|
4.3. Regeln zur Erstellung elektronischer Signaturen Bei der Erstellung elektronischer Signaturen aller Art sollten folgende Algorithmen verwendet werden:
| |
Name
|
URI
|
Berechnung der Hash-Summe
|
GOST R 34.11-94
|
http://www.w3.org/2001/04/xmldsig-more#gostr3411
|
Bildung einer Signatur
|
GOST R 34.10-2001
|
http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411
|
Kanonisierung (für XMLDSig)
|
Exklusive XML-Kanonisierung vom 18. Juli 2002
|
http://www.w3.org/2001/10/xml-exc-c14n#
|
Zusätzliche Transformation (für XMLDSig)
|
Normalisierung von SMEV
|
|
Wenn in diesem Abschnitt ein Elementname ohne Namespace angegeben wird, wird der Namespace urn://x-artefacts-smev-gov-ru/services/message-exchange/types/1.1 angenommen. 4.3.1 Signaturen im PKCS#7-FormatDas PKCS#7-Format wird zum Signieren von an Nachrichten angehängten Dateien verwendet. Es wird Version 1.5 der PKCS#7-Spezifikation (RFC-2315) verwendet. Für das Signaturformat gelten folgende Einschränkungen: Für das Stammelement ContentInfo ist SignedData der einzige gültige ContentType. Die Signatur muss getrennt sein (d. h. der einzige gültige Wert für das Element SignedData/contentInfo/contentType ist 1.2.840.113549.1.7.1 und das Element SignedData/contentInfo/content darf fehlen). Zur Berechnung des Message Digest ist nur der GOST 34.11-94-Algorithmus zulässig. Zur Generierung digitaler Signaturen ist nur der Algorithmus GOST 34.10-2001 zulässig. Es ist verboten, mehr als eine digitale Signatur in einer PKCS#7-Kryptonachricht zu platzieren. Das SignerInfo-Element muss die folgenden authentifizierten Attribute enthalten:
contentType (1.2.840.113549.1.9.3) hat immer den Wert 1.2.840.113549.1.7.1.
messageDigest (1.2.840.113549.1.9.4) enthält den GOST-Digest der zu signierenden Datei.
Formeller Ö Die meisten dieser Einschränkungen sind im PKCS#7-Formatprofil, Anhang 2, beschrieben. Das Profil spiegelt auch die Tatsache wider, dass in diesem Zusammenhang das PKCS#7-Format nur für die Übertragung elektronischer Signaturen verwendet wird und nicht für die Übertragung von verschlüsselte Daten und CRL. Das Profil verwendet Typen, die im PKCS#9-Standard (RFC-2985) definiert sind. 4.4. Elektronische Signaturen von Interaktionssubjekten – Einzelpersonen 4.4.1 Allgemeine Anforderungen an eine elektronische Signatur, die im Namen von Regierungsbeamten beim abteilungsübergreifenden Informationsaustausch erstellt wirdZertifikate und elektronische Signaturschlüssel (Absatz 3 von Artikel 14 Bundesgesetz Nr. 63-FZ „Über die elektronische Signatur“) eines Beamten werden auf den Namen eines einzelnen Vertreters einer Behörde ausgestellt und in verwendet Informationssysteme bei der Erbringung staatlicher und kommunaler Dienstleistungen/Ausführung staatlicher und kommunaler Aufgaben unter Nutzung des ressortübergreifenden elektronischen Interaktionssystems zur Erstellung und (oder) Überprüfung elektronischer Signaturen. Diese Unterschriften ähneln den handschriftlichen Unterschriften dieser Mitarbeiter und bestätigen unter anderem die Tatsache der Gründung elektronisches Dokument durch einen bestimmten OV-Mitarbeiter im OV IS. Die Verantwortung für die Speicherung und Verwendung des ES-SP-Signaturschlüssels liegt beim Beamten und wird von Regierungsbeamten kontrolliert. Die Neuausstellung bestehender ES-SP-Schlüsselzertifikate für OV-Beamte zur Verwendung in der abteilungsübergreifenden Interaktion ist nicht obligatorisch – es ist möglich, zuvor ausgestellte und gültige Signaturschlüsselzertifikate für Beamte zu verwenden, sofern diese von einer der darin enthaltenen Zertifizierungsstellen ausgestellt wurden Einzelraum ES Trust, gegründet vom Ministerium für Telekommunikation und Massenkommunikation der Russischen Föderation. 4.4.2 Elektronische Signatur für die abteilungsübergreifende InteraktionES-SP signiert die Geschäftsdaten der im XML-Format präsentierten Nachricht sowie angehängte Dateien. Da Anhänge getrennt von Geschäftsdaten übertragen werden, wird der ES-SP separat auf Geschäftsdaten und separat auf jeder angehängten Datei platziert. 4.4.2.1 Regeln zur Erstellung einer elektronischen Signatur für Nachrichten
Signaturformat
|
XMLDSig getrennt
|
Transformation, zusätzlich zur Heiligsprechung
|
urn://smev-gov-ru/xmldsig/transform
|
Formatierungsanforderungen
|
In der XML-Signaturstruktur zwischen Elementen nicht erlaubt Vorhandensein von Textknoten, einschließlich Zeilenumbrüchen.
|
Signierbares Element
|
Bei Anfragen und Antworten das Stammelement des XML-Dokuments, das die Geschäftsdaten der Anfrage oder Antwort darstellt.
|
In einer Nachricht posten
|
//SenderProvidedRequestData/ PersonalSignature/dsig:Signature
(für Anfragen), //SenderProvidedResponseData/PersonalSignature/dsig:Signature
(für Antworten), |
Methode zum Anbringen einer Signatur auf einer Nachricht
|
Übermittelt Webservice-Client in der Parameterstruktur der Methoden SendRequest und SendResponse.
|
Methode zum Extrahieren einer Signatur zur Überprüfung
|
ES wird abgerufen und überprüft Webservice-Client.
|
|
Mit dem Programm „CryptoARM“ können Sie signieren
- separate Datei
- Ordner mit Dateien (dadurch wird eine Signatur für jede im angegebenen Ordner enthaltene Datei erstellt. Signierte Dateien werden automatisch im Ordner mit den Originaldaten gespeichert.)
Datei Format P7S wird häufiger verwendet. *.p7s – signierte Dateien im PKCS #7-Format, aber in Base64-Textform (wie PEM)
Für das PKCS#7-Nachrichtenformat in Base64-Kodierung können Sie das Flag angeben Deaktivieren Sie Service-Header(In diesem Fall verwendet die Signaturdatei keine Header, die den Anfang und das Ende des Blocks mit signierten Daten angeben. Header sind erforderlich, damit die Überprüfung der digitalen Signatur durchgeführt werden kann mehr frühere Versionen
Programme „CryptoARM“).
- Geben Sie die erforderlichen Signatureigenschaften ein (Signaturkommentar*, Ressourcen-ID). **
, Einbeziehung der Signaturerstellungszeit). Darüber hinaus können Sie die Option „Zeitstempel für signierte Daten aktivieren“ einstellen, die bei der Installation eines Zusatzmoduls aktiviert werden kann TSP.
* Bei einem Signaturkommentar kann es sich um Informationen handeln, die von Personen gelesen werden sollen, die das signierte Dokument betrachten (z. B. „Einverstanden!“).
**
Die Ressourcenkennung bedeutet:
- Pfad zur zu signierenden Quelldatei (auf dem Computer oder im Internet, auf dem sich diese Datei befindet)
- Dateiname (wird angegeben, damit der Empfänger des signierten Dokuments bei einer Änderung des Dateinamens dessen ursprünglichen Namen ermitteln kann)
|
Flagge
|
Erläuterung
|
| Signatur in einer separaten Datei speichern
|
Wenn Sie das Flag setzen, wird eine separate elektronische Signatur für die Datei erstellt (dies kann beispielsweise praktisch sein, wenn Sie ein Dokument an eine Person senden, die CryptoARM nicht verwendet und nicht so sehr an der Signatur interessiert ist Daten selbst)
Fehlt die Flagge, wird eine elektronische Signatur erstellt, einschließlich einer Datei mit den Originaldaten (in diesem Fall werden Dokument und digitale Signatur zusammen gespeichert).
|
| Löschen Sie die Originaldatei, nachdem der Vorgang abgeschlossen ist
|
Wenn Sie sich für die Erstellung einer kombinierten Signaturdatei entscheiden, können Sie die Originaldatei nach Abschluss des Vorgangs löschen. Diese Funktion ist wichtig
- Erstens, um die Arbeit mit Dokumenten zu erleichtern
- für diejenigen, die nur mit digitaler Signatur signierte Dokumente speichern und austauschen müssen (im Rahmen der von der Organisation verabschiedeten Vorschriften zur elektronischen Dokumentenverwaltung)
Wenn Sie die Flagge gegenüber der Linie setzen Löschen die Quelldatei nach Abschluss des Vorgangs, Die zur Signatur ausgewählten Dokumente werden nach erfolgreichem Abschluss des Vorgangs gelöscht.
|
| Berücksichtigen Sie die Erstellungszeit der Signatur
|
Beim Setzen des Flags wird die Signaturzeit in die Signaturdatei übernommen
|
| Aktivieren Sie den Zeitstempel für signierte Daten
|
Wenn das Flag gesetzt ist, wird ein Zeitstempel der Originaldaten in die digitale Signaturdatei eingefügt
Dieses Flag erscheint nur, wenn das TSP-Modul installiert ist.
|
| Fügen Sie der Unterschrift einen Echtheitsnachweis bei
|
|
- Wenn das Flag gesetzt wurde Anmachen Zeitstempel für signierte Daten
Geben Sie im nächsten Schritt die Parameter des Zeitstempeldienstes an:
- Geben Sie die erforderlichen Parameter für die digitale Signatur an – persönliches Zertifikat für Erstellung einer digitalen Signatur und Hash-Algorithmus.
- Um auf die ausgewählten zuzugreifen Schlüsselbehälter(GOST-Zertifikat) Geben Sie das Passwort ein.
Nach dem Sammeln der Daten zur Erstellung einer digitalen Signatur erscheint ein Fenster mit Informationen über den Status des Vorgangs und die verwendeten Parameter: das Zertifikat, mit dem die Datei signiert wurde.
Die angegebenen Parameter der digitalen Signatur können in der Einstellung als Vorlage für die zukünftige Verwendung gespeichert werden. Aktivieren Sie dazu das Kontrollkästchen Speichern Sie Daten zur späteren Verwendung in den Einstellungen und geben Sie einen Namen für die Einstellung ein. Sie können alle Daten auch in einer vorhandenen Einstellung speichern, indem Sie deren Namen aus der Liste auswählen.
- Der Dateisignaturvorgang beginnt. Sie können den Vorgang stoppen, indem Sie auf die Schaltfläche klicken Stornieren.
- Die generierte digitale Signaturdatei wird standardmäßig im selben Verzeichnis gespeichert, in dem sich die Datei mit den Quelldaten befindet. Der Name der digitalen Signaturdatei stimmt mit dem Namen der zu signierenden Datei überein, ergänzt durch eine Erweiterung (die Erweiterung entspricht dem gewählten Ausgabeformat). Wenn bereits eine Datei mit demselben Namen vorhanden ist, speichern Sie sie unter einem anderen Namen.
- Nachdem der Vorgang abgeschlossen ist, erscheint ein Fenster Ergebnis der Operation. Um detaillierte Informationen zu den Ergebnissen der Signaturerstellung und den verwendeten Parametern anzuzeigen: Name der Quelldatei, Name der Ausgabedatei, Abschlussstatus des Vorgangs, Dauer des Vorgangs, klicken Sie auf die Schaltfläche Details >>.
Wenn Sie Informationen zur digitalen Signatur und zum Abonnentenzertifikat anzeigen möchten, wählen Sie den Eintrag in der Liste des Fensters aus Ergebnis der Operation und klicken Sie auf die Schaltfläche Nachrichtenmanager.
Es öffnet sich ein Fenster Signierte Datenverwaltung, in dem Sie die Signatur- und Zertifikatsinformationen einsehen können:
- Sehen Sie sich die signierte Datei an, indem Sie auf die Schaltfläche klicken Sicht gegenüber dem Dateinamen,
- Speichern Sie im angegebenen Pfad, indem Sie auf die Schaltfläche klicken Speichern,
- Informationen zur Signatur, zum Zertifikat und seinem Status anzeigen (Schaltfläche). Sicht)
|
Lesezeichen
|
Informationen im Lesezeichen
|
| Unterschrift
|
Informationen über die Attribute der Signatur, den Zeitpunkt ihrer Erstellung, die verwendeten Signatur- und Hashing-Algorithmen.
|
| Zertifikat
|
Informationen zum Zertifikat (Zertifikatsstatus /gültig usw./, Nummer, Informationen zum Eigentümer und Aussteller, Gültigkeitsdauer des Zertifikats und seine Verwendung).
|
| Zertifikatsstatus
|
Allgemeiner Status der Prüfung des vollständigen Zertifizierungspfades (weitere Informationen zu Zertifikatsstatus finden Sie im Kapitel). Überprüfen des Zertifikatsstatus). Darüber hinaus können Sie in der Registerkarte die Methode zur Überprüfung des Status von Zertifikaten festlegen (durch lokales SOS; durch von einer Zertifizierungsstelle empfangenes SOS; mithilfe des Revocation Providers; im OCSP-Dienst).
|
| Zeitstempel
|
Zeitstempelinformationen (Zeitstempelstatus, Zeitstempeleigenschaften, Eigenschaften des Stempeldienstes, Status und Details des Dienstzertifikats) |
|
Im Folgenden werden Dateien dieser Art und deren Verwendungszweck im Detail beschrieben. Der ursprüngliche Name dieses Materials ist PKCS-7-Signaturdatei.
Beschreibung der Erweiterung
Beginnen wir also damit, über das Format zu sprechen; wir erzählen Ihnen mehr darüber, aber zunächst versuchen wir, den Zweck dieser Lösung zu verstehen. Material dieses Formats ist eine E-Mail-Nachricht, die enthält Digitale Unterschrift. Dieses Format Wird für den sicheren Versand verwendet E-Mails. Sie können nur vom Empfänger eingesehen werden. Diese Methode Die Übertragung authentifiziert den Absender und bestätigt außerdem, dass ein bestimmter Brief während des Versandvorgangs in keiner Weise verändert wurde. Falls gebraucht Mailprogramm unterstützt keine digitale Signatur, die P7S-Datei erscheint normalerweise als Anhang einer Nachricht. E-Mail-Clients, die mit diesem Format arbeiten, verwenden den PKCS-Standard. Dadurch wird eine Signatur für E-Mail-Nachrichten erstellt.
Mozilla Thunderbird
Wir haben also eine P7S-Datei. Dieser E-Mail-Client erklärt Ihnen, wie Sie ihn öffnen. Mozilla Thunderbird repliziert weitgehend die Oberfläche des proprietären Browsers. Diese Lösung funktioniert nach einem ähnlichen Prinzip. Ganz nach Ihrem Geschmack können Sie ein passendes Design-Thema wählen. Es ist möglich, 5 Schriftstufen sowie den Hintergrund in Buchstaben anzupassen. Die Anwendung enthält eine Bibliothek mit Emoticons. Die Betriebsgeschwindigkeit liegt nahe an der des Markenbrowsers. Die maximale Wartezeit für den Empfang oder Versand eines Briefes beträgt 10 Minuten. Nach Ablauf des angegebenen Zeitraums stellt die Anwendung fest, dass die Verbindung unterbrochen ist, und stoppt daher den Versand. Dieses Problem lässt sich leicht durch eine Änderung der Softwareeinstellungen beheben.
Andere Anwendungen
Es gibt andere Tools, die das P7S-Format unterstützen. Das PostBox-Programm hilft Ihnen dabei, herauszufinden, wie Sie ein solches Dokument öffnen. Es kann auch in diesem Fall hilfreich sein Microsoft Outlook. Die Rede ist von einem Informationsmanager, der von Microsoft entwickelt wurde. Das Programm vereint Funktionen Mail-Client mit Mitteln für Zusammenarbeit. Outlook ist Teil des Pakets Office-Programme Microsoft Office. Sie können die Frage, wie Sie die P7S-Datei öffnen, auch mit der Anwendung CryptoARM lösen. Dies ist ein universelles Softwarepaket. Es ermöglicht Ihnen, kryptografische Tools für geschäftliche und private Korrespondenz zu verwenden. Mit dieser Lösung können Sie den Schutz sowohl geschäftlicher als auch persönlicher Daten gewährleisten.
Die Anwendung verfügt über eine sehr schöne grafische Oberfläche. Diese Entscheidung Bietet zuverlässige Verschlüsselung sowie Entschlüsselung von Daten. Mit diesem Tool können Sie außerdem Anwendungen erstellen und zur Verfügung stellen öffentliche Schlüssel und unterstützt auch die Arbeit mit Zertifikaten und Kryptoanbietern. Mittels Diese Anwendung Sie können eine beliebige Anzahl digitaler Signaturen erstellen und deren Authentizität überprüfen. Die Dateientschlüsselung wird unterstützt. Ausführung von Operationen in einer Phase.
Jetzt wissen Sie, was P7S ist. Wie man eine Datei mit dieser Erweiterung öffnet und wofür dieses Format verwendet wird, ist oben ausführlich beschrieben.
