დავა მეზობლებთან 

Lissy რბილი ფესვის სერთიფიკატი. ვიკი სექციები

Სისტემის მოთხოვნები

  • ინტერნეტთან წვდომა
  • ოპერაციული სისტემა: Windows 8, 7, XP SP 3/2
  • პროცესორი: 1.6 GHz ან უფრო მაღალი
  • ოპერატიული მეხსიერება: 512 MB
  • ერთ-ერთი მხარდაჭერილი კრიპტო პროვაიდერის ხელმისაწვდომობა: CryptoPro CSP 3.6 ან უფრო მაღალი, LISSI CSP, VIPNet CSP, Signal-COM CSP
  • ეკრანის გარჩევადობა: მინიმუმ 800x600 პიქსელი

გამოიყენეთ სერტიფიცირებული კრიპტო პროვაიდერი

Ekey.Signature პროგრამის ფუნქციონირებისთვის სავალდებულოა სამუშაო ადგილზე კრიპტოგრაფიული ინფორმაციის დაცვის ხელსაწყოს (CIPF) არსებობა, რომელიც შიფრავს დოკუმენტებს GOST ალგორითმების შესაბამისად. CryptoPro CSP სისტემები არანაკლებ 3.6, LISSI CSP, VIPNet CSP, Signal-COM CSP შეიძლება გამოყენებულ იქნას როგორც CIPF.

კრიპტოგრაფიული ინფორმაციის დაცვის ხელსაწყოები თავსებადია Ekey.Signature-თან, მაგრამ ისინი შეუთავსებელია ერთმანეთთან. მხოლოდ ერთი CIPF შეიძლება დამონტაჟდეს ერთ სამუშაო ადგილზე.

გამოიყენეთ ანტივირუსი

დააინსტალირეთ პოპულარული ანტივირუსი თქვენს სამუშაო ადგილზე და რეგულარულად განაახლეთ იგი. ანტივირუსი იცავს ვირუსებისგან, ჯაშუშური პროგრამებისგან და დამოუკიდებლად გამორიცხავს უსაფრთხოების საფრთხეებს.

დაიცავით თქვენი ელექტრონული ხელმოწერისა და სამუშაო ადგილის წვდომა პაროლით

Ekey.Signature და კრიპტოგრაფიული დაცვის ხელსაწყოების გამოყენებით, დაიცავით თქვენი კომპიუტერი უცხო ადამიანების ფიზიკური წვდომისგან. გამოიყენეთ პაროლის წვდომა.

ელექტრონულ ხელმოწერაზე წვდომისთვის გამოიყენეთ რთული პაროლი. კარგი პაროლი არის თქვენი მონაცემების გარანტირებული უსაფრთხოება. პაროლის დამახსოვრების კარგი გზაა მისი მუდმივად შეყვანა ელექტრონული ხელმოწერის ოპერაციების შესრულებისას.

თქვენი პაროლის შესანახად შესანიშნავი ადგილია თქვენი მეხსიერება. პაროლის სადმე ჩაწერა არ არის მიზანშეწონილი. არ შეინახოთ პაროლი ფიზიკური ელექტრონული ხელმოწერის მატარებლის გვერდით, არ შეინახოთ პაროლი სისტემაში.

გამოიყენეთ მხოლოდ ლიცენზირებული და განახლებული პროგრამები

პერიოდულად, თქვენს სამუშაო ადგილზე დაინსტალირებული პროგრამები განახლდება თქვენი სამუშაოს სტაბილურობისა და უსაფრთხოების გასაუმჯობესებლად.

დააინსტალირეთ პროგრამული უზრუნველყოფის განახლებები მხოლოდ ოფიციალური საიტებიდან, ინსტალაციამდე შეამოწმეთ საიტის მისამართები და ინფორმაცია პროგრამის გამომცემლის შესახებ.

Ekey ინსტალაცია.ხელმოწერა

1. ჩამოტვირთვა

2. პროგრამის ინსტალაციის დასაწყებად გაუშვით დაყენების ფაილი. თუ UAC გაშვებულია, თქვენ უნდა დაუშვათ ცვლილებები Ekey Transfer პროგრამაში.

ფაილების მომზადება Rosreestr

1. აირჩიეთ ოპერაციის ტიპი "Rosreestr" პროგრამის მთავარ ფანჯარაში ან ფაილის კონტექსტურ მენიუში.


3. დაამატეთ ანგარიში ღილაკის "მიმაგრება ფაილ(ებ)ის" გამოყენებით ან გადაიტანეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.
4. დააწკაპუნეთ ღილაკზე გენერირება.
6. ოპერაციის დასრულების შემდეგ, ხელმოწერის ფაილი შეინახება იმავე დირექტორიაში, როგორც ორიგინალი ფაილი, ამოღებული ხელმოწერის ფაილი მოქმედებს მხოლოდ ორიგინალი ფაილის არსებობის შემთხვევაში.

კონტეინერის მომზადება რუსეთის FFMS-ისთვის, რუსეთის ბანკის სამსახურის, ცენტრალური ბანკისთვის

1. აირჩიეთ ტრანზაქციის ტიპი "FFMS of Russia".

2. აირჩიეთ პირადი სერტიფიკატი.

3. დაამატეთ ანგარიში xtdd ან smcl გაფართოებით ღილაკის „მიმაგრება ფაილ(ებ)ის გამოყენებით ან გადაათრიეთ და ჩამოაგდეთ ფაილი მაუსით.

5. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

7. ხელმოწერის დასამატებლად მიამაგრეთ ადრე გენერირებული კონტეინერი, აირჩიეთ საჭირო სერტიფიკატი და დააწკაპუნეთ ღილაკზე გენერირება.

8. რუსეთის ბანკის სერვისის (FFMS) პორტალზე ანგარიშების გასაგზავნად დააწკაპუნეთ ღილაკზე დამატება, მენიუში, რომელიც გამოჩნდება, აირჩიეთ ანგარიშის საჭირო კონტეინერი და დააჭირეთ ღილაკს პორტალზე ატვირთვა.

FSIS TP რუსეთის რეგიონული განვითარების სამინისტრო

1. აირჩიეთ ოპერაციის ტიპი "FSIS TP".

2. აირჩიეთ პირადი სერტიფიკატი.

3. დაამატეთ ანგარიში ღილაკის "მიმაგრება ფაილ(ებ)ის" გამოყენებით ან გადაიტანეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.

4. დააწკაპუნეთ ღილაკზე გენერირება.

5. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

6. შენახვის მენიუში, რომელიც გამოჩნდება, აირჩიეთ ადგილი ოპერაციის შედეგის შესანახად.

როსკომნადზორის რეესტრი (zapret-info.gov.ru)

1. აირჩიეთ ოპერაცია Roskomnadzor რეესტრი

2. აირჩიეთ პირადი სერტიფიკატი

3. რეესტრის ბოლო განახლების დროის გასარკვევად დააწკაპუნეთ „რეესტრიდან გადმოტვირთვის ბოლო განახლების დრო“

4. მოთხოვნის გასაგზავნად დააწკაპუნეთ „მოთხოვნის გაგზავნა“

შეავსეთ ველები მოთხოვნის შესაქმნელად.

5. მოთხოვნის დამუშავების შედეგის მისაღებად დააწკაპუნეთ „შედეგის მიღების მოთხოვნა“

რეესტრის ავტომატურად გადმოტვირთვისთვის, თქვენ უნდა მონიშნოთ ველი „ავტომატური გადმოტვირთვა“, დააყენოთ გადმოტვირთვის საჭირო პერიოდი და მიუთითოთ დირექტორია გადმოტვირთვის შედეგების შესანახად.

ISED

1. აირჩიეთ ოპერაციის ტიპი „ISED“.

2. დაამატეთ ანგარიში ღილაკის "მიმაგრება ფაილ(ებ)ის" გამოყენებით ან გადაიტანეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.

3. აირჩიეთ მიმღების სერთიფიკატები

4. დააწკაპუნეთ ღილაკზე გენერირება.

5. შენახვის მენიუში, რომელიც გამოჩნდება, აირჩიეთ ადგილი ოპერაციის შედეგის შესანახად.

ფაილის ხელმოწერა

1. აირჩიეთ ოპერაციის ტიპი „ხელით ხელმოწერა“.

2. აირჩიეთ პირადი სერტიფიკატი.

4. აირჩიეთ სასურველი ხელმოწერის პარამეტრები.

5. დააწკაპუნეთ ღილაკზე „ხელმოწერა“.

6. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

განმარტებები:

შეინახეთ ხელმოწერა ცალკე ფაილში

დროშის დაყენებისას შეიქმნება ჩამაგრებული ელექტრონული ხელმოწერათუ დროშა არ არის, ხელმოწერა დაემატება ფაილის ბოლოს (ამ შემთხვევაში, დოკუმენტი და ელექტრონული ხელმოწერა ერთად შეინახება)

დაარქივეთ ფაილები

მჭირდება თუ არა ფაილების დაარქივება ხელმოწერის შემდეგ

გაფართოება - ნაგულისხმევი ხელმოწერის ფაილის გაფართოება არის sig, ასევე შეგიძლიათ მიუთითოთ თქვენი საკუთარი გაფართოება

კოდირება - აირჩიეთ კოდირება, რომელიც გჭირდებათ Der ან Base-64

სერვისის სათაურების გამორთვა- თუ არჩეულია Base-64 კოდირება (Headers გამოიყენება მესამე მხარის თავსებადობისთვის პროგრამული უზრუნველყოფა).

ფაილის დაშიფვრა

1. აირჩიეთ ოპერაციის ტიპი „დაშიფვრა ხელით“.

2. აირჩიეთ პირადი სერტიფიკატი.

3. დაამატეთ ფაილი ღილაკის "Attach File(s)" გამოყენებით ან გადაიტანეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.

4. აირჩიეთ დაშიფვრის საჭირო ვარიანტები.

5. დაამატეთ ან აირჩიეთ მიმღების ხელმისაწვდომი სერთიფიკატები (ვისზეც დაშიფრული იქნება ფაილი)

6. დააჭირეთ ღილაკს "Encrypt".

7. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

8. შენახვის მენიუში, რომელიც გამოჩნდება, აირჩიეთ ადგილი ოპერაციის შედეგის შესანახად. განმარტებები:

კოდირება

აირჩიეთ Der ან Base-64 კოდირება, რომელიც გჭირდებათ

გაფართოება

გაფართოება, რომელიც ექნება საბოლოო ფაილს (enc ნაგულისხმევად), ასევე შეგიძლიათ მიუთითოთ თქვენი საკუთარი გაფართოება. სერვისის სათაურების გამორთვა - თუ არჩეულია Base-64 კოდირება (საჭიროა მესამე მხარის პროგრამულ უზრუნველყოფასთან თავსებადობისთვის).

დაარქივეთ ფაილები დაშიფვრამდე

თუ დაშიფვრამდე ფაილების დაარქივება გჭირდებათ, მონიშნეთ შესაბამისი ველი.

თუ დაამატებთ რამდენიმე ფაილს, ყველა ფაილი შეიფუთება ერთ არქივში.

ფაილის გაშიფვრა

1. აირჩიეთ ოპერაციის ტიპი „Decrypt“.

2. აირჩიეთ პირადი სერტიფიკატი.

3. დაამატეთ ფაილი ღილაკის "Attach File(s)" გამოყენებით ან გადაიტანეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.

4. დააჭირეთ ღილაკს "გაშიფვრა".

5. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

6. შენახვის მენიუში, რომელიც გამოჩნდება, აირჩიეთ ადგილი ოპერაციის შედეგის შესანახად.

ხელმოწერის შემოწმება

1. ხელმოწერის გადამოწმების დასაწყებად გამოიყენეთ თქვენთვის მოსახერხებელი გადამოწმების მეთოდი.

  • ხელმოწერის შემცველ ფაილზე ორჯერ დაწკაპუნებით.
  • პროგრამის მთავარ მენიუში აირჩიეთ ოპერაციის ტიპი "Verify Signature".
  • შესამოწმებელი ფაილის კონტექსტური მენიუს მეშვეობით.

2. დაამატეთ ფაილი ღილაკის "Attach File(s)" გამოყენებით ან გადაათრიეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.

3. დააჭირეთ ღილაკს შემოწმება.

ღილაკზე „შემოწმების“ დაჭერის შემდეგ ჩნდება ფანჯარა ხელმოწერის გადამოწმების შედეგით. მასში შეგიძლიათ ნახოთ ხელმოწერის ხე, დაბეჭდოთ გადამოწმების შედეგი და გახსნათ წყაროს ფაილი სანახავად.

ასევე, სკანირების დროს შეგიძლიათ იხილოთ ფაილების შინაარსი გაფართოებით: doc xls csv pdf html htm txt xml zip png jpeg jpg bmp gif.

განმარტებები:

ფაილების ხელმოწერის მოხსნა

თუ თანდართული ხელმოწერა შეიქმნა, ეს პარამეტრი შეიძლება გამოყენებულ იქნას წყაროს ფაილის მისაღებად, რომელიც არ შეიცავს ხელმოწერებს.

დაამატეთ ხელმოწერა

1. აირჩიეთ ოპერაციის ტიპი „ხელმოწერის დამატება“.

2. აირჩიეთ პირადი სერტიფიკატი.

4. დააწკაპუნეთ ღილაკზე „ხელმოწერა“.

5. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

6. შენახვის მენიუში, რომელიც გამოჩნდება, აირჩიეთ ადგილი ოპერაციის შედეგის შესანახად.

გადაამოწმეთ ხელმოწერა

1. აირჩიეთ ოპერაციის ტიპი „დამოწმებული ხელმოწერა“.

2. აირჩიეთ პირადი სერტიფიკატი.

3. დაამატეთ ხელმოწერის ფაილი ღილაკის "Attach File(s)" გამოყენებით ან გადაათრიეთ და ჩამოაგდეთ ფაილი მაუსის გამოყენებით.

4. დააჭირეთ ღილაკს Verify.

5. საჭიროების შემთხვევაში, შეიყვანეთ პირადი გასაღების კონტეინერის პაროლი

6. მენიუში, რომელიც გამოჩნდება, აირჩიეთ ხელმოწერა, რომლის დამოწმებაც გსურთ

7. შენახვის მენიუში, რომელიც გამოჩნდება, აირჩიეთ ადგილი ოპერაციის შედეგის შესანახად.

ავტომატური განახლება

როდესაც განახლება ხელმისაწვდომი გახდება, შესაბამისი წარწერა გამოჩნდება გაშვებული Ekey Signature აპლიკაციის ზედა მარჯვენა კუთხეში. განახლების დასაწყებად დააჭირეთ მასზე მაუსის მარცხენა ღილაკით.

განახლების პროცესის დასრულების შემდეგ დააჭირეთ "OK" შეტყობინებას, რომ ზოგიერთი ცვლილება ძალაში შევა მხოლოდ გადატვირთვის შემდეგ. დააჭირეთ ღილაკს "დასრულება". ამის შემდეგ რეკომენდებულია კომპიუტერის გადატვირთვა. უპირველეს ყოვლისა, საჭიროა გადატვირთვა Windows კონტექსტური მენიუს მუშაობასთან დაკავშირებული განახლებების ამოქმედებისთვის.

root სერთიფიკატების ავტომატური ინსტალაცია

თუ მაღაზიაში არ არის root სერთიფიკატი, Ekey Signature აპლიკაციის გაშვებისას, მომხმარებლის ჟურნალში გამოჩნდება შესაბამისი შეცდომა. ამ შემთხვევაში თქვენ უნდა მოაწეროთ ხელი ფაილს „პრობლემური“ პერსონალური სერტიფიკატით. ხელმოწერის ოპერაციის შესრულებისას გამოჩნდება დიალოგური ფანჯარა, რომელიც მოგთხოვთ დააინსტალიროთ დაკარგული root სერტიფიკატი. დააწკაპუნეთ დიახ, რათა დააინსტალიროთ დაკარგული root სერტიფიკატი.

სერტიფიცირების ორგანო CAFL63საფუძველზე შექმნილი. SQLite3 DBMS გამოიყენება მონაცემების შესანახად (მოთხოვნები, სერთიფიკატები, პარამეტრები და ა.შ.). სერტიფიცირების ორგანოს აქვს გრაფიკული ინტერფეისი, რომელიც შემუშავებულია Tcl/Tk-ში.

CAFL63 CA შეიქმნა მოთხოვნების გათვალისწინებით ფედერალური კანონი 2011 წლის 6 აპრილი No63-FZ "ელექტრონული ხელმოწერის შესახებ", ასევე "მოთხოვნები ფორმისთვის კვალიფიციური სერტიფიკატიელექტრონული ხელმოწერის გადამოწმების გასაღები”, დამტკიცებული რუსეთის უშიშროების ფედერალური სამსახურის 2011 წლის 27 დეკემბრის No795 ბრძანებით.

CA მოიცავს სარეგისტრაციო ცენტრს (CR), რომელიც პასუხისმგებელია მოქალაქეთაგან სერთიფიკატებზე განაცხადების მიღებაზე. დღეს სერტიფიკატები გაიცემა იურიდიულ, ფიზიკურ და ინდმეწარმეებზე. განაცხადები მიიღება ქ ელექტრონულ ფორმატში PKCS#10, CSR (სერთიფიკატის ხელმოწერის მოთხოვნა) ან SPKAC ფორმატში. გაითვალისწინეთ, რომ CSR ფორმატი არის PKCS#10 PEM კოდირებული მოთხოვნა ----- BEGIN REQUEST CERTIFICATE----- სათაურით.

მოთხოვნა არის შევსებული კითხვარი, რისთვისაც საჭიროა სერთიფიკატი, მომხმარებლის საჯარო გასაღები, დამოწმებული (ხელმოწერილი) მომხმარებლის პირადი გასაღებით. გარდა ამისა, დოკუმენტების პაკეტით, რომელიც ადასტურებს, კერძოდ, განმცხადებლის ვინაობას და ელექტრონული საშუალებით, რომელზედაც ინახება მოთხოვნა (ხაზს ვუსვამ, რომ მოთხოვნა, სჯობს პირადი გასაღები სხვაგან შეინახოს), მოქალაქე მოდის. CR CA-ს.

CR ამოწმებს დოკუმენტებს, მოთხოვნას (შევსებული მონაცემები, ელექტრონული ხელმოწერის სისწორე და ა.შ.) და თუ ყველაფერი კარგად წავიდა, იღებენ მოთხოვნას, ამტკიცებენ და გადასცემენ სერტიფიკაციის ცენტრს (CA).

იმ შემთხვევაში, თუ განმცხადებელი მოვიდა მზა მოთხოვნის გარეშე, მაშინ ის, CR თანამშრომელთან ერთად, მიდის ცალკე სამუშაო ადგილისადაც მომზადებულია სერტიფიკატის მოთხოვნა. მომზადებული მოთხოვნა ელექტრონული მედია, როგორც უკვე აღვნიშნეთ, შედის CR. რა უნდა ახსოვდეს განმცხადებელს აქ? უპირველეს ყოვლისა: განმცხადებელმა უნდა აიღოს მედია გენერირებული პირადი გასაღებით!

ელექტრონულ მედიაზე დამტკიცებული მოთხოვნა გადაეცემა CA-ს, სადაც მის საფუძველზე გაიცემა სერტიფიკატი.

ეს არის UC– ის მუშაობის ძირითადი დიაგრამა. დეტალები გაირკვევა ქვემოთ. ერთი შენიშვნა, მოთხოვნის მომზადების პროგრამის დემონსტრირების მოხერხებულობისთვის, CR და CA გაერთიანებულია ერთ დემო კომპლექსში. მაგრამ ფუნქციონირების გამიჯვნის პრობლემა არ არის. უმარტივესი გამოსავალია CAFL63-ის ასლი გქონდეთ თითოეულ სამუშაო ადგილზე და გამოიყენოთ მხოლოდ საჭირო ფუნქციონალობა.

როდესაც პროექტი გაჩაღდა, SimpleCA პროექტმა მიიპყრო ჩემი თვალი. ამ პროექტის შესწავლა ძალიან დამეხმარა CAFL63 CA-ს საბოლოო განხორციელებაში.

ჩამოტვირთეთ CAFL63 დისტრიბუცია Win32/Win64, Linux_x86/Linux_x86_64 პლატფორმებისთვის.

ასე რომ, ჩვენ ვიწყებთ CAFL63 პროგრამას - CAFL63 საწყისი გვერდი გამოჩნდება ეკრანზე:

მუშაობას ვიწყებთ ღილაკზე "Create DB" დაჭერით. CA მონაცემთა ბაზა იქმნება SQLite3 cross-platform DBMS-ის გამოყენებით. CA მონაცემთა ბაზა შეიცავს რამდენიმე ცხრილს. მთავარი ცხრილი - mainDB - შეიცავს მხოლოდ ერთ ჩანაწერს, რომელიც ინახავს root სერთიფიკატს, პაროლით დაშიფრულ პირად გასაღებს და CA პარამეტრებს. არსებობს ორი ცხრილი, რომელიც დაკავშირებულია სერტიფიკატის მოთხოვნებთან: reqDB მიმდინარე მოთხოვნები და reqDBArc მოთხოვნების არქივი. სერთიფიკატებისთვის იქმნება სამი ცხრილი: ახალი სერტიფიკატის ცხრილი certDBNew, სერტიფიკატის არქივის ცხრილი CertDB და სერტიფიკატის გაუქმების ცხრილი CertDBRev. ყველა მოთხოვნისა და სერტიფიკატის ცხრილი იყენებს საჯარო გასაღების ჰეშის მნიშვნელობას (sha1), როგორც პირველადი გასაღები. ეს ძალიან მოსახერხებელი აღმოჩნდა, მაგალითად, მოთხოვნით სერთიფიკატის ძებნისას ან პირიქით. მონაცემთა ბაზაში არის კიდევ ერთი crlDB ცხრილი, რომელიც ინახავს გაუქმებული სერთიფიკატების სიებს. ასე რომ, ჩვენ დავაწკაპუნეთ ღილაკს "Create DB":

CA-ს შექმნა იწყება დირექტორიას არჩევით, რომელშიც ჩვენ ვინახავთ მონაცემთა ბაზას და დავაყენებთ პაროლს CA-ს პირად გასაღებზე წვდომისთვის. ღილაკზე "შემდეგი" დაჭერით, ჩვენ გადავდივართ CA-სთვის გასაღებების წყვილის ტიპისა და პარამეტრების არჩევის გვერდზე:

მას შემდეგ რაც გადავწყვიტეთ სასერთიფიკატო ორგანოს ძირეული სერტიფიკატის გასაღების წყვილი, ჩვენ ვაგრძელებთ ფორმის შევსებას მფლობელის შესახებ (ჩვენ გამოვტოვეთ პირველი ეკრანის სურათი):

გაითვალისწინეთ, რომ CAFL63 პროგრამას აქვს გარკვეული "ინტელექტი" და, შესაბამისად, აკონტროლებს არა მხოლოდ მონაცემების არსებობას ველებში, არამედ ველების შევსების სისწორეს (წითელი მონიშვნა - არასწორია), როგორიცაა TIN, OGRN, SNILS, OGRNIP, მისამართი. ელფოსტადა ა.შ.

CA-ს მფლობელის შესახებ ველების შევსების შემდეგ, თქვენ მოგეთხოვებათ გადაწყვიტოთ CA-ს სისტემის პარამეტრები:

თუ არ აპირებთ რუსულ კრიპტოგრაფიით მუშაობას, მაშინ შეგიძლიათ გამოიყენოთ ჩვეულებრივი OpenSSL. რუსულ კრიპტოგრაფიასთან მუშაობისთვის, თქვენ უნდა მიუთითოთ შესაბამისი ვერსია, OpenSSL-ის მოდიფიკაცია. წაიკითხეთ README.txt ჩამოტვირთულ დისტრიბუციაში დამატებითი დეტალებისთვის. ასევე, FZ-63-ის შესაბამისად, შემოთავაზებულია ინფორმაციის დადგენა თავად CA-ს და მის მიერ გამოყენებული CIPF-ის სერტიფიცირების შესახებ.

ყველა ველის სწორად შევსების შემდეგ, კიდევ ერთხელ მოგეთხოვებათ შეამოწმოთ მათი ვალიდობა და დააჭიროთ ღილაკს „დასრულება“:

ღილაკზე "დასრულება" დაჭერის შემდეგ შეიქმნება CA მონაცემთა ბაზა, რომელშიც შეინახება: CA root სერთიფიკატი, პირადი გასაღები, სისტემის პარამეტრები. და CAFL63 კომუნალური პროგრამის საწყისი გვერდი კვლავ გამოჩნდება ეკრანზე. ახლა, როდესაც ჩვენ შევქმენით ახლად შექმნილი CA-ს მონაცემთა ბაზა, ვაჭერთ ღილაკს "Open DB", ვირჩევთ დირექტორიას მონაცემთა ბაზასთან და შევდივართ CA-ს მთავარ სამუშაო ფანჯარაში:

ღილაკზე "View CA CA" დაწკაპუნებით, ჩვენ დავრწმუნდებით, რომ ეს არის ჩვენი root სერთიფიკატი.

შემდეგი ნაბიჯი არის აპლიკაციის შაბლონების/პროფილების მომზადება იურიდიული, ფიზიკური და ინდივიდუალური მეწარმეებისთვის ( ინსტრუმენტები->პარამეტრები->სერთიფიკატის ტიპები->ახალი ):

ახალი პროფილის სახელის დაყენების შემდეგ, მოგეთხოვებათ განსაზღვროთ მისი შემადგენლობა:

პროფილების მომზადების შემდეგ CA მზადაა მიიღოს განმცხადებლები და მათგან განაცხადები. როგორც ზემოთ აღინიშნა, განმცხადებელს შეუძლია სერთიფიკატის მისაღებად შევსებული განაცხადით ან მის გარეშე.

თუ განმცხადებელი მოვიდა შევსებული აპლიკაციით, მაშინ მისი საბუთების შემოწმების შემდეგ განაცხადი იმპორტირებულია CA-ს მონაცემთა ბაზაში. ამისათვის მთავარ სამუშაო ფანჯარაში აირჩიეთ ჩანართი „სერთიფიკატის მოთხოვნები“, დააწკაპუნეთ ღილაკზე „იმპორტის მოთხოვნა / CSR“ და აირჩიეთ ფაილი მოთხოვნით. ამის შემდეგ გამოჩნდება ფანჯარა მოთხოვნის შესახებ ინფორმაციის შესახებ:

მოთხოვნის განხილვისა და მისი სწორად შევსების შემდეგ, შეგიძლიათ დააჭიროთ ღილაკს „იმპორტი“ მონაცემთა ბაზაში შესაყვანად. ჩვენ დაუყოვნებლივ აღვნიშნავთ, რომ როდესაც თქვენ ცდილობთ ხელახლა შეიყვანოთ მოთხოვნა CA მონაცემთა ბაზაში, გამოჩნდება შეტყობინება:

მოთხოვნები CA მონაცემთა ბაზაში მონიშნულია (სვეტი "ტიპი") ან როგორც "Locale", რომელიც შექმნილია CA-ს მიერ, ან როგორც "იმპორტი", რომელიც შექმნილია თავად განმცხადებლის მიერ და ასევე არის CA-ს მიერ განაცხადის მიღების დრო. ჩაიწერა. ეს შეიძლება სასარგებლო იყოს კონფლიქტურ სიტუაციებში.

თუ განმცხადებელი მოვიდა განაცხადის გარეშე და ითხოვს მის შექმნას, მაშინ პირველ რიგში აუცილებელია გადაწყვიტოს ( პარამეტრები->სერთიფიკატის ტიპები->ინდივიდუალური->რედაქტირება ) გასაღების წყვილის ტიპით ( -> გასაღების წყვილი ), რა მიზნით ( -> გასაღების გამოყენება ) საჭიროა სერთიფიკატი:

გასაღების წყვილი შეიძლება შეიქმნას CIPF "LIRSSL-CSP" (ღილაკი OpenSSL) და შეინახოს ფაილში, ან PKCS#11 ჟეტონზე (PKCS#11 ღილაკი). ამ უკანასკნელ შემთხვევაში, თქვენ ასევე უნდა მიუთითოთ ჟეტონზე წვდომის ბიბლიოთეკა (მაგალითად, rtpkcs11ecp RuToken ECP ტოკენისთვის ან ls11cloud for ).

მას შემდეგ რაც გადაწყვეტთ პროფილს და დააწკაპუნეთ ღილაკზე „შემდეგი“, შემდგომი პროცედურა დიდად არ განსხვავდება root სერტიფიკატის გაცემისგან. ერთი მნიშვნელოვანი შენიშვნა: გახსოვდეთ სად ინახავთ პირად გასაღებს და პაროლს გასაღებზე წვდომისთვის. თუ PKCS#11 ჟეტონი/სმარტ ბარათი გამოიყენება როგორც CIPF გასაღების წყვილის გენერირებისთვის, მაშინ ის უნდა იყოს დაკავშირებული კომპიუტერთან:

შექმნილი ან იმპორტირებული აპლიკაცია მდებარეობს CA მონაცემთა ბაზაში და ნაჩვენებია მთავარ ფანჯარაში "სერთიფიკატის მოთხოვნები" ჩანართზე. მიღებული მოთხოვნები განიხილება ("სტატუსები" სვეტი "სერთიფიკატის მოთხოვნები" და "მოთხოვნების არქივი" ჩანართებში). ყოველი ახლად მიღებული მოთხოვნისთვის უნდა იქნას მიღებული გადაწყვეტილება (კონტექსტური მენიუ, როდესაც თქვენ დააწკაპუნებთ მარჯვენა ღილაკით არჩეულ მოთხოვნაზე):

თითოეული მოთხოვნის უარყოფა ან დამტკიცება შეიძლება:


თუ მოთხოვნა უარყოფილია, ის გადადის reqDB მიმდინარე მოთხოვნის ცხრილიდან reqDBArc მოთხოვნის არქივის ცხრილში და შესაბამისად ქრება სერტიფიკატის მოთხოვნების ჩანართიდან და კვლავ გამოჩნდება მოთხოვნის არქივის ჩანართზე.

დამტკიცებული განაცხადი რჩება reqDB ცხრილში და "სერთიფიკატის მოთხოვნების" ჩანართზე სერთიფიკატის გაცემამდე და შემდეგ ასევე მოხვდება არქივში.

სერთიფიკატის გაცემის პროცედურა, მენიუს პუნქტი "სერთიფიკატის გაცემა") ოდნავ განსხვავდება განაცხადის შექმნის პროცედურისგან:

გაცემული სერთიფიკატი დაუყოვნებლივ გამოჩნდება "სერთიფიკატების" ჩანართზე. ამ შემთხვევაში, სერტიფიკატი თავად შედის CA მონაცემთა ბაზის certDBNew ცხრილში და რჩება იქ, სანამ არ გამოქვეყნდება. სერტიფიკატი გამოქვეყნებულად ითვლება მას შემდეგ, რაც ის ექსპორტირებულია ახალი სერთიფიკატების SQL ნაგავსაყრელში, რომელიც გადაეცემა საჯარო სამსახურს. სერთიფიკატის გამოქვეყნება გადაიყვანს მას certDBNew ცხრილიდან certDB ცხრილში.

თუ დააჭერთ მაუსის მარჯვენა ღილაკს არჩეულ ხაზზე "სერთიფიკატების" ჩანართში, გამოჩნდება მენიუ შემდეგი ფუნქციებით:

თუ მოთხოვნა შეიქმნა CA-ში გასაღებით გენერირებული და ფაილში შენახული, მაშინ თქვენ უნდა შექმნათ PKCS # 12 კონტეინერი და გაუგზავნოთ განმცხადებელს:

ყურადღება უნდა მიაქციოთ "მეგობრულ სახელს" - მასში ციტატები თავიდან უნდა იქნას აცილებული:

PKCS#12 უსაფრთხო კონტეინერის შექმნის შემდეგ განმცხადებლის პირადი გასაღების ფაილი განადგურებულია.

ასე რომ, CA-მ დაიწყო თავისი ცხოვრება, გასცა პირველი სერთიფიკატი. CA-ს ერთ-ერთი ამოცანაა გაცემული სერთიფიკატების უფასო წვდომის ორგანიზება. სერტიფიკატების გამოქვეყნება, როგორც წესი, ხდება ვებ სერვისებით. CAFL63-საც აქვს ასეთი სერვისი:

საჯარო სერვისზე სერთიფიკატებისა და გაუქმებული სერთიფიკატების სიების გამოსაქვეყნებლად, CA ან წინასწარ ატვირთავს სერთიფიკატებს ფაილებში (Certificates->Export სერტიფიკატები), ან აკეთებს SQL-ის ამონაწერს სერთიფიკატების მთელი ცხრილის შესახებ, საიდანაც შეგიძლიათ შექმნათ სერთიფიკატების მონაცემთა ბაზა. და ატვირთეთ მასში სერთიფიკატების სია და შემდეგ გააკეთეთ ახალი სერთიფიკატების SQL ნაგავსაყრელი, საიდანაც ისინი დაემატება საჯარო სერვისების მონაცემთა ბაზას:

CA-ს ფუნდამენტური ფუნქციაა გაუქმებული მოწმობების სიის გამოქვეყნება, ისევე როგორც ამას აკეთებს შინაგან საქმეთა სამინისტრო ვადაგასული პასპორტების მიმართ. სერთიფიკატი შეიძლება გაუქმდეს მფლობელის მოთხოვნით. გაუქმების მთავარი მიზეზი არის პირადი გასაღების დაკარგვა ან მის მიმართ ნდობის დაკარგვა.

სერთიფიკატის გასაუქმებლად, უბრალოდ აირჩიეთ ის "სერთიფიკატების" ჩანართზე, დააწკაპუნეთ მაუსის მარჯვენა ღილაკით და აირჩიეთ მენიუს პუნქტი "სერთიფიკატის გაუქმება":

გაუქმების პროცედურა იგივეა, რაც მოთხოვნის შექმნის ან მოწმობის გაცემისას. გაუქმებული სერთიფიკატი შედის CA მონაცემთა ბაზის cerDBRev ცხრილში და გამოჩნდება გაუქმებული სერთიფიკატების ჩანართში.

რჩება CA-ს ბოლო ფუნქციის გათვალისწინება - CRL-ის გამოშვება - გაუქმებული სერთიფიკატების სია. CRL სია გენერირდება "გაუქმებული სერთიფიკატების" ჩანართზე "COS/CRL" ღილაკზე დაჭერით. ყველაფერი, რაც აქ საჭიროა ადმინისტრატორისგან არის შეიყვანოთ CA-ს პაროლი და დაადასტუროთ მისი განზრახვა გამოსცეს CRL:

გაცემული CRL გადადის მონაცემთა ბაზის crlDB ცხრილში და ნაჩვენებია CRL/COS ჩანართზე. CRL-ის სანახავად ან საჯარო სერვისზე გამოქვეყნების მიზნით მისი ექსპორტისთვის, თქვენ, როგორც ყოველთვის, უნდა აირჩიოთ სასურველი ხაზი, დააჭიროთ მაუსის მარჯვენა ღილაკს და აირჩიოთ მენიუს ელემენტი:

ჩამოტვირთეთ CAFL63 დისტრიბუციაპლატფორმებისთვის Win32/Win64, Linux_x86/Linux_x86_64. უფრო მეტიც, ეს ყველაფერი წარმატებით მუშაობს Android პლატფორმაზე.

მკითხველს ეპატიჟება კვლევითი სამუშაო, რომლის დროსაც გამოვლინდა რიგი პრობლემები ციფრული ხელმოწერის ინსტრუმენტების გამოყენებასთან დაკავშირებით, რომლებიც წარმოიქმნება Linux-ის მომხმარებლებისთვის. კერძოდ, გაირკვა შემდეგი არც თუ ისე აშკარა პუნქტები:

  • ელექტრონული პერსონალური სერტიფიკატის მიღებისა და გამოყენების შესაძლებლობა ციფრული ხელმოწერასაჯარო სერვისებზე ხელმისაწვდომობისთვის დღეს მხოლოდ კომერციული ორგანიზაციები უზრუნველყოფენ საფასურს;
  • სხვადასხვა ავტორიზებული ორგანიზაციის მიერ საბოლოო მომხმარებლისთვის გაცემული ელექტრონული ხელმოწერის მონაცემთა მატარებლები შეიძლება შეუთავსებელი იყოს როგორც ერთმანეთთან, ასევე პორტალებთან, რომლებიც უზრუნველყოფენ წვდომას სერვისებზე, მათ შორის საჯაროზე;
  • ელექტრონული ხელმოწერის მონაცემთა მატარებლების უსაფრთხოების დონე, რომელიც მასიურად გაიცემა საბოლოო მომხმარებლებზე, როგორც წესი, მნიშვნელოვნად მცირდება დღეს არსებულ ტექნოლოგიურ დონესთან მიმართებაში;
  • შიდა პროგრამული უზრუნველყოფის რეესტრიდან OS მომხმარებელთა უმრავლესობისთვის EDS მექანიზმები საჯარო სერვისების ერთიან პორტალზე მიუწვდომელია EPGU პროგრამული უზრუნველყოფისა და პერსონალური ელექტრონული ხელმოწერის სერთიფიკატების გამცემი ავტორიზებული ორგანიზაციების პროგრამული უზრუნველყოფის შეუთავსებლობის გამო;
  • ზოგიერთ შემთხვევაში პორტალების დეველოპერები უზრუნველყოფენ საჯარო სერვისები, გირჩევთ გამოიყენოთ ოპერაციული სისტემები, რომლებიც არ შედის რეესტრში, ასევე პროგრამული ინსტრუმენტები და კონფიგურაციები, რომლებიც შეგნებულად ამცირებს მომხმარებლის მონაცემების უსაფრთხოებას.

ნაშრომის ავტორები იმედოვნებენ, რომ მიღებული შედეგები სასარგებლო იქნება გადაწყვეტილებების მომხმარებლებისთვის, რომლებიც იყენებენ EDS მექანიზმებს, ინტეგრატორებს, რომლებიც ახორციელებენ შესაბამის გადაწყვეტილებებს, ასევე მხედველობაში მიიღებენ ორგანიზაციებს, რომლებიც პასუხისმგებელნი არიან საჯარო საინფორმაციო სერვისებზე და კონკრეტული EDS ინფრასტრუქტურული მექანიზმების დანერგვაზე. ასევე შესაბამისი პროგრამული უზრუნველყოფისა და ტექნიკის დეველოპერები.

Რის შესახებაა

სტატია ეძღვნება ALT OS-ში დოკუმენტების ელექტრონული ციფრული ხელმოწერის (EDS) მხარდაჭერას, ასევე რუსეთის ფედერაციაში EDS-ის გამოყენების სპეციფიკას.

მთავარი ამოცანაა იმის გაგება, თუ რა უნდა გააკეთოს "ჩვეულებრივმა მომხმარებელმა" - არ აქვს მნიშვნელობა, ფიზიკური თუ იურიდიული პირი - მოქმედებს საერთო საფუძველზე, რათა სრულად გამოიყენოს ელექტრონული სავაჭრო პლატფორმების და საჯარო სერვისების პორტალების შესაძლებლობები. მუშაობს OS-ში შიდა პროგრამული უზრუნველყოფის რეესტრიდან. „სრული გამოყენება“ ნიშნავს, უპირველეს ყოვლისა, ავთენტიფიკაციის შესაძლებლობას შესაბამის საიტზე ცალკე ფიზიკურ საშუალებაზე განთავსებული სერთიფიკატის გამოყენებით და საიტის ინტერფეისში გენერირებული დოკუმენტების ელექტრონული ხელმოწერის შესაძლებლობას.

ამ თემაზე უკვე ჩატარდა არაერთი კვლევითი სამუშაო, რომლის შედეგი იყო დასკვნა, რომ პრინციპში ყველაფერი მუშაობს. აქ მნიშვნელოვანია გვესმოდეს, რომ Linux OS-ით გაშვებული თანამედროვე კრიპტოგრაფიული ხელსაწყოების რუსეთის ფედერაციის სახელმწიფო სერვისების პორტალებთან თავსებადობის კვლევების უმეტესობა ჩატარდა ლაბორატორიულ პირობებში. მაგალითად, თუ არსებობს სპეციალური შეთანხმებები მკვლევარსა და სერტიფიცირების ორგანოს შორის, რომელიც გასცემს სერტიფიკატს. სამწუხაროდ, ასეთი სამუშაოს შედეგებზე დაყრდნობით, ძნელია ვიმსჯელოთ საერთო საფუძველზე მოქმედი პირების რეალურ შესაძლებლობებზე.

როგორ მუშაობს ეს ყველაფერი

იმისათვის, რომ შეხვიდეთ საიტზე შესვლისა და პაროლის გარეშე, არამედ უბრალოდ USB კონექტორთან ტექნიკის ჟეტონის მიერთებით, აუცილებელია ოპერაციულ სისტემაში სპეციალიზებული პროგრამული დასტამ სწორად იმუშაოს: ფიზიკური მოწყობილობების მხარდაჭერა, კრიპტოგრაფიული ალგორითმები, პროგრამული ინტერფეისები. , ფორმატები და საკომუნიკაციო პროტოკოლები. ამავდროულად, კრიპტოგრაფიული ალგორითმების, ფორმატებისა და პროტოკოლების თავსებადობა ასევე უნდა იყოს უზრუნველყოფილი OS-ის პასუხისმგებლობის სფეროს მიღმა - სერტიფიკაციის ორგანოში, რომელიც გასცემს სერთიფიკატს, და იმ საიტზე, რომელზეც უნდა იყოს წვდომა.

და თუ ვსაუბრობთ სახელმწიფო უწყებების ვებგვერდებზე, ასევე აუცილებელია, რომ გამოყენებული კრიპტოვალუტები იყოს სერტიფიცირებული შესაბამისი გამოყენებისთვის. რუსეთის ფედერაცია.

ძირითადი მექანიზმები

EDS ტექნოლოგია, რომელიც ოფიციალურად გამოიყენება რუსეთის ფედერაციაში, დაფუძნებულია საჯარო გასაღების ინფრასტრუქტურაზე. მოდით შევხედოთ როგორ მუშაობს ეს მაგალითით.

სიცხადისთვის, განვიხილოთ უნივერსალური ალგორითმების მოქმედების მექანიზმი, რომელიც შესაფერისია როგორც ელექტრონული ხელმოწერისთვის, ასევე დაშიფვრისთვის. ასეთი ალგორითმები, სხვა საკითხებთან ერთად, მოიცავს RSA ინტერნეტ სტანდარტს და რუსული GOST R 34.10-94, რომელიც მოქმედებდა რუსეთის ფედერაციაში, როგორც ელექტრონული ხელმოწერის სტანდარტი 2001 წლამდე. უფრო თანამედროვე EDS ალგორითმები, რომლებიც, სხვა საკითხებთან ერთად, მოიცავს მიმდინარე GOST R 34.10-2001 და GOST R 34.10-2012, როგორც წესი, სპეციალიზირებულია. ისინი განკუთვნილია ექსკლუზიურად დოკუმენტების ხელმოწერისთვის და არ არის შესაფერისი დაშიფვრისთვის. ტექნიკურად, განსხვავება სპეციალიზებულ ალგორითმებს შორის არის ის, რომ მათ შემთხვევაში ჰეში არ არის დაშიფრული. დაშიფვრის ნაცვლად, მასზე სხვა გამოთვლებიც კეთდება პირადი გასაღების გამოყენებით, რომლის შედეგი ინახება ხელმოწერის სახით. ხელმოწერის გადამოწმებისას, შესაბამისი დამატებითი გამოთვლები ხორციელდება საჯარო გასაღების გამოყენებით. უნივერსალურობის დაკარგვა ამ შემთხვევაში არის გადახდა უფრო მაღალი კრიპტოგრაფიული სიძლიერისთვის. ქვემოთ მოყვანილი მაგალითი უნივერსალური ალგორითმით, ალბათ, ნაკლებად აქტუალურია, მაგრამ ალბათ უფრო გასაგები არამზადა მკითხველისთვის.

დოკუმენტის ხელმოწერა

ასე რომ, საჯარო გასაღების ინფრასტრუქტურაში ელექტრონული ხელმოწერის ფორმირებისთვის გამოიყენება ასიმეტრიული დაშიფვრის სქემა, რომელიც ხასიათდება წყვილი გასაღებების გამოყენებით. ის, რაც დაშიფრულია ამ კლავიშებიდან ერთ-ერთით, შეიძლება გაშიფრული იყოს მხოლოდ წყვილის მეორე გასაღებით. წყვილის ერთ-ერთ გასაღებს ეწოდება საიდუმლო, ან პირადი და ინახება მაქსიმალურად გასაიდუმლოებულად, მეორეს ეწოდება საჯარო, ანუ ღია და თავისუფლად ნაწილდება - როგორც წესი, როგორც მოწმობის ნაწილი. გასაღების გარდა, ელექტრონული ხელმოწერის სერტიფიკატი შეიცავს ინფორმაციას სერტიფიკატის მფლობელის შესახებ, ასევე გასაღების ხელმოწერას, მესაკუთრის შესახებ ინფორმაციას ზოგიერთი სანდო მხარის მიერ. ამრიგად, სერტიფიკატი უკვე შეიცავს ელექტრონულ ხელმოწერას, რომელიც ადასტურებს, რომ მფლობელის შესახებ ინფორმაცია შეესაბამება მის გასაღების წყვილს.

ორგანიზაციულად, ამ ხელმოწერას ასრულებს სერტიფიცირების ორგანო (CA) - იურიდიული პირი A, რომელსაც აქვს დელეგირებული უფლებამოსილება, დაადგინოს და დაადასტუროს, რომ მფლობელი და გასაღები ემთხვევა. შესაბამისობა დგინდება ქაღალდის დოკუმენტების წარდგენის შემდეგ და დასტურდება ზუსტად ელექტრონული ხელმოწერით, რაც მოსახერხებელია განიხილოს მხოლოდ სერტიფიკატის დამზადების მაგალითით.

კლიენტის სერტიფიკატების ხელმოწერის სერტიფიცირების ორგანოს ასევე აქვს წყვილი გასაღები. სერტიფიკატის მფლობელის შესახებ დადასტურებული ინფორმაცია სპეციალურად შექმნილი ცხრილის სახით გაერთიანებულია ერთ დოკუმენტში მისი საჯარო გასაღებით. ეს დოკუმენტი შემდეგ გადის ორ ტრანსფორმაციას. პირველი, ჰეშის ფუნქცია აქცევს დოკუმენტს ფიქსირებული სიგრძის სიმბოლოების უნიკალურ თანმიმდევრობად (ჰეში). შემდეგი, მიღებული ჰეში დაშიფრულია სერტიფიკაციის ორგანოს პირადი გასაღებით. დაშიფვრის შედეგი არის ფაქტობრივი ელექტრონული ხელმოწერა. იგი თან ერთვის ხელმოწერილ დოკუმენტს, ამ შემთხვევაში, ინფორმაციას მომხმარებლისა და მისი გასაღების შესახებ და ნაწილდება მასთან ერთად. ეს ყველაფერი ერთად - დოკუმენტი მომხმარებლის და მისი საჯარო გასაღების შესახებ ინფორმაციის, ასევე ამ დოკუმენტის ხელმოწერით CA-ს საჯარო გასაღებით, შედგენილია სპეციალური გზით და ეწოდება მომხმარებლის სერთიფიკატი.

ისევე, როგორც მომხმარებლის მონაცემების შემთხვევაში, როგორც სერტიფიკატის ნაწილი, გაიცემა ნებისმიერი სხვა დოკუმენტის ელექტრონული ხელმოწერა. მაგალითად, ფაილი სერვისის აპლიკაციით. ფაილი ჰეშირებულია, შედეგად მიღებული ჰეში დაშიფრულია მომხმარებლის საიდუმლო გასაღებით და თან ერთვის დოკუმენტს. შედეგი არის ხელმოწერილი დოკუმენტი.

ხელმოწერის შემოწმება

როგორც ჩვეულებრივ ხდება ასიმეტრიული დაშიფვრის შემთხვევაში, ის, რაც დაშიფრულია ერთი გასაღებით, შეიძლება გაშიფრული იყოს მხოლოდ წყვილის მეორე გასაღებით. ასე რომ, სერტიფიკატის შემთხვევაში, დოკუმენტის დაშიფრული ჰეში, რომელიც შეიცავს მომხმარებლის საჯარო გასაღების და მომხმარებლის შესახებ დამოწმებულ ინფორმაციას, შეიძლება გაშიფრული იყოს სერტიფიკაციის ორგანოს საჯარო გასაღების გამოყენებით, რომელიც თავისუფლად ნაწილდება, როგორც სერტიფიკაციის ორგანოს სერტიფიკატის ნაწილი. ამრიგად, ყველას, ვინც მიიღებს CA სერთიფიკატს, შეძლებს მიიღოს გაშიფრული ჰეში მომხმარებლის სერთიფიკატიდან. ვინაიდან ჰეშის ფუნქცია იძლევა უნიკალურ შედეგს, მისი გამოყენებით დოკუმენტზე, რომელიც შეიცავს მომხმარებლის საჯარო გასაღების და მის შესახებ ინფორმაციას, შეგიძლიათ შეამოწმოთ ემთხვევა თუ არა ეს ორი ჰეში. თუ ისინი არიან, მაშინ ჩვენ გვაქვს იგივე დოკუმენტი, რომელსაც ხელი მოაწერა სერტიფიკაციის ცენტრმა და მასში შემავალი ინფორმაცია შეიძლება იყოს სანდო. თუ არა, მაშინ ხელმოწერა არ ემთხვევა დოკუმენტს და ჩვენ გვაქვს ყალბი.

CA სერთიფიკატის შემოწმების სიტუაცია ზუსტად იგივეა - მას ასევე ხელს აწერს რაიმე გასაღები. შედეგად, ხელმოწერილი სერთიფიკატების ჯაჭვი მთავრდება „ძირეული“ სერთიფიკატით, რომელიც ხელმოწერილია. ასეთ მოწმობას თვით ხელმოწერილი ეწოდება. რუსეთის ფედერაციის ოფიციალურად აკრედიტებული სასერტიფიკაციო ცენტრებისთვის, ძირეული სერტიფიკატი არის ტელეკომისა და მასობრივი კომუნიკაციების სამინისტროს მთავარი სერტიფიკაციის ცენტრის სერთიფიკატი.

მომხმარებლისა და მისი საჯარო გასაღების შესახებ ინფორმაციის გარდა, სერტიფიკატი შეიცავს დამატებით მონაცემებს - კერძოდ, სერტიფიკატის მოქმედების ვადას. თუ ჯაჭვში ერთ სერტიფიკატს ვადა გაუვიდა, ხელმოწერა ბათილად ითვლება.

ასევე, ხელმოწერა ბათილად ჩაითვლება, თუ კლიენტის სერტიფიკატი გაუქმდება CA-ს მიერ. სერტიფიკატის გაუქმების შესაძლებლობა სასარგებლოა, მაგალითად, იმ სიტუაციებში, როდესაც საიდუმლო გასაღები გაჟონულია. საბანკო ბარათის დაკარგვის შემთხვევაში ბანკთან დაკავშირების ანალოგია მიზანშეწონილია.

სასერტიფიკაციო ცენტრების მომსახურება

ასე რომ, სერტიფიცირების ცენტრი თავისი ხელმოწერით ადასტურებს გარკვეული საჯარო გასაღების შესაბამისობას ჩანაწერების გარკვეულ კომპლექტთან. თეორიულად, CA-ს ხარჯები ერთი სერტიფიკატის ხელმოწერისთვის ახლოს არის ნულთან: თავად ხელმოწერა არის კარგად ავტომატიზირებული, არც თუ ისე ძვირი გამოთვლითი ოპერაცია თანამედროვე აღჭურვილობაზე. ამავდროულად, UC-ის მომსახურება ფასიანია. მაგრამ, CA-ებისგან განსხვავებით, რომლებიც გასცემენ სერთიფიკატებს ვებსაიტებისთვის, აქ ფული მთლიანად ჰაერიდან არ კეთდება.

სერტიფიკატის ღირებულების პირველი კომპონენტია აკრედიტებული CA-ს მომსახურების ზედნადები ხარჯები. ეს მოიცავს: CA სერთიფიკატის ღირებულებას, რომელიც ასევე გადახდილია, სერტიფიცირებული პროგრამული უზრუნველყოფის ლიცენზიის ღირებულებას, პერსონალური მონაცემების დაცვის ორგანიზაციული ღონისძიებების უზრუნველყოფის ღირებულებას და ა.შ. ასე დგინდება, მაგალითად, პირადი მოწმობის ღირებულება ინდივიდუალური. რაც შესაძლებელს ხდის ადგილობრივი ფაილების, დოკუმენტების ხელმოწერას საჯარო სერვისების ვებსაიტებზე და ფოსტის შეტყობინებებზე.

სერტიფიკატის ღირებულების მეორე კომპონენტი ჩნდება მაშინ, როდესაც მომხმარებელს სურს გამოიყენოს თავისი სერტიფიკატი, მაგალითად, ელექტრონულ სავაჭრო პლატფორმებზე სამუშაოდ. მოქმედი რეგულაციების მიხედვით, ელექტრონული სავაჭრო პლატფორმის საიტი ახდენს კლიენტის ავთენტიფიკაციას, თუ უკვე დაკმაყოფილებულია ორი პირობა: პირველი, თუ სერტიფიკატს ვადა არ გაუვიდა, სერტიფიკატი არ გაუქმებულა და მისი ხელმოწერა მოქმედებს. და მეორეც, თუ სერთიფიკატში ნათლად არის მითითებული, რომ იგი შექმნილია კონკრეტულ საიტზე სამუშაოდ. ამის ჩანაწერი ჰგავს ჩვეულებრივ ჩანაწერს იმავე ცხრილში, რომელიც ინახავს სერტიფიკატის დანარჩენ მონაცემებს. თითოეულ მომხმარებლის სერტიფიკატში ყოველი ასეთი ჩანაწერისთვის, სერტიფიცირების ცენტრი იძლევა გარკვეულ თანხას. რომელიც ითხოვს ანაზღაურებას სერტიფიკატის მფლობელის ხარჯზე. ამიტომ, სერთიფიკატები, რომლებიც ელექტრონულ სავაჭრო პლატფორმებზე შესვლის საშუალებას იძლევა, უფრო ძვირია.

მუქარები და თავდასხმები

დაშიფვრისგან განსხვავებით, ელექტრონული ხელმოწერის შემთხვევაში თავდამსხმელის მთავარი ამოცანაა არა გაშიფრული ტექსტის მოპოვება, არამედ თვითნებური დოკუმენტის ელექტრონული ხელმოწერის გაყალბება ან წარმოება. ანუ, შედარებით რომ ვთქვათ, არა გაშიფვრის, არამედ დაშიფვრისკენ. პირობითად - იმიტომ, რომ ციფრული ხელმოწერის თანამედროვე სპეციალიზებული ალგორითმები, როგორც ზემოთ აღინიშნა, არ შიფრავს დოკუმენტის ჰეშს, არამედ ახორციელებს მათემატიკური ოპერაციების მსგავსი მნიშვნელობით, მაგრამ ტექნიკურად განსხვავებულ მასზე.

რუსეთის ფედერაციაში მიღებული სტანდარტების მიხედვით, დოკუმენტების ელექტრონული ხელმოწერისას გამოიყენება კრიპტოგრაფიული ალგორითმები, რომლებიც შეესაბამება სახელმწიფო სტანდარტი RF (GOST R). ამ ტექსტის დაწერის დროს (2016 წლის მეორე ნახევარი), არცერთი ალგორითმისთვის, რომელიც დაკავშირებულია EDS-თან და აქვს სტანდარტის სტატუსი რუსეთის ფედერაციაში, უცნობია თავდასხმის მეთოდები, რომლებიც მნიშვნელოვნად განსხვავდება სირთულით მარტივი ჩამოთვლისგან. პრაქტიკაში, ეს ნიშნავს, რომ თავდამსხმელისთვის, რომლის კომპიუტერულ რესურსებზე წვდომის დონე უფრო დაბალია, ვიდრე დიდ სახელმწიფოში, უფრო ადვილია, სცადოს გასაღების მოპარვა, ვიდრე ალგორითმის გატეხვა და ხელმოწერის გაყალბება.

ამრიგად, ელექტრონული ხელმოწერის შემთხვევაში, თავდასხმის ძირითადი ვექტორები მიზნად ისახავს თავდამსხმელის მიერ საიდუმლო გასაღების მიღებას. თუ გასაღები ინახება დისკზე არსებულ ფაილში, მისი მოპარვა ნებისმიერ დროს შესაძლებელია შესაბამისი წაკითხვის წვდომის მიღებით. მაგალითად, ვირუსის დახმარებით. თუ გასაღები ინახება დაშიფრული ფორმით, მისი მიღება შესაძლებელია განაცხადის დროს - მაგალითად, როდესაც პროგრამა, რომელიც ახორციელებს ელექტრონულ ხელმოწერას, უკვე გაშიფრავს გასაღები და ამუშავებს მონაცემებს. ამ შემთხვევაში, ამოცანა ბევრად უფრო რთული ხდება - თქვენ უნდა იპოვოთ დაუცველობა პროგრამაში, ან თავად მოგიწევთ გასაღების გაშიფვრა. მიუხედავად ამოცანის მნიშვნელოვანი სირთულისა, ის მაინც საკმაოდ რეალური რჩება. შესაბამისი სფეროს სპეციალისტებისთვის ის რუტინის კატეგორიას განეკუთვნება.

შესაძლებელია, თავდამსხმელის მიერ საიდუმლო გასაღების მოპოვების ამოცანა კიდევ უფრო მნიშვნელოვნად გართულდეს, საიდუმლო გასაღების ცალკე აპარატურულ მედიაზე განთავსებით ისე, რომ გასაღები არასოდეს დატოვებს ამ ფიზიკური მოწყობილობის საზღვრებს. ამ შემთხვევაში, თავდამსხმელს შეუძლია გასაღების წვდომა მხოლოდ ფიზიკური მოწყობილობის მოპარვით. მოწყობილობის დაკარგვა იქნება სიგნალი მფლობელისთვის, რომ გასაღები მოიპარეს. ნებისმიერ სხვა შემთხვევაში - და ეს არის ყველაზე მნიშვნელოვანი ნიუანსი - გასაღების ქურდობა შეიძლება შეუმჩნეველი დარჩეს და გასაღების მფლობელი დროულად ვერ გაიგებს, რომ აუცილებელია სასწრაფოდ დაუკავშირდეს CA-ს და გააუქმოს მისი სერთიფიკატის მოქმედება. .

აქ ისევ ანალოგია საბანკო ბარათი, რომელიც არის ავთენტიფიკაციის ინსტრუმენტი საბანკო ანგარიშზე წვდომისთვის. სანამ ის პატრონთანაა, ის მშვიდია. თუ ბარათი დაიკარგება, დაუყოვნებლივ უნდა დაბლოკოთ იგი. ამ შემთხვევაში, თავდამსხმელის ამოცანაა არა ბარათის მოპარვა, არამედ მისი გონივრული ასლის გაკეთება, რათა მფლობელმა არ დაბლოკოს წვდომა. თანამედროვე ტექნიკის ნიშნებისთვის, კლონირების მეთოდები ამჟამად უცნობია.

ჟეტონები

ამ დროისთვის, ზოგადად მიღებული ტერმინი ინდივიდუალური ფიზიკური მოწყობილობებისთვის, რომლებიც გამოიყენება ელექტრონული ხელმოწერის გასაღებების შესანახად, არის ნიშანი. ჟეტონების დაკავშირება შესაძლებელია კომპიუტერთან USB-ის, Bluetooth-ის ან სპეციალური მკითხველის მოწყობილობების მეშვეობით. თანამედროვე ტოკენების უმეტესობა იყენებს USB ინტერფეისს. მაგრამ ტოკენების ტიპებს შორის მთავარი განსხვავება არ არის კავშირის ინტერფეისში. ჟეტონები შეიძლება დაიყოს ორ ტიპად – ისინი, რომლებიც რეალურად გამოიყენება მხოლოდ გასაღების შესანახად და ისეთები, რომლებსაც „შეუძლიათ“ კრიპტოგრაფიული ოპერაციების დამოუკიდებლად შესრულება.

პირველი ტიპის ნიშნები განსხვავდება ჩვეულებრივი ფლეშ დრაივებისგან არსებითად მხოლოდ იმით, რომ მათგან მონაცემების წაკითხვა შესაძლებელია მხოლოდ სპეციალური პროგრამული უზრუნველყოფის დახმარებით. წინააღმდეგ შემთხვევაში, ეს არის ჩვეულებრივი გარე მონაცემების საცავი და თუ მასში საიდუმლო გასაღებს ვინახავთ, მაშინ ნებისმიერს, ვინც მიიღებს მოწყობილობაზე წვდომის უფლებებს და იცის როგორ წაიკითხოს გასაღები მისგან, შეუძლია მოიპაროს იგი. ასეთ ნიშნებს უწოდებენ პროგრამულ ტოკენებს და პრაქტიკულად არ იძლევა რაიმე უპირატესობას კომპიუტერის დისკზე გასაღების შენახვასთან შედარებით - გასაღების მფლობელი ასევე არ შეიძლება იყოს დარწმუნებული, რომ მან იცის ყველა ადგილი, სადაც მისი საიდუმლო გასაღები ინახება.

მეორე ტიპის ჟეტონებს ჰქვია ტექნიკის ტოკენები და მათი მთავარი განსხვავება ისაა, რომ საიდუმლო გასაღები არ არის აღდგენილი – ის არასოდეს ტოვებს ტოკენის საზღვრებს. ამისთვის ჟეტონზე თავსდება სპეციალური პროგრამული უზრუნველყოფის ნაკრები, რომელიც აქტიურდება ჟეტონის კომპიუტერთან მიერთებისას. სინამდვილეში, ასეთი ჟეტონი არის დამოუკიდებელი გამოთვლითი მოწყობილობა საკუთარი პროცესორით, მეხსიერებით და აპლიკაციებით, რომელიც კომუნიკაციას უწევს კომპიუტერს.

საიდუმლო გასაღები არასოდეს ტოვებს ტექნიკის ჟეტონს, რადგან ის იქმნება უშუალოდ ჟეტონზე. დოკუმენტზე ხელმოწერისთვის, დოკუმენტის ჰეში ჩაიტვირთება ჟეტონში, გამოთვლები კეთდება უშუალოდ ტოკენის „ბორტზე“ იქ შენახული საიდუმლო გასაღების გამოყენებით და მზა ხელმოწერა იტვირთება უკან. ამრიგად, ნიშნის ადგილმდებარეობის გაცნობით, ჩვენ ყოველთვის ვიცით საიდუმლო გასაღების მდებარეობა.

ტექნიკის ტოკენის ერთ-ერთი მთავარი მახასიათებელია მხარდაჭერილი კრიპტოგრაფიული ალგორითმების ნაკრები. მაგალითად, თუ გვსურს გამოვიყენოთ ტექნიკის ჟეტონი ჩვენს სახლის კომპიუტერზე ავთენტიფიკაციისთვის, ნებისმიერი თანამედროვე ჟეტონი გამოდგება. და თუ ჩვენ გვინდა ავთენტიფიკაცია სახელმწიფო სერვისების პორტალზე, მაშინ გვჭირდება ჟეტონი, რომელიც მხარს უჭერს რუსეთში დამოწმებულ კრიპტოგრაფიულ ალგორითმებს.

ქვემოთ მოცემულია მხარდაჭერილი კრიპტოგრაფიული მექანიზმების სია eToken და JaCarta GOST ტოკენებისთვის. მექანიზმების სიის მოთხოვნის მიზნით, pkcs11-tool open utility გამოიყენებოდა „-M“ პარამეტრით (სიტყვიდან „მექანიზმი“), რომელიც შეიძლება იმოქმედოს როგორც კლიენტის აპლიკაცია ნებისმიერი ბიბლიოთეკისთვის, რომელიც ახორციელებს PKCS # 11 ინტერფეისს თავისში. მიმართულება. libeToken.so და libjcPKCS11.so.1 გამოიყენება როგორც PKCS#11 ბიბლიოთეკები eToken-ისთვის და JaCarta-სთვის, შესაბამისად. eToken-ის ბიბლიოთეკა განაწილებულია როგორც SafeNet პროგრამული უზრუნველყოფის ნაწილი, ბიბლიოთეკა JaCarta-სთვის ხელმისაწვდომია Aladdin R.D-ის ვებსაიტიდან.

$ pkcs11-tool --module /usr/local/lib64/libeToken.so.9.1.7 -M მხარდაჭერილი მექანიზმები: DES-MAC, keySize=(8,8), ნიშანი, გადამოწმება DES-MAC-GENERAL, keySize=( 8,8), მოაწერე, დაადასტურე DES3-MAC, keySize=(24,24), მოაწერე, დაადასტურე DES3-MAC-GENERAL, keySize=(24,24), მოაწერე, გადაამოწმე AES-MAC, keySize=(16,32 ), მოაწერეთ ხელი, გადაამოწმეთ AES-MAC-GENERAL, keySize=(16,32), მოაწერეთ ხელი, დაადასტურეთ RC4, keySize=(8,2048), დაშიფვრა, გაშიფვრა DES-ECB, keySize=(8,8), დაშიფვრა, გაშიფვრა , wrap, unwrap DES-CBC, keySize=(8,8), encrypt, decrypt, wrap, unwrap DES-CBC-PAD, keySize=(8,8), encrypt, decrypt, wrap, unwrap DES3-ECB, keySize= (24,24), hw, encrypt, decrypt, wrap, unwrap DES3-CBC, keySize=(24,24), hw, encrypt, decrypt, wrap, unwrap DES3-CBC-PAD, keySize=(24,24), hw, დაშიფვრა, გაშიფვრა, შეფუთვა, გახსნა AES-ECB, keySize=(16,32), დაშიფვრა, გაშიფვრა, შეფუთვა, გახსნა AES-CBC, keySize=(16,32), დაშიფვრა, გაშიფვრა, შეფუთვა, გადახვევა AES-CBC -PAD, keySize=(16,32), დაშიფვრა, გაშიფვრა, გადახვევა, unwrap mechtype-0x1086, keySize=(16,32), დაშიფვრა, გაშიფვრა, შეფუთვა, ამოხვევა mec htype-0x1088, keySize=(16,32), დაშიფვრა, გაშიფვრა, გადახვევა, გადახვევა RSA-PKCS-KEY-PAIR-GEN, keySize=(1024,2048), hw, გენერირება_key_წყვილი RSA-PKCS, keySize=(1024,2048 ), hw, დაშიფვრა, გაშიფვრა, ხელმოწერა, ნიშანი_აღდგენის, გადამოწმება, გადამოწმების_აღდგენა, გადახვევა, ამოხვევა RSA-PKCS-OAEP, keySize=(1024,2048), hw, დაშიფვრა, გაშიფვრა, შეფუთვა, გახსნა RSA-PKCS-PSS, keySize= (1024,2048), hw, ნიშანი, გადამოწმება SHA1-RSA-PKCS-PSS, keySize=(1024,2048), hw, ნიშანი, დადასტურება mechtype-0x43, keySize=(1024,2048), hw, ნიშანი, დადასტურება mechtype -0x44, keySize=(1024,2048), hw, ნიშანი, დადასტურება mechtype-0x45, keySize=(1024,2048), hw, ნიშანი, დადასტურება RSA-X-509, keySize=(1024,2048), hw, დაშიფვრა , გაშიფვრა, ხელმოწერა, ნიშანი_აღდგენის, გადამოწმება, გადამოწმების_აღდგენის, შეფუთვა, გახსნა, გადამოწმება SHA256-RSA-PKCS, keySize=(1024,2048), hw, ნიშანი, დადასტურება SHA384-RSA-PKCS, keySize=(1024,2048), hw , მოაწერე, დაადასტურე SHA512-RSA-PKCS, keySize=(1024 ,2048), hw, მოაწერე, დაადასტურე RC4-KEY-GEN, keySize=(8,204 8), გენერირება DES-KEY-GEN, keySize=(8,8), გენერირება DES2-KEY-GEN, keySize=(16,16), გენერირება DES3-KEY-GEN, keySize=(24,24), გენერირება AES -KEY-GEN, keySize=(16,32), გენერირება PBE-SHA1-RC4-128, keySize=(128,128), გენერირება PBE-SHA1-RC4-40, keySize=(40,40), გენერირება PBE-SHA1- DES3-EDE-CBC, keySize=(24,24), გენერირება PBE-SHA1-DES2-EDE-CBC, keySize=(16,16), გენერირება GENERIC-SECRET-KEY-GEN, keySize=(8,2048), hw, გენერირება PBA-SHA1-WITH-SHA1-HMAC, keySize=(160,160), hw, გენერირება PBE-MD5-DES-CBC, keySize=(8,8), გენერირება PKCS5-PBKD2, გენერირება MD5-HMAC-GENERAL, keySize=(8,2048), მოაწერე, დაადასტურე MD5-HMAC, keySize=(8,2048), მოაწერე, დაადასტურე SHA-1-HMAC-GENERAL, keySize=(8,2048), მოაწერე, დაადასტურე SHA-1-HMAC , keySize=(8,2048), ნიშანი, დადასტურება mechtype-0x252, keySize=(8,2048), ნიშანი, დადასტურება mechtype-0x251, keySize=(8,2048), ნიშანი, დადასტურება mechtype-0x262, keySize=(8 ,2048), მოაწერე, დაადასტურე mechtype-0x261, keySize=(8,2048), მოაწერე, დაადასტურე mechtype-0x272, keySize=(8,2048), მოაწერე, დაადასტურე mechtype-0x271, keySize=(8,2 048), მოაწერეთ ხელი, დაადასტურეთ MD5, დაიჯესტი SHA-1, დაიჯესტი SHA256, დაიჯესტი SHA384, დაიჯესტი SHA512, დაიჯესტი mechtype-0x80006001, keySize=(24,24), გენერირება $ pkcs11-tool --module /usr/local/6 libjcPKCS11.so. 1 -M მხარდაჭერილი მექანიზმები: GOSTR3410-KEY-PAIR-GEN, hw, გენერირება_გასაღების_წყვილი GOSTR3410, hw, ნიშანი, დადასტურება GOSTR3410-WITH-GOSTR3411, hw, ნიშანი, დადასტურება mechtype-0x1204, GOSTRw30, hw1, hw2, hw3, die , გენერირება mechtype-0xC4321101 mechtype-0xC4321102 mechtype-0xC4321103 mechtype-0xC4321104 mechtype-0xC4900001

ჩანს, რომ eToken-ის მხარდაჭერილი მექანიზმების სია ძალიან გრძელია, მაგრამ არ შეიცავს GOST ალგორითმებს. JaCarta-ს მხარდაჭერილი მექანიზმების სია მოიცავს მხოლოდ GOST ალგორითმებს, მაგრამ იმ ოდენობით, რომელიც საჭიროა ტექნიკის ჟეტონზე EDS ფუნქციონირების განსახორციელებლად.

მნიშვნელოვანია გვესმოდეს, რომ თანამედროვე ტექნიკის ნიშნები შეიძლება გამოყენებულ იქნას როგორც პროგრამული ტოკენები. ანუ, მათ ჩვეულებრივ აქვთ მეხსიერების მცირე ფართობი, რომელიც ხელმისაწვდომია გარედან, რომელიც, თუ სასურველია, შეიძლება გამოყენებულ იქნას გარედან გენერირებული საიდუმლო გასაღების ჩასაწერად და შესანახად. ტექნოლოგიურად, ამას აზრი არ აქვს, მაგრამ სინამდვილეში, ეს მეთოდი, სამწუხაროდ, საკმაოდ ფართოდ გამოიყენება. სამწუხაროდ, რადგან ხშირად ჟეტონის მფლობელმა არ იცის, რომ მისი თანამედროვე ტექნიკის ჟეტონი, რომელიც პატიოსნად იყიდა არა ნომინალურ საფასურად, გამოიყენება როგორც პროგრამული.

ექსკლუზიურად პროგრამული ნიშნების მაგალითებია Rutoken S და Rutoken Lite. როგორც ტექნიკის ნიშნების მაგალითები, რომლებიც არ უჭერენ მხარს რუსეთში დამოწმებულ კრიპტოგრაფიულ ალგორითმებს, არის „eToken“ მოწყობილობები; როგორც რუსული კრიპტოგრაფიის მხარდამჭერი - "Rutoken EDS", "JaCarta GOST".

კრიპტო პროვაიდერები

პროგრამულ უზრუნველყოფას, რომელიც უზრუნველყოფს ოპერატორს კრიპტოგრაფიულ ფუნქციებზე წვდომას - ელექტრონულ ხელმოწერას, დაშიფვრას, გაშიფვრას, ჰეშინგს - ეწოდება კრიპტოგრაფიული პროვაიდერი, კრიპტოგრაფიული ფუნქციების მიმწოდებელი. ტექნიკის ტოკენის შემთხვევაში, კრიპტოგრაფიული პროვაიდერი დანერგილია უშუალოდ ტოკენზე, პროგრამული ტოკენის შემთხვევაში ან კომპიუტერის დისკზე გასაღებების შენახვის შემთხვევაში, ის დანერგილია როგორც ჩვეულებრივი მომხმარებლის აპლიკაცია.

მომხმარებლის მონაცემების უსაფრთხოების თვალსაზრისით, ერთ-ერთი მთავარი თავდასხმის ვექტორი მიმართულია კრიპტოპროვაიდერზე - სწორედ კრიპტოპროვაიდერის მეხსიერებაში ხდება საიდუმლო გასაღების გაშიფვრა. წარმატებული თავდასხმის შემთხვევაში, თავდამსხმელს შეეძლება შეცვალოს აპლიკაციის კოდი თავისით და გააკეთოს საიდუმლო გასაღების ასლი, მაშინაც კი, თუ გასაღები ჩვეულებრივ ინახება დაშიფრული ფორმით. ამიტომ, კრიპტოგრაფიის გამოყენების შემთხვევაში ელექტრონული ხელმოწერის შესასრულებლად, რომელსაც აქვს იურიდიული ძალა, სახელმწიფო ცდილობს დაიცვას მოქალაქეები საიდუმლო გასაღებების შესაძლო გაჟონვისგან. ეს გამოიხატება იმით, რომ კვალიფიციურ ელექტრონულ ხელმოწერასთან მუშაობისთვის ოფიციალურად დაშვებულია მხოლოდ კრიპტოგრაფიული პროვაიდერების გამოყენება, რომლებსაც აქვთ შესაბამისი სერტიფიკატი და, შესაბამისად, გავლილი აქვთ შესაბამისი შემოწმება.

EDS-ისთვის რუსეთის ფედერაციაში სერტიფიცირებული კრიპტოპროვაიდერები მოიცავს, კერძოდ: Rutoken EDS, JaCarta GOST, CryptoPro CSP, LISSI-CSP, VipNet CSP. პირველი ორი დანერგილია უშუალოდ აპარატურულ ნიშნებზე, დანარჩენი არის მომხმარებლის აპლიკაციების სახით. მნიშვნელოვანია გვესმოდეს, რომ რუსეთის ფედერაციაში სერტიფიცირებული ტექნიკის ტოკენის შეძენისას ჩვენ უკვე ვყიდულობთ რუსეთის ფედერაციაში სერტიფიცირებულ კრიპტოპროვაიდერს და არ არის საჭირო - ტექნოლოგიური და იურიდიული - სხვა კრიპტოპროვაიდერის შეძენა.

მხარდაჭერილი ალგორითმების ნაკრების გარდა, კრიპტოგრაფიული პროვაიდერები ასევე განსხვავდებიან კრიპტოგრაფიული ფუნქციების სიმრავლით - დოკუმენტების დაშიფვრა და გაშიფვრა, ხელმოწერის ხელმოწერა და გადამოწმება, გრაფიკული მომხმარებლის ინტერფეისის არსებობა და ა.შ. უფრო მეტიც, ფუნქციების მთელი ნაკრებიდან სერტიფიცირებულმა კრიპტოგრაფიულმა პროვაიდერმა უნდა შეასრულოს მხოლოდ ის, რაც პირდაპირ კავშირშია კრიპტოგრაფიული ალგორითმების განხორციელებასთან. ყველაფერი დანარჩენი შეიძლება გაკეთდეს მესამე მხარის აპლიკაციით. ზუსტად ასე მუშაობენ კრიპტოპროვაიდერები აპარატურულ ტოკენებზე: მომხმარებლის ინტერფეისი დანერგილია მესამე მხარის აპლიკაციით, რომელიც არ ექვემდებარება სავალდებულო სერტიფიცირებას. აპლიკაცია, რომელიც ახორციელებს მომხმარებლის ინტერფეისს, ურთიერთობს კრიპტოგრაფიულ პროვაიდერთან ტოკენზე სხვა სტანდარტული ინტერფეისის საშუალებით - PKCS#11. ამავდროულად, მომხმარებლის თვალსაზრისით, კლავიშებთან მუშაობა ხდება, მაგალითად, პირდაპირ Firefox html ბრაუზერიდან. ფაქტობრივად, ბრაუზერი, PKCS # 11 ინტერფეისის საშუალებით, იყენებს სპეციალურ პროგრამულ ფენას, რომელიც ახორციელებს მექანიზმებს კონკრეტულ აპარატურულ ჟეტონზე წვდომისთვის.

ტერმინის „კრიპტოგრაფიული პროვაიდერის“ გარდა, არის კიდევ ერთი მნიშვნელობით ახლო ტერმინი – „კრიპტოგრაფიული ინფორმაციის დაცვის საშუალებები“ (CIPF). არ არსებობს მკაფიო განსხვავება ამ ორ ცნებას შორის. პირველი ტერმინი ნაკლებად ოფიციალურია, მეორე უფრო ხშირად გამოიყენება სერტიფიცირებულ ტექნიკურ გადაწყვეტილებებთან დაკავშირებით. ვინაიდან ეს დოკუმენტი ძირითადად აღწერს ტექნოლოგიურ და არა ფორმალურ ასპექტებს, ჩვენ უფრო ხშირად გამოვიყენებთ ტერმინს „კრიპტოპროვაიდერი“.

მექანიზმების დანერგვა

ელექტრონული ხელმოწერის ალგორითმები

ამჟამად, რუსეთის ფედერაციაში, მხოლოდ ორი ხელმოწერის ალგორითმი და ორი ჰეშირების ალგორითმი ოფიციალურად დაშვებულია კვალიფიციური ელექტრონული ხელმოწერისთვის. 2017 წლის ბოლომდე ნებადართულია GOST R 34.10-2001 გამოყენება GOST R 34.11-94 ჰეშირების ალგორითმთან ერთად. 2018 წლის დასაწყისიდან ნებადართულია მხოლოდ GOST R 34.10-2012 და ჰეშების გამოყენება GOST R 34.11-2012 შესაბამისად. იმ სიტუაციებში, როდესაც GOST ალგორითმების სავალდებულო გამოყენება არ არის საჭირო, ნებისმიერი ხელმისაწვდომი ალგორითმის გამოყენება შესაძლებელია.

მაგალითად, ახლა HTTP პროტოკოლით ხელმისაწვდომი ვებსაიტების უმეტესობამ არ იცის როგორ გამოიყენოს GOST ალგორითმები კლიენტისა და სერვერის ურთიერთდამოწმებისთვის. ერთ-ერთ ამ საიტთან ურთიერთობის შემთხვევაში, კლიენტის მხარეს ასევე მოუწევს გამოიყენოს „უცხოური წარმოების“ ალგორითმები. მაგრამ, მაგალითად, თუ გსურთ გამოიყენოთ ტექნიკის ჟეტონი, როგორც გასაღების მაღაზია ავტორიზაციისთვის სახელმწიფო სერვისების ვებსაიტზე, თქვენ უნდა აირჩიოთ ჟეტონი EDS მხარდაჭერით GOST-ის მიხედვით.

სამთავრობო უწყებებთან ურთიერთობისას რუსული ალგორითმების გამოყენების აუცილებლობა საერთოდ არ არის განპირობებული მოქალაქეების არჩევანში შეზღუდვის სურვილით. მიზეზი ის არის, რომ სახელმწიფო, რომელმაც ინვესტიცია მოახდინა ამ ალგორითმების შემუშავებაში, პასუხისმგებელია მათ კრიპტოგრაფიულ სიძლიერეზე და მათში არადეკლარირებული ფუნქციების არარსებობაზე. რუსეთის ფედერაციაში სტანდარტიზებული ყველა კრიპტოგრაფიული ალგორითმი არაერთხელ გაიარა დამოუკიდებელი აუდიტი და დამაჯერებლად დაამტკიცა მათი ღირებულება. იგივე შეიძლება ითქვას ბევრ სხვა გავრცელებულ კრიპტოგრაფიულ ალგორითმზე. მაგრამ, სამწუხაროდ, მათში არადეკლარირებული შესაძლებლობების არარსებობა იგივე მარტივად ვერ დადასტურდება. სრულიად ცხადია, რომ სახელმწიფოს თვალსაზრისით, არაგონივრულია არასანდო საშუალებების გამოყენება, მაგალითად, მოქალაქეთა პერსონალური მონაცემების დასამუშავებლად.

ინტერფეისები, ფორმატები და პროტოკოლები

ელექტრონულ ხელმოწერასთან მუშაობისას თავსებადობის უზრუნველსაყოფად, შემუშავებულია არაერთი საერთაშორისო სტანდარტი მონაცემთა შენახვისა და მათზე წვდომის უზრუნველყოფის შესახებ. ძირითადი სტანდარტები მოიცავს:

  • PC/SC - დაბალი დონის ინტერფეისი კრიპტოგრაფიულ მოწყობილობებზე, მათ შორის პროგრამულ და აპარატურულ ტოკენებზე წვდომისთვის;
  • PKCS#11 - მაღალი დონის ინტერფეისი აპარატურულ კრიპტოგრაფიულ მოდულებთან ურთიერთობისთვის, შეიძლება ჩაითვალოს კრიპტოგრაფიულ პროვაიდერებთან წვდომის ერთიან ინტერფეისად;
  • PKCS#15 - კონტეინერის ფორმატი ელექტრონული ხელმოწერის გასაღებებით, განკუთვნილი ფიზიკურ მოწყობილობაზე შესანახად;
  • PKCS#12, PEM - კონტეინერის ფორმატები ელექტრონული ხელმოწერის გასაღებებით, რომლებიც განკუთვნილია ფაილებში, ბინარულ და ტექსტში შესანახად;
  • PKCS#10 - დოკუმენტის ფორმატი - კლიენტის მიერ გაგზავნილი ხელმოწერის მოთხოვნა CA-ს ხელმოწერილი სერტიფიკატის მისაღებად.

მნიშვნელოვანია გვესმოდეს, რომ სტანდარტები, როგორიცაა PKCS#11 ან PKCS#15, თავდაპირველად შეიქმნა რუსეთის ფედერაციაში სერტიფიცირებული კრიპტოვალუტების სპეციფიკის გათვალისწინების გარეშე. ამიტომ, შიდა კრიპტოგრაფიის სრულფასოვანი მხარდაჭერის განსახორციელებლად, სტანდარტები უნდა და ჯერ კიდევ უნდა დასრულდეს. სტანდარტებში ცვლილებების მიღების პროცესი ხანგრძლივია, ამიტომ, სანამ საბოლოო სტანდარტები საბოლოოდ არ მიიღება, გამოჩნდა მათი ერთმანეთთან შეუთავსებელი იმპლემენტაციები. კერძოდ, ეს ეხება რუსეთის ფედერაციაში სერტიფიცირებულ კრიპტოპროვაიდერებს. ასე რომ, ახლა ყველა სერთიფიცირებულ კრიპტო პროვაიდერს აქვს არათავსებადი კონტეინერის დანერგვა ტოკენზე გასაღებების შესანახად. რაც შეეხება მონაცემთა გაცვლის სტანდარტებს - PKCS # 10, PKCS # 12, PEM - მათი დანერგვა, საბედნიეროდ, ჩვეულებრივ თავსებადია ერთმანეთთან. ასევე, ჩვეულებრივ, არ არის შეუსაბამობები PC / SC სტანდარტის ინტერპრეტაციაში.

სტანდარტების დასრულების, რეკომენდაციების შემუშავების, რუსეთის ფედერაციაში EDS სფეროში თავსებადობის უზრუნველყოფის საკითხებს ამჟამად ამუშავებს სპეციალური ორგანიზაცია - სტანდარტიზაციის ტექნიკური კომიტეტი "კრიპტოგრაფიული ინფორმაციის დაცვა" (TK 26), რომელშიც შედიან ექსპერტები, წარმომადგენლები. სახელმწიფო უწყებები, კრიპტოგრაფიული პროვაიდერების დეველოპერები და სხვა დაინტერესებული მხარეები. შეიძლება ვიკამათოთ კომიტეტის მუშაობის ეფექტურობაზე, მაგრამ ასეთი პლატფორმის არსებობაც კი უაღრესად მნიშვნელოვანია.

პროგრამული ნაწილი

ელექტრონულ ხელმოწერასთან მუშაობის პროგრამული დასტა შედგება შემდეგი კომპონენტებისგან:

  • კლავიშებით შესანახ კონტეინერებზე დაბალი დონის წვდომისთვის ინტერფეისის დანერგვა - მაგალითად, PC / SC ინტერფეისი ფიზიკურ მოწყობილობებზე წვდომისთვის - ტოკენები;
  • მოდული, რომელიც ახორციელებს PKCS#11 ინტერფეისს კრიპტოგრაფიულ პროვაიდერთან ურთიერთობისთვის - მაგალითად, დანერგილი ტექნიკის ჟეტონზე;
  • კრიპტოგრაფიული პროვაიდერი, რომელიც ახორციელებს შესაბამის კრიპტოგრაფიულ ალგორითმებს და ახორციელებს მათთან მოქმედებებს - მაგალითად, ელექტრონული ხელმოწერა ან მონაცემთა დაშიფვრა;
  • მომხმარებლის აპლიკაცია, რომელიც ურთიერთქმედებს მეორესთან - კრიპტოგრაფიულ პროვაიდერთან მიმართებაში - გვერდით PKCS # 11 მოდულთან და ასრულებს ოპერაციებს, როგორიცაა ელექტრონული ხელმოწერა ან ავთენტიფიკაცია მომხმარებლის სახელით.

სტეკის მაგალითი:

  • CryptoPro CSP პროგრამული უზრუნველყოფის cryptcp ბრძანების სტრიქონის აპლიკაცია ურთიერთქმედებს libcppksc11.so ბიბლიოთეკასთან PKCS#11 ინტერფეისის მეშვეობით და უზრუნველყოფს დოკუმენტების ხელმოწერის შესაძლებლობას მომხმარებლის საიდუმლო გასაღებით; ამავდროულად, კრიპტოპროვაიდერის ფუნქციები სრულად არის დანერგილი CryptoPro CSP პროგრამული უზრუნველყოფის კომპონენტებში, ტექნიკის ტოკენის კრიპტო პროვაიდერი არ არის ჩართული.

Სხვა მაგალითი:

  • ღია პროგრამული უზრუნველყოფა pcsc-lite ახორციელებს PC/SC ინტერფეისს Rutoken EDS ტექნიკის ჟეტონთან ურთიერთქმედებისთვის;
  • CryptoPro CSP პროგრამული უზრუნველყოფის libcppksc11.so ბიბლიოთეკა უზრუნველყოფს ურთიერთქმედებას ტოკენზე განთავსებული კონტეინერთან, რომელიც ინახავს მომხმარებლის პირად გასაღებს და სერთიფიკატს;
  • აპლიკაცია "CryptoPro EDS Browser plugin", რომელიც მუშაობს Firefox html ბრაუზერის ნაწილად, ურთიერთქმედებს libcppksc11.so ბიბლიოთეკასთან PKCS # 11 ინტერფეისის საშუალებით და უზრუნველყოფს დოკუმენტების ხელმოწერის შესაძლებლობას ბრაუზერის ინტერფეისში ელექტრონულ საიტებზე. სავაჭრო სართულები; ამავდროულად, კრიპტოპროვაიდერის ფუნქციები სრულად არის დანერგილი CryptoPro CSP პროგრამული უზრუნველყოფის კომპონენტებში, ტექნიკის ტოკენის კრიპტო პროვაიდერი არ არის ჩართული.

მესამე მაგალითი:

  • ღია პროგრამული უზრუნველყოფა pcsc-lite ახორციელებს PC/SC ინტერფეისს Rutoken EDS ტექნიკის ჟეტონთან ურთიერთქმედებისთვის;
  • Aktiv-ის მიერ წარმოებული librtpksc11.so ბიბლიოთეკა უზრუნველყოფს ურთიერთქმედებას ნიშნის კრიპტოგრაფიულ პროვაიდერთან;
  • ნიშნის კრიპტოგრაფიული პროვაიდერი ასრულებს საიდუმლო გასაღებით მასზე გადაცემული მონაცემების ხელმოწერის ფუნქციებს; საიდუმლო გასაღები არ ტოვებს ნიშნის საზღვრებს;
  • Rutoken Plugin აპლიკაცია, რომელიც მუშაობს Firefox html ბრაუზერის ნაწილად, ურთიერთქმედებს librtpksc11.so ბიბლიოთეკასთან PKCS # 11 ინტერფეისის საშუალებით და უზრუნველყოფს დოკუმენტების ხელმოწერის შესაძლებლობას ბრაუზერის ინტერფეისში თავსებად საიტებზე; ამავდროულად, კრიპტოგრაფიული პროვაიდერის ფუნქციები სრულად არის დანერგილი ტექნიკის ჟეტონზე.

სტეკის კონკრეტული განხორციელების არჩევანი ამჟამად განისაზღვრება, უპირველეს ყოვლისა, სამი ფაქტორით - EDS-ის განკუთვნილი ფარგლები, მომხმარებლის ტექნიკური განათლების დონე და სერტიფიცირების ცენტრის მზადყოფნა იმუშაოს სერტიფიკატის ხელმოწერის მოთხოვნით. .

გარდა ზემოთ ჩამოთვლილი მომხმარებლის მხარის პროგრამული უზრუნველყოფის ნაკრებისა, არის კიდევ ორი ​​აპლიკაცია, რომელიც გასათვალისწინებელია. პირველი არის პროგრამული უზრუნველყოფა, რომელიც ემსახურება სერტიფიცირების ცენტრს. მეორე არის პროგრამული უზრუნველყოფა, რომელთანაც გვინდა ვიყოთ თავსებადი. მაგალითად, სახელმწიფო სერვისების ვებსაიტზე. ან ელექტრონული დოკუმენტების ხელმოწერის პროგრამული უზრუნველყოფა.

თუ სერტიფიცირების ორგანო, სადაც ჩვენ ვგეგმავთ სერთიფიკატის მოპოვებას, არ არის მზად იმუშაოს PKCS # 10 ფორმატში ხელმოწერის მოთხოვნებთან და შეუძლია იმუშაოს მხოლოდ პროგრამული ტოკენებით (ანუ ის აღიქვამს ნებისმიერ ჟეტონს, როგორც პროგრამულ უზრუნველყოფას), ჩვენ არჩევანი არ გვაქვს. როგორც წესი, ამ შემთხვევაში, CA პროგრამული უზრუნველყოფა წარმოქმნის ჩვენთვის გასაღებების წყვილს, ჩაწერს მას ჟეტონზე, დაუყოვნებლივ წარმოქმნის ხელმოწერის მოთხოვნას საჯარო გასაღებისა და ჩვენი პერსონალური მონაცემების საფუძველზე, ხელს მოაწერს მას და შეინახავს სერთიფიკატს ჟეტონზე. . სერთიფიკატი და გასაღები იქნება დახურული ფორმატის კონტეინერში, რომელიც ცნობილია მხოლოდ CA პროგრამული უზრუნველყოფის შემქმნელისთვის. შესაბამისად, გასაღებებით კონტეინერში წვდომისთვის მოგიწევთ იმავე დეველოპერისგან კრიპტოგრაფიული პროვაიდერის შეძენა. და EDS-ის ფარგლები შემოიფარგლება ერთი კონკრეტული დეველოპერის პროგრამული უზრუნველყოფის შესაძლებლობებით. ამ შემთხვევაში, ტექნიკის ჟეტონის ყიდვას აზრი არ აქვს - შეგიძლიათ გაუმკლავდეთ პროგრამული უზრუნველყოფის საშუალებით. ამ შემთხვევაში, ჟეტონი აუცილებლად უნდა გადაიტანოს CA-ში.

თუ სერტიფიკაციის ორგანო, სადაც ჩვენ ვგეგმავთ სერთიფიკატის მოპოვებას, მზად არის იმუშაოს PKCS # 10 ფორმატში მოთხოვნებთან დაკავშირებით, მაშინ ჩვენთვის არ აქვს მნიშვნელობა რა სახის პროგრამული უზრუნველყოფა გამოიყენება ამ CA-ში. ჩვენ შევძლებთ გამოვიყენოთ კრიპტოგრაფიული პროვაიდერი, რომელიც თავსებადია ჩვენს სამიზნე აპლიკაციებთან. მაგალითად, ელექტრონული სავაჭრო პლატფორმებით ან სახელმწიფო სერვისების ვებსაიტით. ამ შემთხვევაში, თქვენ არ გჭირდებათ ტოკენის გადატანა CA-ში, საკმარისია ხელმოწერის მოთხოვნის გენერირება და იქ წარდგენა თქვენს ქაღალდის დოკუმენტებთან ერთად; მიიღეთ სერთიფიკატი და შეინახეთ იგი ჟეტონზე შერჩეული კრიპტოპროვაიდერის დახმარებით.

სამწუხაროდ, ძალიან ცოტა CA ამჟამად (2016 წლის ბოლოს) მზად არის იმუშაოს ხელმოწერის მოთხოვნით. ეს მდგომარეობა ნაწილობრივ გამოწვეულია ნაკლებობით ტექნიკური მომზადებამომხმარებლები, რომლებსაც არ შეუძლიათ უზრუნველყონ ხელმოწერის მოთხოვნის სწორად შესრულება - ყველა საჭირო ატრიბუტით და მათი მნიშვნელობებით. ეს სახელმძღვანელო განკუთვნილია ამ პრობლემის გადასაჭრელად.

აპარატურა

მათ შორის წარმოდგენილი რუსული ბაზარინიშნები მოიცავს შემდეგს:

ტექნიკური მედია რუსული კრიპტოგრაფიის მხარდაჭერით: Rutoken EDS, JaСarta GOST, MS_KEY K.

მაგალითისთვის განვიხილოთ ტექნიკის Rutoken EDS და პროგრამული უზრუნველყოფის Rutoken_Lite მხარდაჭერილი კრიპტოგრაფიული მექანიზმების სიები:

$ pkcs11-tool --module /usr/local/lib64/librtpkcs11ecp.so -M მხარდაჭერილი მექანიზმები: RSA-PKCS-KEY-PAIR-GEN, keySize=(512,2048), hw, gener_key_pair RSA-PKCS, keySize=( 512,2048), hw, დაშიფვრა, გაშიფვრა, ხელმოწერა, გადამოწმება RSA-PKCS-OAEP, keySize=(512,2048), hw, დაშიფვრა, გაშიფვრა MD5, დაიჯესტი SHA-1, დაიჯესტი GOSTR3410-KEY-PAIR-GEN, hw , გენერირება_გასაღების_წყვილი GOSTR3410, hw, ნიშანი, დადასტურება mechtype-0x1204, hw, წარმოშობა GOSTR3411, hw, დაიჯესტი GOSTR3410-WITH-GOSTR3411, hw, დაიჯესტი, ნიშანი mechtype-0x12wraph, uncrypth, mechtype-0x12wraph24, uncrypth, wrapx2, mechtype-0x1222, hw, დაშიფვრა, გაშიფვრა mechtype-0x1220, hw, გენერირება mechtype-0x1223, hw, ხელმოწერა, გადამოწმება $ pkcs11-tool --module /usr/local/lib64/librtpkcs11ecp.so -M

როგორც ხედავთ, მხარდაჭერილი კრიპტოგრაფიული მექანიზმების სიები Rutoken Lite ცარიელია, განსხვავებით Rutoken EDS, რომელიც მოიცავს GOST და RSA ალგორითმებს.

ტექნიკური ნიშნები რუსული კრიპტოგრაფიის მხარდაჭერის გარეშე, როგორც ზემოთ აღინიშნა, მოიცავს, კერძოდ, JaCarta PKI და eToken.

რუსული კრიპტოგრაფიის მხარდაჭერით ტექნიკის ნიშნების შედარებით დაბალი ფასების გათვალისწინებით, ჩვენ შეგვიძლია დარწმუნებით გირჩიოთ მათი გამოყენება. გარდა აშკარა უპირატესობისა არააღდგენელი საიდუმლო გასაღების სახით, ტექნიკის ჟეტონში ასევე შედის სერტიფიცირებული კრიპტო პროვაიდერი. ანუ შესაძლებელია ტოკენთან მუშაობის ორგანიზება ისე, რომ დამატებით არ დაგჭირდეთ ძვირადღირებული პროგრამული უზრუნველყოფის შეძენა.

ბოლო დროს განვითარებულ მოვლენებთან დაკავშირებით, მინდა აღვნიშნო Rutoken EDS 2.0 GOST R 34.10-2012 სტანდარტის მხარდაჭერით.

განაცხადი

მომხმარებლის ინსტრუმენტები

გახსენით ინსტრუმენტები

ღია კოდის პროგრამული უზრუნველყოფა ამჟამად საშუალებას გაძლევთ განახორციელოთ თითქმის სრული პროგრამული დასტა EDS-თან მუშაობისთვის.

PCSC lite

PCSC lite პროექტის ფარგლებში შემუშავებული PC/SC იმპლემენტაცია არის მინიშნება Linux OS ოჯახისთვის. ის შედის ამ დოკუმენტში განხილული პროგრამული უზრუნველყოფის სტეკის ნებისმიერ ვარიანტში EDS-თან მუშაობისთვის. სამომავლოდ, თუ კონკრეტული განხორციელების ვარიანტი არ არის მითითებული, ჩვენ ჩავთვლით მას ნაგულისხმევად ჩართულად.

OpenSC

ბიბლიოთეკა, რომელიც ახორციელებს PKCS#11 ინტერფეისს, ისევე როგორც აპლიკაციის ხელსაწყოების კომპლექტს, რომელიც იყენებს მის ფუნქციონირებას, შეიქმნა OpenSC პროექტის ფარგლებში. ინსტრუმენტთა ნაკრები მხარს უჭერს ბევრ აპარატურულ ტოკენს, მათ შორის Rutoken EDS-ს, რომლის მხარდაჭერაც დაემატა კომპანია Aktiv-ის სპეციალისტებს, რომელიც ავითარებს რუტოკენის ოჯახის ტოკენებს.

OpenSC კომუნალური პროგრამების გამოყენებით, შეგიძლიათ შეასრულოთ, კერძოდ, შემდეგი მოქმედებები ტექნიკის ჟეტონზე:

  • ნიშნის ინიციალიზაცია - პარამეტრების გადატვირთვა თავდაპირველ მდგომარეობაში;
  • დააყენეთ ადმინისტრატორისა და მომხმარებლის PIN-ები (თუ მხარდაჭერილია);
  • გასაღების წყვილის გენერირება (თუ მხარდაჭერილია PKCS#11 ბიბლიოთეკის მიერ);
  • ჟეტონზე შემოიტანეთ სერტიფიკატის მიერ ხელმოწერილი სერტიფიკატი.

PKCS#11 ბიბლიოთეკა OpenSC პაკეტიდან გაძლევთ საშუალებას შეასრულოთ ელექტრონული ხელმოწერის ოპერაციების სრული ნაკრები მხარდაჭერილ ტოკენებზე. მხარდაჭერილი ტოკენები ასევე შეიცავს Rutoken EDS-ს.

აქ მნიშვნელოვანია გვესმოდეს, რომ Rutoken EDS-სთვის არის ორი სხვადასხვა ვარიანტებიპროგრამული უზრუნველყოფის მხარდაჭერა, რომელიც არ არის თავსებადი ერთმანეთთან ჟეტონზე გასაღებების შენახვის ფორმატში. OpenSC-დან PKCS # 11 ბიბლიოთეკის გამოყენებისას, ჩვენ შეგვიძლია გამოვიყენოთ ღია პროგრამული დასტა, ხოლო Aktiv-ის მიერ წარმოებული უფასო განაწილებული დახურული ბიბლიოთეკის გამოყენებისას შეგვიძლია გამოვიყენოთ დახურული Aktiva სტეკი.

OpenSSL

EDS-ის შესაძლებლობების სრულად გამოსაყენებლად, თავად PKCS # 11 ბიბლიოთეკის გარდა, უნდა განხორციელდეს მომხმარებლის აპლიკაციები, რომლებიც უზრუნველყოფენ ოპერატორს წვდომას ბიბლიოთეკის ფუნქციებზე და სიმბოლურ შესაძლებლობებზე. ასეთი განხორციელების მთავარი მაგალითია OpenSSL პროექტის ღია კოდის პროგრამა. იგი მხარს უჭერს შემდეგ ფუნქციებს, კერძოდ:

  • მონაცემთა დაშიფვრა;
  • მონაცემთა გაშიფვრა;
  • დოკუმენტის ხელმოწერა;
  • ხელმოწერის გადამოწმება;
  • სერტიფიკატის ხელმოწერის მოთხოვნის წარმოქმნა;
  • სერტიფიკატის იმპორტი;
  • სერტიფიკატის ექსპორტი.

გარდა ამისა, OpenSSL-ის გამოყენებით, შეგიძლიათ განახორციელოთ სრულფასოვანი სერტიფიცირების ორგანოს ფუნქციონირება, მათ შორის:

  • კლიენტის სერთიფიკატების გაცემა PKCS#10 ფორმატში ხელმოწერის მოთხოვნის ხელმოწერით;
  • კლიენტის სერთიფიკატების გაუქმება;
  • გაცემული და გაუქმებული მოწმობების რეგისტრაცია.

OpenSSL-ის ერთადერთი ნაკლი ამ დროისთვის, რომელიც ჯერ კიდევ არ იძლევა EDS პროგრამული უზრუნველყოფის სტეკის სრული ვერსიის განხორციელების საშუალებას ღია კოდის პროგრამულ უზრუნველყოფაზე დაფუძნებული, არის ღია მოდულის არარსებობა PKCS # 11 ბიბლიოთეკებთან ურთიერთობისთვის მხარდაჭერით. GOST ალგორითმები. არსებობს ასეთი მოდულის დახურული იმპლემენტაცია, რომელიც დამზადებულია Aktiv-ის მიერ, მაგრამ ის არ შედის საბაზისო OpenSSL დისტრიბუციაში და, შესაბამისად, OpenSSL-ის ახალი ვერსიების გამოშვებით, თავსებადობა პერიოდულად ირღვევა. ამ მოდულის ღია განხორციელება ჯერ კიდევ არ უჭერს მხარს GOST ალგორითმებს.

Firefox

OpenSSL-ის გარდა, ცნობილ Firefox html ბრაუზერს ასევე შეუძლია ურთიერთქმედება PKCS # 11 ბიბლიოთეკებთან. PKCS # 11 ბიბლიოთეკის დასაკავშირებლად, თქვენ უნდა გადახვიდეთ "Preferences" პარამეტრების მართვის მენიუში, შემდეგ აირჩიეთ "Advanced" ვერტიკალურ სიაში მარცხნივ, აირჩიეთ "სერთიფიკატები" ჰორიზონტალურ სიაში, დააჭირეთ ღილაკს "უსაფრთხოების მოწყობილობები". , დიალოგურ ფანჯარაში, რომელიც გამოჩნდება, დააწკაპუნეთ ღილაკზე „ჩატვირთვა“. გამოჩნდება კიდევ ერთი ფანჯარა PKCS#11 ბიბლიოთეკის მქონე ფაილის გზის არჩევით და ამ კონკრეტული ბიბლიოთეკის ადგილობრივი სახელის შეყვანის ოფციით. ამ გზით შეგიძლიათ ჩატვირთოთ რამდენიმე განსხვავებული PKCS#11 მოდული სხვადასხვა ტიპის ფიზიკური და ვირტუალური მოწყობილობებისთვის.

სამწუხაროდ, Firefox-ის ფუნქციონირება ჯერ არ არის საკმარისი იმისათვის, რომ ხელი მოაწეროთ დოკუმენტებს ვებსაიტის ინტერფეისში. მაშასადამე, GOST-ის მხარდაჭერით სრულფასოვანი ღია EDS პროგრამული დასტასთვის, ჯერ კიდევ არ არის საკმარისი დანამატი (დამატება), რომელიც საშუალებას მოგცემთ შეხვიდეთ ტოკენზე არსებულ ობიექტებზე საიტის პროგრამული უზრუნველყოფიდან. ვიმედოვნებთ, რომ მსგავსი დანამატი დაიწერება უახლოეს მომავალში. ან გახსენი.

CryptoPro

CryptoPro CSP-ის ვერსიებში 4.0-მდე და მათ შორის, ადგილობრივი ქეშების ხელით მართვა გამოიყენება მომხმარებლის სერთიფიკატების და CA სერთიფიკატების შესანახად. მომხმარებლის სერთიფიკატთან სრულფასოვანი მუშაობისთვის, აუცილებელია, რომ მისი ასლი იყოს ერთ ლოკალურ ქეშში, ხოლო CA სერთიფიკატების სრული ჯაჭვი ძირეულის ჩათვლით - მეორეში. ტექნოლოგიურად, CryptoPro-ს ეს ფუნქცია, მკაცრად რომ ვთქვათ, არ არის ბოლომდე გამართლებული: აზრი აქვს ჯაჭვის შემოწმებას ავთენტიფიკაციის დროს; მოწმობის მოქმედების ფაქტი არ მოქმედებს ხელმოწერის შესაძლებლობაზე. მით უმეტეს, თუ ეს ჩვენი საკუთარი სერთიფიკატია და ვიცით, საიდან მოვიდა. ახალი CryptoPro CSP-ის ბეტა ვერსიების დაწერის დროს, დეველოპერების თქმით, დანერგილია CA სერთიფიკატების ჯაჭვის ავტომატური ჩატვირთვა. მაგრამ იმის უზრუნველყოფა, რომ მხოლოდ ის, რომელიც ამჟამად გამოიყენება, არის მომხმარებლის სერთიფიკატების ლოკალურ ქეშიში, როგორც ჩანს, ჯერ კიდევ უნდა მოხდეს ხელით მონიტორინგი.

მესამე მხარის დეველოპერები ცდილობენ დაწერონ გრაფიკული ინტერფეისები CryptoPro CSP-სთვის, რაც ხელს უწყობს მომხმარებლის რუტინულ ოპერაციებს. ასეთი უტილიტის მაგალითია rosa-crypto-tool, რომელიც ავტომატიზირებს დოკუმენტების ხელმოწერასა და დაშიფვრას. პაკეტი ALT დისტრიბუციებში.

CryptoPro CA

Lissi SOFT პროგრამული უზრუნველყოფა ხასიათდება სტანდარტებისა და ტექნიკური მახასიათებლების მკაცრი დაცვით. კრიპტო პროვაიდერები, მათ შორის უნიკალური, შექმნილია როგორც PKCS#11 ბიბლიოთეკები. დეველოპერების თქმით, ისინი კარგად ერგებიან ღია კოდის პროგრამულ უზრუნველყოფას, რომელიც ასევე ორიენტირებულია სტანდარტების მხარდაჭერაზე. მაგალითად, html ბრაუზერებით და უტილიტებით OpenSSL ნაკრებიდან.

რაც შეეხება საჯარო სერვისების საიტებზე წვდომის ორგანიზებას, ასევე საინტერესოა Lissy SOFT-ის პროდუქტები. უპირველეს ყოვლისა - თავსებადობა "IFCPlugin" - ბრაუზერის დანამატი, რომელიც ახორციელებს EDS მექანიზმებს სახელმწიფო სერვისების პორტალზე. მეორეც, სერტიფიკაციის ორგანოს პროგრამული უზრუნველყოფის შესაძლებლობა, იმუშაოს სერტიფიკატის ხელმოწერის მოთხოვნებთან PKCS#10 ფორმატში.

ბრაუზერები

ზოგჯერ, საიტებზე წვდომისთვის, რომლებზეც ვგეგმავთ ელექტრონული ხელმოწერის მექანიზმების გამოყენებას, გვიწევს სხვა ტექნოლოგიების გამოყენება, რომლებიც იყენებენ რუსულ კრიპტოგრაფიას. მაგალითად, GOST ალგორითმები შეიძლება გამოყენებულ იქნას დაშიფრული მონაცემთა გადაცემის არხის ორგანიზებისთვის. ამ შემთხვევაში საჭიროა ბრაუზერში შესაბამისი ალგორითმების მხარდაჭერა. სამწუხაროდ, Firefox-ისა და Chromium-ის ოფიციალური ვერსიები ჯერ კიდევ არ უჭერს მხარს რუსულ კრიპტოგრაფიას. ამიტომ, თქვენ უნდა გამოიყენოთ ალტერნატიული შეკრებები. ასეთი შეკრებებია, მაგალითად, კომპანიების "CryptoPro" და "Lissy SOFT" კრიპტო საშუალებების არსენალში, ასევე Alt დისტრიბუციებში.

საიტები

საიტებს შორის, რომლებიც საჭიროებენ ელექტრონული ხელმოწერის ტექნოლოგიების გამოყენებას, ჩვენ პირველ რიგში გვაინტერესებს საიტები, რომლებიც უზრუნველყოფენ საჯარო სერვისებს, ასევე ელექტრონული სავაჭრო პლატფორმები (ETP). სამწუხაროდ, ზოგიერთი ETP ჯერ არ უჭერს მხარს რუსული პროგრამული უზრუნველყოფის რეესტრიდან OS-თან მუშაობას. მაგრამ სიტუაცია თანდათან იცვლება უკეთესობისკენ.

ვებსაიტებისთვის EDS-ის გამოყენება, როგორც წესი, დამოკიდებულია საიტის ინტერფეისში გენერირებული დოკუმენტების ავთენტიფიკაციასა და ხელმოწერაზე. პრინციპში, ავტორიზაცია იგივეა, რაც ნებისმიერი სხვა დოკუმენტის ხელმოწერა: საიტი, რომელზეც კლიენტს სურს ავთენტიფიკაცია, წარმოქმნის სიმბოლოების თანმიმდევრობას, რომელსაც ის უგზავნის კლიენტს. კლიენტი აგზავნის ამ თანმიმდევრობის ხელმოწერას, რომელიც შესრულებულია მისი პირადი გასაღებისა და მისი სერთიფიკატის გამოყენებით (სერთიფიკატი ცოტა ადრეა). საიტი იღებს საჯარო გასაღებს კლიენტის სერთიფიკატიდან და ამოწმებს ორიგინალური თანმიმდევრობის ხელმოწერას. იგივე ეხება დოკუმენტების ხელმოწერას. აქ, თვითნებური თანმიმდევრობის ნაცვლად, თავად დოკუმენტი ჩნდება.

საჯარო სერვისები

კვლევის შედეგად გაირკვა, რომ 2016 წლის 14 დეკემბრის მდგომარეობით, ფედერალური სავაჭრო პლატფორმების უმეტესობა - "", "RTS-tender" და "Sberbank-AST" მზად არის გამოსაყენებლად სამუშაო ადგილებზე, რომლებიც მუშაობენ Linux ოპერაციული სისტემებით. დანარჩენი ორი საიტი ჯერ კიდევ არ იძლევა კლიენტის სერტიფიკატით შესვლის შესაძლებლობას. გეგმავენ თუ არა მათი დეველოპერები რაიმე ზომას თავსებადობის უზრუნველსაყოფად, სამწუხაროდ, ჯერ არ არის დადგენილი.

ამავდროულად, ყველა საიტის ოფიციალურ ინსტრუქციებში, გარდა ერთიანი ელექტრონული სავაჭრო პლატფორმისა, Windows ოპერაციული სისტემა მითითებულია, როგორც ერთადერთი მხარდაჭერილი. ოფიციალური სამსახურის პასუხები ტექნიკური მხარდაჭერადაადასტურეთ ეს ინფორმაცია. გაერთიანებული ელექტრონული სავაჭრო პლატფორმის ვებსაიტზე განთავსებული ინსტრუქციები აღწერს ბრაუზერის პარამეტრებს კონკრეტული ოპერაციული სისტემის მითითების გარეშე.

შეჯამებული სახით, კვლევის შედეგები მოცემულია ცხრილში:

ელექტრონული ბაზარი მომხმარებლის სერტიფიკატით შესვლის შესაძლებლობა პლატფორმის ინტერფეისში დოკუმენტზე ხელმოწერის შესაძლებლობა რეესტრიდან OS-ის ქვეშ საიტთან მუშაობის დოკუმენტაცია
Sberbank - ავტომატური სავაჭრო სისტემა დიახ დიახ არა
ერთიანი ელექტრონული სავაჭრო პლატფორმა დიახ დიახ დიახ

ETP-ებისთვის, რომლებიც უზრუნველყოფენ Linux-თან თავსებადობას, ერთადერთი მხარდაჭერილი კრიპტო ინსტრუმენტი ამ დროისთვის არის Cades მოდული, რომელსაც შეუძლია გამოიყენოს მხოლოდ CryptoPro CSP, როგორც კრიპტო პროვაიდერი. ამრიგად, კარგი ამბავი ის არის, რომ ელექტრონული სავაჭრო პლატფორმებზე წვდომის ჟეტონის მიღება ძალიან ადვილია - CA-ების უმეტესობა გასცემს მათ. ცუდი ამბავი - ჟეტონი იქნება პროგრამული უზრუნველყოფის ბაზაზე და არ იქნება თავსებადი სახელმწიფო სერვისების ვებსაიტთან.

სხვა სავაჭრო პლატფორმებისთვის, EDS ფუნქციონალზე წვდომის ერთადერთი გზაა Windows OS კომპონენტი, სახელწოდებით CAPICOM. Etersoft-ის სპეციალისტებმა ჩაატარეს კვლევითი სამუშაოები, რის შედეგადაც გაირკვა ღვინის გარემოში CAPICOM-ის გაშვების თეორიული შესაძლებლობა.

სხვა საიტები

ჩამოთვლილი საიტების გარდა, რომლებიც უშუალოდ იყენებენ EDS-ს - საიტზე შესასვლელად და საიტის ინტერფეისში გენერირებული დოკუმენტების ხელმოწერისთვის, არის მრავალი საიტი, რომელიც უზრუნველყოფს წინასწარ ხელმოწერილი დოკუმენტების ჩამოტვირთვის შესაძლებლობას კვალიფიციური ელექტრონული ხელმოწერით. ამის მაგალითია მთავარი რადიოსიხშირული ცენტრის საიტი. საიტზე შესვლა ხორციელდება შესვლისა და პაროლით, ხოლო დოკუმენტები მზადდება და ხელმოწერილია წინასწარ - მომხმარებლის OS ინტერფეისში. ამრიგად, ასეთ საიტებთან მუშაობისთვის საჭიროა მხოლოდ ადგილობრივი დოკუმენტის ხელმოწერის ფუნქციონირება. ანუ, ამ შემთხვევაში პრაქტიკულად არ არსებობს შეზღუდვები კრიპტოპროვაიდერის არჩევანზე.

ანაზრაურების გადაწყვეტის მაგალითი

სამწუხაროდ, ამ დროისთვის, ამ დოკუმენტის ავტორებმა არ იციან როგორ გამოიყენონ იგივე ჟეტონი ერთდროულად სახელმწიფო სერვისების ვებსაიტზე და ელექტრონულ სავაჭრო პლატფორმებზე. ამიტომ, თქვენ მოგიწევთ ორი ჟეტონის დამზადება ორი გასაღების წყვილით და ორი სერთიფიკატით, შესაბამისად. ეს იურიდიულად არ არის აკრძალული, ტექნიკურად ეს შესაძლებელია. ფინანსურად ასევე საკმაოდ რეალისტურია: ერთი ნიშანი იქნება, მაგალითად, აპარატურა Rutoken EDS, მეორე იქნება ძველი eToken მოდელი, რომელიც ახლა შეგიძლიათ იპოვოთ ნომინალური საფასურით.

წვდომა სახელმწიფო სერვისების ვებსაიტზე

სახელმწიფო სერვისებზე წვდომისთვის, აიღეთ Rutoken EDS და შეასრულეთ შემდეგი ნაბიჯები:

  1. ჩამოტვირთეთ Rutoken მოდულის პროგრამა გვერდიდან ბმულზე;
  2. დააინსტალირეთ Rutoken დანამატი - დააკოპირეთ დანამატის ფაილები (npCryptoPlugin.so და librtpkcs11ecp.so) ~/.mozilla/plugins/ ;
  3. გადადით საიტზე სარეგისტრაციო ცენტრის პროგრამული უზრუნველყოფით და მიჰყევით ინსტრუქციას შემდეგი მოქმედებების შესასრულებლად - ტოკენის ინიციალიზაცია, გასაღების წყვილის გენერირება, ადგილობრივი ფაილის გენერირება და შენახვა ხელმოწერის მოთხოვნით PKCS # 10 ფორმატში;
  4. ჩვენ დავუკავშირდებით CA-ს, რომელიც მზად არის გასცეს ჩვენთვის სერტიფიკატი ხელმოწერის მოთხოვნის შემთხვევაში, მივიღებთ სერთიფიკატს ფაილის სახით;
  5. "რეგისტრაციის ცენტრის" ინტერფეისში შეინახეთ სერტიფიკატი მიღებული ფაილიდან ჟეტონზე;
  6. ჩამოტვირთეთ „deb“ ფორმატის პაკეტი ბმულიდან - ფაილი IFCPlugin-x86_64.deb ;
  7. პროგრამული უზრუნველყოფის გამოყენებით "Midnight Commander" (ბრძანება mc ) "გადადით" პაკეტის ფაილში, როგორც დირექტორიაში;
  8. დააკოპირეთ დირექტორიის შინაარსი CONTENTS/usr/lib/mozilla/pluginsადგილობრივ ~/.mozilla/plugins დირექტორიაში;
  9. Firefox ბრაუზერში, სახელმწიფო სერვისების ვებსაიტზე, თანმიმდევრობით მივყვებით ბმულებს „შესვლა“ და „შესვლა ელექტრონული საშუალებების გამოყენებით“.

ამ ინსტრუქციის განხორციელების მთავარი პრობლემა არის სერტიფიცირების ორგანოს პოვნა, რომელიც მზად არის იმუშაოს ხელმოწერის მოთხოვნით.

წვდომა ელექტრონულ სავაჭრო პლატფორმებზე

ელექტრონული სავაჭრო პლატფორმების საიტებზე წვდომისთვის, რომლებიც მხარს უჭერენ Linux-ში მუშაობას, შეასრულეთ შემდეგი ნაბიჯები:

  1. რუსეთის ფედერაციაში ოფიციალურად გაყიდული ნებისმიერი ტოკენით, ჩვენ დავუკავშირდებით ნებისმიერ სერტიფიცირების ცენტრს CryptoPro CA-ს გამოყენებით და მივიღებთ მომხმარებლის სერთიფიკატს და საიდუმლო გასაღებს, რომელიც ინახება ჟეტონზე, კონტეინერში ფორმატის კონტეინერში, რომელსაც მხარს უჭერს CryptoPro პროგრამული უზრუნველყოფა;
  2. შესაბამისად ინსტრუქციადააინსტალირეთ პროგრამული უზრუნველყოფა "CryptoPro CSP" და "Cades plugin" Chromium ბრაუზერისთვის;
  3. Chromium ბრაუზერის გამოყენებით, ჩვენ გადავალთ ელექტრონული სავაჭრო პლატფორმების საიტებზე და დავიწყებთ მათთან მუშაობას ოფიციალური ინსტრუქციის მიხედვით.

ფაილების სახით დოკუმენტების ხელმოწერის შესაძლებლობა ხელმისაწვდომი იქნება CryptoPro კონსოლის კომუნალური საშუალებებით და მესამე მხარის შეფუთვის აპლიკაციებით, როგორიცაა უკვე ნახსენები rosa-crypto-tool.