Hogyan kell megszervezni a dokumentumok aláírását a színpadon?
Jó napot, kollégák.
Eljött az ideje annak, hogy szerény szervezetünk saját munkát végezzen a 222-FZ munkájához.
A következő kérdés merült fel előttünk: milyen helyes (és az országunk törvényei szerint, ha szabályozzák ezeket a dolgokat, és a szokásos biztonság szerint) az EDS-szel dolgoznak?
Az első lehetőség az összes fontos felhasználói művelet aláírása az EDS (IE + CAPICOM + cryptcp) segítségével. Ugyanakkor egyszerre látjuk, hogy a felhasználó feltöltött egy ilyen fájlt (például egy idézetet).
Elméletileg tegye ki az erőforrást a támadásnak, és ez a fájl könnyen helyettesíthető bármely másikkal (például kétszeres ajánlati árral), és a szabályok szerint a győztesnek meg kell fizetnie a győztest.
Ebből kétféle utat látok:
A) Ahhoz, hogy az összes ügyféllel rendelkező dokumentumot aláírja az ügyfelek (és csak ennek megfelelően működjön együtt) a Microsoft Office-ban, és csak azt követően töltse le és üzembe helyezzen.
B) Valahogy aláírja a fájlt, amikor betölti egy külön gomb a helyszínen, miután a terhelés, mint ahogy azt néhány fellépés zakupki.gov.ru (zakupki.gov.ru/wps/portal/faq/utilities/PGZ. User_G 4.4.4. Pont)
Kutatásom azt eredményezte, hogy valószínűleg készíthetek egy fájlt, például egy felhasználói tanúsítvánnyal a fájl tördelésével, de hogy ez a döntés helyes-e vagy sem, nem vagyok biztos benne.
Elméletileg az aláírt hash-fájl kombinációjának egyedinek kell lennie az "EDS tulajdonos" + "specifikus fájl" kombinációjához.
Szeretnék hallani tanácsokat, tapasztalatokat az ilyen funkciók végrehajtásában, vagy ahol az ilyen problémák technikai oldala olvasható.
Én válaszolok - hirtelen valaki más hasznos.
Miután megkérdeztük a piac legnagyobb szereplőit, kiderült, hogy szigorúan variáns B-t használnak. A fájl aláírása csak abban a rendszerben érvényes, amelyben aláírták. Ha valaki letölti a fájlt, akkor lehetetlen volt ellenőrizni, hogy aláírták-e vagy sem.
Megerősítem, hogy az Orosz Föderációban a webhelyek az aláírást ugyanazon szabványok szerint hajtják végre, de valójában kiderül, hogy az egyik ETP-ben aláírt fájl nem feltétlenül kerül tesztelésre egy másik ETP-hez.
A "ellenőrizni lehetetlen" alkalmával - ha egyértelmű, hogy pontosan aláírják, és az államigazolvány rendelkezésre áll, akkor ez teljesen lehetséges.
Két lehetőség közül választhat:
1 az adatok aláírása;
2 aláírt hash fájl.
Ha kapicomot használtak, akkor a második lehetőség valószínűleg használatos. az elsőben vannak problémák a páratlan hosszúságú adatok aláírásával és a capicom + js használatával unicode-nel.
Vagyis a második változatban van szüksége
1 van egy fájl
2 tudja kiszámítani a hash (amely algoritmust)
3 rendelkezik a fájlt aláíró felhasználó nyilvános kulcsával (nyilvános tanúsítvánnyal)
És ellenőrizze a fájlt minden olyan eszközzel, amely támogatja a szükséges titkosítást (az RF ETP számára GOST)
Játszótér, sajnos, nem volt hajlandó halva született (és nem vitte el a piacon, annak ellenére, hogy van írva), úgy, hogy vezérli nem látott, és valahogy pontosan válaszoljon a kérdésre, hogy „úgy döntöttünk, hogy annyira-gal,” nem tudok.
Ha nem tévedek, aláírtam a fájlok hashját - ahogy írta.
Tel. Jó napot. Hasonló feladatunk van: az EDS-t implementáljuk az egyik autonóm intézmény IS (web) oldalán. Szeretnénk veled beszélni, lehetőleg a konzultációk keretében, hogy kitöltsünk néhány hiányosságot az EDS-vel való együttműködés megszervezésében. Ha lehetőségei vannak és érdeklődnek, kérjük írjon az agrDOMAugraweb.ru e-mail címre