Как подписывать документы ЭЦП и хранить их в базе данных?

Question

[Sienore]

Здравствуйте.

В организации используется информационная система собственной разработки, суть которой заключается в формирование в филиалах заявок, отправка их на утверждение в головную организацию и обмен данными с учетной системой (1С:Предприятие). Система работает через браузер на PHP, MySQL и JavaScript (Node.js). Данные хранятся в нескольких таблицах базы данных и собираются вместе запросом при выводе пользователю.
Хотели бы использовать электронную подпись при формировании и утверждении заявки.
Прошу Вас объяснить возможно ли это реализовать на имеющихся технологиях и как хранить подпись или подписанную заявку в базе данных (какой тип поля)?
Я никогда не работал с ЭЦП поэтому прошу объяснить все подробно.

Answer 1

[Rsa97]

Как правило, электронная подпись документа делается в виде хэш-суммы контролируемого набора атрибутов документа (текст, название, автор и т.д.), зашифрованной закрытым ключом. Для проверки снова производится вычисление этой же хэш-суммы, подпись расшифровывается парным открытым ключом и расшифрованная хэш-сумма сравнивается с вычисленной. Если они совпадают - подпись действительна. Если какой-либо атрибут документа был изменён, то хэш-суммы не совпадут.
В первом варианте обе части ключа хранятся в системе, для подписи документа пользователь вводит пароль к закрытому ключу, подписание идёт непосредственно на сервере.
Во втором, более сильном, варианте закрытая часть ключа хранится у пользователя на криптоносителе. Сформированный документ передаётся с сервера клиенту, подписывается через криптопровайдер (например, КриптоПро ЭЦП Browser plug-in) и подпись отправляется обратно на сервер.
В обоих случаях открытая часть ключа хранится на сервере и служит для проверки подписи.

Comments

[Sienore]

Rsa97 благодарю за ответ. Не совсем понятно на счет формировании хэша. Например, если у меня есть таблица (упрощенно):
- ид записи
- ид клиента (ссылка на таблицу клиентов)
- ид менеджера (ссылка на таблицу пользователей)
- сумма сделки
- дата создания записи
- дата последнего изменения записи

При помощи объединения в запросе нескольких таблиц я получаю данные которые и вывожу пользователю. Какие из них использовать для расчета хэш суммы? Существуют ли какие то правила для этого? Смогут ли другие программы проверить эту электронную подпись? Полученная таким образом ЭЦП будет подтверждать только факт неизменности записи или и авторство пользователя тоже?

[Rsa97]

Sienore, В хэш должны попасть те данные документа, изменять которые в подписанном документе нельзя.
Чтобы другие программы могли проверить подпись они должны уметь рассчитывать хэш по документу точно таким же образом и использовать тот же алгоритм шифрования. Скажем в MS Word есть встроенная система подписи документов, но она не совпадает с подписью через КриптоПро Office Signature.
Подпись подтверждает неизменность документа и личность того, кто поставил эту подпись. Авторство документа может подтверждаться, если поле автора включено в рассчёт хэш-суммы.