Как работает электронная цифровая подпись?

Question

[Vlad]

Уважаемые, расскажите о технологии электронной цифровой подписи, сертификате, серверном взаимодействии, смысл (нужно/не нужно) проксиподключения. Тут вопросов на целую лекцию, может подскажите ссылки где можно почитать-понять. В технологиях криптозащиты я полный ноль, но нужно на работе организовать защищенный документооборот, и необходимо сейчас хоть какое базовое понимание процесса.

Answer 1

[15432]

Почитайте на вики про RSA и асимметричную криптографию. Создается пара ключей - приватный/публичный, являющихся по сути очень большими числами. Приватный держится в секрете, публичный доступен другим. С помощью ключа можно произвести операцию над некоторым числом ("зашифровать") так, что получить изначальное представление возможно лишь зная другую часть ключа. Так и происходит подпись файла - вычисляется хеш-сумма (например, sha2, чтоб сложнее было подобрать), далее хеш шифруется при помощи приватного ключа и прикладывается к файлу. Публичным ключом подпись дешифруется и сравнивается с хешем файла. Это если очень кратко. В описанном существует несколько проблем - например, вопрос подлинности публичного ключа проверяющего.
Если вы не разбираетесь в шифровании, что-то своё пилить противопоказано, возьмите готовую реализацию - тот же openssl

Comments

[Vlad]

Спасибо, читаю

Answer 2

[Андрей]

В защищенном документообороте обычно нужны 3 составляющие (некоторые могут быть неактуальны именно для Вашей организации):

• подтверждение авторства документа (реализуется в 99% посредством ЭП; но видел решения, в которых это достигается правами пользователей - такие схемы беззащитны перед админом)
  
• подтверждение даты/времени подписания документа (правильный путь - использовать сервер доверенного времени - Timestamp Authority (TSA) (он накладывает свою ЭП на хеш документа и собственную дату/время), не очень правильный путь - решать этот вопрос за счет подсистемы доступа)
  
• разграничение доступа к документам и комментариям к ним (текстам задач) (правильный путь снова - криптографический - secret sharing, не очень правильный - за счет подсистемы доступа)
  

Плюс очень важным в плане юзабилити системы свойством является поддержка workflow - то есть возможности передавать документы определенного рода по заранее предопределенным маршрутам между пользователями (например, заявления, согласование/ознакомление с приказами и т.п.).

И вот если я верю, что все криптографиечские задачи, описанные в списке реально реализовать "на коленке", например на OpenSSL (пусть и неудобно для пользователя), то последнюю позицию (workflow) самостоятельно построить очень сложно. Возьмите лучше какую нибудь бесплатную СЭД.

Comments

[Vlad]

Спасибо. читаю, боюсь СЭД не подойдет.

[Vlad]

Необходимость возникла не столько для внутреннего документооборота, сколь для взаимодействия нашего с другими госучреждениями. Может глупый вопрос - на чьей стороне формируется сертификат на ЦП?

[Андрей]

Сертификат выпускается удостоверяющим центром. У разных гос.структур есть варианты:

• собственный УЦ или даже дерево УЦ, не входящие в пространство доверия электронного правительства
  
• собственный УЦ, входящий в пространство доверия электронного правительства
  
• сторонний (коммерческий) УЦ, входящий в пространство доверия электронного правительства
  

Очень много полезной информации на smev.gosuslugi.ru/portal но там реально нужно знать, что искать.

Answer 3

[Vlad]

Спасибо, читаю, вникаю. Если бы кто еще ссылку на какой мануал по этой технологии дал ?