Как подписать данные в БД с помощью ЭЦП на пластиковой карте?

Question

[vitalyaventel]

Имеется пластиковая карта (например, пластиковый полис ОМС), на котором есть ЭЦП. Как подписать данные в БД, используя пластиковую карту, а именно ЭЦП ?

Answer 1

[Андрей]

1) узнать каким криптопровайдером создан приватный ключ, хранящийся на карте; при необходимости установить его на клиенте
2) решить, какая подпись Вас интересует - attached или detached
3) выбрать желаемый формат (например, PKCS#7)
4) считать данные на клиента, запросить криптопровайдер подписать блок памяти, записать результат в базу либо обратно (attached) либо в отдельный столбец (detached)

Весь процесс подписания с помощью смарт-карты происходит на клиентской стороне, т.к. ни один криптопровайдер не позволит Вам отправить приватный ключ на сервер.

Comments

[vitalyaventel]

@OLS криптопровайдер ГОСТ Р 34.10-2001 (формирование и проверка)

[vitalyaventel]

@OLS а разве тип подписи не зависит от алгоритма шифрования?

[vitalyaventel]

@OLS можно более подробно п. 2-4

[Андрей]

@Vitalya_Ventel форматы контейнеров приватных ключей несовместимы между криптопровайдерами - уточните, какой именно криптопровайдер (Вы указали только алгоритм), и установите именно его; надеюсь ПИН от смарт-карты и контейнера Вам известен ?

[vitalyaventel]

@OLS ПИН-кода у смарт карты нету (пластиковый полис ОМС), а ПИН-код контейнера неизвестен

[Андрей]

По ГОСТу для п.2-4 много информации в Интернете - почитайте для КриптоПро, например cpdn.cryptopro.ru/content/csp36/html/group___hash_... - для остальных происходит на 98% аналогично Крипто-Про за исключением некоторых нюансов (параметров алгоритмов). Форматы сообщений и сертификатов - совместимы между собой, контейнеров приватных ключей - нет.

Attached/detached - я за Вас выбрать не смогу - Вы должны отталкиваться от постановки Вашей задачи.

[Андрей]

@Vitalya_Ventel А Вам принципиально подписать именно тем ключом, который ОМС ? Может Вам удобнее свой сгенерировать и рядом положить ? На карточку не менее 10 различных комплектов входит

[Андрей]

@Vitalya_Ventel Похоже Ваш полис - это УЭК. Подробно про ее возможности в плане подписи - uecard.ru/for-citizens/what-to-do/faq Соответственно нужен конкретный CSP (КриптоПро УЭК). В момент генерации ключа на УЭК Вам сообщат и ПИН

[vitalyaventel]

@OLS полис имеется и на УЭК и на пластиковом полисе ОМС.

[vitalyaventel]

@OLS конкретная задача такова:
1) Аутентификация данных в БД
2) Подпись данных

Я так полагаю, чтобы провести аутентификацию данных в БД нужно сравнить hash ЭЦП на карте, а для этого расшифровать ЭЦП и hash данных которые в БД, для этого заhashировать эти данные соответствующим алгоритмом.

[Андрей]

Что Вы понимаете под аутентификацией данных ? Может Ваша задача в том, чтобы данные в БД остались неизменными с момента последнего сеанса пользователя ?

[vitalyaventel]

@OLS аутентификация- проверка подлинности данных. В моем случае (полис ОМС) подтверждается, что "Да! Я Петров Петр Петрович и т.д.". А подпись данных это именно то что данные защищены были после последнего сеанса