объёмом памяти, поддерживаемыми криптоалгоритмами и интерфейсами подключения (USB, NFC, Bluetooth). Особо интересен Рутокен ЭЦП 2.0, поддерживающий работу с квалифицированной электроной подписью и соответствующий требованиям ФСБ к средствам УКЭП класса КС1 и КС2. JaCarta предлагает похожую линейку продуктов: JaCarta PKI, JaCarta ГОСТ, JaCarta-2 ГОСТ и др. Эти устройства поддерживают как международные, так и российские криптографические алгоритмы, а некоторые модели имеют сертификаты ФСБ и ФСТЭК.

Управление сертификатами в крупных организациях представляет собой нетривиальную задачу. С ростом числа сертификатов растут и риски: просроченный сертификат может вызвать сбой в работе критически важного сервиса, а своевременно не отозванный скомпрометированный сертификат создаёт уязвимость. Для решения этих проблем применяются системы управления жизненным циклом сертификатов (CLM — Certificate Lifecycle Management).

Интеграция PKI с другими системами — ещё одна важная тема. Современные системы единого входа (SSO) и управления идентификацией и доступом (IAM) часто используют сертификаты для аутентификации. Например, Active Directory Federation Services (ADFS) может использовать сертификаты для аутентификации пользователей при доступе к веб-приложениям. Российские аналоги, такие как ViPNet Authentication Point, предоставляют похожую функциональность с поддержкой отечественных криптоалгоритмов.

Мобильные устройства создают отдельный класс вызовов для PKI. Как обеспечить безопасное хранение ключей на устройстве, которое может быть утеряно или украдено? Как интегрировать мобильные приложения с корпоративной PKI? Современные смартфоны имеют встроенные защищённые элементы (Secure Element), которые могут безопасно хранить криптографические ключи, но интеграция с ними требует специфичных навыков разработки. Российские решения в этой области включают мобильные версии КриптоПро CSP и приложения, работающие с NFC-токенами, такими как Рутокен или JaCarta. Это позволяет использовать ЭЦП на мобильных устройствах, что особенно актуально в эпоху удалённой работы.

Но что делать, если нужно интегрировать сертификаты в собственное приложение? Здесь на помощь приходят криптографические API. В Windows это CryptoAPI и более современный CNG (Cryptography API: Next Generation). В России широко используется интерфейс CAПР (Cryptographic Service Provider), реализованный в КриптоПро CSP, ViPNet CSP и других провайдерах. Вот пример использования КриптоПро CSP в .NET-приложении для подписания данных:

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
using System.Security.Cryptography.X509Certificates;
using System.Security.Cryptography.Pkcs;
 
// Получаем сертификат из хранилища
X509Certificate2 cert = GetCertificateFromStore("Subject name");
 
// Создаём подписанное сообщение
ContentInfo contentInfo = new ContentInfo(dataToSign);
SignedCms signedCms = new SignedCms(contentInfo, true);
 
// Подписываем данные
CmsSigner signer = new CmsSigner(cert);
signer.IncludeOption = X509IncludeOption.EndCertOnly;
signedCms.ComputeSignature(signer);
 
// Получаем результат
byte[] signature = signedCms.Encode();

Этот код создаст CMS/PKCS#7-подпись, которая содержит как сами подписанные данные, так и информацию о подписавшем их сертификате. Для работы с ГОСТ-алгоритмами необходимо установить КриптоПро CSP и соответствующие провайдеры для .NET.
Альтернативный подход — использование библиотеки libcryptopro:

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
#include <cryptopro/cprocsp.h>
 
// Открываем контейнер с закрытым ключом
HCRYPTPROV hProv;
if (!CryptAcquireContext(&hProv, container_name, NULL, PROV_GOST_2012_256, 0)) {
    // Обработка ошибки
}
 
// Создаём хеш
HCRYPTHASH hHash;
if (!CryptCreateHash(hProv, CALG_GR3411_2012_256, 0, 0, &hHash)) {
    // Обработка ошибки
}
 
// Добавляем данные для хеширования
if (!CryptHashData(hHash, data, data_len, 0)) {
    // Обработка ошибки
}
 
// Подписываем хеш
BYTE signature[256];
DWORD signature_len = sizeof(signature);
if (!CryptSignHash(hHash, AT_SIGNATURE, NULL, 0, signature, &signature_len)) {
    // Обработка ошибки
}
 
// Освобождаем ресурсы
CryptDestroyHash(hHash);
CryptReleaseContext(hProv, 0);

Этот код использует низкоуровневый API КриптоПро для создания электронной подписи по ГОСТ Р 34.10-2012 с хешированием по ГОСТ Р 34.11-2012.

В сфере веб-разработки сертификаты используются не только для HTTPS, но и для аутентификации клиентов. Клиентские сертификаты могут заменить традиционную аутентификацию по логину и паролю, обеспечивая более высокий уровень безопасности. Особенно это актуально для внутрених корпоративных систем или сервисов с повышеными требованиями к безопасности. Проблема "фишинга" становится менее актуальной при использовании клиентских сертификатов: даже если пользователь попадёт на поддельный сайт, его сертификат не будет автоматически передан мошенникам, в отличие от пароля, который пользователь может ввести самостоятельно.

Впрочем, клиентские сертификаты имеют и недостатки: сложность настройки, проблемы с переносимостью между устройствами, необходимость дополнительного обучения пользователей. Поэтому на практике часто используется гибридный подход — аутентификация по сертификату дополняется вторым фактором, например, одноразовым паролем.

Центры сертификации и их роль

Центр сертификации (CA) — сердце любой PKI-инфраструктуры. Это доверенная организация, которая выпускает цифровые сертификаты, связывая публичные ключи с их владельцами. CA гарантирует подлинность связи между публичным ключом и владельцем, тем самым формируя основу доверия в цифровом мире. Центры сертификации делятся на корневые и промежуточные. Корневой CA — высший уровень доверия, его сертификат самоподписан и встроен в операционные системы и браузеры. Закрытый ключ корневого CA — наиболее критичный компонент всей PKI, его компрометация может привести к полному разрушению цепочки доверия.

Промежуточные CA получают свои сертификаты от корневых или других промежуточных центров. Они выполняют большую часть повседневной работы по выпуску сертификатов конечным пользователям и сервисам. Такое разделение позволяет снизить риски: корневой CA может храниться оффлайн в максимально защищенном режиме, а промежуточные CA работают в сети.

В мире существуют различные модели доверия, которые определяют, как устроены взаимоотношения между центрами сертификации:

1. Иерархическая модель — самая распространенная. В ней центры сертификации организованы в виде дерева, где каждый CA доверяет вышестоящему. Эта модель проста для понимания и управления, но имеет единую точку отказа — корневой CA.
2. Сетевая модель (Web of Trust) предполагает, что каждый участник может быть центром сертификации и выдавать сертификаты другим. Доверие основывается на сети взаимных подтверждений. Классический пример — PGP. Эта модель более устойчива к сбоям, но сложнее в управлении.
3. Гибридная модель сочетает элементы предыдущих подходов. Например, несколько независимых иерархий CA с перекрёстной сертификацией между ними.

В России преимущественно используется иерархическая модель с элементами гибридной. Существует Головной удостоверяющий центр (ГУЦ), который сертифицирует удостоверяющие центры, аккредитованные Минцифры. Эти УЦ, в свою очередь, выдают сертификаты конечным пользователям.

Механизмы строгой аутентификации в PKI часто реализуются через смарт-карты и токены. Эти устройства хранят закрытые ключи таким образом, что их невозможно извлечь — все криптографические операции происходят внутри устройства. Это обеспечивает принцип "неизвлекаемости" ключа, критически важный для строгой аутентификации. Рутокен от компании "Актив" — одно из самых распространенных в России решений. Он поддерживает работу с российскими криптоалгоритмами (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012) и имеет сертификаты ФСБ и ФСТЭК. Рутокен интегрируется с КриптоПро CSP и может использоваться для хранения сертификатов квалифицированной электронной подписи. JaCarta от "Аладдин Р.Д." — еще одно популярное решение. Линейка включает различные модели: для работы с международными алгоритмами (JaCarta PKI), с российскими стандартами (JaCarta ГОСТ), универсальные модели (JaCarta-2). JaCarta PRO поддерживает дополнительную аутентификацию по отпечатку пальца, что повышает уровень защиты.

Практики валидации при выдаче сертификатов различаются в зависимости от типа сертификата и требований регулятора. Для TLS-сертификатов применяются различные уровни проверки — от простой проверки владения доменом (DV) до углублённой проверки организации (EV).

В России для выдачи сертификатов квалифицированной электронной подписи требуется личное присутствие заявителя или его представителя. Необходима тщательная проверка личности и полномочий, а также документов организации. Это делает процес получения УКЭП более сложным, но значительно повышает уровень доверия к таким сертификатам.

Частные PKI представляют собой инфраструктуры открытых ключей, развернутые внутри организации для внутреннего использования. Их главное преимущество — полный контроль над всеми аспектами работы. Организация сама определяет политики безопасности, сроки действия сертификатов, процессы выпуска и отзыва. Ограничения частных PKI связаны с изолированностью от глобальной системы доверия. Сертификаты, выпущенные частной PKI, не будут автоматически приниматься внешними системами. Кроме того, создание и поддержка собственной PKI требует значительных ресурсов и компетенций.

Для проверки актуальности сертификатов используются два основных протокола:
1. CRL (Certificate Revocation List) — список отозванных сертификатов, публикуемый центром сертификации. Клиенты периодически загружают этот список и проверяют по нему сертификаты. Недостаток — список может быть большим, а обновления приходят с задержкой.
2. OCSP (Online Certificate Status Protocol) — протокол онлайн-проверки статуса сертификата. Клиент отправляет запрос серверу OCSP и получает актуальную информацию о статусе конкретного сертификата. Это более эффективный метод, но требует постоянного соединения с сервером OCSP.

В России оба метода используются, но OCSP становится всё более популярным благодаря своей оперативности. Минцифры требует от аккредитованных УЦ поддерживать оба механизма проверки статуса сертификатов.

Российские удостоверяющие центры работают в рамках жесткого регулирования. Для аккредитации УЦ должен соответствовать требованиям ФЗ-63 "Об электронной подписи" и приказов Минцифры. Требования включают наличие сертифицированного оборудования и ПО, квалифицированного персонала, помещений с контролем доступа, и финансовое обеспечение ответственности. С 1 января 2022 года правила стали еще строже. Теперь юридическим лицам и ИП квалифицированные сертификаты может выдавать только УЦ ФНС России. Коммерческие аккредитованные УЦ могут выдавать квалифицированные сертификаты только физическим лицам и уполномоченным представителям юридических лиц по доверенности.

КриптоПро CSP — самый распространенный в России криптопровайдер, реализующий отечественные криптографические алгоритмы. Его архитектура построена на модульном принципе: базовый модуль отвечает за взаимодействие с операционной системой и приложениями, а подключаемые модули реализуют конкретные криптографические алгоритмы. Особености российской криптографии, реализованной в КриптоПро CSP, включают оригинальные алгоритмы, такие как ГОСТ Р 34.10-2012 для электронной подписи и ГОСТ Р 34.11-2012 "Стрибог" для хеширования. Эти алгоритмы разработаны с учетом специфических требований и имеют собственную криптографическую стойкость, отличную от международных алгоритмов.

Интеграция Рутокен и JaCarta в PKI-инфраструктуру осуществляется через специальные драйверы и интерфейсы. Эти устройства поддерживают стандарты PKCS#11 и Microsoft CryptoAPI, что обеспечивает совместимость с большинством криптопровайдеров и приложений. Для корпоративного использования существуют решения для централизованного управления токенами, такие как "Рутокен Менеджер" и JaCarta Management System. Они позволяют администраторам выпускать сертификаты, устанавливать их на токены, отслеживать сроки действия и отзывать при необходимости.

HSM (Hardware Security Module) — аппаратные модули безопасности, используемые для защиты криптографических ключей удостоверяющих центров. Это специализированные устройства с повышеным уровнем защиты, предотвращающие несанкционированный доступ к закрытым ключам. В российских PKI-инфраструктурах применяются различные HSM. ViPNet предлагает HSM "ViPNet Криптошлюз", который поддерживает российские криптоалгоритмы и имеет сертификаты ФСБ. ЗАСТАВА PKI использует свои решения, интегрированные с продуктами компании "ЭЛВИС-ПЛЮС". КриптоАРМ может работать с различными HSM через стандартные интерфейсы.

Процесс развертывания собственного удостоверяющего центра в организации представляет собой комплексную задачу, требующую тщательного планирования. Для начала необходимо определить модель PKI — будет ли это однуровневая структура или многоуровневая иерархия с корневым и несколькими промежуточными УЦ. Чаще всего в крупных организациях используется как минимум двухуровневая структура, где корневой УЦ хранится в автономном режиме.

Вот типичная последовательность действий при создании корпоративного УЦ:
1. Разработка политик сертификации (CP — Certificate Policy) и регламента работы удостоверяющего центра (CPS — Certification Practice Statement).
2. Установка и настройка программного обеспечения УЦ.
3. Генерация ключевой пары и сертификата корневого УЦ.
4. Настройка хранения закрытого ключа (HSM или защищенный носитель).
5. Создание промежуточных УЦ (если необходимо).
6. Настройка служб публикации CRL и OCSP.
7. Интеграция с корпоративными сервисами (AD, почтовыми системами и т.д.).
8. Обучение персонала.

Для российских компаний выбор ПО для удостоверяющего центра часто ограничен решениями, сертифицированными ФСБ. Одним из таких решений является "КриптоПро УЦ" — полнофункциональный комплекс для построения PKI. Он включает модули Центра Сертификации, Центра Регистрации, АРМ администратора и разнообразные веб-интерфейсы для пользователей и операторов. "КриптоПро УЦ" поддерживает работу с HSM через интерфейс PKCS#11, что позволяет использовать различные модели отечественных и зарубежных производителей. Настройка УЦ включает множество параметров, от времени жизни сертификатов до политик использования ключей. Вот пример конфигурации политики сертификатов:

XML
1
2
3
4
5
6
7
8
9
10
<policyMapping>
  <issuerDomainPolicy>1.2.643.100.113.1</issuerDomainPolicy>
  <subjectDomainPolicy>1.2.643.100.113.2</subjectDomainPolicy>
</policyMapping>
<certificatePolicies>
  <policyIdentifier>1.2.643.100.113.1</policyIdentifier>
  <policyQualifiers>
    <cpsUri>https://ca.example.ru/cps.pdf</cpsUri>
  </policyQualifiers>
</certificatePolicies>

В этом примере настраивается маппинг политик и указывается URL, по которому доступно описание практик сертификации.

Регламент работы УЦ (CPS) — объёмный документ, детально описывающий все аспекты функционирования УЦ, от технических деталей до организационных процедур. В нём обязательно должны быть разделы, посвященные процедурам идентификации заявителей, выпуска, отзыва и приостановления сертификатов, аудита безопасности, восстановления после сбоев и т.д. Ещё одно российское решение для построения PKI — "ViPNet УЦ" от компании "ИнфоТеКС". Оно предлагает модульную структуру с гибкими настройками и хорошо интегрируется с другими продуктами линейки ViPNet. Особеность этого решения — поддержка распределённой инфраструктуры с синхронизацией данных между узлами.

Нередко в крупных организациях возникает потребность интегрировать существующую PKI с новыми сервисами или объединить несколько PKI. В таких случаях используется механизм перекрёстной сертификации. Перекрёстные сертификаты позволяют установить доверительные отношения между разными иерархиями CA без необходимости распространять корневые сертификаты. Технически это реализуется путем выпуска сертификата одного УЦ, подписаного другим УЦ. Например, корневой УЦ А выпускает сертификат для корневого УЦ Б, и наоборот. Эта возможность поддерживается большинством российских решений, включая "КриптоПро УЦ" и "ViPNet УЦ".

Следует отметить, что при разворачивании корпоративного УЦ критически важно обеспечить надёжное резервное копирование всех компонентов системы. Особенно это касается базы данных УЦ, которая содержит информацию о всех выпущенных сертификатах и их статусе. Потеря этой информации может привести к полной неработоспособности PKI-инфраструктуры. Для интеграции с Microsoft Active Directory часто используется служба сертификатов Active Directory (AD CS). Она может работать совместно с российскими криптопровайдерами. Вот пример настройки шаблона сертификата в AD CS для работы с КриптоПро CSP:

PowerShell
1
2
3
4
5
$template = Get-CATemplate -Name "UserCertificate"
$template.CryptoProviders = "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
$template.KeyAlgorithm = "GR3410_12_256"
$template.KeyLength = 256
Set-CATemplate -Template $template

Особого внимания заслуживают HSM, используемые в российских PKI-инфраструктурах. "Тринити" от компании "Код Безопасности" — отечественный HSM, сертифицированный ФСБ по классу КС3. Он поддерживает российские криптоалгоритмы и может быть интегрирован с различными решениями для построения PKI. Устройство позволяет безопасно хранить до 50 000 ключевых пар и выполнять криптооперации со скоростью до 1000 транзакций в секунду. "Солинг" от компании Lissi — ещё один российский HSM. Его особенность — модульная архитектура, которая позволяет наращивать производительность и ёмкость хранилища ключей. "Солинг" поддерживает не только российские, но и международные криптоалгоритмы, что делает его универсальным решением для организаций, работающих как с отечественными, так и с зарубежными системами.

Интересное решение предлагает компания "ИнфоТеКС" — программно-аппаратный комплекс "ViPNet PKI Service". Это платформа для построения сервисов на основе PKI, которая включает не только функции УЦ, но и различные сервисы, такие как защищённая электронная почта, система юридически значимого документооборота, служба штампов времени и др. Она ориентирована на организации, которым требуется комплексное решение "из коробки".

Отдельно стоит упомянуть о практиках аварийного восстановления (Disaster Recovery) для PKI. Потеря работоспособности УЦ может парализовать работу всей организации, поэтому планы восстановления должны быть хорошо продуманы и регулярно тестироваться. Один из подходов — создание резервного УЦ в другом дата-центре с возможностью быстрого переключения. Для этого необходимо регулярно синхронизировать базы данных, а в случае с HSM — использовать механизмы резервного копирования ключей или решения с географически распределёнными HSM. В "КриптоПро УЦ" предусмотрены механизмы резервного копирования и восстановления всех компонентов системы. Вот пример команды для резервного копирования центра сертификации:

Code
1
certutil -backup -p <пароль> -f <путь_к_каталогу_резервной_копии>

Для "ViPNet УЦ" также существуют специальные утилиты резервного копирования, которые сохраняют не только базы данных, но и настройки системы.

Что касается мониторинга PKI-инфраструктуры, то он должен охватывать несколько аспектов: доступность сервисов УЦ, срок действия сертификатов самого УЦ, использование ресурсов системы, журналы аудита безопасности и т.д. В "КриптоАРМ Управление" предусмотрены функции мониторинга с возможностью настройки оповещений о критических событиях.

Нельзя не упомянуть и о процедурах контроля целостности ПО удостоверяющих центров. В России для сертифицированного ПО применяются специальные средства контроля целостности, такие как "ФИКС" или "Соболь". Они гарантируют, что програмные компоненты не были модифицированы и соответствуют сертифицированной версии. Опыт эксплуатации корпоративных УЦ показывает, что наиболее сложные проблемы возникают не с технической стороны, а в организационной плоскости. Нечёткие процедуры идентификации пользователей, отсутствие регламентов отзыва сертификатов при увольнении сотрудников, некачественное обучение пользователей — вот типичные "болевые точки" PKI-инфраструктуры.

Современные вызовы PKI

Инфраструктура открытых ключей постоянно сталкивается с новыми вызовами. Ведь безопасность — это не состояние, а процесс, и PKI эволюционирует вместе с угрозами. Среди самых серьёзных испытаний — появление квантовых компьютеров, способных обрушить всю современную криптографию.

Квантовый компьютер, достигший достаточной мощности, сможет решать задачу факторизации больших чисел за полиномиальное время благодаря алгоритму Шора. Это значит, что RSA и ECC — краеугольные камни современной криптографии — перестанут быть надёжными. Алгоритм Гровера теоретически позволяет ускорить перебор симметричных ключей, хотя и не так драматично — тут достаточно просто увеличить длину ключа. Как ответ на эту угрозу разрабатывается постквантовая криптография — алгоритмы, устойчивые к атакам на квантовых компьютерах. Они основаны на математических задачах, для которых пока не известны эффективные квантовые алгоритмы: решетчатые криптосистемы, криптосистемы на основе кодов, многомерные криптосистемы, криптография на основе хеш-функций.

Российские учёные не остаются в стороне. Институт криптографии, связи и информатики ФСБ и Математический институт им. В.А. Стеклова РАН активно работают над постквантовыми алгоритмами. Компания "КриптоПро" уже анонсировала экспериментальные реализации постквантовых алгоритмов в своих продуктах. Новый российский алгоритм на основе решёток "Кристалл-Дилития" показывает многобещающие результаты по соотношению безопасности и производительности.

Другой серьёзный вызов — автоматизация управления сертификатами. В крупных инфраструктурах могут использоваться тысячи сертификатов, и ручное управление ими неизбежно приводит к ошибкам. Просроченные сертификаты, забытые ключи, несвоевременный отзыв — всё это приводит к сбоям в работе систем и создаёт уязвимости.

DevSecOps-подход предполагает интеграцию безопасности в CI/CD пайплайны. Автоматическое обновление сертификатов, мониторинг их статуса, интеграция с системами управления конфигурациями — всё это становится частью процесса разработки и эксплуатации. Инструменты вроде HashiCorp Vault или российского аналога "КриптоАРМ Управление" позволяют автоматизировать полный жизненный цикл сертификатов. Вот пример интеграции управления сертификатами в CI/CD пайплайн с использованием "КриптоАРМ API":

Python
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
import requests
import json
 
# Получаем список сертификатов, срок действия которых истекает в ближайшие 30 дней
response = requests.get(
    'https://cryptoarm.example.ru/api/certificates/expiring',
    params={'days': 30},
    headers={'Authorization': 'Bearer ' + api_token}
)
 
expiring_certs = json.loads(response.text)
 
# Для каждого истекающего сертификата инициируем автоматическое обновление
for cert in expiring_certs:
    requests.post(
        'https://cryptoarm.example.ru/api/certificates/renew',
        json={'certificate_id': cert['id']},
        headers={'Authorization': 'Bearer ' + api_token}
    )

Мобильные устройства создают отдельный класс проблем для PKI. Как обеспечить безопасное хранение ключей на устройстве, которое может быть утеряно или украдено? Как интегрировать мобильные приложения с корпоративной PKI? Нужны новые подходы к идентификации и аутентификации. Российские компании предлагают интересные решения. "Рутокен БиоТокен ГОСТ" объединяет физический токен с приложением для смартфона, позволяя использовать мобильное устройство для работы с электронной подписью. JaCarta Mobile поддерживает работу с NFC-смартфонами, что делает возможным использование смартфона как средства строгой аутентификации.

История знает немало случаев нарушений в работе центров сертификации. В 2011 году был взломан голландский УЦ DigiNotar, что привело к выпуску поддельных сертификатов для доменов Google и других крупных компаний. После этого инцидента DigiNotar обанкротился, а все его сертификаты были отозваны. В 2015 году удостоверяющий центр CNNIC (China Internet Network Information Center) был уличён в выпуске подчинённого сертификата, который мог быть использован для атак типа "человек посередине". В результате корневой сертификат CNNIC был удалён из доверенных хранилищ многих браузеров и операционных систем. Эти случаи демонстрируют, насколько серьёзными могут быть последствия компрометации УЦ и важность строгого контроля за выпуском сертификатов. Минцифры РФ учло международный опыт и установило жёсткие требования к аккредитованным УЦ, включая обязательное использование HSM не ниже класса КС2.

Искусственный интеллект начинает играть важную роль в обеспечении безопасности PKI. Алгоритмы машинного обучения способны выявлять аномальные паттерны использования сертификатов, что помогает обнаруживать потенциальные атаки. Например, внезапное увеличение числа запросов к OCSP-серверу с определённого IP-адреса может указывать на попытку сбора информации перед атакой.

Российская компания "Лаборатория Касперского" предлагает решение "Kaspersky Security для PKI", которое использует технологии ИИ для мониторинга и анализа событий в PKI-инфраструктуре. Система способна обнаруживать подозрительную активность и блокировать потенциальные угрозы ещё до того, как они причинят вред.

Zero Trust — современная модель безопасности, основанная на принципе "не доверяй никому, всегда проверяй". В этой модели PKI играет ключевую роль, обеспечивая строгую аутентификацию и шифрование для всех взаимодействий. Каждый запрос проверяется, независимо от того, откуда он поступил — изнутри сети или извне. Особенность внедрения Zero Trust в российских предприятиях — необходимость использования сертифицированных криптографических средств и соблюдения требований регуляторов. Компания "Код Безопасности" предлагает решение "Континент-TLS", которое интегрируется с моделью Zero Trust и при этом полностью соответствует требованиям ФСБ и ФСТЭК.

Интеграция PKI с блокчейн-технологиями — ещё одно перспективное направление. Блокчейн может использоваться как распределённое и неизменяемое хранилище для списков отозванных сертификатов или даже как альтернатива традиционным центрам сертификации. Проект "МастерЧейн" от Ассоциации ФинТех и Банка России уже экспериментирует с внедрением PKI-функционала в национальную блокчейн-платформу. Технически это реализуется через смарт-контракты, которые управляют жизненным циклом сертификатов: выпуском, проверкой статуса, отзывом. Преимущество такого подхода — полная прозрачность и аудитируемость всех операций с сертификатами, а также устойчивость к атакам на единую точку отказа.

IoT (Internet of Things) создаёт особые требования к PKI. Миллиарды устройств с ограниченными вычислительными ресурсами, длительным жизненным циклом и часто без возможности обновления — всё это требует специальных подходов к управлению сертификатами. Российская компания "КРИПТО-ПРО" разработала "КриптоПро IoT", решение для защиты устройств Интернета вещей с использованием отечественных криптоалгоритмов. Это решение оптимизированно для работы на устройствах с ограниченой производительностью и предлагает специальные протоколы для автоматического обновления сертификатов.

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
// Пример использования "КриптоПро IoT" на встраиваемом устройстве
#include <crypto_pro_iot.h>
 
int main() {
  // Инициализация контекста
  CPIOTContext ctx;
  CPIOTInitialize(&ctx, CPIOT_GOST_2012_256);
  
  // Запрос нового сертификата
  CPIOTCertRequest req;
  CPIOTCreateCertRequest(&ctx, &req, "device_id_123", SECRET_KEY);
  
  // Отправка запроса и получение сертификата
  CPIOTSendRequestAndWait(&ctx, &req, "https://ca.example.ru/iot", 30000);
  
  // Установка полученного сертификата
  CPIOTInstallCertificate(&ctx, req.certificate);
  
  // Освобождение ресурсов
  CPIOTCleanup(&ctx);
  return 0;
}

Биометрическая аутентификация в сочетании с PKI становится всё более популярной. Отпечатки пальцев, распознавание лица или радужной оболочки глаза могут использоватся для разблокировки доступа к закрытым ключам, хранящимся на токенах или в защищённом хранилище устройства. Это добавляет ещё один фактор аутентификации, повышая общий уровень безопасности. Компания "Аладдин Р.Д." представила решение JaCarta Bio — токен со встроеным сканером отпечатка пальца. Это устройство обеспечивает дополнительный уровень защиты для закрытых ключей УКЭП, требуя биометрического подтверждения при каждой операции подписи.

Электронные паспорта и другие документы с чипами — ещё одна область применения PKI. В России программа внедрения электронных паспортов находится в активной фазе. Эти документы будут содержать сертификаты и закрытые ключи, позволяющие гражданам подписывать документы и аутентифицироватся в электронных сервисах. Синергия PKI с технологиями машинного обучения даёт уникальные возможности. Например, анализ паттернов использования сертификатов может помочь выявить подозрительную активность, свидетелствующую о компрометации ключа или атаке на инфраструктуру. Системы на основе ИИ могут предсказывать пики нагрузки на инфраструктуру PKI и оптимизировать распределение ресурсов.

Законодательство о защите персональных данных создаёт дополнительные вызовы для PKI. В России закон №152-ФЗ "О персональных данных" требует обеспечения безопасности персональных данных, и PKI играет важную роль в этом процесе. Однако возникают вопросы о том, какие данные можно включать в сертификаты, как обеспечить право на забвение в контексте неотзываемости PKI-записей и т.д.

Открытие компании по информационной безопасности
Здравствуйте, я хотел открыть компанию которая будет предоставлять услуги и продавать устройства...

Нужно придумать задачу по методам оптимизации в области информационной безопасности
Для решения этой задачи могут быть использованы методы: 1. Метод неопределенных множителей...

Математическая оценка безопасности сети
Подскажите пожалуйста, есть две сети, как их математически оценить с точки зрения безопасности? ...

Запрос сертификатов по списку номеров сертификатов: что делает приведенная строка кода
Добрый день, извиняюсь за свою глупость: Имеется метод с помощью которого я реализую: Запрос...

Отзовитесь ГУРУ PKI
В организации поднят центр сертификатов на основе MS CA (Win Server 2003 Enterprise) Для...

Шифрование PKI
нужна программа, написанная на любом виде языке программирования, которая осуществляла метод...

PKI. Запутался с сертификатами
Здравствуйте! Я разворачиваю PKI и немного запутался в сертификатах. У меня в сети есть ПК с WinXP,...

Server 2008 PKI и GOST r34.10-2001
Уважаемые коллеги, вопрос по PKI и центру сертификации в условиях жёстких российскихреалий....

IIS, PKI WEB, права только на обновление сертификата
Добрый день! Опишу свою задачу: Есть филиалы, вне домена, на компьютерах которых установлен...

PKI eToken не видит цифровую подпись
На ПК c Win 7 x64 работают в интернет банках Встала необходимость добавить еще один банк Пришлось...

Реализация инфраструктуры открытых ключей PKI
Товарищи знатоки, помоги разобраться с корректным импортом и экспортом открытых ключей...

ИТ инфраструктура с нуля
Ситуация: нужно сделать ИТ инфраструктуру с нуля. Вот примерный набросок, опытные специалисты...

Метки certificate, cryptography, hash, math, pki, security, математика

Размещено в Без категории

« Безопасность Kubernetes с Falco и обнаружение вторжений Главная страница Один суперкластер Kubernetes для вообще всего »

Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.

Всего комментариев 0

Комментарии

Новые блоги и статьи Все статьи Все блоги /
Нейросеть на алгоритме "эстафета хвоста" как перспектива. Hrethgir 06.05.2026 На десерт, когда запущу сервер. Статья тут https:/ / habr. com/ ru/ articles/ 1030914/ . Автор я сам, нейросеть только помогает в вопросах которые мне не известны - не знаю людей которые знали-бы. . .	Асинхронный приём данных из COM-порта Argus19 01.05.2026 Асинхронный приём данных из COM-порта Купил на aliexpress термопринтер QR701. Он оказался странным. Поключил к Arduino Nano. Был очень удивлён. Наотрез отказывается печатать русские буквы. Чтобы. . .	попытка написать игровой сервер на C++ pyirrlicht 29.04.2026 попытка написать игровой сервер на плюсах с открытым бесконечным миром. возможно получится прикрутить интерпретатор питон для кастомизации игровой логики. что есть на текущий момент:. . .	Контроль уникальности выбранного документа-основания при изменении реквизита Maks 28.04.2026 Алгоритм из решения ниже разработан на примере нетипового документа "ЗаявкаНаРемонтСпецтехники", разработанного в КА2. Задача: уведомлять пользователя, если указанная заявка (документ-основание). . .
Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .	Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .

Сообщение форума

Отменить изменения