Что почитать по теме «Электронная цифровая подпись»?

Question

[V Sh.]

Доброго времени суток!
Посоветуйте хорошие книги, после прочтения которых у меня сформируется понимание электронных цифровых подписей: зачем они нужны, как работают, какие алгоритмы используют.

Я почитал несколько статей, но пока каша в голове. Хочется уже качественную структурированную литературу почитать, чтобы "пазл сложился".

Answer 1

[Tom Nolane]

я сейчас занимаюсь аналогичным.
статья
статья

вкратце:
Простая ЭП. является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированная ЭП. Позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают защиту документов. Подписанные документы обладают юридической значимостью при наличии регламентов, устанавливающих правила использования и признания электронных подписей. Такая подпись подойдет для внутреннего и внешнего документооборота и в некоторых случаях участия в электронных торгах.

Квалифицированная ЭП. Может быть получена только в удостоверяющем центре, аккредитованном Минкомсвязи России, а используемое ПО должно быть сертифицировано ФСБ. Квалифицированная ЭП безусловно наделяет документы всей полнотой юридической силы, и поэтому используется для информационного обмена с органами государственной власти и для участия в электронных торгах.

в итоге сейчас в свой проект решил использовать услуги СБИС, точнее их API для ЭЦП и документооборота, т.к. у них есть сертификация от ФСБ, да и геморроя меньше при работе с другими контрагентами/компаниями, т.к. собственный алгоритм(механизм проверки/защиты/шифрования) - наверняка не вызовет "доверия" у компаний, когда оборот идет на *миллионов рублей. Т.е. я смотрю на использование процедуры подписания/проверки ЭЦП уже у популярного, акредитованного, сертифицированного (и известного) для всех участников компании/центра (СБИС), нежели самому всё это создавать и потом ещё доказывать, что я (как разработчик) не смогу подделать чужую подпись на договоре и т.д. и т.п.

п.с. если есть аналоги СБИСа - прошу отписаться

п.с.с. под c# нашёл API тык, но пока ещё с ним не работал (только собираюсь)

Comments

[BBmike]

Простая ЭП приравнивает документ к документу на бумажном носителе.
Откуда вообще Вы взяли эту глупость про то, что она для каких-то внутренних документов используется?

[Tom Nolane]

BBmike: википедия .
про глупость: я делаю программу, для коммуникации между бизнесом друг с другом, где будут заключаться договора между ООО, ИП, и т.д. т.е. где нужна будет ваша подпись и моя для заключения сделки. Также её планируется использовать вместо бумажного документа - а-ля начисление зарплаты бухгалтером, счёт-фактуры, расходные накладные и т.д. внутри самой компании. И Неквалифицированная ЭП отлично для этого подоёдет.

[BBmike]

Федеральный закон "Об электронной подписи" прочтите. Не надо никаких википедий.

[Tom Nolane]

BBmike: вы читали вообще, что я писал? или по троллить решили?
для себя я использую неквалиф. подпись. Создаю приложение для компаний мелкого бизнеса, у которых будет идти торговый оборот на приличную сумму. И будь вы трижды IT специалист и ваш алгоритм самый лучший шифрования, как вы это объясните разным компаниям - если вас звать (для них) никак и нету сертификации эцп от ФСБ ? И когда бизнесмен хочет купить миллионов на 9 товара и для этого хочет с вами заключить (через коммуникативное приложение) юридически валидный договор, при этом не ехать через пол страны для "ручной" подписи?
для мелких нужнд - да, простая более чем. Для физ лиц к примеру. Это всё указал в ответе. И суть - использовать одну ЭЦП для всего: внутреннего документооборота, так и между компаниями. Читайте внимательнее.

[BBmike]

Мне достаточно

Простая ЭП. Предназначена для внутреннего документооборота (например для отправления финансовой отчётности в налоговую), позволяет подтвердить авторство, но не гарантирует неизменность документа после его подписания и не обеспечивают юридическую значимость.

Вы предмета не знаете, а советы раздаете. Вам предложили почитать Федеральный закон, а не уютные бложики с такими же советчиками вроде Вас, а Вы еще что-то там возмущаетесь.

[Tom Nolane]

BBmike: раз вы просвещённый - не вижу вашего ответа снизу. Я допускаю, что могу быть не правым. т.к. только разбираюсь в этом вопросе. Больше силён в УК и УПК (создавал БД для ФСИН).

[V Sh.]

Все это здорово, конечно, но мне не подходит. Поскольку меня интересует устройство цифровой подписи, а не законность ее применения.

Answer 2

[cssman]

тема то не такая большая, какие тут книги? книги по криптографии ещё можно почитать (из авторов Фомичёва могу посоветовать)
А зачем нужны и как работают - в статьях более чем подробно описано.

Answer 3

[Егор Казанцев]

Цифровая подпись это что это разновидность контрольной суммы по сути , но контрольной суммы и чего-то уникального . Так что тут можно начинать с математических теории - которые явно не для среднего ума .

Comments

[V Sh.]

Ну это я понимаю. Считается хэш подписываемого документа, от него, по закрытому ключу, вычисляется другой хэш, который уже считается подписью. Эту подпись могут проверить по открытому ключу (паре закрытому). Закрытый хранится только у подписывающего (в виде сертификата в хранилище или на ключ-карте, не суть важно), а открытый распространяется свободно. Меня больше интересует где хранится эта вычисленная подпись в документе? Возможно, что где-то в атрибутах или специальных полях. А что будет в случае, если мы пописываем файлы просто как набор (массив) байт? Вот у нас есть массив байт (документ), подпись и открытый ключ. Как происходит расшифровка? Подпись "вшита" в массив байт или передается как-то отдельно? Вот такие, в-общем, меня вопросы интересуют...

[Егор Казанцев]

V Sh.: Как хранить подпись это уже отдельный вопрос , главное чтоб было понятно что подписано . Вспомни хотя бы электронную почту - там подпись прямо в тексте видна, хотя вроде можно добавлять подпись для файла как отдельный файл.