الخلافات مع الجيران 

شهادة الجذر الناعم Lissy. أقسام ويكي

متطلبات النظام

  • خدمة الإنترنت
  • نظام التشغيل: Windows 8، 7، XP SP 3/2
  • المعالج: 1.6 جيجاهرتز أو أعلى
  • ذاكرة الوصول العشوائي: 512 ميجابايت
  • توفر أحد مزودي التشفير المدعومين: CryptoPro CSP 3.6 أو أعلى ، LISSI CSP ، VIPNet CSP ، Signal-COM CSP
  • دقة الشاشة: 800x600 بكسل على الأقل

استخدم مزود تشفير معتمد

لتشغيل برنامج Ekey.Signature ، يعد التواجد في مكان العمل لأداة حماية معلومات التشفير (CIPF) التي تقوم بتشفير المستندات وفقًا لخوارزميات GOST أمرًا إلزاميًا. يمكن استخدام أنظمة CryptoPro CSP التي لا تقل عن 3.6 ، و LISSI CSP ، و VIPNet CSP ، و Signal-COM CSP باعتبارها CIPF.

أدوات حماية المعلومات المشفرة متوافقة مع Ekey.Signature ، لكنها غير متوافقة مع بعضها البعض. يمكن تثبيت CIPF واحد فقط في مكان عمل واحد.

استخدم مضاد فيروسات

قم بتثبيت برنامج مكافحة فيروسات شائع في مكان عملك وقم بتحديثه بانتظام. يحمي برنامج مكافحة الفيروسات من الفيروسات وبرامج التجسس ويزيل معظم تهديدات الأمان بمفرده.

حماية الوصول إلى توقيعك الإلكتروني ومكان عملك بكلمة مرور

باستخدام Ekey.Signature وأدوات الحماية المشفرة ، قم بحماية جهاز الكمبيوتر الخاص بك من الوصول المادي من قبل الغرباء. استخدم الوصول بكلمة مرور.

للوصول إلى التوقيع الإلكتروني ، استخدم كلمة مرور معقدة. كلمة المرور الجيدة هي ضمان أمان لبياناتك. من الطرق الجيدة لتذكر كلمة المرور إدخالها باستمرار عند إجراء عمليات التوقيع الإلكتروني.

مكان رائع لتخزين كلمة المرور الخاصة بك هو ذاكرتك. لا ينصح بتدوين كلمة المرور في أي مكان. لا تقم بتخزين كلمة المرور بجوار حامل التوقيع الإلكتروني الفعلي ، ولا تقم بتخزين كلمة المرور في النظام.

استخدم فقط البرامج المرخصة والمحدثة

بشكل دوري ، يتم تحديث البرامج المثبتة في مكان عملك لتحسين استقرار وأمن عملك.

قم بتثبيت تحديثات البرامج فقط من المواقع الرسمية ، وتحقق من عناوين المواقع والمعلومات حول ناشر البرنامج قبل التثبيت.

تركيب Ekey

1. تنزيل

2. لبدء تثبيت البرنامج ، قم بتشغيل ملف الإعداد. إذا تم تشغيل UAC ، يجب أن تسمح بإجراء تغييرات على برنامج Ekey Transfer.

تحضير الملفات لـ Rosreestr

1. حدد نوع العملية "Rosreestr" في نافذة البرنامج الرئيسية أو في قائمة سياق الملف.


3. أضف تقريرًا باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.
4. انقر فوق الزر "إنشاء".
6. بعد اكتمال العملية ، سيتم حفظ ملف التوقيع في نفس الدليل مثل الملف الأصلي ، ويكون ملف التوقيع المنفصل صالحًا فقط في حالة وجود الملف الأصلي.

تحضير حاوية لـ FFMS لروسيا ، خدمة بنك روسيا ، البنك المركزي

1. حدد نوع المعاملة "FFMS of Russia".

2. حدد شهادة شخصية.

3. أضف تقريرًا بامتداد xtdd أو smcl باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته بالماوس.

5. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

7. لإضافة توقيع ، قم بإرفاق الحاوية التي تم إنشاؤها مسبقًا ، وحدد الشهادة المطلوبة وانقر فوق الزر "إنشاء".

8. لإرسال تقارير إلى بوابة بنك روسيا (FFMS) ، انقر فوق الزر "إضافة" ، في القائمة التي تظهر ، حدد الحاوية المطلوبة مع التقرير وانقر فوق الزر "تحميل إلى البوابة".

وزارة FSIS TP للتنمية الإقليمية لروسيا

1. حدد نوع العملية "FSIS TP".

2. حدد شهادة شخصية.

3. أضف تقريرًا باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.

4. انقر فوق الزر "إنشاء".

5. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

6. في قائمة الحفظ التي تظهر ، حدد موقعًا لحفظ نتيجة العملية.

تسجيل Roskomnadzor (zapret-info.gov.ru)

1. حدد التسجيل Roskomnadzor العملية

2. اختر شهادة شخصية

3. لمعرفة وقت آخر تحديث للسجل ، انقر فوق "وقت آخر تحديث لإلغاء التحميل من التسجيل"

4. لإرسال طلب ، انقر فوق "إرسال الطلب"

املأ الحقول لإنشاء طلب.

5. للحصول على نتيجة معالجة الطلب ، انقر فوق "طلب للحصول على النتيجة"

لإلغاء تحميل السجل تلقائيًا ، يجب عليك تحديد المربع "إلغاء التحميل تلقائيًا" ، وتعيين الفترة المطلوبة للتفريغ وتحديد الدليل لحفظ نتائج التفريغ.

ISED

1. حدد نوع العملية "ISED".

2. أضف تقريرًا باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.

3. حدد شهادات المستلمين

4. انقر فوق الزر "إنشاء".

5. في قائمة الحفظ التي تظهر ، حدد موقعًا لحفظ نتيجة العملية.

توقيع الملف

1. حدد نوع العملية "تسجيل يدوي".

2. حدد شهادة شخصية.

4. حدد خيارات التوقيع المطلوبة.

5. انقر فوق الزر "تسجيل".

6. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

التفسيرات:

احفظ التوقيع في ملف منفصل

عندما يتم تعيين العلم ، سيتم إنشاء توقيع إلكتروني غير مثبتإذا لم يكن العلم موجودًا ، فسيتم إضافة التوقيع إلى نهاية الملف (في هذه الحالة ، سيتم تخزين المستند والتوقيع الإلكتروني معًا)

أرشفة الملفات

هل أحتاج إلى أرشفة الملفات بعد التوقيع

امتداد - امتداد ملف التوقيع الافتراضي هو sig ، يمكنك أيضًا تحديد الامتداد الخاص بك

التشفير - اختر الترميز الذي تحتاجه Der أو Base-64

تعطيل رؤوس الخدمة- إذا تم تحديد ترميز Base-64 (يتم استخدام الرؤوس للتوافق مع جهة خارجية البرمجيات).

تشفير الملفات

1. حدد نوع العملية "تشفير يدويًا".

2. حدد شهادة شخصية.

3. أضف ملفًا باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.

4. حدد خيارات التشفير المطلوبة.

5. إضافة أو تحديد من شهادات المستلمين المتاحة (لمن سيتم تشفير الملف)

6. انقر فوق الزر "تشفير".

7. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

8. في قائمة الحفظ التي تظهر ، حدد موقعًا لحفظ نتيجة العملية. التفسيرات:

التشفير

اختر Der أو Base-64 الترميز الذي تحتاجه

امتداد

الامتداد الذي سيحتوي عليه الملف النهائي (enc افتراضيًا) ، يمكنك أيضًا تحديد الامتداد الخاص بك. تعطيل رؤوس الخدمة - إذا تم تحديد ترميز Base-64 (مطلوب للتوافق مع برامج الجهة الخارجية).

أرشفة الملفات قبل التشفير

إذا كنت بحاجة إلى أرشفة الملفات قبل التشفير ، فحدد المربع المناسب.

إذا قمت بإضافة ملفات متعددة ، فسيتم حزم جميع الملفات في أرشيف واحد.

فك تشفير الملف

1. حدد نوع العملية "فك تشفير".

2. حدد شهادة شخصية.

3. أضف ملفًا باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.

4. انقر فوق الزر "فك تشفير".

5. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

6. في قائمة الحفظ التي تظهر ، حدد موقعًا لحفظ نتيجة العملية.

التحقق من التوقيع

1. لبدء التحقق من التوقيع ، استخدم طريقة التحقق المناسبة لك.

  • عن طريق النقر المزدوج على الملف الذي يحتوي على التوقيع.
  • حدد نوع العملية "تحقق من التوقيع" في القائمة الرئيسية للبرنامج.
  • من خلال قائمة سياق الملف المراد التحقق منه.

2. أضف ملفًا باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.

3. انقر فوق الزر "فحص".

بعد النقر فوق الزر "تحقق" ، تظهر نافذة بها نتيجة التحقق من صحة التوقيع. في ذلك ، يمكنك عرض شجرة التوقيع ، وطباعة نتيجة التحقق ، وفتح الملف المصدر للعرض.

أيضًا ، أثناء الفحص ، يمكنك عرض محتويات الملفات ذات الامتداد: doc xls csv pdf html htm txt xml zip png jpeg jpg bmp gif.

التفسيرات:

قم بإلغاء التوقيع على الملفات

إذا تم إنشاء توقيع مرفق ، فيمكن استخدام هذا الخيار للحصول على ملف مصدر لا يحتوي على أي توقيعات.

أضف التوقيع

1. حدد نوع العملية "إضافة توقيع".

2. حدد شهادة شخصية.

4. انقر فوق الزر "تسجيل".

5. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

6. في قائمة الحفظ التي تظهر ، حدد موقعًا لحفظ نتيجة العملية.

تحقق من التوقيع

1. حدد نوع العملية "شهادة التوقيع".

2. حدد شهادة شخصية.

3. أضف ملف توقيع باستخدام الزر "إرفاق ملف (ملفات)" أو قم بسحب الملف وإفلاته باستخدام الماوس.

4. انقر فوق الزر "تحقق".

5. إذا لزم الأمر ، أدخل كلمة المرور لحاوية المفتاح الخاص

6. في القائمة التي تظهر ، حدد التوقيع الذي تريد المصادقة عليه

7. في قائمة الحفظ التي تظهر ، حدد موقعًا لحفظ نتيجة العملية.

تحديث أوتوماتيكي

عندما يتوفر تحديث ، يظهر نقش مطابق في الزاوية اليمنى العليا من تطبيق Ekey Signature الذي تم إطلاقه. لبدء التحديث ، انقر عليه بزر الفأرة الأيسر.

بعد اكتمال عملية التحديث ، انقر فوق "موافق" في رسالة مفادها أن بعض التغييرات لن تصبح سارية المفعول إلا بعد إعادة التشغيل. انقر فوق الزر "إنهاء". بعد ذلك ، يوصى بإعادة تشغيل الكمبيوتر. إعادة التشغيل مطلوبة أولاً وقبل كل شيء حتى تصبح التحديثات المتعلقة بعمل قائمة سياق Windows نافذة المفعول.

التثبيت التلقائي لشهادات الجذر

إذا لم تكن هناك شهادة جذر في المتجر ، فعند تشغيل تطبيق Ekey Signature ، يتم عرض الخطأ المقابل في سجل المستخدم. في هذه الحالة ، يجب عليك التوقيع على ملف بشهادة شخصية "بها مشكلات". عند تنفيذ عملية التوقيع ، سيظهر مربع حوار يطلب منك تثبيت شهادة الجذر المفقودة. انقر فوق "نعم" لتثبيت شهادة الجذر المفقودة.

المرجع المصدق CAFL63تم إنشاؤها على أساس. يتم استخدام SQLite3 DBMS لتخزين البيانات (الطلبات والشهادات والإعدادات وما إلى ذلك). المرجع المصدق لديه واجهة رسومية تم تطويرها في Tcl / Tk.

تم تطوير CAFL63 CA مع مراعاة المتطلبات قانون اتحادي 6 أبريل 2011 رقم 63-FZ "بشأن التوقيع الإلكتروني" ، وكذلك "متطلبات النموذج شهادة مؤهلةمفتاح للتحقق من التوقيع الإلكتروني "، تمت الموافقة عليه بأمر من دائرة الأمن الفيدرالية الروسية بتاريخ 27 ديسمبر 2011 برقم 795.

يشمل CA مركز التسجيل (CR) ، وهو المسؤول عن تلقي طلبات الحصول على الشهادات من المواطنين. اليوم ، يتم إصدار الشهادات للكيانات القانونية والأفراد ورجال الأعمال الأفراد. يتم قبول الطلبات في في شكل إلكترونيبتنسيق PKCS # 10 أو CSR (طلب توقيع الشهادة) أو SPKAC. لاحظ أن تنسيق CSR هو طلب مشفر PKCS # 10 PEM برأس ----- BEGIN REQUEST CERTIFICATE -----.

الطلب عبارة عن استبيان مكتمل ، والأغراض التي يلزم من أجلها الحصول على شهادة ، والمفتاح العام للمستخدم ، مصادق عليه (موقّع) بالمفتاح الخاص للمستخدم. علاوة على ذلك ، مع حزمة من المستندات التي تثبت ، على وجه الخصوص ، هوية مقدم الطلب ، وبواسطة وسيطة إلكترونية يتم تخزين الطلب عليها (أؤكد أن الطلب ، من الأفضل تخزين المفتاح الخاص في مكان آخر) ، يأتي المواطن إلى CR من CA.

يتحقق السجل التجاري من المستندات والطلب (البيانات المعبأة وصحة التوقيع الإلكتروني وما إلى ذلك) ، وإذا سارت الأمور على ما يرام ، يقبلون الطلب ويوافقون عليه وينقلونه إلى مركز الاعتماد (CA).

في حالة وصول مقدم الطلب دون طلب جاهز ، يذهب مع موظف السجل التجاري إلى مكتب منفصل مكان العملحيث يتم إعداد طلب الشهادة. طلب معد ل اعلام الكتروني، كما ذكرنا سابقًا ، يدخل CR. ما الذي يحتاج مقدم الطلب أن يتذكره هنا؟ أولاً وقبل كل شيء: يجب على مقدم الطلب التقاط الوسائط باستخدام المفتاح الخاص الذي تم إنشاؤه!

يتم إرسال الطلب المعتمد على الوسائط الإلكترونية إلى المرجع المصدق حيث يتم إصدار شهادة على أساسها.

هذا رسم تخطيطي أساسي لعمل جامعة كاليفورنيا. سوف تصبح التفاصيل واضحة أدناه. ملاحظة واحدة ، من أجل تسهيل عرض الأداة المساعدة لإعداد الطلب ، تم دمج CR و CA في مجمع تجريبي واحد. لكن لا توجد مشاكل في فصل الوظائف. أبسط حل هو الحصول على نسخة من CAFL63 في كل مكان عمل واستخدام الوظائف المطلوبة فقط.

عندما كان المشروع على قدم وساق ، لفت انتباهي مشروع SimpleCA. كانت دراسة هذا المشروع مفيدة للغاية في التنفيذ النهائي لـ CAFL63 CA.

قم بتنزيل توزيعة CAFL63 لأنظمة Win32 / Win64 و Linux_x86 / Linux_x86_64.

لذلك ، أطلقنا الأداة المساعدة CAFL63 - تظهر صفحة البداية CAFL63 على الشاشة:

نبدأ العمل بالضغط على زر "إنشاء قاعدة بيانات". يتم إنشاء قاعدة بيانات المرجع المصدق باستخدام نظام إدارة قواعد البيانات عبر النظام الأساسي SQLite3. تحتوي قاعدة بيانات المرجع المصدق على عدة جداول. يحتوي الجدول الرئيسي - mainDB - على إدخال واحد فقط ، والذي يخزن الشهادة الجذر ، ومفتاح خاص مشفر بكلمة مرور ، وإعدادات CA. يوجد جدولان مرتبطان بطلبات الشهادة: reqDB الطلبات الحالية وأرشيف طلبات reqDBArc. تم إنشاء ثلاثة جداول للشهادات: جدول الشهادة الجديد certDBNew وجدول أرشيف الشهادة CertDB وجدول إبطال الشهادة CertDBRev. تستخدم جميع جداول الطلبات والشهادات قيمة التجزئة (sha1) للمفتاح العام كمفتاح أساسي. اتضح أن هذا مناسب جدًا ، على سبيل المثال ، عند البحث عن شهادة عند الطلب أو العكس. يوجد جدول crlDB آخر في قاعدة البيانات ، والذي يخزن قوائم الشهادات الملغاة. وهكذا ، نقرنا على الزر "إنشاء قاعدة بيانات":

يبدأ إنشاء مرجع مصدق باختيار دليل سنخزن فيه قاعدة البيانات وتعيين كلمة مرور للوصول إلى المفتاح الخاص بالمرجع المصدق. بالضغط على مفتاح "التالي" ، ننتقل إلى الصفحة لتحديد نوع ومعلمات زوج المفاتيح لـ CA:

بعد اتخاذ قرار بشأن زوج المفاتيح للشهادة الجذرية للمرجع المصدق الذي يتم إنشاؤه ، نواصل ملء النموذج بمعلومات حول المالك (تخطينا لقطة الشاشة الأولى):

لاحظ أن الأداة المساعدة CAFL63 لها "ذكاء" معين وبالتالي لا تتحكم فقط في وجود البيانات في الحقول ، بل تتحكم أيضًا في صحة (تمييز أحمر - غير صحيح) لملء حقول مثل TIN و OGRN و SNILS و OGRNIP والعنوان البريد الإلكترونيوإلخ.

بعد ملء الحقول بمعلومات حول مالك CA ، سيُطلب منك تحديد إعدادات النظام الخاصة بـ CA:

إذا كنت لن تعمل مع التشفير الروسي ، فيمكنك استخدام OpenSSL العادي. للعمل مع التشفير الروسي ، يجب عليك تحديد الإصدار المناسب ، تعديل OpenSSL. اقرأ ملف README.txt في التوزيع الذي تم تنزيله للحصول على مزيد من التفاصيل. أيضًا ، وفقًا لـ FZ-63 ، يُقترح تعيين معلومات حول شهادة CA نفسها و CIPF المستخدمة من قبلها.

بعد ملء جميع الحقول بشكل صحيح ، سيُطلب منك مرة أخرى التحقق من صلاحيتها والنقر فوق الزر "إنهاء":

بعد النقر فوق الزر "إنهاء" ، سيتم إنشاء قاعدة بيانات CA ، حيث سيتم حفظ ما يلي: شهادة جذر CA ، والمفتاح الخاص ، وإعدادات النظام. وستظهر صفحة بدء الأداة المساعدة CAFL63 مرة أخرى على الشاشة. الآن بعد أن أنشأنا قاعدة بيانات المرجع المصدق (CA) الذي تم إنشاؤه حديثًا ، نضغط على الزر "Open DB" ، ونختار الدليل الذي يحتوي على قاعدة البيانات ، ثم ندخل إلى نافذة العمل الرئيسية لـ CA:

من خلال النقر فوق الزر "View CA CA" ، نتأكد من أن هذه هي شهادة الجذر الخاصة بنا.

تتمثل الخطوة التالية في إعداد قوالب / ملفات تعريف التطبيق للكيانات القانونية والأفراد ورجال الأعمال الفرديين ( أدوات-> إعدادات-> أنواع الشهادات-> جديد ):

بعد تعيين اسم ملف التعريف الجديد ، سيُطلب منك تحديد تكوينه:

بعد إعداد الملفات الشخصية ، تصبح CA جاهزة لاستقبال المتقدمين والطلبات منهم. كما هو مذكور أعلاه ، يمكن لمقدم الطلب أن يأتي مع أو بدون طلب مكتمل للحصول على شهادة.

إذا جاء مقدم الطلب مع طلب مكتمل ، فبعد التحقق من مستنداته ، يتم استيراد الطلب إلى قاعدة بيانات CA. للقيام بذلك ، في نافذة العمل الرئيسية ، حدد علامة التبويب "طلبات الشهادات" ، وانقر فوق الزر "طلب استيراد / CSR" وحدد الملف الذي يحتوي على الطلب. بعد ذلك ، ستظهر نافذة تحتوي على معلومات حول الطلب:

بعد مراجعة الطلب والتأكد من ملئه بشكل صحيح ، يمكنك النقر فوق الزر "استيراد" لإدخاله في قاعدة البيانات. نلاحظ على الفور أنه عند محاولة إعادة إدخال الطلب في قاعدة بيانات المرجع المصدق ، سيتم عرض رسالة:

يتم تمييز الطلبات في قاعدة بيانات CA (عمود "النوع") إما على أنها "لغة" ، أنشأها المرجع المصدق ، أو "استيراد" ، أنشأها مقدم الطلب بنفسه ، ووقت استلام الطلب من قبل المرجع المصدق هو أيضًا مسجل. يمكن أن يكون هذا مفيدًا في التعامل مع حالات الصراع.

إذا جاء مقدم الطلب بدون طلب وطلب إنشائه ، فمن الضروري أولاً اتخاذ قرار ( إعدادات-> أنواع الشهادات-> فردي-> تحرير ) مع نوع زوج المفاتيح ( -> زوج المفاتيح )، لأي سبب ( -> استخدام المفتاح ) الشهادة المطلوبة:

يمكن إنشاء زوج المفاتيح إما عن طريق CIPF "LIRSSL-CSP" (زر OpenSSL) وحفظه في ملف ، أو على رمز PKCS # 11 (زر PKCS # 11). في الحالة الأخيرة ، يجب عليك أيضًا تحديد المكتبة للوصول إلى الرمز المميز (على سبيل المثال ، rtpkcs11ecp لرمز RuToken ECP أو ls11cloud لـ).

بعد تحديد ملف التعريف والنقر فوق الزر "التالي" ، لا يختلف الإجراء الإضافي كثيرًا عن إصدار شهادة جذر. ملاحظة مهمة واحدة: تذكر مكان تخزين المفتاح الخاص وكلمة المرور للوصول إلى المفتاح. إذا تم استخدام رمز مميز / بطاقة ذكية PKCS # 11 باعتباره CIPF لإنشاء زوج مفاتيح ، فيجب توصيله بجهاز كمبيوتر:

يقع التطبيق الذي تم إنشاؤه أو استيراده في قاعدة بيانات CA ويتم عرضه في النافذة الرئيسية في علامة التبويب "طلبات الشهادات". الطلبات المستلمة قيد النظر (عمود "الحالة" في علامتي التبويب "طلبات الشهادات" و "أرشيف الطلبات"). لكل طلب تم استلامه حديثًا ، يجب اتخاذ قرار (قائمة السياق عند النقر بزر الماوس الأيمن فوق الطلب المحدد):

يمكن رفض كل طلب أو الموافقة عليه:


إذا تم رفض الطلب ، يتم نقله من جدول الطلب الحالي لـ reqDB إلى جدول أرشيف طلب reqDBArc ، وبالتالي يختفي من علامة التبويب طلبات الشهادات ويظهر مرة أخرى في علامة التبويب طلب الأرشيف.

يظل التطبيق المعتمد في جدول reqDB وفي علامة تبويب "طلبات الشهادات" حتى يتم إصدار الشهادة ، ثم يدخل أيضًا في الأرشيف.

يختلف إجراء إصدار الشهادة ، عنصر القائمة "إصدار شهادة") قليلاً عن إجراء إنشاء التطبيق:

تظهر الشهادة التي تم إصدارها على الفور في علامة التبويب "الشهادات". في هذه الحالة ، تدخل الشهادة نفسها في جدول certDBNew لقاعدة بيانات CA وتبقى هناك حتى يتم نشرها. تعتبر الشهادة منشورة بعد تصديرها إلى تفريغ SQL للشهادات الجديدة ، والتي يتم نقلها إلى خدمة عامة. يؤدي نشر شهادة إلى نقلها من جدول certDBNew إلى جدول certDB.

إذا ضغطت على زر الفأرة الأيمن على السطر المحدد في علامة التبويب "الشهادات" ، فستظهر قائمة بالوظائف التالية:

إذا تم إنشاء الطلب في المرجع المصدق باستخدام المفتاح الذي تم إنشاؤه وحفظه في ملف ، فأنت بحاجة إلى إنشاء حاوية PKCS # 12 وإرسالها إلى مقدم الطلب:

يجب الانتباه إلى "الاسم المألوف" - يجب تخطي الاقتباسات الموجودة فيه:

بعد إنشاء الحاوية الآمنة PKCS # 12 ، يتم إتلاف ملف المفتاح الخاص لمقدم الطلب.

لذلك ، بدأت CA حياتها ، وأصدرت الشهادة الأولى. تتمثل إحدى مهام CA في تنظيم الوصول المجاني إلى الشهادات الصادرة. نشر الشهادات ، كقاعدة عامة ، يمر عبر خدمات الويب. يحتوي CAFL63 أيضًا على مثل هذه الخدمة:

لنشر الشهادات وقوائم الشهادات الملغاة على خدمة عامة ، يقوم المرجع المصدق (CA) إما بتحميل الشهادات بشكل مبدئي إلى الملفات (الشهادات-> شهادات التصدير) ، أو إجراء تفريغ SQL لجدول الشهادات بالكامل ، والذي يمكنك من خلاله إنشاء قاعدة بيانات للشهادات وتحميل قائمة الشهادات فيه ، ثم إجراء تفريغ SQL للشهادات الجديدة ، والتي سيتم إضافتها منها إلى قاعدة بيانات الخدمة العامة:

تتمثل الوظيفة الأساسية لسلطة الجمارك في نشر قائمة الشهادات الملغاة ، على غرار ما تفعله وزارة الشؤون الداخلية فيما يتعلق بجوازات السفر منتهية الصلاحية. يمكن إلغاء الشهادة بناءً على طلب المالك. السبب الرئيسي للإلغاء هو فقدان المفتاح الخاص أو فقدان الثقة فيه.

لإلغاء شهادة ، ما عليك سوى تحديدها في علامة التبويب "الشهادات" ، والنقر بزر الماوس الأيمن وتحديد عنصر القائمة "إبطال الشهادة":

إجراء الإلغاء هو نفسه لإنشاء طلب أو إصدار شهادة. تدخل الشهادة المبطلة جدول cerDBRev لقاعدة بيانات المرجع المصدق وتظهر في علامة تبويب الشهادات الملغاة.

يبقى النظر في الوظيفة الأخيرة لـ CA - إصدار CRL - قائمة الشهادات الملغاة. يتم إنشاء قائمة CRL في علامة التبويب "الشهادات الملغاة" بالنقر فوق الزر "إنشاء COS / CRL". كل ما هو مطلوب هنا من المسؤول هو إدخال كلمة مرور المرجع المصدق وتأكيد نيته في إصدار CRL:

ينتقل CRL الذي تم إصداره إلى جدول crlDB لقاعدة البيانات ويتم عرضه في علامة التبويب CRL / COS. لعرض قائمة إلغاء الشهادات أو تصديرها بغرض النشر على خدمة عامة ، يجب ، كما هو الحال دائمًا ، تحديد السطر المطلوب ، والضغط على زر الماوس الأيمن وتحديد عنصر القائمة:

تنزيل توزيعة CAFL63للأنظمة الأساسية Win32 / Win64 ، Linux_x86 / Linux_x86_64. علاوة على ذلك ، يعمل كل شيء بنجاح على نظام Android الأساسي.

القراء مدعوون إلى عمل بحثي، تم خلالها تحديد عدد من المشكلات المتعلقة باستخدام أدوات التوقيع الرقمي التي تنشأ لمستخدمي Linux. على وجه الخصوص ، تم العثور على النقاط التالية غير الواضحة تمامًا:

  • القدرة على الحصول على شهادة شخصية إلكترونية واستخدامها توقيع إلكترونيللوصول إلى الخدمات العامة اليوم يتم توفيرها فقط مقابل رسوم من قبل المنظمات التجارية ؛
  • قد تكون شركات نقل بيانات التوقيع الإلكتروني الصادرة للمستخدمين النهائيين من قبل منظمات مرخصة مختلفة غير متوافقة مع بعضها البعض ومع البوابات التي توفر الوصول إلى الخدمات ، بما في ذلك الخدمات العامة ؛
  • ينخفض ​​مستوى أمان ناقلات بيانات التوقيع الإلكتروني التي تصدر على نطاق واسع للمستخدمين النهائيين ، كقاعدة عامة ، بشكل كبير فيما يتعلق بالمستوى التكنولوجي المتاح اليوم ؛
  • بالنسبة لغالبية مستخدمي نظام التشغيل من سجل البرامج المحلية ، فإن آليات EDS على بوابة الخدمات العامة الموحدة غير متاحة بسبب عدم توافق برنامج EPGU وبرامج المنظمات المعتمدة التي تصدر شهادات التوقيع الإلكتروني الشخصية ؛
  • في بعض الحالات يقدم مطورو البوابات الخدمات العامة، نوصي باستخدام أنظمة تشغيل غير مدرجة في السجل ، بالإضافة إلى أدوات البرامج والتكوينات التي تقلل عن عمد أمان بيانات المستخدم.

يتوقع مؤلفو العمل أن النتائج التي تم الحصول عليها ستكون مفيدة لمستخدمي الحلول التي تستخدم آليات EDS ، والمتكاملون الذين ينفذون الحلول المقابلة ، وستؤخذ في الاعتبار أيضًا المنظمات المسؤولة عن توفير خدمات المعلومات العامة وتنفيذ آليات البنية التحتية المحددة لـ EDS ، بالإضافة إلى مطوري البرامج والأجهزة المقابلة.

عن ماذا يتكلم

تم تخصيص المقالة لدعم التوقيع الرقمي الإلكتروني (EDS) للمستندات في نظام التشغيل ALT ، بالإضافة إلى تفاصيل استخدام EDS في الاتحاد الروسي.

تتمثل المهمة الرئيسية في فهم ما يجب على "المستخدم العادي" ™ القيام به - بغض النظر عما إذا كان فردًا أو كيانًا قانونيًا - يعمل على أساس مشترك ، من أجل الاستخدام الكامل لإمكانيات منصات التداول الإلكترونية وبوابات الخدمات العامة أثناء العمل في نظام التشغيل من سجل البرامج المحلية. يعني "الاستخدام الكامل" ، أولاً وقبل كل شيء ، إمكانية المصادقة على الموقع المقابل باستخدام شهادة موضوعة على وسيط مادي منفصل ، وإمكانية التوقيع الإلكتروني للمستندات التي تم إنشاؤها في واجهة الموقع.

تم بالفعل تنفيذ عدد من الأعمال البحثية حول هذا الموضوع ، وكانت نتيجة ذلك الاستنتاج ، من حيث المبدأ ، أن كل شيء يعمل. من المهم أن نفهم هنا أن معظم دراسات التوافق مع بوابات خدمات الدولة في الاتحاد الروسي لأدوات التشفير الحديثة التي تعمل في ظل نظام التشغيل Linux قد تم إجراؤها في ظروف معملية. على سبيل المثال ، إذا كانت هناك اتفاقيات خاصة بين الباحث وسلطة التصديق التي تصدر الشهادة. لسوء الحظ ، بناءً على نتائج هذا العمل ، من الصعب الحكم على القدرات الحقيقية للأشخاص الذين يتصرفون على أساس مشترك.

كيف يعمل كل شيء

لدخول الموقع دون إدخال اسم المستخدم وكلمة المرور ، ولكن ببساطة عن طريق توصيل رمز مميز للأجهزة بموصل USB ، من الضروري أن تعمل حزمة البرامج المتخصصة بشكل صحيح في نظام التشغيل: دعم الأجهزة المادية وخوارزميات التشفير وواجهات البرامج وتنسيقات وبروتوكولات الاتصال. في الوقت نفسه ، يجب أيضًا ضمان توافق خوارزميات وتنسيقات وبروتوكولات التشفير خارج نطاق مسؤولية نظام التشغيل - في سلطة التصديق التي تصدر الشهادة ، وفي الموقع الذي من الضروري تقديمه إليه التمكن من.

وإذا كنا نتحدث عن مواقع الويب للهيئات الحكومية ، فمن الضروري أيضًا أن تكون العملات المشفرة المستخدمة معتمدة للاستخدام المناسب في الاتحاد الروسي.

الآليات الأساسية

تعتمد تقنية EDS ، المستخدمة رسميًا في الاتحاد الروسي ، على البنية التحتية للمفتاح العام. دعنا نلقي نظرة على كيفية عملها بمثال.

من أجل الوضوح ، دعنا نفكر في آلية عمل الخوارزميات العالمية المناسبة لكل من التوقيع الإلكتروني والتشفير. تتضمن هذه الخوارزميات ، من بين أشياء أخرى ، معيار RSA للإنترنت و GOST R 34.10-94 الروسي ، الذي كان ساريًا في الاتحاد الروسي كمعيار توقيع إلكتروني حتى عام 2001. خوارزميات EDS الأكثر حداثة ، والتي تشمل ، من بين أشياء أخرى ، GOST R 34.10-2001 و GOST R 34.10-2012 ، كقاعدة عامة ، متخصصة. إنها مخصصة حصريًا لتوقيع المستندات ، وليست مناسبة للتشفير. من الناحية الفنية ، فإن الاختلاف بين الخوارزميات المتخصصة هو أن التجزئة في حالتهم غير مشفرة. بدلاً من تشفيره ، يتم إجراء عمليات حسابية أخرى عليه أيضًا باستخدام المفتاح الخاص ، ويتم تخزين النتيجة كتوقيع. عند التحقق من التوقيع ، يتم إجراء الحسابات التكميلية المقابلة باستخدام المفتاح العمومي. يعد فقدان العالمية في هذه الحالة دفعة مقابل قوة تشفير أعلى. ربما يكون المثال أدناه باستخدام خوارزمية عالمية أقل صلة بقليل ، ولكن ربما يكون أكثر قابلية للفهم لقارئ غير مستعد.

توقيع الوثيقة

لذلك ، لتشكيل توقيع إلكتروني في البنية التحتية للمفتاح العام ، يتم استخدام مخطط تشفير غير متماثل ، والذي يتميز باستخدام زوج من المفاتيح. ما يتم تشفيره بواسطة أحد هذه المفاتيح لا يمكن فك تشفيره إلا عن طريق المفتاح الآخر للزوج. يُطلق على أحد مفاتيح الزوج اسم سري ، أو خاص ، ويتم الاحتفاظ به سريًا قدر الإمكان ، ويُطلق على الآخر اسم عام ، أو مفتوح ، ويتم توزيعه مجانًا - كقاعدة عامة ، كجزء من الشهادة. بالإضافة إلى المفتاح ، تتضمن شهادة التوقيع الإلكتروني معلومات حول مالك الشهادة ، بالإضافة إلى توقيع المفتاح ، بالإضافة إلى معلومات حول المالك ، تم إجراؤها بواسطة جهة موثوقة. وبالتالي ، تحتوي الشهادة بالفعل على توقيع إلكتروني يؤكد أن المعلومات المتعلقة بالمالك تتوافق مع زوج المفاتيح الخاص به.

من الناحية التنظيمية ، يتم تنفيذ هذا التوقيع بواسطة المرجع المصدق (CA) - كيان قانوني A الذي تم تفويضه بصلاحية إنشاء والتحقق من أن المالك والمفتاح المطابق. يتم تحديد الامتثال بعد تقديم المستندات الورقية ، ويتم تأكيده بدقة من خلال التوقيع الإلكتروني ، وهو أمر مناسب للنظر فيه فقط من خلال مثال صنع الشهادة.

يحتوي المرجع المصدق لتوقيع شهادات العميل أيضًا على زوج من المفاتيح. يتم دمج المعلومات المؤكدة حول مالك الشهادة في شكل جدول مصمم خصيصًا في مستند واحد مع مفتاحه العام. هذه الوثيقة تمر بعد ذلك من خلال تحولين. أولاً ، تقوم وظيفة التجزئة بتحويل المستند إلى تسلسل فريد من الأحرف ذات الطول الثابت (التجزئة). بعد ذلك ، يتم تشفير التجزئة الناتجة باستخدام المفتاح الخاص للمرجع المصدق. نتيجة التشفير هو التوقيع الإلكتروني الفعلي. وهي مرفقة بالمستند الموقع وفي هذه الحالة معلومات عن المستخدم ومفتاحه وتوزع معه. كل هذا معًا - مستند يحتوي على معلومات حول المستخدم ومفتاحه العام ، بالإضافة إلى توقيع هذا المستند بالمفتاح العام لـ CA ، يتم إعداده بطريقة خاصة ويسمى شهادة المستخدم.

تمامًا كما في حالة بيانات المستخدم كجزء من الشهادة ، يتم إصدار توقيع إلكتروني لأي مستند آخر. على سبيل المثال ، ملف مع تطبيق لخدمة ما. يتم تجزئة الملف ، ويتم تشفير التجزئة الناتجة باستخدام المفتاح السري للمستخدم وإرفاقها بالمستند. والنتيجة هي وثيقة موقعة.

التحقق من التوقيع

كما هو الحال عادةً مع التشفير غير المتماثل ، لا يمكن فك تشفير ما يتم تشفيره بمفتاح واحد إلا عن طريق المفتاح الآخر للزوج. لذلك ، في حالة الشهادة ، يمكن فك تشفير التجزئة المشفرة لمستند يحتوي على المفتاح العام للمستخدم والمعلومات التي تم التحقق منها حول المستخدم باستخدام المفتاح العام لسلطة التصديق ، والذي يتم توزيعه مجانًا كجزء من شهادة المرجع المصدق. وبالتالي ، سيتمكن أي شخص يتلقى شهادة CA من الحصول على التجزئة التي تم فك تشفيرها من شهادة المستخدم. نظرًا لأن وظيفة التجزئة تنتج نتيجة فريدة ، فمن خلال تطبيقها على مستند يحتوي على المفتاح العام للمستخدم ومعلومات عنه ، يمكنك التحقق مما إذا كانت هاتان التجزئةتان متطابقتان. إذا كان الأمر كذلك ، فلدينا نفس المستند الذي تم توقيعه بواسطة مركز الشهادات ، ويمكن الوثوق بالمعلومات الواردة فيه. إذا لم يكن الأمر كذلك ، فإن التوقيع لا يتطابق مع المستند ، ولدينا مزيف.

الموقف مع التحقق من شهادة CA هو نفسه تمامًا - يتم توقيعه أيضًا بواسطة بعض المفاتيح. نتيجة لذلك ، تنتهي سلسلة الشهادات الموقعة بشهادة "جذر" موقعة ذاتيًا. تسمى هذه الشهادة موقعة ذاتيًا. بالنسبة لمراكز التصديق المعتمدة رسميًا في الاتحاد الروسي ، فإن الشهادة الأساسية هي شهادة مركز الاعتماد الرئيسي بوزارة الاتصالات والإعلام الجماهيري.

بالإضافة إلى معلومات حول المستخدم ومفتاحه العام ، تحتوي الشهادة على بعض البيانات الإضافية - على وجه الخصوص ، فترة صلاحية الشهادة. إذا انتهت صلاحية شهادة واحدة على الأقل في السلسلة ، يعتبر التوقيع غير صالح.

أيضًا ، سيعتبر التوقيع غير صالح إذا ألغى المرجع المصدق شهادة العميل. تعد القدرة على إبطال شهادة مفيدة ، على سبيل المثال ، في المواقف التي يتم فيها تسريب المفتاح السري. يعتبر القياس مع الاتصال بالبنك في حالة فقدان البطاقة المصرفية مناسبًا.

خدمات مراكز التصديق

لذلك ، يؤكد مركز التصديق بتوقيعه على مراسلات مفتاح عام معين مع مجموعة معينة من السجلات. من الناحية النظرية ، فإن تكاليف CA لتوقيع شهادة واحدة تقترب من الصفر: التوقيع نفسه هو عملية حسابية مؤتمتة جيدًا وليست مكلفة للغاية على المعدات الحديثة. في الوقت نفسه ، يتم دفع خدمات UC. ولكن ، على عكس المراجع المصدقة (CA) التي تصدر شهادات لمواقع الويب ، فإن الأموال هنا لا تُجنى بالكامل من فراغ.

المكون الأول لتكلفة الشهادة هو التكاليف العامة لخدمة CA معتمد. وهذا يشمل: تكلفة شهادة CA ، والتي يتم دفعها أيضًا ، وتكلفة ترخيص البرنامج المعتمد ، وتكلفة ضمان الإجراءات التنظيمية لحماية البيانات الشخصية ، وما إلى ذلك. هذه هي الطريقة التي يتم بها تحديد تكلفة الشهادة الشخصية ، على سبيل المثال فرد. مما يجعل من الممكن توقيع الملفات والوثائق المحلية على مواقع الخدمة العامة ورسائل البريد.

يظهر المكون الثاني لتكلفة الشهادة عندما يريد المستخدم استخدام شهادته ، على سبيل المثال ، للعمل على منصات التداول الإلكترونية. وفقًا للوائح الحالية ، يقوم موقع منصة التداول الإلكترونية بمصادقة العميل في حالة استيفاء شرطين بالفعل: أولاً ، بالطبع ، إذا لم تنته الشهادة ، لم يتم إلغاء الشهادة وتوقيعها صالحًا. وثانياً ، إذا كانت الشهادة تنص بوضوح على أنها مصممة للعمل في موقع معين. يبدو الإدخال لهذا الإدخال كإدخال عادي في نفس الجدول الذي يخزن بقية بيانات الشهادة. لكل إدخال من هذا القبيل في كل شهادة مستخدم ، يعطي مركز الشهادات مبلغًا معينًا. الذي يسعى للتعويض على نفقة صاحب الشهادة. لذلك ، فإن الشهادات التي تسمح بالدخول إلى منصات التداول الإلكترونية تكون أكثر تكلفة.

التهديدات والهجمات

على عكس التشفير ، في حالة التوقيع الإلكتروني ، لا تتمثل المهمة الرئيسية للمهاجم في الحصول على النص الذي تم فك تشفيره ، ولكن القدرة على تزوير أو إنتاج توقيع إلكتروني لمستند تعسفي. هذا ، نسبيًا ، ليس لفك التشفير ، ولكن للتشفير. مشروطًا - لأن خوارزميات التوقيع الرقمي المتخصصة الحديثة ، كما ذكرنا سابقًا ، لا تقوم بتشفير تجزئة المستند ، ولكنها تؤدي عمليات حسابية متشابهة في المعنى ، ولكنها مختلفة تقنيًا.

وفقًا للمعايير المعتمدة في الاتحاد الروسي ، عند توقيع المستندات إلكترونيًا ، يتم استخدام خوارزميات التشفير التي تتوافق مع معيار الدولة RF (GOST R). في وقت كتابة هذا النص (النصف الثاني من عام 2016) ، بالنسبة لأي من الخوارزميات المتعلقة بـ EDS والتي لها حالة معيار في الاتحاد الروسي ، فإن طرق الهجوم غير معروفة والتي تختلف اختلافًا كبيرًا في كثافة اليد العاملة عن التعداد البسيط. في الممارسة العملية ، هذا يعني أنه من الأسهل على المهاجم ، الذي يكون مستوى وصوله إلى موارد الحوسبة أقل من مستوى حالة كبيرة ، أن يحاول سرقة المفتاح بدلاً من اختراق الخوارزمية وتزوير توقيع.

وبالتالي ، في حالة التوقيع الإلكتروني ، تهدف نواقل الهجوم الرئيسية إلى الحصول على المفتاح السري من قبل المهاجم. إذا تم تخزين المفتاح في ملف على قرص ، فيمكن سرقته في أي وقت بالحصول على حق الوصول المناسب للقراءة. على سبيل المثال ، بمساعدة فيروس. إذا تم تخزين المفتاح في شكل مشفر ، فيمكن الحصول عليه في وقت تقديم الطلب - على سبيل المثال ، عندما يقوم البرنامج الذي يقوم بالتوقيع الإلكتروني بفك تشفير المفتاح بالفعل ومعالجة البيانات به. في هذه الحالة ، تصبح المهمة أكثر تعقيدًا - تحتاج إلى العثور على ثغرة أمنية في البرنامج ، أو سيكون عليك فك تشفير المفتاح بنفسك. على الرغم من التعقيد الكبير للمهمة ، إلا أنها لا تزال حقيقية تمامًا. بالنسبة للمتخصصين في المجال ذي الصلة ، فهو ينتمي إلى فئة الروتين.

من الممكن تعقيد مهمة الحصول على مفتاح سري من قبل المهاجم بشكل أكثر أهمية عن طريق وضع المفتاح السري على وسيط جهاز منفصل بحيث لا يترك المفتاح حدود هذا الجهاز المادي أبدًا. في هذه الحالة ، لا يمكن للمهاجم الوصول إلى المفتاح إلا من خلال سرقة الجهاز المادي. سيكون فقدان الجهاز إشارة للمالك بأن المفتاح قد سُرق. في أي حالة أخرى - وهذا هو أهم فارق بسيط - قد تمر سرقة المفتاح دون أن يلاحظها أحد ، ولن يكتشف صاحب المفتاح في الوقت المناسب أنه من الضروري الاتصال بشكل عاجل بالمرجع المصدق وإلغاء صلاحية شهادته .

هنا مرة أخرى ، القياس مع بطاقة مصرفية، وهي أداة مصادقة للوصول إلى حساب مصرفي. بينما هي مع المالك ، كان هادئًا. في حالة فقدان البطاقة ، يتعين عليك حظرها على الفور. في هذه الحالة ، لا تتمثل مهمة المهاجم في سرقة البطاقة ، ولكن في عمل نسخة منها بشكل سري حتى لا يمنع المالك الوصول. بالنسبة إلى الرموز المميزة للأجهزة الحديثة ، فإن طرق الاستنساخ غير معروفة حاليًا.

الرموز

في الوقت الحالي ، يعتبر المصطلح المقبول عمومًا للأجهزة المادية الفردية المستخدمة لتخزين مفاتيح التوقيع الإلكتروني هو رمز مميز. يمكن توصيل الرموز بجهاز كمبيوتر عبر USB أو Bluetooth أو من خلال أجهزة قراءة خاصة. تستخدم معظم الرموز المميزة الحديثة واجهة USB. لكن الاختلاف الرئيسي بين أنواع الرموز ليس في واجهة الاتصال. يمكن تقسيم الرموز إلى نوعين - تلك التي تستخدم بالفعل كمخزن مفاتيح ، وتلك التي "يمكنها" إجراء عمليات التشفير بمفردها.

تختلف الرموز من النوع الأول عن محركات الأقراص المحمولة العادية في جوهرها فقط حيث يمكن قراءة البيانات منها فقط بمساعدة برنامج خاص. بخلاف ذلك ، يعد هذا تخزينًا خارجيًا منتظمًا للبيانات ، وإذا قمنا بتخزين مفتاح سري فيه ، فيمكن لأي شخص يحصل على حقوق الوصول إلى الجهاز ويعرف كيفية قراءة المفتاح منه أن يسرقه. تسمى هذه الرموز المميزة برمجيات ولا تقدم عمليًا أي مزايا مقارنة بتخزين المفتاح على قرص كمبيوتر - كما لا يستطيع مالك المفتاح التأكد من أنه يعرف جميع الأماكن التي يتم فيها تخزين مفتاحه السري.

تسمى الرموز من النوع الثاني الرموز المميزة للأجهزة ، والفرق الرئيسي بينها هو أن المفتاح السري غير قابل للاسترداد - ولا يترك حدود الرمز المميز أبدًا. للقيام بذلك ، يتم وضع مجموعة خاصة من البرامج على الرمز المميز ، والذي يتم تنشيطه عند توصيل الرمز المميز بالكمبيوتر. في الواقع ، هذا الرمز هو جهاز حوسبة مستقل مع معالج خاص به وذاكرة وتطبيقات تتصل بجهاز كمبيوتر.

لا يترك المفتاح السري أبدًا رمز الجهاز لأنه يتم إنشاؤه مباشرة على الرمز نفسه. لتوقيع مستند ، يتم تحميل تجزئة المستند في الرمز المميز ، ويتم إجراء الحسابات مباشرة "على متن" الرمز المميز باستخدام المفتاح السري المخزن هناك ، ويتم تحميل التوقيع النهائي مرة أخرى. وبالتالي ، بمعرفة موقع الرمز المميز ، فإننا نعرف دائمًا مكان المفتاح السري.

إحدى الخصائص الرئيسية للرمز المميز للأجهزة هي مجموعة خوارزميات التشفير المدعومة. على سبيل المثال ، إذا أردنا استخدام رمز مميز للأجهزة للمصادقة على جهاز الكمبيوتر المنزلي الخاص بنا ، فإن أي رمز مميز حديث سيفي بالغرض. وإذا أردنا المصادقة على بوابة خدمات الدولة ، فنحن بحاجة إلى رمز يدعم خوارزميات التشفير المعتمدة في روسيا.

فيما يلي قوائم بآليات التشفير المدعومة لرموز eToken و JaCarta GOST. لطلب قائمة الآليات ، تم استخدام الأداة المساعدة المفتوحة pkcs11 مع المعلمة "-M" (من كلمة "آلية") ، والتي يمكن أن تعمل كتطبيق عميل لأي مكتبة تنفذ واجهة PKCS # 11 في اتجاه. يتم استخدام libeToken.so و libjcPKCS11.so.1 كمكتبات PKCS # 11 لـ eToken و JaCarta ، على التوالي. يتم توزيع مكتبة eToken كجزء من برنامج SafeNet ، ومكتبة JaCarta متاحة للتنزيل من موقع Aladdin R.D.

$ pkcs11-tool --module /usr/local/lib64/libeToken.so.9.1.7 -M الآليات المدعومة: DES-MAC ، keySize = (8،8) ، التوقيع ، التحقق من DES-MAC-GENERAL ، keySize = ( 8،8) ، قم بالتوقيع ، التحقق من DES3-MAC ، keySize = (24،24) ، التوقيع ، التحقق من DES3-MAC-GENERAL ، حجم المفتاح = (24،24) ، التوقيع ، التحقق من AES-MAC ، حجم المفتاح = (16،32) ) ، التوقيع ، التحقق من AES-MAC-GENERAL ، keySize = (16،32) ، التوقيع ، التحقق من RC4 ، keySize = (8،2048) ، التشفير ، فك تشفير DES-ECB ، keySize = (8،8) ، التشفير ، فك التشفير ، لف ، فك ، DES-CBC ، keySize = (8،8) ، تشفير ، فك ، لف ، فك ، DES-CBC-PAD ، keySize = (8،8) ، تشفير ، فك تشفير ، لف ، فك ، DES3-ECB ، keySize = (24،24)، hw، encrypt، decrypt، wrap، unsrap، DES3-CBC، keySize = (24،24)، hw، encrypt، decrypt، wrap، unsrap DES3-CBC-PAD، keySize = (24،24)، hw، encrypt، decrypt، wrap، unlock AES-ECB، keySize = (16،32)، encrypt، decrypt، wrap، unsrap AES-CBC، keySize = (16،32)، encrypt، decrypt، wrap، unsrap AES-CBC -PAD، keySize = (16،32)، encrypt، decrypt، wrap، unrap mechtype-0x1086، keySize = (16،32)، encrypt، decrypt، wrap، unsrap mec htype-0x1088، keySize = (16،32)، encrypt، decrypt، wrap، unlock RSA-PKCS-KEY-PAIR-GEN، keySize = (1024،2048)، hw، create_key_pair RSA-PKCS، keySize = (1024،2048) )، hw، encrypt، decrypt، sign، sign_recover، check، check_recover، wrap، unlock RSA-PKCS-OAEP، keySize = (1024،2048)، hw، encrypt، decrypt، wrap، unsrap RSA-PKCS-PSS، keySize = (1024،2048)، hw، وقع، تحقق من SHA1-RSA-PKCS-PSS، keySize = (1024،2048)، hw، sign، check mechtype-0x43، keySize = (1024،2048)، hw، sign، check mechtype -0x44، keySize = (1024،2048)، hw، sign، check mechtype-0x45، keySize = (1024،2048)، hw، sign، check RSA-X-509، keySize = (1024،2048)، hw، encrypt ، فك التشفير ، التوقيع ، التوقيع ، الاسترداد ، التحقق ، التحقق من الاسترداد ، الالتفاف ، إلغاء الالتفاف ، التحقق من SHA256-RSA-PKCS ، keySize = (1024،2048) ، hw ، التوقيع ، التحقق من SHA384-RSA-PKCS ، keySize = (1024،2048) ، hw ، وقع ، تحقق من SHA512-RSA-PKCS ، keySize = (1024 ، 2048) ، hw ، التوقيع ، التحقق من RC4-KEY-GEN ، keySize = (8،204 8) ، إنشاء DES-KEY-GEN ، keySize = (8،8) ، إنشاء DES2-KEY-GEN ، keySize = (16،16) ، إنشاء DES3-KEY-GEN ، keySize = (24،24) ، إنشاء AES -KEY-GEN، keySize = (16،32)، قم بإنشاء PBE-SHA1-RC4-128، keySize = (128،128)، قم بإنشاء PBE-SHA1-RC4-40، keySize = (40،40)، قم بإنشاء PBE-SHA1- DES3-EDE-CBC ، keySize = (24،24) ، توليد PBE-SHA1-DES2-EDE-CBC ، keySize = (16،16) ، إنشاء GENERIC-SECRET-KEY-GEN ، keySize = (8،2048) ، hw ، إنشاء PBA-SHA1-WITH-SHA1-HMAC ، keySize = (160،160) ، hw ، إنشاء PBE-MD5-DES-CBC ، keySize = (8،8) ، إنشاء PKCS5-PBKD2 ، إنشاء MD5-HMAC-GENERAL ، keySize = (8،2048) ، وقع ، تحقق من MD5-HMAC ، keySize = (8،2048) ، وقع ، تحقق من SHA-1-HMAC-GENERAL ، keySize = (8،2048) ، وقع ، تحقق من SHA-1-HMAC ، keySize = (8،2048)، وقع، تحقق من mechtype-0x252، keySize = (8،2048)، وقع، تحقق من mechtype-0x251، keySize = (8،2048)، sign، check mechtype-0x262، keySize = (8 ، 2048) ، التوقيع ، التحقق من mechtype-0x261 ، keySize = (8،2048) ، التوقيع ، التحقق من mechtype-0x272 ، keySize = (8،2048) ، التوقيع ، التحقق من mechtype-0x271 ، keySize = (8،2 048) ، قم بالتوقيع ، والتحقق من MD5 ، وهضم SHA-1 ، وهضم SHA256 ، وهضم SHA384 ، وهضم SHA512 ، وهضم mechtype-0x80006001 ، و keySize = (24،24) ، وإنشاء $ pkcs11-tool --module / usr / local / lib64 / libjcPKCS11.so. 1 -M الآليات المدعومة: GOSTR3410-KEY-PAIR-GEN ، hw ، create_key_pair GOSTR3410 ، hw ، تسجيل ، تحقق من GOSTR3410-WITH-GOSTR3411 ، hw ، تسجيل ، تحقق من mechtype-0x1204 ، hw ، اشتقاق GOSTR3411 ، hw ، هضم mechtype-0x1220 ، إنشاء mechtype-0xC4321101 mechtype-0xC4321102 mechtype-0xC4321103 mechtype-0xC4321104 mechtype-0xC4900001

يمكن ملاحظة أن قائمة الآليات المدعومة لـ eToken طويلة جدًا ، ولكنها لا تتضمن خوارزميات GOST. تتضمن قائمة آليات JaCarta المدعومة خوارزميات GOST فقط ، ولكن بالمقدار الضروري لتنفيذ وظيفة EDS على رمز الجهاز.

من المهم أن نفهم أن الرموز المميزة للأجهزة الحديثة يمكن استخدامها بشكل عام كرموز للبرامج أيضًا. أي أن لديهم مساحة صغيرة من الذاكرة يمكن الوصول إليها من الخارج ، والتي ، إذا رغبت في ذلك ، يمكن استخدامها لتسجيل وتخزين مفتاح سري تم إنشاؤه خارجيًا. من الناحية التكنولوجية ، هذا لا معنى له ، ولكن في الواقع ، يتم استخدام هذه الطريقة ، للأسف ، على نطاق واسع. لسوء الحظ ، لأنه غالبًا ما لا يعرف مالك الرمز المميز أن رمز الجهاز الحديث الخاص به ، والذي تم شراؤه بصدق بدون رسوم رمزية ، يتم استخدامه كبرنامج واحد.

تتضمن أمثلة الرموز المميزة للبرامج حصريًا Rutoken S و Rutoken Lite. كأمثلة على الرموز المميزة للأجهزة التي لا تدعم خوارزميات التشفير المعتمدة في روسيا ، هناك أجهزة "eToken" ؛ لدعم التشفير الروسي - "Rutoken EDS" ، "JaCarta GOST".

موفرو التشفير

يُطلق على البرنامج الذي يوفر للمشغل إمكانية الوصول إلى وظائف التشفير - التوقيع الإلكتروني ، والتشفير ، وفك التشفير ، والتجزئة - مزود التشفير ، وهو مزود وظائف التشفير. في حالة الرمز المميز للأجهزة ، يتم تنفيذ موفر التشفير مباشرة على الرمز المميز ، في حالة رمز البرنامج أو في حالة تخزين المفاتيح على قرص كمبيوتر ، يتم تنفيذه كتطبيق مستخدم مشترك.

من وجهة نظر أمان بيانات المستخدم ، يتم توجيه أحد نواقل الهجوم الرئيسية إلى مزود التشفير - يتم فك تشفير المفتاح السري في ذاكرة مزود التشفير. في حالة حدوث هجوم ناجح ، سيتمكن المهاجم من استبدال رمز التطبيق برمزه وعمل نسخة من المفتاح السري ، حتى إذا كان المفتاح مخزّنًا بشكل طبيعي في شكل مشفر. لذلك ، في حالة استخدام التشفير لأداء توقيع إلكتروني له قوة قانونية ، تسعى الدولة إلى حماية المواطنين من التسرب المحتمل للمفاتيح السرية. يتم التعبير عن هذا في حقيقة أنه للعمل مع توقيع إلكتروني مؤهل ، يُسمح رسميًا باستخدام مزودي التشفير فقط الذين لديهم الشهادة المناسبة ، وبالتالي اجتازوا عمليات التحقق المناسبة.

يشمل موفرو التشفير المعتمدون في الاتحاد الروسي لـ EDS ، على وجه الخصوص: Rutoken EDS و JaCarta GOST و CryptoPro CSP و LISSI-CSP و VipNet CSP. يتم تنفيذ الأولين مباشرة على الرموز المميزة للأجهزة ، والباقي في شكل تطبيقات المستخدم. من المهم أن نفهم أنه عند شراء رمز مميز للأجهزة معتمد في الاتحاد الروسي ، فإننا نكتسب بالفعل مزود تشفير معتمد في الاتحاد الروسي ، وليست هناك حاجة - تكنولوجية وقانونية - لشراء مزود تشفير آخر.

بالإضافة إلى مجموعة الخوارزميات المدعومة ، يختلف موفرو التشفير أيضًا في مجموعة من وظائف التشفير - تشفير المستندات وفك تشفيرها ، وتوقيع التوقيع والتحقق منه ، ووجود واجهة مستخدم رسومية ، وما إلى ذلك. علاوة على ذلك ، من بين هذه المجموعة الكاملة من الوظائف ، يجب على موفر التشفير المعتمد أن يؤدي فقط تلك التي ترتبط ارتباطًا مباشرًا بتنفيذ خوارزميات التشفير. كل شيء آخر يمكن أن يتم عن طريق تطبيق طرف ثالث. هذه هي بالضبط الطريقة التي يعمل بها موفرو التشفير على الرموز المميزة للأجهزة: يتم تنفيذ واجهة المستخدم بواسطة تطبيق تابع لجهة خارجية لا يخضع لشهادة إلزامية. يتواصل التطبيق الذي ينفذ واجهة المستخدم مع موفر التشفير على الرمز المميز من خلال واجهة قياسية أخرى - PKCS # 11. في الوقت نفسه ، من وجهة نظر المستخدم ، يتم العمل باستخدام المفاتيح ، على سبيل المثال ، مباشرة من متصفح Firefox html. في الواقع ، يستخدم المتصفح ، من خلال واجهة PKCS # 11 ، طبقة برامج خاصة تنفذ آليات للوصول إلى رمز مميز للأجهزة.

بالإضافة إلى مصطلح "مزود التشفير" ، هناك مصطلح آخر قريب من المعنى - "وسائل حماية معلومات التشفير" (CIPF). لا يوجد تمييز واضح بين هذين المفهومين. المصطلح الأول أقل رسمية ، والثاني يستخدم في كثير من الأحيان فيما يتعلق بالحلول التقنية المعتمدة. نظرًا لأن هذا المستند يصف بشكل أساسي الجوانب التكنولوجية وليس الجوانب الرسمية ، فسنستخدم مصطلح "cryptoprovider" في كثير من الأحيان.

تنفيذ الآليات

خوارزميات التوقيع الإلكتروني

حاليًا ، في الاتحاد الروسي ، يُسمح رسميًا باستخدام خوارزميتين للتوقيع وخوارزميتين للتجزئة فقط للتوقيع الإلكتروني المؤهل. حتى نهاية عام 2017 ، يُسمح باستخدام GOST R 34.10-2001 بالتزامن مع خوارزمية التجزئة GOST R 34.11-94. منذ بداية عام 2018 ، يُسمح فقط باستخدام GOST R 34.10-2012 والتجزئة وفقًا لـ GOST R 34.11-2012. في الحالات التي يكون فيها الاستخدام الإلزامي لخوارزميات GOST غير مطلوب ، يمكن استخدام أي خوارزميات متاحة.

على سبيل المثال ، لا تعرف الآن معظم مواقع الويب التي يمكن الوصول إليها عبر بروتوكول HTTP كيفية استخدام خوارزميات GOST للمصادقة المتبادلة بين العميل والخادم. في حالة التفاعل مع أحد هذه المواقع ، سيتعين على جانب العميل أيضًا تطبيق خوارزميات "أجنبية الصنع". ولكن ، على سبيل المثال ، إذا كنت ترغب في استخدام رمز مميز للأجهزة كمخزن رئيسي للمصادقة على موقع خدمات الدولة ، فسيتعين عليك اختيار رمز مميز مع دعم EDS وفقًا لـ GOST.

لا ترجع الحاجة إلى استخدام الخوارزميات الروسية عند التعامل مع الوكالات الحكومية على الإطلاق إلى الرغبة في تقييد اختيار المواطنين. والسبب هو أن الدولة ، بعد أن استثمرت في تطوير هذه الخوارزميات ، هي المسؤولة عن قوة التشفير وغياب الميزات غير المعلنة فيها. مرت جميع خوارزميات التشفير الموحدة في الاتحاد الروسي مرارًا وتكرارًا بتدقيق مستقل وأثبتت قيمتها بشكل مقنع. يمكن قول الشيء نفسه عن العديد من خوارزميات التشفير الشائعة الأخرى. ولكن ، للأسف ، لا يمكن إثبات عدم وجود قدرات غير معلنة فيها بنفس السهولة. من الواضح تمامًا أنه من وجهة نظر الدولة ، من غير المعقول استخدام وسائل غير موثوق بها ، على سبيل المثال ، لمعالجة البيانات الشخصية للمواطنين.

واجهات وأشكال وبروتوكولات

لضمان التوافق عند العمل بالتوقيع الإلكتروني ، تم تطوير عدد من المعايير الدولية فيما يتعلق بتخزين البيانات وتوفير الوصول إليها. المعايير الرئيسية تشمل:

  • PC / SC - واجهة منخفضة المستوى للوصول إلى أجهزة التشفير ، بما في ذلك الرموز المميزة للبرامج والأجهزة ؛
  • PKCS # 11 - واجهة عالية المستوى للتفاعل مع وحدات تشفير الأجهزة ، يمكن اعتبارها واجهة موحدة للوصول إلى موفري التشفير ؛
  • PKCS # 15 - تنسيق حاوية بمفاتيح توقيع إلكترونية مخصصة للتخزين على جهاز مادي ؛
  • PKCS # 12، PEM - تنسيقات الحاويات مع مفاتيح التوقيع الإلكتروني المعدة للتخزين في الملفات ، والثنائي والنص ، على التوالي ؛
  • PKCS # 10 - تنسيق المستند - طلب توقيع يرسله العميل إلى المرجع المصدق لاستلام شهادة موقعة.

من المهم أن نفهم أن معايير مثل PKCS # 11 أو PKCS # 15 قد تم تطويرها في الأصل دون مراعاة خصوصيات العملات المشفرة المعتمدة في الاتحاد الروسي. لذلك ، من أجل تنفيذ الدعم الكامل للتشفير المحلي ، كان لا بد من وضع اللمسات الأخيرة على المعايير ، ولا يزال يتعين عليها. إن عملية اعتماد التعديلات على المعايير طويلة ، لذلك ، إلى أن تم اعتماد المعايير النهائية بشكل نهائي ، ظهر أن تطبيقاتها كانت غير متوافقة مع بعضها البعض. على وجه الخصوص ، ينطبق هذا على مزودي التشفير المعتمدين في الاتحاد الروسي. لذلك ، أصبح لدى جميع مزودي التشفير المعتمدين الآن تطبيقات حاوية غير متوافقة لتخزين المفاتيح على رمز مميز. بالنسبة لمعايير تبادل البيانات - PKCS # 10 ، و PKCS # 12 ، و PEM - فإن تطبيقاتها ، لحسن الحظ ، عادة ما تكون متوافقة مع بعضها البعض. أيضًا ، عادةً لا توجد اختلافات في تفسير معيار PC / SC.

تتم حاليًا معالجة قضايا وضع اللمسات الأخيرة على المعايير ، ووضع التوصيات ، وضمان التوافق في مجال EDS في الاتحاد الروسي من قبل منظمة خاصة - اللجنة الفنية للتوحيد القياسي "حماية معلومات التشفير" (TK 26) ، والتي تضم خبراء وممثلين عن الوكالات الحكومية ومطوري مقدمي خدمات التشفير والأطراف المهتمة الأخرى. الوجوه. يمكن للمرء أن يجادل حول فعالية عمل اللجنة ، ولكن حتى وجود مثل هذه المنصة مهم للغاية.

جزء البرنامج

تتكون حزمة البرامج الخاصة بالعمل بالتوقيع الإلكتروني من المكونات التالية:

  • تنفيذ واجهة للوصول منخفض المستوى إلى حاويات التخزين ذات المفاتيح - على سبيل المثال ، واجهة PC / SC للوصول إلى الأجهزة المادية - الرموز ؛
  • وحدة تقوم بتنفيذ واجهة PKCS # 11 للتفاعل مع مزود التشفير - على سبيل المثال ، يتم تنفيذها على رمز مميز للأجهزة ؛
  • مزود التشفير الذي ينفذ خوارزميات التشفير المقابلة وينفذ الإجراءات معهم - على سبيل المثال ، التوقيع الإلكتروني أو تشفير البيانات ؛
  • تطبيق مستخدم يتفاعل مع الآخر - فيما يتعلق بموفر التشفير - بجانب وحدة PKCS # 11 ، وينفذ عمليات مثل التوقيع الإلكتروني أو المصادقة نيابة عن المستخدم.

مثال المكدس:

  • يتفاعل تطبيق سطر الأوامر cryptcp من برنامج CryptoPro CSP مع مكتبة libcppksc11.so من خلال واجهة PKCS # 11 ويوفر القدرة على توقيع المستندات باستخدام المفتاح السري للمستخدم ؛ في الوقت نفسه ، يتم تنفيذ وظائف مزود التشفير بالكامل في مكونات برنامج CryptoPro CSP ، ولا يشارك مزود التشفير للرمز المميز للأجهزة.

مثال آخر:

  • يقوم برنامج pcc-lite المفتوح بتنفيذ واجهة PC / SC للتفاعل مع رمز جهاز Rutoken EDS ؛
  • توفر مكتبة libcppksc11.so من برنامج CryptoPro CSP التفاعل مع الحاوية المستضافة على الرمز المميز ، والتي تخزن المفتاح الخاص للمستخدم والشهادة ؛
  • يتفاعل تطبيق "CryptoPro EDS Browser plugin" ، الذي يعمل كجزء من متصفح Firefox html ، مع مكتبة libcppksc11.so من خلال واجهة PKCS # 11 ويوفر القدرة على توقيع المستندات في واجهة المتصفح على المواقع الإلكترونية. طوابق تجارية؛ في الوقت نفسه ، يتم تنفيذ وظائف مزود التشفير بالكامل في مكونات برنامج CryptoPro CSP ، ولا يشارك مزود التشفير للرمز المميز للأجهزة.

المثال الثالث:

  • يقوم برنامج pcc-lite المفتوح بتنفيذ واجهة PC / SC للتفاعل مع رمز جهاز Rutoken EDS ؛
  • توفر مكتبة librtpksc11.so التي تنتجها Aktiv التفاعل مع مزود التشفير للرمز المميز ؛
  • يؤدي موفر التشفير للرمز المميز وظائف توقيع البيانات المرسلة إليه بمفتاح سري ؛ لا يترك المفتاح السري حدود الرمز المميز ؛
  • يتفاعل تطبيق Rutoken Plugin الذي يعمل كجزء من متصفح Firefox html مع مكتبة librtpksc11.so من خلال واجهة PKCS # 11 ويوفر القدرة على توقيع المستندات في واجهة المتصفح على المواقع المتوافقة ؛ في الوقت نفسه ، يتم تنفيذ وظائف موفر التشفير بالكامل على رمز الجهاز.

يتم تحديد اختيار تنفيذ مكدس معين حاليًا ، أولاً وقبل كل شيء ، من خلال ثلاثة عوامل - النطاق المقصود لـ EDS ، ومستوى المعرفة التقنية للمستخدم واستعداد مركز الشهادات للعمل مع طلب توقيع الشهادة.

بالإضافة إلى مجموعة البرامج من جانب المستخدم المذكورة أعلاه ، هناك تطبيقان آخران يجب النظر فيهما. الأول هو البرنامج الذي يخدم مركز الاعتماد. والثاني هو البرنامج الذي نريد أن نكون متوافقين معه. على سبيل المثال ، موقع خدمات الدولة. أو برنامج لتوقيع المستندات الإلكترونية.

إذا كانت سلطة التصديق حيث نخطط للحصول على شهادة غير جاهزة للعمل مع طلبات التوقيع بتنسيق PKCS # 10 ولا يمكنها العمل إلا مع الرموز المميزة للبرامج (أي أنها ترى أي رمز مميز كبرنامج) ، فلا خيار لدينا. كقاعدة عامة ، في هذه الحالة ، سيقوم برنامج CA بإنشاء زوج مفاتيح لنا ، وكتابته على الرمز المميز ، وإنشاء طلب توقيع على الفور بناءً على المفتاح العام وبياناتنا الشخصية ، وتوقيعه ، وتخزين الشهادة على الرمز المميز . ستكون الشهادة والمفتاح في حاوية تنسيق مغلق معروفة فقط لمطور برامج CA. وفقًا لذلك ، للوصول إلى الحاوية باستخدام المفاتيح ، سيتعين عليك شراء مزود تشفير من نفس المطور. وسيكون نطاق EDS مقيدًا بقدرات برنامج مطور معين. في هذه الحالة ، ليس من المنطقي شراء رمز مميز للأجهزة - يمكنك الحصول عليه باستخدام أحد البرامج. في هذه الحالة ، يجب بالتأكيد حمل الرمز المميز إلى المرجع المصدق.

إذا كان المرجع المصدق الذي نخطط للحصول على شهادة فيه جاهزًا للعمل مع طلبات التوقيع بتنسيق PKCS # 10 ، فلا يهمنا نوع البرنامج المستخدم في هذا المرجع المصدق. سنكون قادرين على استخدام مزود التشفير المتوافق مع تطبيقاتنا المستهدفة. على سبيل المثال ، مع منصات التداول الإلكترونية أو موقع خدمات الدولة. في هذه الحالة ، لا تحتاج إلى حمل الرمز المميز إلى المرجع المصدق ، يكفي إنشاء طلب توقيع وتقديمه هناك مع مستنداتك الورقية ؛ احصل على شهادة واحفظها على الرمز بنفسك بمساعدة موفر التشفير المحدد.

لسوء الحظ ، هناك عدد قليل جدًا من المراجع المصدقة (CAs) جاهزة حاليًا (أواخر 2016) للعمل مع طلب التوقيع. هذا الوضع يرجع جزئيا إلى عدم وجود تدريب تقنيالمستخدمين غير القادرين على ضمان تنفيذ طلب التوقيع بشكل صحيح - بكل السمات والقيم الضرورية. يهدف هذا الدليل إلى حل هذه المشكلة.

المعدات

من بين تلك التي قدمت في السوق الروسيتشمل الرموز المميزة ما يلي:

وسائط الأجهزة مع دعم التشفير الروسي: Rutoken EDS ، JaСarta GOST ، MS_KEY K.

لنفكر كمثال في قوائم آليات التشفير المدعومة لأجهزة Rutoken EDS وبرنامج Rutoken_Lite:

$ pkcs11-tool --module /usr/local/lib64/librtpkcs11ecp.so -M الآليات المدعومة: RSA-PKCS-KEY-PAIR-GEN ، keySize = (512،2048) ، hw ، create_key_pair RSA-PKCS ، keySize = ( 512،2048) ، hw ، تشفير ، فك تشفير ، توقيع ، تحقق من RSA-PKCS-OAEP ، keySize = (512،2048) ، hw ، تشفير ، فك تشفير MD5 ، هضم SHA-1 ، هضم GOSTR3410-KEY-PAIR-GEN ، hw ، create_key_pair GOSTR3410 ، hw ، تسجيل ، تحقق من mechtype-0x1204 ، hw ، اشتقاق GOSTR3411 ، hw ، هضم GOSTR3410-WITH-GOSTR3411 ، hw ، هضم ، تسجيل mechtype-0x1224 ، hw ، التفاف ، فك تشفير mechtype-0x1221 ، hw ، تشفير mechtype-0x1222، hw، encrypt، decrypt mechtype-0x1220، hw، إنشاء mechtype-0x1223، hw، sign، check $ pkcs11-tool --module /usr/local/lib64/librtpkcs11ecp.so -M الآليات المدعومة:

كما ترى ، فإن قوائم آليات التشفير المدعومة Rutoken Lite فارغة ، على عكس Rutoken EDS ، والتي تتضمن خوارزميات GOST و RSA.

تشمل الرموز المميزة للأجهزة التي لا تدعم التشفير الروسي ، كما ذكر أعلاه ، على وجه الخصوص ، JaCarta PKI و eToken.

نظرًا للأسعار المنخفضة نسبيًا لرموز الأجهزة مع دعم التشفير الروسي ، يمكننا أن نوصي باستخدامها بثقة. بالإضافة إلى الميزة الواضحة في شكل مفتاح سري غير قابل للاسترداد ، يشتمل رمز الجهاز أيضًا على مزود تشفير معتمد. أي أنه من الممكن تنظيم العمل بالرمز بطريقة لا تحتاج فيها إلى شراء برامج باهظة الثمن.

من التطورات الأخيرة ، أود أن أشير إلى Rutoken EDS 2.0 مع دعم معيار GOST R 34.10-2012.

طلب

أدوات المستخدم

افتح الأدوات

تتيح لك البرامج مفتوحة المصدر حاليًا تنفيذ مجموعة برامج كاملة تقريبًا للعمل مع EDS.

PCSC لايت

يعد تطبيق PC / SC الذي تم تطويره في إطار مشروع PCSC lite مرجعًا لعائلة Linux OS. يتم تضمينه في أي من متغيرات مجموعة البرامج التي تم النظر فيها في هذا المستند للعمل مع EDS. في المستقبل ، إذا لم يتم تحديد خيار تنفيذ معين ، فسنعتبره ممكّنًا افتراضيًا.

OpenSC

تم تطوير المكتبة التي تنفذ واجهة PKCS # 11 ، بالإضافة إلى مجموعة من أدوات التطبيق التي تستخدم وظائفها ، كجزء من مشروع OpenSC. تدعم مجموعة الأدوات العديد من الرموز المميزة للأجهزة ، بما في ذلك Rutoken EDS ، والتي تمت إضافة دعمها من قبل المتخصصين في شركة Aktiv ، التي تطور الرموز المميزة لعائلة Rutoken.

باستخدام أدوات OpenSC المساعدة ، يمكنك ، على وجه الخصوص ، تنفيذ الإجراءات التالية على رمز مميز للأجهزة:

  • تهيئة الرمز - إعادة تعيين الإعدادات إلى الحالة الأصلية ؛
  • قم بتعيين رموز PIN الخاصة بالمسؤول والمستخدم (إذا كانت مدعومة) ؛
  • إنشاء زوج مفاتيح (إذا كانت مدعومة من قبل مكتبة PKCS # 11) ؛
  • استيراد شهادة موقعة من قبل المرجع المصدق على الرمز المميز.

تتيح لك مكتبة PKCS # 11 من حزمة OpenSC إجراء مجموعة كاملة من عمليات التوقيع الإلكتروني على الرموز المميزة المدعومة. تشمل الرموز المدعومة أيضًا Rutoken EDS.

من المهم أن نفهم هنا أنه بالنسبة لـ Rutoken EDS هناك نوعان خيارات مختلفةالدعم بواسطة البرامج غير المتوافقة مع بعضها البعض في تنسيق تخزين المفاتيح على الرمز المميز. عند استخدام مكتبة PKCS # 11 من OpenSC ، يمكننا استخدام مكدس البرامج المفتوحة ، وعند استخدام المكتبة المغلقة المجانية الموزعة التي تنتجها Aktiv ، يمكننا استخدام حزمة Aktiva المغلقة.

OpenSSL

من أجل الاستخدام الكامل لإمكانيات EDS ، بالإضافة إلى مكتبة PKCS # 11 نفسها ، يجب تنفيذ تطبيقات المستخدم التي توفر للمشغل إمكانية الوصول إلى وظائف المكتبة وقدرات الرمز المميز. المثال الرئيسي لهذا التطبيق هو البرنامج المفتوح المصدر من مشروع OpenSSL. يدعم الميزات التالية على وجه الخصوص:

  • تشفير البيانات؛
  • فك تشفير البيانات
  • توقيع الوثيقة
  • التحقق من التوقيع؛
  • إنشاء طلب توقيع الشهادة ؛
  • استيراد الشهادة
  • تصدير الشهادة.

بالإضافة إلى ذلك ، باستخدام OpenSSL ، يمكنك تنفيذ وظائف مرجع مصدق كامل ، بما في ذلك:

  • إصدار شهادات العميل بتوقيع الطلبات بتنسيق PKCS # 10 ؛
  • إلغاء شهادات العميل ؛
  • تسجيل الشهادات الصادرة والملغاة.

العيب الوحيد في OpenSSL في الوقت الحالي ، والذي لا يسمح حتى الآن بتنفيذ إصدار كامل الميزات من مكدس برامج EDS استنادًا إلى برنامج مفتوح المصدر ، هو عدم وجود وحدة نمطية مفتوحة للتفاعل مع مكتبات PKCS # 11 مع دعم لـ خوارزميات GOST. هناك تطبيق مغلق لمثل هذه الوحدة ، تم إجراؤه بواسطة Aktiv ، لكنه غير مدرج في توزيع OpenSSL الأساسي ، وبالتالي ، مع إصدار إصدارات جديدة من OpenSSL ، يتم تعطيل التوافق بشكل دوري. لا يدعم التنفيذ المفتوح لهذه الوحدة حتى الآن خوارزميات GOST.

ثعلب النار

بالإضافة إلى OpenSSL ، يمكن لمتصفح Firefox html المعروف أيضًا التفاعل مع مكتبات PKCS # 11. لتوصيل مكتبة PKCS # 11 ، تحتاج إلى الانتقال إلى قائمة إدارة إعدادات "التفضيلات" ، ثم تحديد "متقدم" في القائمة الرأسية على اليسار ، وتحديد "الشهادات" في القائمة الأفقية ، والنقر فوق الزر "أجهزة الأمان" ، في مربع الحوار الذي يظهر ، انقر فوق الزر "تحميل". ستظهر نافذة أخرى بها خيار تحديد المسار إلى الملف بمكتبة PKCS # 11 وخيار إدخال الاسم المحلي لتلك المكتبة المعينة. يمكنك تحميل عدة وحدات مختلفة من PKCS # 11 بهذه الطريقة لأنواع مختلفة من الأجهزة المادية والافتراضية.

لسوء الحظ ، فإن وظيفة Firefox ليست كافية بعد لتوقيع المستندات في واجهة موقع الويب. لذلك ، بالنسبة لمجموعة برامج EDS المفتوحة الكاملة مع دعم GOST ، لا يزال هناك مكون إضافي (مكون إضافي) يسمح لك بالوصول إلى الكائنات الموجودة على الرمز المميز من برنامج الموقع. نأمل أن تتم كتابة هذا المكون الإضافي في المستقبل القريب. أو افتح.

كريبتوبرو

في إصدارات CryptoPro CSP حتى 4.0 وتشمل ، يتم استخدام الإدارة اليدوية لذاكرة التخزين المؤقت المحلية لتخزين شهادات المستخدم وشهادات CA. للعمل الكامل مع شهادة المستخدم ، من الضروري أن تكون نسختها في ذاكرة تخزين مؤقت محلية واحدة ، وأن تكون السلسلة الكاملة لشهادات المرجع المصدق (CA) حتى وتشمل الجذر - في أخرى. من الناحية التكنولوجية ، فإن ميزة CryptoPro هذه ، بالمعنى الدقيق للكلمة ، ليست مبررة تمامًا: من المنطقي التحقق من السلسلة أثناء المصادقة ؛ الحقيقة الفعلية لصلاحية الشهادة لا تؤثر على إمكانية التوقيع. خاصة إذا كانت شهادتنا الخاصة ونعلم من أين أتت. حديثًا في وقت كتابة الإصدارات التجريبية من CryptoPro CSP ، وفقًا للمطورين ، يتم تنفيذ التحميل التلقائي لسلسلة شهادات CA. ولكن يبدو أن التأكد من أن الملف المستخدم حاليًا هو الوحيد الموجود في ذاكرة التخزين المؤقت المحلية لشهادات المستخدم يجب مراقبته يدويًا.

يبذل مطورو الطرف الثالث محاولات لكتابة واجهات رسومية لـ CryptoPro CSP ، مما يسهل عمليات المستخدم الروتينية. مثال على هذه الأداة المساعدة هو rosa-crypto-tool ، الذي يقوم بأتمتة توقيع المستندات وتشفيرها. حزمة في توزيعات ALT.

CryptoPro CA

يتميز برنامج Lissi SOFT بالالتزام الصارم بالمعايير والمواصفات الفنية. تم تصميم موفري التشفير ، بما في ذلك الموفرين الفريدين ، كمكتبات PKCS # 11. وفقًا للمطورين ، فإنهم يتناسبون جيدًا مع البرامج مفتوحة المصدر ، والتي تركز أيضًا على المعايير الداعمة. على سبيل المثال ، مع متصفحات html والأدوات المساعدة من مجموعة OpenSSL.

فيما يتعلق بتنظيم الوصول إلى مواقع الخدمة العامة ، تحظى منتجات Lissy SOFT أيضًا بالاهتمام. بادئ ذي بدء - التوافق مع "IFCPlugin" - برنامج إضافي للمتصفح ينفذ آليات EDS على بوابة خدمات الدولة. ثانيًا ، قدرة برنامج هيئة إصدار الشهادات على العمل مع طلبات توقيع الشهادات بتنسيق PKCS # 10.

المتصفحات

في بعض الأحيان ، للوصول إلى المواقع التي نخطط فيها لاستخدام آليات التوقيع الإلكتروني ، يتعين علينا استخدام تقنيات أخرى تستخدم التشفير الروسي. على سبيل المثال ، يمكن استخدام خوارزميات GOST لتنظيم قناة نقل بيانات مشفرة. في هذه الحالة ، يلزم دعم الخوارزميات المناسبة في المتصفح. لسوء الحظ ، لا تدعم الإصدارات الرسمية من Firefox و Chromium التشفير الروسي بشكل كامل. لذلك ، يجب عليك استخدام التجميعات البديلة. توجد مثل هذه التجميعات ، على سبيل المثال ، في ترسانة الوسائل المشفرة لشركتي "CryptoPro" و "Lissy SOFT" ، وكذلك في توزيعات Alt.

المواقع

من بين المواقع التي تتطلب استخدام تقنيات التوقيع الإلكتروني ، نحن مهتمون بشكل أساسي بالمواقع التي تقدم خدمات عامة ، فضلاً عن منصات التداول الإلكترونية (ETP). لسوء الحظ ، لا تدعم بعض ETPs العمل مع نظام التشغيل من سجل البرامج الروسية. لكن الوضع يتغير تدريجياً نحو الأفضل.

يعود استخدام EDS لمواقع الويب عادةً إلى المصادقة على المستندات التي تم إنشاؤها في واجهة الموقع وتوقيعها. من حيث المبدأ ، تبدو المصادقة مثل توقيع أي مستند آخر: الموقع الذي يريد العميل المصادقة عليه ينشئ سلسلة من الأحرف التي يرسلها إلى العميل. يرسل العميل مرة أخرى توقيع هذا التسلسل باستخدام مفتاحه الخاص وشهادته (الشهادة أقدم قليلاً). يأخذ الموقع المفتاح العام من شهادة العميل ويتحقق من توقيع التسلسل الأصلي. الشيء نفسه ينطبق على توقيع الوثائق. هنا ، بدلاً من التسلسل التعسفي ، يظهر المستند نفسه.

الخدمات العامة

نتيجة للدراسة ، اتضح أنه اعتبارًا من 14 ديسمبر 2016 ، أصبحت معظم منصات التداول الفيدرالية - "" و "RTS-tender" و "Sberbank-AST" جاهزة للاستخدام في أماكن العمل التي تعمل بنظام تشغيل عائلة Linux . لا يوفر الموقعان المتبقيان حتى الآن إمكانية تسجيل الدخول بشهادة العميل. ما إذا كان مطوروها يخططون لأي تدابير لضمان التوافق ، للأسف ، لم يتم اكتشافهم بعد.

في الوقت نفسه ، في التعليمات الرسمية لجميع المواقع ، باستثناء منصة التداول الإلكترونية الموحدة ، يُشار إلى نظام التشغيل Windows على أنه النظام الوحيد المدعوم. ردود الخدمة الرسمية دعم فنيتأكيد هذه المعلومات. تصف التعليمات الموجودة على موقع الويب الخاص بمنصة التداول الإلكترونية المتحدة إعدادات المتصفح دون تحديد نظام تشغيل معين.

في شكل موجز ، يتم عرض نتائج الدراسة في الجدول:

سوق الكتروني القدرة على تسجيل الدخول بشهادة المستخدم القدرة على توقيع وثيقة في واجهة النظام الأساسي توثيق العمل مع الموقع تحت نظام التشغيل من السجل
سبيربنك - نظام تداول آلي نعم نعم لا
منصة تداول الكترونية موحدة نعم نعم نعم

بالنسبة إلى ETPs التي توفر التوافق مع Linux ، فإن أداة التشفير الوحيدة المدعومة حاليًا هي المكون الإضافي Cades ، والذي يمكنه فقط استخدام CryptoPro CSP كمزود تشفير. وبالتالي ، فإن الخبر السار هو أنه من السهل جدًا الحصول على رمز مميز للوصول إلى منصات التداول الإلكترونية - تصدرها معظم CAs. أخبار سيئة - سيكون الرمز المميز قائمًا على البرامج ولن يكون متوافقًا مع موقع خدمات الدولة على الويب.

بالنسبة لمنصات التداول الأخرى ، فإن الطريقة الوحيدة للوصول إلى وظيفة EDS هي مكون نظام التشغيل Windows المسمى CAPICOM. أجرى متخصصو Etersoft العمل البحثي ، ونتيجة لذلك تم توضيح الإمكانية النظرية لإطلاق CAPICOM في بيئة Wine.

مواقع أخرى

بالإضافة إلى المواقع المدرجة التي تستخدم EDS مباشرة - لدخول الموقع وتوقيع المستندات التي تم إنشاؤها في واجهة الموقع ، هناك عدد من المواقع التي توفر إمكانية تنزيل المستندات الموقعة مسبقًا بتوقيع إلكتروني مؤهل. ومن الأمثلة على ذلك موقع المركز الرئيسي للترددات الراديوية. يتم الوصول إلى الموقع عن طريق تسجيل الدخول وكلمة المرور ، ويتم إعداد المستندات وتوقيعها مسبقًا - في واجهة نظام تشغيل المستخدم. وبالتالي ، للعمل مع مثل هذه المواقع ، لا يلزم سوى وظيفة توقيع المستند المحلي. أي أنه لا توجد قيود عمليا على اختيار مزود التشفير في هذه الحالة.

مثال على حل تسليم المفتاح

لسوء الحظ ، في الوقت الحالي ، لا يعرف مؤلفو هذا المستند كيفية استخدام نفس الرمز في وقت واحد على موقع خدمات الدولة وعلى منصات التداول الإلكترونية. لذلك ، سيتعين عليك إنشاء رمزين مميزين بزوجين من المفاتيح وشهادتين ، على التوالي. إنه ليس محظورًا قانونيًا ، فهو عملي من الناحية الفنية. من الناحية المالية ، يعد هذا أيضًا واقعيًا تمامًا: سيكون أحد الرموز ، على سبيل المثال ، جهاز Rutoken EDS ، والآخر سيكون نموذجًا قديمًا من eToken ، والذي يمكن العثور عليه الآن مقابل رسوم رمزية.

الوصول إلى موقع خدمات الدولة

للوصول إلى خدمات الدولة ، خذ Rutoken EDS وقم بتنفيذ الخطوات التالية:

  1. قم بتنزيل برنامج Rutoken plugin من الصفحة الموجودة على الرابط ؛
  2. قم بتثبيت البرنامج المساعد Rutoken - انسخ ملفات البرنامج المساعد (npCryptoPlugin.so و librtpkcs11ecp.so) إلى ~ / .mozilla / plugins / ؛
  3. انتقل إلى الموقع باستخدام برنامج مركز التسجيل واتبع التعليمات لتنفيذ الإجراءات التالية - تهيئة الرمز المميز وإنشاء زوج مفاتيح وإنشاء ملف محلي وحفظه مع طلب توقيع بتنسيق PKCS # 10 ؛
  4. سوف نتواصل مع المرجع المصدق (CA) ، وهو جاهز لإصدار شهادة لنا عند طلب التوقيع ، وسوف نتلقى شهادة في شكل ملف ؛
  5. في واجهة "مركز التسجيل" ، احفظ الشهادة من الملف المستلم على الرمز المميز ؛
  6. قم بتنزيل حزمة تنسيق "deb" من الرابط - الملف IFCPlugin-x86_64.deb ؛
  7. استخدام البرنامج "Midnight Commander" (الأمر mc) "go" في ملف الحزمة في دليل ؛
  8. نسخ محتويات الدليل المحتويات / usr / lib / mozilla / pluginsإلى الدليل المحلي ~ / .mozilla / plugins ؛
  9. في متصفح Firefox على الموقع الإلكتروني للخدمات الحكومية ، سنتتبع ارتباطي "تسجيل الدخول" و "تسجيل الدخول باستخدام الوسائل الإلكترونية" بالتسلسل.

تتمثل المشكلة الرئيسية في تنفيذ هذه التعليمات في العثور على مرجع مصدق جاهز للعمل مع طلب توقيع.

الوصول إلى منصات التداول الإلكترونية

للوصول إلى مواقع منصات التداول الإلكترونية التي تدعم العمل في Linux ، قم بالخطوات التالية:

  1. مع أي رمز تم بيعه رسميًا في الاتحاد الروسي ، سنتصل بأي مركز اعتماد يستخدم CryptoPro CA ، وسنتلقى شهادة المستخدم والمفتاح السري المخزنين على الرمز المميز في حاوية بالتنسيق المدعوم بواسطة برنامج CryptoPro ؛
  2. وفقا لل تعليماتتثبيت البرنامج "CryptoPro CSP" و "Cades plugin" لمتصفح Chromium ؛
  3. باستخدام متصفح Chromium ، سنذهب إلى مواقع منصات التداول الإلكترونية ونبدأ العمل معها حسب التعليمات الرسمية.

ستكون القدرة على توقيع المستندات في شكل ملفات متاحة من خلال الأدوات المساعدة لوحدة التحكم CryptoPro ومن خلال تطبيقات التضمين التابعة لجهات خارجية مثل أداة rosa-crypto التي سبق ذكرها.