Электронная Цифровая Подпись
Добрый всем день!
Сделал аудиозапись (вероятно придется представлять в суде)… тут же скинул ее на ЯндексДиск и ГуглДиск - какая ни какая а защита от подделки записи.
Вспомнил, что совсем недавно проскакивала темка про ЭЦП…
Порядок получения, как я понял, не сложен - топаем в офис Ростелекома…
А как этой подписью подписать файл? Т.е. что б дата и время подтверждались…
Буду благодарен за помощь.
Там всё получается очень непросто…
Дело в том, что ЭЦП выдаваемая ростелекомом почему то (у меня) работает только с их фирменным плагином. На habrahabr.ru видел статейку, которая любой файл скармливала плагину и выдавала подпись. Надо поискать там, попробую ближайшей ночью.
В некоторых банках,ИП-шникам,предлагают ЭЦП к интернет-банкингу.В виде USB свистка.
А как этой подписью подписать файл? Т.е. что б дата и время подтверждались…
А никак. Электронная подпись, как процесс и результат, не включает в себя дату ее простановки. Считате ее полным аналогом вашей собственноручной подписи на бумаге.
Как вы самостоятельно своей подписью на бумаге удостоверите что ваша подпись на бумаге была поставлена 31 мартабря сего года. Напишите на бумаге дату и подпишитесь? а потом никому не показав принесете бумагу в суд и будете доказывать что не в холле написали, а еще полгода назад. С электронной также. Дату файла (да и содержимое) вы можете проставить по желанию левой пятки и подписать эту комбинацию в любой момент времени и/или воспроизвести свою подпись.
Для того чтобы подтвердить дату вам нужна не подпись, а третья сторона. Которая и подтвердить дату простановки/получения от вас файла и/или подписи. Подписью вы можете защитить/проверить/подтвердить/доказать целостность данных (целостность но не подлинность или аутентичность данных и атрибутов файла) и авторство подписи для третьих лиц.
Целостность данных можно зафиксировать просто контрольной суммой посчитав и опубликовав отпечаток (fingerprint) данных фала например хеш SHA-1. Целостность данных отпечаток обеспечит но автора создателя отпечатка нет. Просто отпечаток данных посчитать может любой в любой момент времени и убедится что ни байтика неизменилось по сравнению с теми данными с которых был снят отпечаток. Подпись это собственно говоря вариант отпечатка данных такой что этот отпечаток мог создать только конкретный человек владелец подписи. А все остальные могут проверить значение отпечатка и проверить что этот отпечаток данных создал именно владелиц подписи и никто иной.
Все окружающие в том числе и суд смогут убедится что подписывали именно ВЫ и именно эти данные - когда вы их подписали и каково качество/аутентичность этих данных никто никогда не узнает - если не привлечь и надлежащим образом не оформить участие третьей независимой и доверенной стороны к хранению данных и подписи.
Третья сторона сможет подтвердить что эту данные и подпись и/или fingerprint она от вас получила … надцатого числа а следовательно дата создания подписи/отпечатка и данных фала не позже надцатого.
Повторюсь для контроля/фиксации целостности содержимого достаточно отпечатка (он считается просто по данным файла) подпись это только если вам важно доказать что именно вы и именно эти данные подписывали.
WBR CrazyElk
P.S. Но если всенепременно хочетя подпись и ростелекомовскую - то что они дают в Ростелекоме это насколько знаю алладиновский “eToken Гост” соотвественно смотрите кто умеет шифровать подписывать используя его интерфейсы. По поверхностному описанию ничего экзотического стандартный PKCS#11 и Microsoft CryptoAPI и x.509. Но в детали не лез, зуб не дам . Месяца через два три возможно прейдется заняться этой темой (ростелекомовским токеном и работой с ним) плотно а пока только предварительный взгляд бросал что за зверь нам грозит если звезды неправильно лягут и предется самим имплементировать защиту с его использованием.
Все окружающие в том числе и суд смогут убедится что подписывали именно ВЫ и именно эти данные - когда вы их подписали и каково качество/аутентичность этих данных никто никогда не узнает - если не привлечь и надлежащим образом не оформить участие третьей независимой и доверенной стороны к хранению данных и подписи
Например, разместить файлы на ЯндексДиск или ГуглДиск?
все это хорошо, вопрос как эту самую подпись к файлу пришпандорить, я, например не знаю приложения которое может это сделать. Для пдф или офиса есть криптопро, не дешевое надо сказать удовольствие, особенно для пдф.
Например, разместить файлы на ЯндексДиск или ГуглДиск
И этого достаточно 😃 если справку или что еще от них получить. Суд конечно может сам сходить и посмотреть в интернете - но надо постараться чтобы он так сделал.
А вобще-то если для суда и очень важно см.ниже технику. Сейчас уже поздно но на будущее имейте в виду.
вопрос как эту самую подпись к файлу пришпандорить
А зачем что то куда то пришпандоривать? Файл отдельно подпись/отпечаток отдельно. Хотите все в одном фалом передать зархивируте в единый архив, упакуйте в tar. …
Вот посмотрите как приблизительно это делается на примере защиты дистрибутивов и библиотек (не подпись, но отпечаток).
файл commons-lang-2.6.jar - java библиотека
тут же файл commons-lang-2.6.jar.asc - отпечаток содержимого файла библиотеки сделанный старым добрым PGP. Это просто текстовый файл c вот таким содержанием
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)
iEYEABECAAYFAk0vhbMACgkQGGHDIsVgFLJNowCfQijxMOZ6jHcx7Xp9eCMXFIIr
/oYAoJIc+CGVvW/Tid8DHE1zvfBNugaA
=CrJZ
-----END PGP SIGNATURE-----
рядом лежит файл commons-lang-2.6.jar.md5 -отпечаток того же самого содержимого в виде хэш-суммы по алгоритму MD5. Тоже текстовый файл но текст уже такой
4d5c1693079575b362edf41500630bbd
и наконец commons-lang-2.6.jar.sha1 -тоже самое но алгоритм sha1 и текст
0ce1edb914c94ebc388f086c6827e8bdeec71ac2
Если значение хоть одного из отпечатков asc, md5, sha1 или аналогичное зафиксирован - хоть на бумажке протокола о дтп и т.д. и т.п. , за неизменность содержимого файла можно в принципе не беспокоится, изменить содержимое файла так чтобы отпечаток не изменился практически невозможно (в теории возможно но листов не хватит нули выписывать для вероятности такого события или времени подбора подходящей подтасовки).
В общем достаточно было анонсировать и зафиксировать с датой значение отпечатка по любому алгоритму (а таких программ море). Для этого хоть на бумажке этот отпечаток написать и заверить бумажку нотариуса. Выкладывать и фиксировать файл не обязательно, файл можно и потом предъявить когда нужно. То что это тот самый файл (по содержимому) о котором идет речь в заверенной у натариуса бумаге подтвердит отпечаток, дату не позже которой содержимое файл создано даст дата и время и фиксации значения отпечатка у нотариуса .
Проблема будет не в том чтобы сделать все по уму с точки зрения техники и теории защиты информации (славо богу это всему не один десяток лет откатанно и проверенно). Проблема будет все это в родном суде предъявить, чтобы суд принял и учел. Страшные слова FingerPrint, sha1, иммитоприставка … могут возыметь неожиданный эффект у неподготовленного состава. И чем менее квалифицирован (больше подмазан) суд тем это сложнее доказать, что ты есть ты а не верблюд, и то что предъявляешь действительно гарантирует и доказывает. В вопросе донесения до суда что 2+2=4 увы мну не копенгаген, юрист в помощь знающий местные реалии и “обычай”.
P.S. Но если всенепременно хочетя подпись и ростелекомовскую - то что они дают в Ростелекоме это насколько знаю алладиновский “eToken Гост” соотвественно смотрите кто умеет шифровать подписывать используя его интерфейсы. По поверхностному описанию ничего экзотического стандартный PKCS#11 и Microsoft CryptoAPI и x.509. Но в детали не лез, зуб не дам . Месяца через два три возможно прейдется заняться этой темой (ростелекомовским токеном и работой с ним) плотно а пока только предварительный взгляд бросал что за зверь нам грозит если звезды неправильно лягут и предется самим имплементировать защиту с его использованием.
Проблема только в том, что там явно не простой токен - линуксовые средства его не видят, стандартные с сайта Алладина - тоже. Так что не всё так просто.
Страшные слова FingerPrint, sha1, иммитоприставка … могут возыметь неожиданный эффект у неподготовленного состава.
А также очень неприятные вопросы о лицензировании и квалификации - у подготовленного. Почти всё, что связано с криптографией у нас в стране - требует лицензии фсб…
Собственно, почему я и говорил об использовании API сайта госуслуги - там время простановки подписи - ростелекомовское. Равно как и вся криптография. Цифровая подпись получена с помощью сайта ГосУслуги - и точка. Время - Ростелекомовское. Алгоритм - ГОСТ. Можно подделать?
явно не простой токен - линуксовые средства его не видят, стандартные с сайта Алладина - тоже.
Судя по статье они просто “поленились” и не смотря на обещания кросплатформенный провайдер pkcs#11 не реализовали ограничившись “идеологически верным” для стран “двухбаксовых фотошопов” провайдером “Microsoft Crypto API” . Соотвественно можно все но токо “вправильной OS”. Все остальное после криптпровайдера выглядит достаточно стандартно.
Собственно, почему я и говорил об использовании API сайта госуслуги - там время простановки подписи - ростелекомовское. Равно как и вся криптография. Цифровая подпись получена с помощью сайта ГосУслуги - и точка. Время - Ростелекомовское. Алгоритм - ГОСТ. Можно подделать?
Только все стало проясняться…
И на тебе 😃
Пока вижу часть алгоритма:
- Берем паспорт и топаем в офис Ростелекома
- Ищем окошко которое выдает ключи
- Показываем паспорт и оплачиваем услуги и флешку
- Дома, при помощи флешки и программы от ГосУслуг получаем доступ к сайту ГосУслуг… (тут я уже начинаю сомневаться)
- Берем файл и… (что с ним делать?)
… ?
Чую, надо сходить в Ростелеком самому
На сайте Госуслуг есть возможность, а иногда и обязанность ПРИ ПОДАЧЕ ЗАЯВЛЕНИЯ прикрепить к этому заявлению связанные с ним файлы и если у вас есть электронная подпись то и подписать эти фалы и само заявление с помощью плагина к броузеру идущего в комплекте к ключу Ростелекома. Это то что я точно знаю есть.
Например при подаче заявления на загран паспорт можно-нужно прикрепить свою фотографию. Я ничего там не подписывал электронно поскольку подписи не имею и невижу ее необходимости пока получать. Так что про подписываение уже из инструкций и информационных постов сайта. (или пока не получу по работе)
Собственно говоря сайт гос услуги как раз и есть та третьей сторона которая у вас примет подписанные ЗАЯВЛЕНИЕ И ДАННЫЕ и удостоверит что приняла от вас их не позже чем … а плагин к броузеру не только подпишет каждый информацию файла дополнив ее датой подписания но и передаст все вместе на сайт гос услуг для храения обработки так как нужно этому сайту в достаточно удобной форме. Но !!! каждый файл связанный с заявлением (с датой или без) подписывается отдельно и это хорошо если испортит или отвергнут по подписи то толко конкретный файл. И дата подписания в каком то виде там фигурирует. Где именно дата подписания в заявлении общая или к каждому файлу отдельно уже не важно. Все раавно фалы и заявление это комплект. Но это точно есть для ЗАВЛЕНИЯ-запроса услуги.
Я не знаю если ли на сайте госуслуг услуга-заявление - просто удостоверить и сохранить файл , а не написать заявление на заказ услуги в каком то конкретном министерстве или ведомстве по конкретной теме. Я не видел и не слышал о такой заявке услуге , но это не значить что ее там нет. Там вагон и маленькая тележка разделов и услуг каждый со своими формами и требованиями к данным. Я заказывал услуги у конкретных министерств и се было именно по их правилам. Специфичные для услуги формы, файлы и требования к ним. Ничего лишнего в тех заявлениях небыло. Не исключено что надется подходщее для вас услуга заявление .
Чисто теоретически если речь идет о суде то раздел связаннный с судом и взаимодествие с ним на портале есть и чем черт не шутит может там есть форма-услуга подать заявление в суд с возможностью прикрепить дополнительные материалы произвольного вида с подписью. Этот вариант для вас Bingo.
Другое вероятное место ваш персональный профиль ничего подобного требуемому в том разделе не припомню.
Если отдельной услуги просто так подписать и задепонировать файл нет то 😦 услуги удостоверяющей стороны сайт представляет толко для гос учереждений, их задачь, а не для граждан и их нужд вообще.
Теоретическая возможность воспользоваться для подписи и криптозащиты ключами полученными в Ростелекоме остается - например как в статье через почту и подпись письма (тоже вариант). Но с присиданиями и третья сторона удостоверяющая когда это сделано 😦 не проглядывает.
Проще посчитать и заверить отпечаток.
WBR CrazyElk