Как организовать подпись документов на ЭТП?

Question

[Tel]

Добрый день, коллеги.


Пришло время нашей скромной организации завести себе собственную площадку для работы по 222-ФЗ.

Перед нами встал следующий вопрос — как правильно (и согласно законам нашей страны, если таковые регламентируют такие вещи, и согласно банальной безопасности) работать с ЭЦП?

Первоначальный вариант, это подписывать каждое важное действие пользователя с помощью ЭЦП (IE+CAPICOM+cryptcp). Однако, при этом мы просто видим что пользователь такой-то загрузил файл такой то документ (например, предложение цены).

В теории, подвергнись ресурс атаке и файл этот легко можно было бы заменить на любой другой (например с ценой предложения в 2 раза меньше), и согласно правилам горе победителю пришлось бы платить.

Из этого я вижу два выхода:

А) Заставлять подписывать клиентов все doc файлы (и вести работу соответственно только с ними) у себя в Microsoft Office и только после этого загружать и принимать их в работу.

Б) Каким-то образом подписывать файл при загрузке либо специальной кнопкой на сайте уже после загрузки, как, например, делается при некоторых действиях на zakupki.gov.ru (zakupki.gov.ru/wps/portal/faq/utilities/PGZ.User_G... пункт 4.4.4.)

Мои изыскания привели к тому, что я, вероятно, могу сделать например файл подписанным с помощью сертификата пользователя хешем файла, но правильное ли это решение или нет — я не уверен.

По идее, сочетание подписанного хеша файла должно быть уникально для сочетания «владелец ЭЦП»+«конкретный файл».


Хочется услышать советы, опыт внедрения таких функций или где о технической стороне таких проблем можно почитать.


Заранее спасибо.

Answer 1

[Tel]

Отвечаю себе сам — вдруг кому-то еще пригодится.
После опроса крупнейших игроков на рынке выяснилось, что используется строго вариант Б. Т.е. подпись файла валидна только в контексте того системы в которой его подписали. Если же кто-то скачивает файл, то проверить был он подписан или нет — невозможно.

Comments

[yiiBoy]

Подверждаю, что в РФ площадки реализуют подпись хоть и по одним стандартам, но по факту получаеться так, что файл подписанный на одной ЭТП не обязательно пройдет проверку на другой ЭТП.
По поводу "проверить невозможно" - если понятно, что именно подписано, и доступен публичный сертификат, то вполне возможно.
Тут два варианта:
1 подписаны сами данные;
2 подписан хеш файла.
Если использовался capicom то скорее всего использован второй вариант, т.к. в первом есть проблеммы с подписыванием данных нечетной длинны и работой capicom+js с unicode.
То есть во втором варианте, нужно
1 иметь файл
2 знать как расчитываеться хеш (какой алгоритм)
3 иметь открытый ключ (публичный сертификат) пользователя который подписал файл
И проверяйте себе файл любыми средствами которые поддерживают необходимое шифрование (для ЭТП РФ это ГОСТ)

[Tel]

yiiBoy: Я не знаю как лайкнуть коммент, к тому же прошло куча лет, а я ничего не видел. Но спасибо!

[yiiBoy]

Пожалуйста.
Лайкнуть ответ на комментарий похоже нельзя, я тоже не нашел.
Интерестно узнать, каким образом вы решил вопрос со своей площадкой.

[Tel]

Площадка, к сожалению, отказалась мертворождённой (так и не вывели её на рынок, хоть и написали), так что регуляторы её не видели и как-то точно ответить на вопрос "мы решили вот так-то и это правильно" я не могу.
Если я не ошибаюсь, я подписывал хеши файлов - собственно как вы и написали.

[Андрей Ратушный]

Tel: Добрый день. У нас схожая задача - мы внедряем ЭЦП в ИС (веб) одного из автономных учреждений. Мы хотели бы пообщаться с вами, возможно в рамках консультаций, для восполнения некоторых пробелов, в организации работы с ЭЦП. Если у вас будет возможность и интерес :) просим написать на почту agrСОБАКАugraweb.ru