LINUX.ORG.RU

Электронная подпись ГОСТ Р 34.10 документов формата PDF в офисном пакете LibreOffice

 , , ,

Электронная подпись ГОСТ Р 34.10 документов формата PDF в офисном пакете LibreOffice

4

2

У Федеральной налоговой службы есть сервис для получения выписки из ЕГРЮЛ для юридического лица. Выписку можно получить в виде документа формата PDF, подписанном квалифицированной электронной подписью. Такую выписку можно отправить в банк или учреждение, ее не попросят в бумажном виде.

Для проверки подписи такого документа и формирования электронной подписи в документах PDF-формата предлагается доработка офисного пакета libreoffice на платформе Linux для поддержки электронной подписи ГОСТ Р 34.10-2001/2012.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: maxcom (всего исправлений: 3)
Ответ на: комментарий от Xintrea

Каким-то образом по электронной подписи можно определить, на сертифицированным ПО она сделана или нет?

По сертификату, которым проводилось подписание. В сертификате должны быть поля (oid-ы) subjectsigntool (СКЗИ на котором генерировалась ключевая пара владельца сертификата) и issuersigntools (данные об СКЗИ УЦ, сертификате самого УЦ и сертификате ФСБ СКЗИ УЦ). Так что определить можно и нужно

TclTk
()

Имеется в виду открытый сертификат? То есть его надо передавать вместе с электронной подписью? То есть, вместе с подписанным документом? А в файл подписанного документа сертификат вставояется в обязательном пррядке? Или его надо отдельным файлом прикладывать?

Xintrea ★★★★★
()
Ответ на: комментарий от Xintrea

Вроде, юридически сертификат -неотъемлимая часть ЭП. Обычно инструметны вставляют и его. Не знаю насколько стандартизированы форматы, но на госуслугах можно проверить только прикреплённые и откреплённые в формате pkcs7. Конечно в сертификате может быть написано одно, а на деле другое. СКЗИ пока никак не заверяют, что именно они выполнили операцию. Решение не техническое.

boowai ★★★★
()

По сертификату, которым проводилось подписание. В сертификате должны быть поля (oid-ы) subjectsigntool (СКЗИ на котором генерировалась ключевая пара владельца сертификата) и issuersigntools (данные об СКЗИ УЦ, сертификате самого УЦ и сертификате ФСБ СКЗИ УЦ). Так что определить можно и нужно

На самом деле ничто не мешает любому ПО точно также заполнить все эти поля. Сертификат удостоверяет подлинность, сгенерированных с его использованием ключей, а не программ.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

На самом деле ничто не мешает любому ПО точно также заполнить все эти поля.

А вот тут вы не правы. Поля заполняются в УЦ! И УЦ несет ответственность за правильность их заполнения. Точно также как паспортный стол несет ответственность за достоверность заполнению паспорта при его выдачи.Почитайте ЗДЕСЯ

TclTk
()

Да все верно, но вопрос был не о том кто какую ответственность несет, а можно ли по цифровой подписи как-то узнать сертифицированной ли программой она создана. Чисто технически. Так вот правильный ответ, что нет, нельзя узнать. УЦ может при желании заполнить эти поля в любой программе, клиент при желании может использовать тоже любую программу. И это принципиально никак не доказуемо только по подписи. Разумеется, если используются такие же алгоритмы.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 2)
Ответ на: комментарий от praseodim

можно ли по цифровой подписи как-то узнать сертифицированной ли программой она создана

Ответ одназначен - нет, нельзя! Тут вы правы.

TclTk
()
Ответ на: комментарий от praseodim

И это принципиально никак не доказуемо только по подписи.

Хотя, если у вас закрытый ключ хранится на токене/смарткарте PKCS#11 с поддержкой соответствующей криптографии (в нашем разговоре ГОСТ), в частности собственно функция подписания, и ключ не извлекаем, то саму подпись можно сделать только на этом токене (на этом СКЗИ). Подчеркиваю ключ неизвлекаем не в смысле всяких виндовых и аля с ними CSP, а неизвлекаем с аппаратного токена PKCS#11. Теперь по сертификату находим его владельца и убеждаемся что именно он сделал подпись НА своем ТОКЕНЕ!!!!

TclTk
()

Подчеркиваю ключ неизвлекаем

А что, на аппаратном токене PKCS#11 даже владелец не может сделать себе резервную копию закрытого ключа? Потерял свисток, и привет, если данные для тебя были зашифрованы открытым ключем, то прочитать их ты уже не сможешь. Так что ли?

Xintrea ★★★★★
()
Ответ на: комментарий от Xintrea

аппаратном токене PKCS#11 даже владелец не может сделать себе резервную копию закрытого ключа

Если ключ неизвлекаемый никто не может сделать резервную копию. Да, потерял свисток, как паспорт, и все !!! На открытом ключе нет смысла шифровать, его все знают из сертификата. Но если вы зашифровали на открытом ключе, то для расшифровки всегда можете взять его из сертификата. Если говорить про шифрования, то шифруют на своем закрытом и чужом открытом ключе. Для ГОСТ-ов открытый ключ может и не хранится на токене. Его всегда можно восстановить по закрытому ключу.

pki_gost
() автор топика
Ответ на: комментарий от Xintrea

Обычно только подписывают, а не шифруют. С шифрованием всё сложней, ведь у ключа(не сертификата) на таких носителях есть срок годности, например до трёх лет. Надо использовать не тупое, прямое шифрование, а нормальный контейнер\формат с шифрованием ключа шифрования несколькими ключами, и не забывать обновлять.

Проблемы ещё могут быть и не только с неизвлекаемыми ключами. Например после отправки через Контур в ФНС, всё почему-то доступно только по ключу, который использовался при отправке, ну и самого ФНС, и может Контура. И получается бредятина, что нужно иметь протухший ключ десятилетней давности, который ещё на дискетке был, чтобы посмотреть старые записи. А ещё всё грозятся запретить старое шифрование и перейти на новое 2012.

boowai ★★★★
()
Ответ на: комментарий от boowai

срок годности, например до трёх лет

Срок годности - это не ограничения для шифрования, а ограничение для подписи. Оно говорит только о том, что через три года подпись на этом ключе будет юридически незначимой! А так используйте хоть до конца света!!! Запретить могут использовать только, например, в госорганох. Не надо наводить тень на плетень. И сто такое новое шифрование 2012?! Ну нет такого. А вот кузнечики и магмы есть

pki_gost
() автор топика
Ответ на: срок годности, например до трёх лет от pki_gost

Подпись, шифрование - разница небольшая. Но и правда. Где отечественное асимметричное шифрование? Почему нет госстандарта для асимметричного шифрования?

У носителей со СКЗИ разве что часов нет, чтобы самим решать, что срок наступил. Но добавить батарейку не проблема - в ходу ключи защиты программ с батарейками на пару лет. А КриптоПро давно оброс проверками и в текущих версиях настройки по умолчанию всё строже.

https://www.rutoken.ru/products/all/rutoken-ecp/#features

Поддержка алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012(256 и 512 бит): генерация ключевых пар с проверкой качества, формирование и проверка электронной подписи, срок действия закрытых ключей до 3-х лет.

И по многим регламентам просроченные сертификаты и ключи подлежат уничтожению чуть ли не вместе с носителем(на самом деле отправляют производителю на форматироватие).

юридически незначимой! А так используйте хоть до конца света!

Да никому отечественная криптография без этого нужна.

boowai ★★★★
()
Ответ на: комментарий от boowai

Какой-то бред

Нет просроченных сертификатов и ключи уничтожить нельзя. Как же без этого проверять валидность когда-то поставленной подписи.

Да никому отечественная криптография без этого нужна.

Без чего без этого? Пишите в Думу!

pki_gost
() автор топика
Ответ на: Какой-то бред от pki_gost

уничтожить нельзя. Как же без этого проверять

Не то что при конце срока надо удалить все сертификаты, но надо уничтожить ключевой документ. Всё ставятся на учёт, а по истечению уничтожается. Сформированные подписи никто не заставляет удалять, конечно. Если подпись нельзя проверить без чего-то кроме корневого сертификата, то ССЗБ.

Без чего без этого?

Без значимости. Для применения не требующего её хватит и международной криптографии, с нормальными инструментами. А если не хватит, то и отечественной криптографии будет недостаточно.

boowai ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.