4.3 قوانین تولید امضای الکترونیکی هنگام تولید انواع امضای الکترونیکی، باید از الگوریتم های زیر استفاده شود:
| نام
| URI
|
محاسبه مجموع هش
| GOST R 34.11-94
| http://www.w3.org/2001/04/xmldsig-more#gostr3411
|
تشکیل امضا
| GOST R 34.10-2001
| http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411
|
متعارف سازی (برای XMLDSig)
| Canonicalization انحصاری XML به تاریخ 18 ژوئیه 2002
| http://www.w3.org/2001/10/xml-exc-c14n#
|
تبدیل اضافی (برای XMLDSig)
| عادی سازی SMEV
|
|
در سراسر این بخش، اگر نام عنصری بدون فضای نام مشخص شود، فضای نام urn://x-artefacts-smev-gov-ru/services/message-exchange/types/1.1 در نظر گرفته می شود. 4.3.1 امضاها در قالب PKCS#7فرمت PKCS#7 برای امضای فایل های پیوست شده به پیام ها استفاده می شود. از نسخه 1.5 مشخصات PKCS#7 (RFC-2315) استفاده شده است. محدودیت های زیر برای قالب امضا اعمال می شود: برای عنصر ContentInfo ریشه، تنها contentType معتبر SignedData است. امضا باید جدا شود (یعنی تنها مقدار معتبر برای عنصر SignedData/contentInfo/contentType 1.2.840.113549.1.7.1 است و عنصر SignedData/contentInfo/content باید وجود نداشته باشد). برای محاسبه خلاصه پیام، فقط الگوریتم GOST 34.11-94 مجاز است. برای تولید امضای دیجیتال، فقط الگوریتم GOST 34.10-2001 مجاز است. قرار دادن بیش از یک امضای دیجیتال در پیام رمزنگاری PKCS#7 ممنوع است. عنصر SignerInfo باید دارای ویژگی های تایید شده زیر باشد: contentType (1.2.840.113549.1.9.3)، همیشه دارای مقدار 1.2.840.113549.1.7.1 است. messageDigest (1.2.840.113549.1.9.4)، حاوی خلاصه GOST فایلی است که باید امضا شود.
رسمی تر Oبیشتر این محدودیتها در نمایه فرمت PKCS#7، پیوست 2 توضیح داده شده است. این نمایه همچنین این واقعیت را منعکس میکند که در این زمینه، قالب PKCS#7 فقط برای انتقال امضای الکترونیکی استفاده میشود، و برای انتقال استفاده نمیشود. داده های رمزگذاری شده و CRL نمایه از انواع تعریف شده در استاندارد PKCS#9 (RFC-2985) استفاده می کند. 4.4 امضای الکترونیکی موضوعات تعامل - افراد 4.4.1 الزامات عمومی برای امضای الکترونیکی تشکیل شده از طرف مقامات دولتی در جریان تبادل اطلاعات بین بخشیگواهینامه ها و کلیدهای امضای الکترونیکی (بند 3 ماده 14 قانون فدرالشماره 63-FZ "در مورد امضای الکترونیکی") یک مقام رسمی به نام نماینده فردی یک مقام صادر می شود و در سیستم های اطلاعاتیهنگام ارائه خدمات ایالتی و شهری / اجرای عملکردهای ایالتی و شهری با استفاده از سیستم تعامل الکترونیکی بین بخشی برای تولید و (یا) تأیید امضای الکترونیکی. این امضاها مشابه امضاهای دست نویس این کارمندان است و از جمله مؤید واقعیت شکل گیری است. سند الکترونیکیتوسط یک کارمند OV خاص در OV IS. مسئولیت نگهداری و استفاده از کلید امضای ES-SP بر عهده مقام رسمی است و توسط مقامات دولتی کنترل می شود. صدور مجدد گواهینامه های کلید ES-SP موجود برای مقامات OV برای استفاده در تعامل بین بخشی اجباری نیست - می توان از گواهینامه های کلید امضای قبلی صادر شده و معتبر برای مقامات استفاده کرد، مشروط بر اینکه توسط یکی از مراکز صدور گواهینامه موجود در آن صادر شده باشد. تک فضاییتراست ES که توسط وزارت مخابرات و ارتباطات جمعی فدراسیون روسیه تشکیل شده است. 4.4.2 امضای الکترونیکی برای تعامل بین بخشیES-SP داده های تجاری پیام ارائه شده در XML و همچنین فایل های پیوست شده را امضا می کند. از آنجایی که پیوستها جدا از دادههای تجاری منتقل میشوند، ES-SP بهطور جداگانه روی دادههای تجاری، بهطور جداگانه در هر فایل پیوست شده قرار میگیرد. 4.4.2.1 قوانین تولید امضای الکترونیکی برای پیام ها فرمت امضا
| XMLDSig جدا شد
|
دگرگونی، علاوه بر تقدیس
| urn://smev-gov-ru/xmldsig/transform
|
الزامات قالب بندی
| در ساختار امضای XML، بین عناصر مجاز نیستوجود گره های متنی، از جمله شکست خط.
|
عنصر قابل علامت گذاری
| برای درخواستها و پاسخها، عنصر اصلی سند XML است که دادههای تجاری درخواست یا پاسخ را نشان میدهد.
|
ارسال در یک پیام
| //SenderProvidedRequestData/ PersonalSignature/dsig:Signature (برای استعلام)، //SenderProvidedResponseData/PersonalSignature/dsig:Signature (برای پاسخ) |
روش قرار دادن امضا بر روی پیام
| منتقل شد سرویس گیرنده وبدر ساختار پارامترهای متدهای SendRequest و SendResponse.
|
روش استخراج امضا برای تایید
| ES بازیابی و بررسی می شود سرویس گیرنده وب.
|
|
با استفاده از برنامه "CryptoARM" می توانید امضا کنید
- فایل جداگانه
- پوشه فایل ها (این کار یک امضا برای هر فایل موجود در پوشه مشخص شده ایجاد می کند. فایل های امضا شده به طور خودکار با داده های اصلی در پوشه ذخیره می شوند)
فرمت فایل P7Sبیشتر استفاده می شود. *.p7s – فایلهای امضا شده در قالب PKCS #7، اما به صورت متنی base64 (مانند PEM)
برای قالب پیام PKCS#7 در رمزگذاری Base64، می توانید پرچم را مشخص کنید هدرهای سرویس را غیرفعال کنید(در این حالت، فایل امضا از هدرهایی که ابتدا و انتهای بلوک را با دادههای امضا شده نشان میدهند استفاده نمیکند. سرصفحهها برای تأیید امضای دیجیتال ضروری هستند. بیشتر نسخه های قبلی
برنامه ها "CryptoARM").
- ویژگی های امضای مورد نیاز (نظر امضا*، شناسه منبع را وارد کنید **
، شامل زمان ایجاد امضا). علاوه بر این، میتوانید گزینه «فعال کردن مهر زمان در دادههای امضاشده» را تنظیم کنید، که میتواند هنگام نصب یک ماژول اضافی فعال شود. TSP.
* یک نظر امضا می تواند اطلاعاتی باشد که قصد خواندن آن توسط افرادی که سند امضا شده را مشاهده می کنند (مثلاً "موافق!")
**
شناسه منبع یعنی:
- مسیر فایل منبعی که باید امضا شود (در رایانه یا اینترنت که این فایل در آن قرار دارد)
- نام فایل (نشان داده شده است تا در صورت تغییر نام فایل، گیرنده سند امضا شده بتواند نام اصلی آن را تعیین کند)
پرچم
|
توضیح
|
امضا را در یک فایل جداگانه ذخیره کنید
|
هنگامی که پرچم را تنظیم می کنید، یک امضای الکترونیکی جداگانه روی فایل ایجاد می شود (به عنوان مثال، اگر سندی را برای شخصی ارسال کنید که از CryptoARM استفاده نمی کند و علاقه زیادی به امضا ندارد، می تواند راحت باشد. خود داده ها)
اگر پرچم وجود نداشته باشد، یک امضای الکترونیکی شامل یک فایل با داده های اصلی ایجاد می شود (در این حالت، سند و امضای دیجیتال با هم ذخیره می شوند)
|
پس از اتمام عملیات فایل اصلی را حذف کنید
|
اگر تصمیم به ایجاد یک فایل امضای ترکیبی دارید، می توانید پس از اتمام عملیات، فایل اصلی را حذف کنید. این ویژگی مهم است
- اول از همه، برای راحتی کار با اسناد
- برای کسانی که نیاز به ذخیره و مبادله فقط اسناد امضا شده با امضای دیجیتال دارند (در چارچوب مقررات مدیریت اسناد الکترونیکی مصوب سازمان)
اگر پرچم را در مقابل خط قرار دهید حذف فایل منبع پس از اتمام عملیات،سند(های) انتخاب شده برای امضا پس از اتمام موفقیت آمیز عملیات حذف خواهد شد.
|
شامل زمان ایجاد امضا
|
هنگام تنظیم پرچم، زمان امضا در فایل امضا درج می شود
|
مهر زمان را روی داده های امضا شده فعال کنید
|
وقتی پرچم تنظیم شد، یک مهر زمانی روی داده های اصلی در فایل امضای دیجیتال گنجانده می شود
این پرچم فقط در صورتی ظاهر می شود که ماژول TSP نصب شده باشد.
|
سند اصالت را در امضا درج کنید
|
|
- اگر پرچم تعیین شده بود روشن کن مهر زمان برای داده های امضا شده
، در مرحله بعد پارامترهای Time Stamp Service را مشخص کنید:
- پارامترهای امضای دیجیتال مورد نیاز را مشخص کنید - گواهی شخصی برای ایجاد امضای دیجیتالو الگوریتم هش
- برای دسترسی به انتخاب شده ظرف کلید(گواهی GOST) رمز عبور را وارد کنید.
پس از جمع آوری داده ها برای ایجاد یک امضای دیجیتال، پنجره ای با اطلاعاتی در مورد وضعیت عملیات و پارامترهای استفاده شده ظاهر می شود: گواهی نامه ای که فایل با آن امضا شده است.
پارامترهای امضای دیجیتال مشخص شده را می توان در تنظیمات به عنوان یک الگو برای استفاده در آینده ذخیره کرد. برای انجام این کار، کادر را علامت بزنید داده ها را برای استفاده بعدی در تنظیمات ذخیره کنیدو یک نام برای تنظیم وارد کنید. همچنین میتوانید با انتخاب نام آن از فهرست، همه دادهها را در تنظیمات موجود ذخیره کنید.
- فرآیند امضای فایل آغاز خواهد شد. با کلیک بر روی دکمه می توانید روند را متوقف کنید لغو کنید.
- فایل امضای دیجیتال تولید شده به طور پیش فرض در همان دایرکتوری که فایل با داده های منبع در آن قرار دارد، ذخیره می شود. نام فایل امضای دیجیتال با نام فایل در حال امضا مطابقت دارد و با یک پسوند تکمیل شده است (پسوند مطابق با فرمت خروجی انتخاب شده است). اگر فایلی با همین نام از قبل وجود دارد، آن را با نام دیگری ذخیره کنید.
- پس از اتمام عملیات، یک پنجره ظاهر می شود نتیجه عملیات. برای مشاهده اطلاعات دقیق در مورد نتایج ایجاد امضا و پارامترهای مورد استفاده: نام فایل منبع، نام فایل خروجی، وضعیت تکمیل عملیات، مدت زمان عملیات، روی دکمه کلیک کنید. جزئیات >>.
اگر می خواهید اطلاعات مربوط به امضای دیجیتال و گواهی مشترک را مشاهده کنید، ورودی را در لیست پنجره انتخاب کنید نتیجه عملیاتو روی دکمه کلیک کنید مدیر پیام.
پنجره ای باز خواهد شد مدیریت داده های امضا شده،که در آن می توانید اطلاعات امضا و گواهی را مشاهده کنید:
- فایل امضا شده را با کلیک بر روی دکمه مشاهده کنید چشم اندازمقابل نام فایل،
- با کلیک روی دکمه در مسیر مشخص شده ذخیره کنید صرفه جویی,
- مشاهده اطلاعات مربوط به امضا، گواهی و وضعیت آن (دکمه چشم انداز)
نشانک
|
اطلاعات در نشانک
|
امضا
|
اطلاعاتی در مورد ویژگی های امضا، زمان ایجاد آن، الگوریتم های امضا و هش مورد استفاده.
|
گواهی
|
اطلاعات مربوط به گواهی (وضعیت گواهی / معتبر و غیره/، شماره، اطلاعات مالک و صادرکننده، مدت اعتبار گواهی و استفاده از آن).
|
وضعیت های گواهی
|
وضعیت عمومی بررسی مسیر صدور گواهینامه کامل (در مورد وضعیت گواهینامه در فصل بیشتر بخوانید بررسی وضعیت گواهی). علاوه بر این، در برگه میتوانید روش بررسی وضعیت گواهیها را تنظیم کنید (توسط SOS محلی، SOS دریافت شده از CA، با استفاده از Revocation Provider، در سرویس OCSP)
|
تمبر زمان
|
اطلاعات مهر زمانی (وضعیت مهر زمانی، ویژگی های مهر زمانی، ویژگی های خدمات تمبر، وضعیت گواهی خدمات و جزئیات) |
|
فایلهایی از این نوع، و همچنین برای اهدافی که در نظر گرفته شدهاند، در زیر به تفصیل توضیح داده خواهد شد. نام اصلی این ماده فایل Signature PKCS-7 است.
توضیحات پسوند
بنابراین، اجازه دهید در مورد قالب صحبت کنیم؛ ما بیشتر به شما خواهیم گفت، اما در حال حاضر بیایید سعی کنیم هدف این راه حل را درک کنیم. مواد این قالب یک پیام ایمیل است که حاوی امضای دیجیتالی. این قالببرای حمل و نقل ایمن استفاده می شود ایمیل ها. آنها فقط توسط گیرنده قابل مشاهده هستند. این روشارسال، فرستنده را احراز هویت می کند و همچنین تأیید می کند که نامه خاصی در طول فرآیند ارسال به هیچ وجه تغییر نکرده است. در صورت استفاده برنامه پستیاز امضای دیجیتال پشتیبانی نمی کند، فایل P7S معمولاً به عنوان پیوست یک پیام ظاهر می شود. سرویس گیرندگان ایمیلی که با این فرمت کار می کنند از استاندارد PKCS استفاده می کنند. این یک امضا برای پیام های ایمیل ایجاد می کند.
موزیلا تاندربرد
بنابراین، ما یک فایل P7S داریم. این سرویس گیرنده ایمیل به شما می گوید که چگونه آن را باز کنید. Mozilla Thunderbird تا حد زیادی رابط مرورگر اختصاصی را تکرار می کند. این راه حل بر اساس یک اصل مشابه کار می کند. شما می توانید یک تم طراحی مناسب با سلیقه خود انتخاب کنید. امکان شخصی سازی 5 سطح فونت و همچنین پس زمینه با حروف وجود دارد. این برنامه شامل کتابخانه ای از شکلک ها است. سرعت عملکرد نزدیک به مرورگر مارک است. حداکثر مدت انتظار برای دریافت یا ارسال نامه 10 دقیقه است. پس از اتمام دوره مشخص شده، برنامه تشخیص می دهد که اتصال قطع شده و در نتیجه ارسال متوقف می شود. با تغییر تنظیمات نرم افزار می توان این مشکل را به راحتی برطرف کرد.
برنامه های کاربردی دیگر
ابزارهای دیگری نیز وجود دارند که از فرمت P7S پشتیبانی می کنند. برنامه PostBox به شما کمک می کند تا بفهمید چگونه چنین سندی را باز کنید. همچنین ممکن است در این مورد کمک کند Microsoft Outlook. ما در مورد یک مدیر اطلاعات صحبت می کنیم که توسط مایکروسافت ایجاد شده است. این برنامه ویژگی ها را ترکیب می کند سرویس گیرنده پست الکترونیکیبا بودجه برای همکاری. Outlook بخشی از بسته است برنامه های اداری مایکروسافت آفیس. همچنین می توانید این سوال را حل کنید که چگونه فایل P7S را با استفاده از برنامه CryptoARM باز کنید. این یک بسته نرم افزاری جهانی است. این به شما امکان می دهد از ابزارهای رمزنگاری برای مکاتبات تجاری و شخصی استفاده کنید. با استفاده از این راه حل، می توانید از حفاظت از اطلاعات شرکتی و شخصی اطمینان حاصل کنید.
برنامه دارای رابط گرافیکی بسیار خوبی است. این تصمیمرمزگذاری قابل اعتماد و همچنین رمزگشایی داده ها را فراهم می کند. همچنین با استفاده از این ابزار می توانید اپلیکیشنی را ایجاد کرده و در دسترس قرار دهید کلیدهای عمومی، و همچنین از کار با گواهی ها و ارائه دهندگان رمزنگاری پشتیبانی می کند. با کمک این نرم افزارشما می توانید تعداد دلخواه امضای دیجیتال ایجاد کنید و همچنین صحت آنها را تأیید کنید. رمزگشایی فایل پشتیبانی می شود. اجرای عملیات در یک مرحله.
اکنون می دانید P7S چیست. نحوه باز کردن یک فایل با این پسوند و اینکه این فرمت برای چه مواردی استفاده می شود به طور مفصل در بالا توضیح داده شده است.