Mulțumesc foarte mult, Mihail, totul a fost făcut cu promptitudine și cel mai important mi-a fost clar... Pentru că tu și cu mine am găsit un limbaj comun. Aș dori să continui să comunic cu tine în viitor. Sper la o colaborare fructuoasă.
Olesya Mihailovna - director general SRL „VKS”
În numele Întreprinderii Unitare de Stat „Întreprinderea de Aviație Sevastopol” ne exprimăm recunoștința pentru profesionalismul și eficiența companiei dumneavoastră! Îți dorim companiei tale prosperitate în continuare!
Guskova Liliya Ivanovna - manager.Întreprinderea Unitară de Stat „SAP”
Mulțumesc, Mihail, foarte mult pentru ajutorul tău cu designul. Angajat foarte calificat +5!
Nadiya Shamilyevna - antreprenor IP Anoshkina
În numele companiei AKB-Auto și în numele meu, vă exprim recunoștința vouă și tuturor angajaților companiei dumneavoastră pentru productivitatea și munca de calitate, atitudine sensibila la cerintele clientului si eficienta in executarea lucrarilor comandate.
Nasibullina Alfira - Senior Manager„AKB-Auto”
Aș dori să-i mulțumesc consultantului Mihail pentru munca sa excelentă, consultările în timp util și complete. Este foarte atent la problemele și întrebările clientului, rezolvând cu promptitudine cele mai dificile situații pentru mine. Este o plăcere să lucrez cu Mihail!!! Acum voi recomanda compania dumneavoastră clienților și prietenilor mei. Și consultanții de asistență tehnică sunt, de asemenea, foarte politicoși, atenți și ajutați la instalarea dificilă a cheii. Multumesc!!!
Olga Sevostyanova.
Achiziționarea cheii s-a dovedit a fi foarte ușoară și chiar plăcută. Multe mulțumiri managerului Mihail pentru ajutor. Explică lucruri complexe și greu de înțeles succint, dar foarte clar. În plus, am sunat la linia telefonică gratuită și am lăsat o solicitare online lui Mikhail. Mi-au făcut o cheie în 2 zile lucrătoare. În general, îl recomand dacă economisești timp, dar în același timp vrei să înțelegi ce cumperi și pentru ce plătești. Multumesc.
Levitsky Alexander Konstantinovici Samara
Mulțumiri personale consultantului Mihail Vladimirovici pentru consultarea promptă și munca la accelerarea primirii unui certificat de semnătură electronică. În timpul consultării preliminare, se selectează setul optim servicii individuale. Rezultatul final primit imediat.
Stoyanova N.L. - contabil șef SRL „SITECRIM”
Multumesc pentru munca operațională si ajutor competent! Am fost foarte multumita de consultatie!
Dmitri Fomin
Expert System LLC îi mulțumește consultantului Mihail pentru munca sa promptă! Dorim companiei tale creștere și prosperitate!
Sukhanova M.S. - EvaluatorExpert System LLC, Volgograd
Mulțumesc consultantului, care s-a prezentat drept Mihail, pentru eficiența sa în lucrul cu clienții.
Ponomarev Stepan Ghenadievici
Multe mulțumiri consultantului Mihail pentru asistența acordată în obținerea semnăturii digitale. Pentru muncă promptă și sfaturi cu privire la problemele apărute în timpul procesului de înregistrare.
Leonid Nekrasov
Compania, reprezentată de consultantul Mihail, face imposibilul! Accelerarea acreditării în mai puțin de 1 oră! Plata la livrarea serviciului. Am crezut că asta nu se va întâmpla. Cu toată responsabilitatea, vă pot sfătui să contactați Centrul de Eliberare a Semnăturii Electronice.
- Prevederi generale.
Alegerea metodei de prezentare a anumitor date și restricții suplimentare privind compoziția câmpurilor de certificat se bazează pe următoarele principii:
prezentarea datelor în certificat trebuie să fie extrem de simplă și lipsită de ambiguitate pentru a exclude diverse opțiuni de interpretare a documentului deja în stadiul de dezvoltare a aplicației;
caietul de sarcini întocmit astfel ar trebui să lase libertatea necesară de a include în certificat date suplimentare de orice tip, caracteristice domeniului specific de aplicare a certificatelor de cheie de semnătură digitală;
alcătuirea câmpurilor și formatele de prezentare a datelor în certificat trebuie să respecte recomandările internaționale (vezi clauza 2) în cazul în care aceasta nu contravine cerințelor Legii semnăturii electronice;
certificatele emise sunt utilizate în Internet PKI și perioada de valabilitate a cheilor publice și private pentru astfel de sisteme este considerată aceeași conform RFC 3280 (4.2.1.4), iar atributul Private Key Usage Period nu trebuie inclus în certificat.
- Recomandări internaționale. Acest document a fost elaborat ținând cont de recomandările internaționale:
- RFC 3280 (actualizare la RFC 2459) Internet X.509 Public Key Infrastructure. Profilul de certificat și lista de revocare a certificatelor (CRL).
- RFC 3039 Internet X.509 Public Key Infrastructure. Profil de certificat calificat - oferă acest RFC cerințe generale la sintaxa (compunerea) certificatelor, a căror utilizare este semnificativă din punct de vedere juridic.
- Compoziția și scopul câmpurilor certificatului.
Această secțiune oferă o descriere a principalelor câmpuri ale certificatului cu cheie publică care respectă Legea „Cu privire la semnătura digitală electronică” din 10 ianuarie 2002.
Conceptele, simbolurile și terminologia utilizate în această secțiune se bazează pe RFC 3280 și RFC 3039, care, la rândul lor, se bazează pe Recomandarea ITU-T X.509 versiunea 3. Conținutul secțiunii nu copiază conținutul acestor documente , dar indică doar diferențele și caracteristicile de utilizare a certificatelor de câmp care implementează cerințele pentru compoziție certificat EDS, prevăzute la articolul 6 din Legea cu privire la EDS.
Pentru toate câmpurile de certificat care implică valori de șir rusești, este de preferat să folosiți codarea universală UTF-8 (tip UTF8String).
Scopul acestei secțiuni este de a determina compoziția și scopul câmpurilor certificatului fără a lua în considerare cerințele unei autorități de certificare specifice. Documentele care reglementează activitatea unei autorități de certificare pot limita compoziția câmpurilor de certificat și setul de atribute utilizate pentru a identifica CA și deținătorii de certificate chei de semnătură.
- countryName
- stateOrProvinceName
- localityName
- organizationName
- organizationalUnitName
- postalAddress
- serialNumber
- countryName
- stateOrProvinceName
- localityName
- organizationName
- organizationalUnitName
- poate
- titlu
- commonName
- serialNumber
- postalAddress
- să fie arbitrar (atribuit chiar de autoritatea de certificare);
- conțin un identificator (număr) atribuit de o organizație guvernamentală (sau altă organizație) (de exemplu, TIN, seria și numărul unui pașaport, numărul cărții de identitate etc.).
Versiune
Toate certificatele eliberate ar trebui au versiunea 3.Număr de serie
câmpul serialNumber ar trebui conțin „... numărul unic de înregistrare al certificatului cheie de semnătură” (articolul 6, clauza 1, paragraful 1). Unicitatea numărului de certificat trebuie respectată în cadrul acestei autorități de certificare (CA).Valabilitate
Câmp de valabilitate ar trebui conțin „... datele de începere și de sfârșit ale perioadei de valabilitate a certificatului cheie de semnătură aflat în registrul centrului de certificare” (art. 6, clauza 1, alin. 1).SubiectPublicKeyInfo
câmpul subiectPublicKeyInfo ar trebui conțin „... cheia publică a semnăturii digitale electronice” (art. 6, alin. 1, alin. 3).Emitentul
Legea federală „Cu privire la EDS” prevede eliberarea de certificate numai persoanelor fizice, această dispoziție se aplică și certificatelor CA în sine și certificatelor de resurse. Pentru a respecta cerințele formale ale Legii Federale, se propune ca în certificatele CA și resurse, în atribute, să fie indicate informațiile reale ale organizației, având în vedere că un astfel de certificat a fost eliberat unei persoane autorizate din CA sau Resursa și informațiile specificate ar trebui interpretate și înregistrate ca un certificat pentru un alias, care este permis de Legea federală „Cu privire la EDS”.
Câmpul emitent ar trebui să identifice în mod unic organizația care a emis certificatul și să conțină numele înregistrat oficial al organizației.
Următoarele atribute pot fi utilizate pentru identificare:(id-la 6) (id-la 8) (id-la 7) (id-la 10) (id-la 11) (id-la 16 ani) (id-la 5) Câmpul emitentului ar trebui Este obligatoriu să se includă atribute care descriu „numele și locația centrului de certificare care a emis certificatul cheie de semnătură” (Articolul 6, clauza 1, paragraful 5).
Nume ar trebui specificat în atributul organizationName. Când utilizați atributul organizationName Pot fi
Locația centrului de certificare Pot fi specificat folosind un set de atribute countryName, stateOrProvinceName, localityName (fiecare dintre acestea este opțional) sau folosind un singur atribut postalAddress. Folosind oricare dintre metodele de mai sus, locația CA trebuie să fie prezent
în certificat. necesitate conţine adresa legala
centru de certificare. în certificat. Un spațiu (caracter "0x20") trebuie folosit ca delimitator.
Atributul câmpului Subiect serialNumber
folosit atunci când există o coliziune de nume. Subiect Pentru a reprezenta DN-ul (numele distinctiv) al proprietarului certificatului(id-la 6) (id-la 8) (id-la 7) (id-la 10) (id-la 11) sunt utilizate următoarele atribute: (id-la 12) (id-la 3) (id-la 5) (id-la 16 ani) pseudonim
(id-la 65) ar trebui Pentru a respecta cerințele formale ale Legii Federale, se propune ca în certificatele CA și resurse, în atribute, să fie indicate informațiile reale ale organizației, având în vedere că un astfel de certificat a fost eliberat unei persoane autorizate din CA sau Resursa și informațiile specificate ar trebui interpretate și înregistrate ca un certificat pentru un alias, care este permis de Legea federală „Cu privire la EDS”.
Câmp de subiect ar trebui trebuie să conțină următoarele informații: „numele, prenumele și patronimul titularului certificatului cheie de semnătură sau pseudonimul titularului” (articolul 6, clauza 1, alin.2).
Numele, prenumele și patronimul proprietarului în certificat. conținute în atributul commonName și coincid cu cele specificate în pașaport.
Un spațiu (caracterul „0x20”) trebuie folosit ca delimitator.
Porecla proprietarului
cuprinse în atributul pseudonim.
Utilizarea unuia dintre aceste atribute exclude utilizarea celuilalt. Atributele rămase sunt opționale.„Dacă este necesar, funcția (indicând numele și locația organizației în care este stabilită această funcție) este indicată în certificatul cheie de semnătură pe baza documentelor justificative...” (Articolul 6, paragraful 2). ar trebui Poziția deținătorului certificatului
ar trebui în certificat. specificat în atributul title. Valoarea atributului
Când utilizați atributul title, acesta este obligatoriu ar trebui include atribute care descriu numele și locația organizației în care este stabilită această funcție.
Numele organizației ar trebui specificat în atributul organizationName. Valoarea atributului ar trebui coincide cu înscrierea denumirii organizației în documentul constitutiv sau în alte documente echivalente. Când utilizați atributul organizationName Pot fi este folosit și atributul organizationalUnitName.
Locația organizației Pot fi specificat folosind un set de atribute countryName, stateOrProvinceName, localityName (fiecare dintre acestea este opțional) sau folosind un singur atribut postalAddress.
Atributul postalAddress, dacă este utilizat, în certificat. conțin adresa legală a organizației sau adresa de înregistrare a proprietarului certificatului cheie de semnătură (pentru o persoană fizică).
Dacă este prezent atributul organizationName, atributele countryName, stateOrProvinceName, localityName și postalAddress ar trebui să fie interpretată ca locația organizației.
Atribute opționale ale câmpului subiect (countryName, stateOrProvinceName, localityName, organizationName, organizationalUnitName, title, postalAddress) Subiect să fie incluse, dacă este determinat de regulamentele de funcționare ale CA, în locul câmpului subiect din extensia subjectDirectoryAttributes (a se vedea clauza 3.8.1). În acest caz ei nu ar trebui fi incluse în subiect și nu pot să fie utilizat pentru a distinge proprietarii certificatelor de cheie de semnare.
atributul serialNumber în certificat. să fie incluse în câmpul subiect al certificatului atunci când există o coliziune de nume. El de asemenea Pot fi să fie incluse dacă acest lucru este determinat de reglementările centrului de certificare.
atributul serialNumber Pot fi:
Extensii necesare
ar trebui include următoarele extensii:- KeyUsage (id-ce 15)
- Politici de certificat (id-ce 32)
KeyUsage
Pentru ca certificatul să fie utilizat pentru a verifica o semnătură digitală, în extensia keyUsage ar trebui biții digitalSignature(0) și nonRepuduation(1) trebuie să fie setați.Politici de certificat
Extensia certificatePolicies are scopul de a defini domeniul de aplicare semnificativ din punct de vedere juridic a unui certificat.
„... denumirea semnăturii digitale înseamnă cu care se utilizează această cheie publică...” (Articolul 6, clauza 1, paragraful 4), „... informații despre relația în care un document electronic cu un document electronic semnătură digitală va avea semnificație juridică...” (art. 6, clauza 1, alin. 6) și alte date care reglementează procedura de obținere și utilizare a certificatelor de cheie de semnătură, poate exista disponibil prin CPSuri (Certificate Practice Statement URI) specificat în această extensie.
SubjectDirectoryAttributes
Extensia subjectDirectoryAttributes Pot fi conțin atribute care completează informațiile furnizate în câmpul subiectului.
În plus față de atributele enumerate în RFC 3039, se recomandă ca următoarele atribute să fie acceptate în extensia subjectDirectoryAttributes:- calificare
- countryName
- stateOrProvinceName
- localityName
- organizationName
- organizationalUnitName
- poate
- postalAddress
{-} (id-la 6) (id-la 8) (id-la 7) (id-la 10) (id-la 11) sunt utilizate următoarele atribute: (id-la 16 ani) „Dacă este necesar, certificatul de cheie de semnătură, pe baza documentelor justificative, va indica... calificările titularului certificatului de cheie de semnătură” (Articolul 6, clauza 2).
Date despre calificările proprietarului certificatului cheie EDS ar trebui specificat în atributul de calificare. Acest atribut nu este definit în recomandările internaționale (a se vedea clauza 2) și este supus înregistrării.
Dacă atributele countryName, stateOrProvinceName, localityName, organizationName, organizationalUnitName, title, postalAddress sunt incluse în extensia subjectDirectoryAttributes, acestea nu ar trebui să fie incluse în domeniul subiectului.
Pentru a stoca alte informații despre proprietarul certificatului cheii de semnare Subiect utilizați alte atribute (deja înregistrate sau supuse înregistrării) care nu contravin restricțiilor impuse de extinderea certificatelor Politici și alte documente care reglementează funcționarea CA.
Extensii optionale
Inclus în certificatul cheii de semnare Subiect include orice alte extensii. Atunci când se includ extensii în certificatul cheii de semnătură digitală, este necesar să se asigure coerența și lipsa de ambiguitate a informațiilor prezentate în certificat.
Acest document nu reglementează utilizarea extensiilor, cu excepția extensiei subjectDirectoryAttributes (id-ce 9).
Aplicația ASN1
id-at: Valoarea OID: 2.5.4Descriere OID: Tipuri de atribute X.500.
id-ce: Valoarea OID: 2.5.29
Descriere OID: Identificator de obiect pentru extensiile de certificate din versiunea 3.
2.5.4.5 id-at-serialNumber serialNumber ATRIBUT::= ( CU SINTAXĂ PrintableString(SIZE (1..64)) REGULA DE POTRIVIRE EGALITATE caseIgnoreMatch REGULĂ DE POTRIVIRE SUBSTRINGS caseIgnoreSubstringsMatch ID id-at-serialNumber )
(RFC 3039)
Tipul de atribut serialNumber TREBUIE, atunci când este prezent, să fie utilizat pentru a diferenția numele în care câmpul subiect ar fi altfel identic. Acest atribut nu are o semantică definită în afară de asigurarea unicității numelor subiectelor. POATE conține un număr sau un cod atribuit de CA sau un identificator atribuit de o autoritate guvernamentală sau civilă. Este responsabilitatea CA să se asigure că numărul de serie este suficient pentru a rezolva orice coliziuni de nume de subiect.
2.5.4.3 - id-at-commonName
Valoarea OID: 2.5.4.3
Descriere OID: Tipul de atribut al numelui comun specifică un identificator al unui obiect. Un nume comun nu este un nume de director; este un nume (posibil ambiguu) prin care obiectul este cunoscut în mod obișnuit într-un domeniu limitat (cum ar fi o organizație) și se conformează convențiilor de denumire ale țării sau culturii cu care este asociat.
CommonName ATRIBUT::= ( SUBTIP DE nume CU SINTAXĂ DirectoryString (ub-common-name) ID (id-at-commonName) )
(RFC 3039: Profil certificat calificat)
Valoarea OID: 2.5.4.65
pseudonim ATTRIBUT::= ( SUBTIP DE nume CU SINTAXĂ ID-ul DirectoryString (id-at-pseudonim) ) Valoarea OID: 2.5.29.17
Descriere OID: id-ce-subjectAltName Această extensie conține unul sau mai multe nume alternative, folosind oricare dintre o varietate de forme de nume, pentru entitatea care este legată de CA la cheia publică certificată.
SubjectAltName EXTENSION::= ( SINTAXĂ GeneralNames IDENTIFICAT BY id-ce-subjectAltName ) GeneralNames::= DIMENSIUNEA SECVENȚEI (1..MAX) A GeneralName GeneralName::= CHOICE ( otherName INSTALAȚĂ A ALLUI-NUME, rfc822Name IA5String, dStringName, *) x400Address ORAddress, directoryName Name, ediPartyName EDIPartyName, uniformResourceIdentifier IA5String, IPAddress OCTET STRING, registeredID OBJECT IDENTIFIER ) (*) – șir arbitrar. OTHER-NAME::= SECVENȚĂ ( type-id OBJECT IDENTIFIER valoare EXPLICIT ANY DEFINIT BY type-id )
Valoarea OID: 2.5.4.16
Descriere OID: Tipul de atribut Adresă poștală specifică informațiile despre adresa pentru livrarea fizică a mesajelor poștale de către autoritatea poștală către obiectul numit. O valoare de atribut pentru Adresă poștală va fi compusă în mod obișnuit din atribute selectate din Adresa poștală O/R neformatată MHS versiunea 1 conform Rec. F.401 CCITT și limitată la 6 rânduri a câte 30 de caractere fiecare, inclusiv un nume de țară poștal. În mod normal, informațiile conținute într-o astfel de adresă ar putea include numele unui destinatar, adresa străzii, orașul, statul sau provincia, codul poștal și, eventual, un număr de cutie poștală, în funcție de cerințele specifice ale obiectului numit.
PostalAddress ATRIBUT::= ( CU SINTAXA PostalAddress EGALITATE MATCHING RULE caseIgnoreListMatch SUBSTRINGS MATCHING RULE caseIgnoreListSubstringsMatch ID id-at-postalAddress ) PostalAddress::= SEQUENCE SIZE (1.ub-postal-string-address (1.ub-postal-string)ub)
Valoarea OID: 2.5.4.12
Descriere OID: Tipul de atribut Titlu specifică poziția sau funcția desemnată a obiectului în cadrul unei organizații. O valoare de atribut pentru Titlu este șir.
Titlu ATRIBUT::= ( SUBTIP DE nume CU SINTAXĂ DirectoryString (ub-title) ID id-at-title ) id-ce-certificatePolicies OBJECT IDENTIFIER::= ( id-ce 32 ) certificatePolicies::= DIMENSIUNEA SECVENȚII (1.. MAX) OF PolicyInformation PolicyInformation::= SECVENȚĂ ( policyIdentifier CertPolicyId, policyQualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPȚIONAL ) CertPolicyId::= OBJECT IDENTIFIER PolicyQualifierInfo::= SECVENȚĂ (politica QualifierIdQualifier, Policy Qualifier -DIFINE qualifier PolicyDALBYId) policyQualifierIds pentru calificatorii politicii Internet id-qt IDENTIFICATOR DE OBIECT::= ( id-pkix 2 ) id-qt-cps IDENTIFICATOR DE OBIECT::= ( id-qt 1 ) id-qt-unotice IDENTIFICATOR DE OBIECT::= ( id-qt 2 ) PolicyQualifierId::= OBJECT IDENTIFIER (id-qt-cps | id-qt-unotice) Califier::= CHOICE ( cPSuri CPSuri, userNotice UserNotice ) CPSuri::= IA5String UserNotice::= SECVENȚĂ ( noticeRef NoticeReference OPȚIONAL, explicitText ) NoticeReference::= SEQUENCE ( organization DisplayText, noticeNumbers SEQUENCE OF INTEGER ) DisplayText::= CHOICE ( visibleString VisibleString (SIZE (1..200)), bmpString BMPString (SIZE (1..200)), utf8String UTF8String (SIZE (SIZE) 1 ..200)))
Conform Specificatii tehnice implementarea acțiunilor SA „AEI „PRIME” pentru a dezvălui informații despre valori mobiliareși despre alte instrumente financiare aprobate de Banca Rusiei (), documentele electronice care conțin informații publice trebuie să fie semnate de subiectul dezvăluirii informațiilor cu o semnătură electronică calificată îmbunătățită (a se vedea clauza 1.7 din Condițiile tehnice). Această cerință intră în vigoare începând cu 1 februarie 2017.
În prezent, a început o perioadă de testare pentru utilizarea unei semnături electronice pe serverul de divulgare PRIME, care va dura până la 31 ianuarie 2017 inclusiv.
Pentru a testa funcționalitatea, clienții PRIME pot folosi orice certificat de cheie digitală primit anterior pentru această entitate juridică.
De la 1 februarie 2017, la cererea Condițiilor tehnice (vezi clauzele 1.7. și 9.6.), un certificat calificat al cheii de verificare a semnăturii electronice a unui utilizator trebuie să respecte cerințele pentru forma unui certificat calificat stabilite prin ordin al FSB al Rusiei din 27 decembrie 2011 nr. 795 „Cu privire la cerințele de aprobare pentru forma unui certificat de cheie de verificare a semnăturii electronice calificat”. Extensia certificatului de utilizator „Cheie îmbunătățită” ( identificator de obiect 2.5.29.37) trebuie să conțină un identificator de obiect pentru dezvăluirea informațiilor PRIME - OID 1.2.643.6.42.5.5.5
Conectarea la contul personal al utilizatorului de dezvăluire a informațiilor „PRIME” va fi efectuată folosind LOGIN-ul și PAROLA primite anterior de către client.
Acțiunile clientului de a publica mesaje în Fluxul de divulgare a informațiilor, de a posta documente pe o pagină de pe Internet și de a face modificări ale cardului de înregistrare a emitentului în sistemul de divulgare a informațiilor trebuie confirmate printr-o semnătură electronică.
Pentru a utiliza semnătura electronică pe serverul de divulgare a informațiilor PRIME, clientul trebuie mai întâi să instaleze pluginul (instalarea este gratuită pentru utilizatori și nu necesită mult timp). Pentru instrucțiuni despre instalarea pluginului, consultați mai jos.
ÎN cont personal utilizator de dezvăluire a informațiilor după ce clientul instalează pluginul, la completarea formularelor pentru publicarea unui mesaj în Feedul de divulgare a informațiilor sau postarea unui document pe Internet, precum și la modificarea datelor cardului de înregistrare, câmpuri suplimentare „Semnătura electronică a unui document va apărea”, unde va trebui să selectați certificatul afișat în cheia de semnare a câmpului de serviciu corespunzătoare și să faceți clic pe butonul „Semnați”. În acest fel, clientul își va confirma acțiunile de a dezvălui informații sau de a face modificări la cardul său de înregistrare.
- După semnarea mesajului cu semnătură electronică, clientul trebuie să facă clic pe butonul „Publica”.
- După semnarea documentului cu semnătură electronică, clientul trebuie să facă clic pe butonul „Adăugați document”.
- După semnarea modificărilor din cardul de înregistrare cu semnătură electronică, clientul trebuie să apese butonul „Trimite formular de identificare”.
Vă rugăm să rețineți că toate mesajele trimise de clienți prin intermediul contului lor personal prin autorizația „Test login (working with electronic signature)” vor fi publicate în fluxul de informare în modul de lucru. Toate documentele postate de clienți prin contul personal prin autorizația „Test login (functionare cu semnătură electronică)” vor fi afișate automat pe paginile emitenților în modul de lucru.
În caz contrar, procedura emitentului în contul personal de pe serverul de divulgare a informațiilor PRIME nu se modifică.
Vadim Malykh
02.10.2013
Cu ceva timp în urmă, în grupul Forum Rus de pe Facebook, a fost o discuție despre utilizarea sisteme informatice ah autorități (discuția a fost off-topic, o puteți vedea în comentariile de mai jos). Esența disputei este că, din cauza OID-urilor (identificatorilor de obiect) ai sistemelor informaționale care trebuie înregistrate în certificatele de semnătură electronică calificată (ES) ale funcționarilor, aceleași ES trebuie schimbate chiar mai des decât o dată pe an (ceea ce este dictate de cerințele de securitate) și acest lucru, la rândul său, duce la o complexitate și costuri suplimentare, deoarece majoritatea autorităților lucrează cu CA comerciale fără a avea propriile lor. Problema este exacerbată de lipsa unei înțelegeri comune a ceea ce oferă exact aceste OID și cum necesare si/sau obligatorii sunt.
În timpul discuției, oponentul meu m-a avertizat că din cauza necunoașterii unor elemente fundamentale ale domeniului subiectului, aș putea să intru în anumite probleme cu legea în viitor. Nu puteam ignora un astfel de avertisment de la un coleg, așa că am decis să studiez din nou cu atenție acest subiect și să mă asigur că am înțeles totul și că o fac corect. Mai jos sunt câteva rezultate ale acestei excursii în domeniul subiectului. Poate cineva va fi interesat.
Dacă începi cu concepte de bază, Semnarea electronică se bazează pe algoritmi de criptare asimetrică. Caracteristica principală a acestor algoritmi este că două chei diferite sunt folosite pentru a cripta și decripta un mesaj. Publicul larg este mai familiarizat cu algoritmii simetrici, atunci când folosim o cheie (sau o parolă) atât pentru a cripta, cât și pentru a decripta un mesaj, de exemplu, pentru a arhiva un fișier cu o parolă sau pentru a proteja un document MS Word.
Multe lucruri se bazează pe algoritmi de criptare asimetrică, deși simplul fapt că sunt folosite chei diferite pentru criptare și decriptare nu ne-ar permite să găsim aplicație utilă acești algoritmi. Pentru a face acest lucru, trebuie să mai aibă ceva proprietăți suplimentare. În primul rând, cheile nu ar trebui să fie calculabile, adică cunoscând o cheie nu o puteți calcula pe a doua. De asemenea, este foarte important ca diferite chei de criptare să corespundă diferitelor chei de decriptare și invers - doar o singură cheie de criptare corespunde unei singure chei de decriptare.
Ce legătură are de fapt semnătura cu ea? La urma urmei, trebuie să semnăm documentul, nu să-l criptăm. În primul rând, trebuie să înțelegeți ce este de fapt o semnătură și de ce este necesară. Când îți pui semnătura de mână document pe hârtie, vă asigurați astfel că dvs. (și nu altcineva) ați văzut (și sunteți de acord) acest document (și nu altul). Cea mai importantă proprietate a unei semnături este non-repudierea. Aceasta înseamnă că odată ce semnați un document, nu puteți renunța ulterior la acest fapt. În cazul unei semnături pe hârtie, un examen grafologic vă va incrimina în cazul unei semnături electronice, se vor folosi metode matematice bazate pe algoritmi de criptare asimetrică;
Cum funcționează totul, pe scurt. Luăm un algoritm de criptare asimetric și generăm o pereche de chei (pentru criptare și decriptare). Oferim cheia de criptare persoanei care va semna documentele. Trebuie să o țină mereu cu el și să nu o dea nimănui. De aceea se numește cheie „privată”. Oferim cealaltă cheie (decriptare) tuturor, deci este „deschisă”. Când semnează un document, o persoană trebuie să-l cripteze cu cheia sa privată. De fapt, nu documentul în sine este criptat, deoarece poate fi destul de mare și nu trebuie de fapt să-l criptăm. Prin urmare, se obține un hash dintr-un document - aceasta este o anumită secvență numerică care este cel mai probabil diferită pentru diferite documente, cum ar fi o „amprentă” a documentului. Este criptat cu cheia privată a semnatarului. Acest hash criptat este semnătură electronică document. Acum, având un document, o semnătură și o cheie publică, oricine poate verifica cu ușurință dacă acest document a fost semnat cu această cheie privată. Pentru a face acest lucru, obținem din nou hash-ul documentului, decriptăm semnătura cu cheia publică și comparăm. Ar trebui să obțineți două secvențe de numere identice.
Toate acestea sunt grozave, dar până acum am obținut nerepudierea semnăturii pentru cheia privată, adică am dovedit că documentul este semnat cu o cheie anume. Trebuie să dovedim că a fost semnat de o anumită persoană. În acest scop, există autorități de certificare și certificate digitale. Cel mai important lucru pe care îl face o autoritate de certificare este să certifice că cheia privată aparține unei anumite persoane. Pentru a garanta acest lucru, centrul de certificare este cel care generează perechile de chei și le emite personal proprietarilor (există opțiuni prin proxy, de la distanță, dar acestea sunt detalii). Un certificat digital este generat împreună cu cheile - aceasta este document electronic(uneori există o reprezentare pe hârtie a acesteia), care conține informații despre proprietarul cheii, cheia în sine, centrul de certificare și alte informații. Proprietarul, de regulă, primește toate aceste lucruri pe un mediu securizat (smart card, ru-token etc.), care conține o cheie privată și un certificat cu o cheie publică încorporată. Mass-media în sine trebuie să fie întotdeauna păstrată la tine, iar un certificat cu o cheie publică copiată de pe acesta poate fi dat oricui, astfel încât să poată verifica semnătura ta electronică.
Deci, semnarea se face cu o cheie privată, iar verificarea semnăturii se face cu o cheie publică. Prin urmare, expresia „documentul este semnat cu un set de OID” (exprimată în disputa menționată) este lipsită de sens. Doar două chei sunt implicate în procedura de semnare și verificare în 63-FZ, acestea sunt denumite corespunzător - cheia de semnătură și cheia de verificare a semnăturii;
Care sunt aceste OID notorii? Formatul certificatului digital X.509 permite stocarea extensiilor în el. Acestea sunt câteva atribute opționale care pot fi folosite pentru a stoca informații suplimentare. Fiecare astfel de atribut este un obiect, care este specificat printr-un identificator dintr-un director ierarhic. Prin urmare, OID - Object Identifier. Nu are rost să ne aprofundăm aici în natura OID-urilor în sine. În esență, acestea sunt câteva informații suplimentare care pot fi prezente în certificat.
Aceste atribute suplimentare pot fi utilizate în diverse scopuri. Acestea pot fie să furnizeze informații suplimentare despre proprietar, chei, CA, fie să poarte câteva informații suplimentare pentru aplicațiile și serviciile care utilizează acest certificat. Cea mai comună aplicație este controlul accesului bazat pe roluri. De exemplu, un certificat poate arăta că deținătorul cheii este șeful organizației, iar acest lucru îi va oferi posibilitatea de a obține imediat acces la funcțiile și informațiile necesare din toate IS-urile, fără a fi nevoie să contacteze administratorii fiecărui IS. și modificați setările de acces. Toate acestea, desigur, cu condiția ca toate aceste IS să folosească certificatul utilizatorului pentru a-l autoriza și analiza același atribut în același mod (din acest motiv, atributele sunt selectate din director și nu sunt setate arbitrar).
Din cauza aplicatii diverse primim două certificate de natură complet diferită. Unul certifică că sunt eu, iar acesta este întotdeauna cazul. În mod ideal, ar putea fi eliberat o dată sau de mai multe ori în viață, ca un pașaport. Cu toate acestea, din cauza imperfecțiunilor algoritmilor criptografici existenți, din motive de securitate, aceste certificate trebuie acum să fie reemise în fiecare an. Al doilea tip de controale de certificat Informații suplimentareși se poate schimba mult mai des decât chiar și o dată pe an. Se poate compara cu carte de vizită. Poziția s-a schimbat e-mail, telefon - trebuie să facem noi cărți de vizită.
În lume, aceste două tipuri de certificate sunt numite, respectiv, Public Key Certificate (PKC) și Attribute Certificate (sau Authorization Certificate - AC). Un certificat de al doilea tip poate fi emis mult mai des decât primul, de către o altă organizație, și ar trebui să fie mai accesibil și mai ușor de obținut decât un certificat personal de „cheie publică”. În orice caz, asta recomandă RFC 3281, dedicat acestui tip de certificate. Un certificat de al doilea tip trebuie să conțină doar un link către certificatul cheie publică, astfel încât sistemul care îl folosește să autorizeze utilizatorul să poată identifica mai întâi persoana care utilizează PKC.
Acum să ne apropiem de realitățile noastre. La nivel legislativ, problemele legate de utilizarea semnăturilor electronice în Federația Rusă, sunt reglementate de două documente principale - Legea Federației Ruse din 6 aprilie 2011 nr. 63-FZ „Cu privire la semnăturile electronice” și Ordinul FSB al Federației Ruse din 27 decembrie 2011 nr. 795 „Cu privire la aprobarea cerințe pentru forma unui certificat calificat al unei chei de verificare a semnăturii electronice.” Compoziția unui certificat calificat este descrisă în Ordinul 795 (Partea a II-a „Cerințe pentru setul de câmpuri ale unui certificat calificat”) și nu există cerințe pentru atributele care controlează autorizarea în niciun sistem informatic. Atributele suplimentare obligatorii includ doar informații care permit identificarea unei persoane sau persoană juridicăîn Federația Rusă (TIN, SNILS etc.). Deși nici legea, nici ordinul FSB nu interzic includerea altor informații într-un certificat calificat.
După cum putem observa, nicio normă legislativă nu dictează prezența obligatorie într-un certificat calificat a atributelor asociate cu autorizarea în orice sisteme informatice. Atunci de unde vin aceste cereri? Și vin de la dezvoltatorii (sau „proprietari”) unor sisteme specifice. Să luăm, de exemplu, „Orientări pentru utilizarea semnăturilor electronice în interacțiunea electronică interdepartamentală (versiunea 4.3)” postată pe portalul de tehnologie SMEV. Într-adevăr, în paragraful 6 al acestui document citim: „La pregătirea informațiilor pentru generarea unui certificat ES-SP, este necesar să se determine necesitatea solicitării de informații de la Rosreestr (extrase din Registrul Unificat de Stat). Dacă o astfel de solicitare este necesară, OID-ul trebuie să fie indicat în câmpul „Cheie îmbunătățită” (OID=2.5.29.37) din certificatul EP-SP în conformitate cu cerințele Rosreestr.” Adică, sistemul informațional Rosreestr utilizează acest atribut pentru a determina informațiile care pot fi emise proprietarului certificatului. Totuși, același document conține o notă importantă, și anume - această cerință este valabil până la lansarea completă a ESIA (serviciul de autorizare unificată în sistemele de stat) și la acesta este conectat sistemul Rosreestr. Aceasta este o notă importantă, să ne amintim.
Nu mă voi ocupa de alte IP folosite în stat. organe Bănuiesc că situația este similară acolo. Portal de achiziții publice, electronic platforme de tranzacționare, diverse aplicații contabile și financiare pot necesita, de asemenea, prezența anumitor OID-uri suplimentare în certificatul de utilizator. În același timp, afirmația că prin scrierea OID-ului unui sistem informatic într-un certificat, deleg cumva responsabilitatea autorității de certificare este, ca să spunem ușor, incorectă. CA introduce aceste date în certificat conform cererii mele. Daca pozitia mea s-a schimbat, si am uitat sa solicit revocarea celui vechi si eliberarea unui nou certificat, CA nu poate fi in niciun fel facuta responsabila pentru uitarea mea. În plus, Legea 63-FZ atribuie direct proprietarului său responsabilitatea pentru utilizarea incorectă a unui certificat. În paragraful 6 al articolului 17 citim:
Deținătorul unui certificat calificat este obligat să:
1) nu utilizați cheia de semnătură electronică și contactați imediat centrul de certificare acreditat care a eliberat certificatul calificat pentru a înceta valabilitatea acestui certificat dacă există motive să creadă că a fost încălcată confidențialitatea cheii de semnătură electronică;
2) utilizați o semnătură electronică calificată în conformitate cu restricțiile conținute în certificatul calificat (dacă sunt stabilite astfel de restricții).
Necesitatea de a stoca într-un certificat informații despre rolurile și accesele utilizatorului în anumite sisteme informatice duce la o problemă care a provocat o dispută pe Facebook și anume, certificatul trebuie reemis mult mai des decât dictează cerințele de securitate pentru o semnătură electronică personală. . Poziția s-a schimbat - reeliberăm certificatul. A apărut un nou IP - reemitem certificatul. Era nevoie să se solicite informații de la IS noua organizare(Rosreestr) - reemitem certificatul.
Există o aderență sută la sută la conceptul numit în lume Certificat de Atribut (sau Certificat de Autorizare), care a fost menționat mai sus și în care se recomandă emiterea acestor certificate de către o altă autoritate de certificare (Autoritatea de Atribut, spre deosebire de Autoritatea de Certificare - o CA obișnuită care emite certificate ES calificate) și conform unei scheme simplificate. Acest certificat în sine nu ar trebui să conțină cheia semnăturii electronice și informații despre proprietar. În schimb, conține un link către certificatul de cheie publică al proprietarului, de la care se pot obține restul informațiilor necesare despre persoană.
Trebuie remarcat faptul că această schemă are o aplicație foarte limitată și nu rezolvă toate problemele. Ce se întâmplă dacă următorul sistem informațional decide să folosească același câmp de certificat „Improved Key” (OID=2.5.29.37), care este deja ocupat de valoarea Rosreestr, pentru nevoile sale? Introdu două sensuri diferite Nu va funcționa într-un singur domeniu. Prin urmare, va trebui să lansăm un alt AC! O altă problemă este durata scurtă de viață a PKC (un an). Dacă avem mai multe AC-uri (care conțin un link către un certificat personal), toate vor trebui reemise după expirarea PKC. Pentru aplicare eficientă AC necesită un fel de centru de autorizare pentru un singur utilizator în toate sistemele informaționale, iar toate aplicațiile trebuie să utilizeze în mod consecvent și uniform atributele certificatului.
Un astfel de centru unic de autorizare pentru guvern. organismele există deja - aceasta este ESIA. Să ne amintim de nota privind OID-urile de la Rosreestr. În viitor, acestea vor fi înlocuite cu informații din Sistemul Unificat de Identificare și Informare Autonomă în care lucrează funcționarii publici, în loc să folosească AC pentru autorizare este necesar să se integreze cu Sistemul de identificare și informație autonomă unificată și să obțină informațiile necesare de acolo. folosind o cheie personală și autorizați-l (oferiți acces la aplicație) prin sistemul unificat de identificare și autentificare. Un astfel de sistem pare mai universal și mai fiabil decât utilizarea câmpurilor de certificat în viitor, dacă va fi creat . sistem unificat evidența personalului stat angajaților, ESIA va putea prelua informații despre puterile unei anumite persoane direct de acolo. Dacă o persoană se transfera într-o altă poziție, pierdea automat accesul la unele sisteme și obținea acces la altele. În același timp, el continuă să folosească cheia de semnătură electronică pentru a semna documente, nu este nevoie să reemite nimic.
