PHP + ЕЦП, как подписать файл?

Question

[devlocal]

Может кто нибудь сталкивался или знает как можно с помощью PHP подписать загруженный файл с помощью ЕЦП.
И реально ли это такое реализовать ?
Возможно названия каких то библиотек.

Необходимо загрузить на сервер свой ЕЦП потом загрузить файл, который нужно подписать, ну и собственно выполнить подпись файла. С точки зрения безопасности я понимаю что бред, но заказчик так хочет.

Comments

[Александр]

и сюда добавлю ...

Необходимо загрузить на сервер свой ЕЦП потом загрузить файл, который нужно подписать, ну и собственно выполнить подпись файла.

Не понимают люди как это работает, и я не понимаю ))) но постоянно бегаю решая вопросы : "ААА!!! у меня ЭЦП не подписывает!!!"
Грубо:
Да. Грузить на сервер надо, но только открытый ключ, Это - Логин (или поле ключа, например, ИНН). Нажали кнопку войти - Сработал вызов js - Вызвал плагин браузера - вызвал модуль КриптоПро - Вызвал (прочитал) объект который выбрали - Вернул (открытый ключ). Тут у меня пробел в понимании механизма (технологии). --
Совпадает с тем что в базе на сервере - ОК, аутентификация пройдена.

С подписью файлов сложнее. Самый простой - это создать файл sig (подпись). Это что то вроде Хэша. Если файл измениться то sig это покажет. Но производители приложений это учли и в структурах фалов есть место под sig. Например, Модуль подписи pdf, данные sig встраиваются в структуру файла и красиво оформляются в виде прямоугольной печати. Возвращаясь к серверам - ... что то происходит... - модуль КриптоПро получает данные (файл) - создает sig - возвращает sig. Дальше zip-уешь исходный файл и sig.
C pdf появляется лишнее звено -специальный pdf модуль который запускает модуль КриптоПро. Но pdf модуль сразу вставляет куда надо данные и zip не нужен.

Answer 1

[Антон Шаманов]

cpdn.cryptopro.ru/?url=/content/cades/phpcades.html

Comments

[Александр]

Добавлю ...
1. Напросись поработать в бухгалтерии. У многих отчеты отсылают с применением ключей. А также работа с банком. Будет представление как это работает.
2. Серверная лицензия стоит где то 37 500 и это только "КриптоПро CSP" )))
3. Определитесь что за файлы вы хотите подписывать. Это существенно, например, для pdf есть отдельный модуль (22 500 руб). Если нет четкого определения типов файлов подписывают формируя zip файл. Тут если поискать вроде можно найти файлы с электронной подписью.

[Антон Шаманов]

Александр, покупаем лицензию на 1 комп за 5к, покупаем win сервер и получаем свой сервис за 10к

[Ziptar]

Антон Шаманов, Александр,
Зачем win server и серверная лицензия крипто про?
Модуль подписи pdf - это проставление печатного штампика в саму пдфку, нафиг не надо в большинстве случаев.
Файл можно подписать абсолютно любой, вне зависимости от его формата и структуры. Алгоритмам наплевать из какого набора данных вычислять хэш.

[Александр]

Ziptar,

Зачем win server

Конечно сервис можно на Win 7 или Win 10 сделать...

серверная лицензия крипто про?

а вот попытка поставить на Debian или Win 2008 привела к нежеланию принимать ключ - требует серверный )))

Модуль подписи pdf - это ..., нафиг не надо в большинстве случаев.

Если ручками то больше ничего не надо, А ты как службу как запустишь? Напиши мне команду из консоле вставки "штампика".

[Ziptar]

Александр, а, блин; я не сразу понял что надо автору, прошу прощения

Answer 2

[Одиночка Айс]

Россия, Казахстан? В любом случае, без Удостоверяющего Центра вы это не сделаете. Связывайтесь с разработчиками SDK для предоставления библиотек, инструкций и прочего.

Answer 3

[Дмитрий Шицков]

https://www.php.net/manual/ru/function.openssl-sign.php

Answer 4

[PeeX]

Если это внутренняя штука "для себя" и не подразумевается никакого юридически значимого документооборота (например алгоритм RSA) то достаточно php'шного openssl, для какого нибудь ГОСТ нужен северный CSP, который работает с php (пробовал с КриптоПро CSP - работает) и openssl

Если вы не являетесь сотрудником конторы, которая будет потом все это эксплуатировать, то вам для разработки таких вещей (подписание/шифрование) нужно лицензировать свою деятельность, потом сертифицировать то что создадите. Ну и таки да, если это будет обслуживать не одного единственного человека, то передавать ЭЦП вообще плохая идея. Подписывать нужно в браузере

Comments

[devlocal]

Да в том то и проблема что это для гос.учреждения сервис, типа им нужно отправлять подписанные файлы. Типа зашел им на сайт и загрузить файл там и подписать.
Я то понимаю что с точки зрения безопасности бред - загружать туда ЕЦП и там подписывать но ....

Answer 5

[DmitriiMikhailov]

Я разработал и опубликовал библиотеку CryptoProBuilder, которую можно использовать для подписания и других операций - работает через встроенные в криптопро утилиты.
Здесь статья, которая описывает функционал:
https://habr.com/ru/articles/924478/
Здесь пример подписания с визуализацией на Laravel:
https://habr.com/ru/articles/927084/
Все упаковано и загружено на packagist, можно установить через composer.

Можете так же использовать КриптоПро SDK, но для этого придется установить расширение и изучить документацию.