|
4.3 Elektron imzolarni yaratish qoidalari Barcha turdagi elektron imzolarni yaratishda quyidagi algoritmlardan foydalanish kerak:
| |
Ism
|
URI
|
Xesh summasini hisoblash
|
GOST R 34.11-94
|
http://www.w3.org/2001/04/xmlsig-more#gostr3411
|
Imzoni shakllantirish
|
GOST R 34.10-2001
|
http://www.w3.org/2001/04/xmlsig-more#gostr34102001-gostr3411
|
Kanoniklashtirish (XMLDSig uchun)
|
2002 yil 18 iyuldagi eksklyuziv XML kanonikizatsiyasi
|
http://www.w3.org/2001/10/xml-exc-c14n#
|
Qo'shimcha transformatsiya (XMLDSig uchun)
|
SMEVni normallashtirish
|
|
Ushbu bo'lim davomida, agar element nomi nom maydonisiz ko'rsatilgan bo'lsa, urn://x-artefacts-smev-gov-ru/services/message-exchange/types/1.1 nom maydoni qabul qilinadi. 4.3.1 PKCS#7 formatidagi imzolarPKCS#7 formati xabarlarga biriktirilgan fayllarni imzolash uchun ishlatiladi. PKCS#7 spetsifikatsiyasining 1.5-versiyasi (RFC-2315) ishlatiladi. Imzo formatiga quyidagi cheklovlar qo'llaniladi: ContentInfo ildiz elementi uchun yagona to'g'ri contentType - SignedData. Imzo ajratilgan bo'lishi kerak (ya'ni, SignedData/contentInfo/contentType elementi uchun yagona haqiqiy qiymat 1.2.840.113549.1.7.1 va SignedData/contentInfo/content elementi bo'lmasligi kerak). Xabarlar dayjestini hisoblash uchun faqat GOST 34.11-94 algoritmiga ruxsat beriladi. Raqamli imzolarni yaratish uchun faqat GOST 34.10-2001 algoritmiga ruxsat beriladi. PKCS#7 kriptoxabariga bir nechta raqamli imzo qo'yish taqiqlanadi. SignerInfo elementi quyidagi autentifikatsiya qilingan atributlarni o'z ichiga olishi kerak:
contentType (1.2.840.113549.1.9.3), har doim 1.2.840.113549.1.7.1 qiymatiga ega.
messageDigest (1.2.840.113549.1.9.4), imzolanishi kerak bo'lgan faylning GOST dayjestini o'z ichiga oladi.
Ko'proq rasmiy O Ushbu cheklovlarning aksariyati PKCS#7 formati profilining 2-ilovasida tasvirlangan. Profil shuningdek, ushbu kontekstda PKCS#7 formati faqat elektron imzolarni uzatish uchun ishlatilishini va uni uzatish uchun ishlatilmasligini aks ettiradi. shifrlangan ma'lumotlar va CRL. Profil PKCS#9 standartida (RFC-2985) belgilangan turlardan foydalanadi. 4.4.O'zaro hamkorlik sub'ektlari - jismoniy shaxslarning elektron imzolari 4.4.1 Idoralararo axborot almashinuvida davlat mansabdor shaxslari nomidan shakllantiriladigan elektron imzoga qo'yiladigan umumiy talablarSertifikatlar va elektron imzo kalitlari (14-moddaning 3-bandi). Federal qonun№ 63-FZ "Elektron imzo to'g'risida") mansabdor shaxsning shaxsiy vakili nomidan chiqariladi va quyidagi hollarda qo'llaniladi. axborot tizimlari elektron imzolarni shakllantirish va (yoki) tekshirish boʻyicha idoralararo elektron hamkorlik tizimidan foydalangan holda davlat va kommunal xizmatlar koʻrsatishda/davlat va munitsipal funktsiyalarni bajarishda. Ushbu imzolar ushbu xodimlarning qo'lyozma imzolariga o'xshaydi va boshqa narsalar qatorida, elektron hujjat OV ISda ma'lum bir OV xodimi tomonidan yaratilganligini tasdiqlaydi. ES-SP imzo kalitini saqlash va undan foydalanish uchun javobgarlik mansabdor shaxsga yuklanadi va davlat amaldorlari tomonidan nazorat qilinadi. Idoralararo hamkorlikda foydalanish uchun OV mansabdor shaxslari uchun mavjud ES-SP kalit sertifikatlarini qayta rasmiylashtirish majburiy emas - mansabdor shaxslar uchun ilgari berilgan va amaldagi imzo kalitlari sertifikatlaridan foydalanish mumkin, agar ular sertifikatlashtirish markazlaridan biri tomonidan berilgan bo'lsa. yagona bo'shliq Rossiya Federatsiyasi Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligi tomonidan tuzilgan ES trasti. 4.4.2 Idoralararo hamkorlik uchun elektron imzoES-SP XML-da taqdim etilgan xabarning biznes ma'lumotlariga, shuningdek biriktirilgan fayllarga imzo qo'yadi. Qo'shimchalar biznes ma'lumotlaridan alohida uzatilganligi sababli, ES-SP biznes ma'lumotlariga, har bir biriktirilgan faylga alohida joylashtiriladi. 4.4.2.1 Xabarlar uchun elektron imzoni yaratish qoidalari
Imzo formati
|
XMLDSig ajratilgan
|
Transformatsiya, kanonizatsiyadan tashqari
|
urn://smev-gov-ru/xmlsig/transform
|
Formatlash talablari
|
XML imzo tuzilmasida, elementlar orasida ruxsat berilmagan matn tugunlarining mavjudligi, shu jumladan qator uzilishlari.
|
Imzolanadigan element
|
So'rovlar va javoblar uchun so'rov yoki javobning biznes ma'lumotlarini aks ettiruvchi XML hujjatining ildiz elementi.
|
Xabarda e'lon qilish
|
//SenderProvidedRequestData/ PersonalSignature/dsig:Imzo
(so'rovlar uchun), //SenderProvidedResponseData/PersonalSignature/dsig: Imzo
(javoblar uchun), |
Xabarga imzo qo'yish usuli
|
O'tkazilgan veb-xizmat mijozi SendRequest va SendResponse usullari parametrlari tarkibida.
|
Tekshirish uchun imzoni olish usuli
|
ES olinadi va tekshiriladi veb-xizmat mijozi.
|
|
"CryptoARM" dasturidan foydalanib, siz imzolashingiz mumkin
- alohida fayl
- fayllar papkasi (bu ko'rsatilgan papkaga kiritilgan har bir fayl uchun imzo yaratadi. Imzolangan fayllar avtomatik ravishda asl ma'lumotlar bilan jildga saqlanadi)
Fayl formati P7S tez-tez ishlatiladi. *.p7s – imzolangan fayllar PKCS #7 formatida, lekin base64 matn shaklida (PEM kabi)
Base64 kodlashda PKCS#7 xabar formati uchun siz bayroqni belgilashingiz mumkin Xizmat sarlavhalarini o'chirib qo'ying(bunday holda, imzo faylida imzolangan ma'lumotlar bilan blokning boshi va oxirini ko'rsatadigan sarlavhalar ishlatilmaydi. Sarlavhalar raqamli imzoni tekshirishni amalga oshirish uchun zarurdir. Ko'proq oldingi versiyalar
dasturlari "CryptoARM").
- Imzoning kerakli xususiyatlarini kiriting (imzo izohi*, resurs identifikatori **
, imzo yaratish vaqtini kiritish). Bundan tashqari, siz qo'shimcha modul o'rnatilganda yoqilishi mumkin bo'lgan "imzolangan ma'lumotlarda vaqt tamg'asini yoqish" opsiyasini o'rnatishingiz mumkin. TSP.
* Imzo izohi imzolangan hujjatni ko'rayotgan odamlar tomonidan o'qilishi uchun mo'ljallangan ma'lumot bo'lishi mumkin (masalan, "Roziman!")
**
Resurs identifikatori quyidagilarni anglatadi:
- imzolanishi kerak bo'lgan manba faylga yo'l (kompyuterda yoki ushbu fayl joylashgan Internetda)
- fayl nomi (fayl nomi o'zgartirilsa, imzolangan hujjatni oluvchi uning asl nomini aniqlay olishi uchun ko'rsatilgan)
|
Bayroq
|
Tushuntirish
|
| Imzoni alohida faylda saqlang
|
Bayroqni o'rnatganingizda, faylda alohida elektron imzo yaratiladi (masalan, agar siz hujjatni CryptoARM-dan foydalanmaydigan va imzoga unchalik qiziqmaydigan shaxsga yuborayotgan bo'lsangiz, bu qulay bo'lishi mumkin. ma'lumotlarning o'zi)
Agar bayroq bo'lmasa, elektron imzo, shu jumladan asl ma'lumotlarga ega fayl yaratiladi (bu holda hujjat va elektron raqamli imzo birga saqlanadi)
|
| Amaliyot tugagandan so'ng asl faylni o'chiring
|
Agar siz birlashtirilgan imzo faylini yaratishni tanlasangiz, operatsiya tugagandan so'ng asl faylni o'chirishingiz mumkin. Bu xususiyat muhim ahamiyatga ega
- birinchi navbatda, hujjatlar bilan ishlash qulayligi uchun
- faqat elektron raqamli imzo bilan imzolangan hujjatlarni saqlash va almashish kerak bo'lganlar uchun (tashkilot tomonidan qabul qilingan elektron hujjat aylanishi qoidalari doirasida)
Agar siz bayroqni chiziqqa qarama-qarshi qo'ysangiz Oʻchirish operatsiya tugagandan so'ng manba fayli, imzolash uchun tanlangan hujjat(lar) operatsiya muvaffaqiyatli yakunlangandan keyin o‘chiriladi.
|
| Imzo yaratish vaqtini kiriting
|
Bayroqni o'rnatishda imzo vaqti imzo fayliga kiritiladi
|
| Imzolangan maʼlumotlarda vaqt tamgʻasini yoqish
|
Bayroq o'rnatilganda, raqamli imzo fayliga asl ma'lumotlarga vaqt tamg'asi kiritiladi
Bu bayroq faqat TSP moduli o'rnatilgan bo'lsa paydo bo'ladi.
|
| Imzoda haqiqiyligini tasdiqlovchi hujjatni kiriting
|
|
- Agar bayroq o'rnatilgan bo'lsa Yoqish; ishga tushirish imzolangan ma'lumotlar uchun vaqt tamg'asi
, keyingi bosqichda Vaqt tamg'asi xizmati parametrlarini belgilang:
- Elektron raqamli imzoning kerakli parametrlarini belgilang - shaxsiy sertifikat uchun raqamli imzo yaratish va xesh algoritmi.
- Tanlangan kalit konteyneriga (GOST sertifikati) kirish uchun parolni kiriting.
Raqamli imzoni yaratish uchun ma'lumotlar to'plangandan so'ng, operatsiya holati va foydalanilgan parametrlar haqida ma'lumotga ega oyna paydo bo'ladi: fayl imzolangan sertifikat.
Belgilangan raqamli imzo parametrlari kelajakda foydalanish uchun shablon sifatida sozlamada saqlanishi mumkin. Buning uchun katakchani belgilang Keyinchalik foydalanish uchun maʼlumotlarni sozlamalarga saqlang va sozlash uchun nom kiriting. Shuningdek, roʻyxatdan uning nomini tanlash orqali barcha maʼlumotlarni mavjud sozlamaga saqlashingiz mumkin.
- Fayl imzolash jarayoni boshlanadi. Tugmani bosish orqali jarayonni to'xtatishingiz mumkin Bekor qilish.
- Yaratilgan raqamli imzo fayli sukut bo'yicha manba ma'lumotlari bo'lgan fayl joylashgan katalogda saqlanadi. Raqamli imzo faylining nomi kengaytma bilan to'ldirilgan imzolangan fayl nomiga to'g'ri keladi (kengaytma tanlangan chiqish formatiga mos keladi). Agar bir xil nomdagi fayl allaqachon mavjud bo'lsa, uni boshqa nom ostida saqlang.
- Operatsiya tugagandan so'ng, oyna paydo bo'ladi Operatsiya natijasi. Imzo yaratish natijalari va foydalanilgan parametrlar haqida batafsil ma'lumotni ko'rish uchun: manba fayl nomi, chiqish fayl nomi, operatsiyani yakunlash holati, operatsiya davomiyligi tugmachasini bosing. Tafsilotlar >>.
Agar siz elektron raqamli imzo va abonent sertifikati haqidagi ma'lumotlarni ko'rishni istasangiz, oyna ro'yxatidagi yozuvni tanlang. Operatsiya natijasi va tugmani bosing Xabar menejeri.
Oyna ochiladi Imzolangan ma'lumotlarni boshqarish, unda siz imzo va sertifikat ma'lumotlarini ko'rishingiz mumkin:
- tugmasini bosish orqali imzolangan faylni ko'ring Ko'rinish fayl nomining qarshisida,
- tugmasini bosish orqali belgilangan yo'lga saqlang Saqlash,
- imzo, sertifikat va uning holati haqidagi ma'lumotlarni ko'rish (tugmasi Ko'rinish)
|
Xatcho‘p
|
Xatcho'pdagi ma'lumotlar
|
| Imzo
|
Imzo atributlari, uning yaratilgan vaqti, imzo va xeshlash algoritmlari haqida ma'lumot.
|
| Sertifikat
|
Sertifikat to'g'risidagi ma'lumotlar (sertifikatning holati /yaroqliligi va boshqalar/, raqami, egasi va emitent to'g'risidagi ma'lumotlar, sertifikatning amal qilish muddati va undan foydalanish).
|
| Sertifikat holatlari
|
To'liq sertifikatlash yo'lini tekshirishning umumiy holati (sertifikat holatlari haqida ko'proq bobda o'qing Sertifikat holatini tekshirish). Bundan tashqari, yorliqda siz sertifikatlar holatini tekshirish usulini o'rnatishingiz mumkin (mahalliy SOS bo'yicha; CAdan olingan SOS bo'yicha; Bekor qilish provayderi yordamida; OCSP xizmatida)
|
| Vaqt belgilari
|
Vaqt tamg'asi haqida ma'lumot (vaqt tamg'asi holati, vaqt tamg'asi xususiyatlari, Marka xizmati xususiyatlari, Xizmat sertifikati holati va tafsilotlari) |
|
Ushbu turdagi fayllar, shuningdek, ular qanday maqsadlar uchun mo'ljallanganligi quyida batafsil tavsiflanadi. Ushbu materialning asl nomi PKCS-7 imzo faylidir.
Kengaytma tavsifi
Shunday qilib, format haqida gapirishni boshlaylik; biz sizga batafsil aytib beramiz, ammo hozircha ushbu yechimning maqsadini tushunishga harakat qilaylik. Ushbu formatdagi material raqamli imzoni o'z ichiga olgan elektron pochta xabaridir. Bu format xavfsiz jo'natish uchun ishlatiladi elektron pochta xabarlari. Ularni faqat qabul qiluvchi ko'rishi mumkin. Bu usul uzatish jo'natuvchining autentifikatsiyasini va shuningdek, jo'natish jarayonida ma'lum bir xat hech qanday tarzda o'zgartirilmaganligini tasdiqlaydi. Agar ishlatilsa pochta dasturi raqamli imzoni qo'llab-quvvatlamaydi, P7S fayli odatda xabarga ilova sifatida ko'rinadi. Ushbu format bilan ishlaydigan elektron pochta mijozlari PKCS standartidan foydalanadilar. Bu elektron pochta xabarlari uchun imzo yaratadi.
Mozilla Thunderbird
Shunday qilib, bizda P7S fayli bor. Ushbu elektron pochta mijozi uni qanday ochishni aytib beradi. Mozilla Thunderbird asosan xususiy brauzer interfeysini takrorlaydi. Ushbu yechim shunga o'xshash printsip asosida ishlaydi. Sizning didingizga mos dizayn mavzusini tanlashingiz mumkin. 5 shrift darajasini, shuningdek fonni harflar bilan sozlash mumkin. Ilovada kulgichlar kutubxonasi mavjud. Ishlash tezligi markali brauzer tezligiga yaqin. Xatni qabul qilish yoki yuborish uchun maksimal kutish vaqti - 10 daqiqa. Belgilangan muddat tugagandan so'ng, dastur ulanish buzilganligini aniqlaydi va natijada yuborishni to'xtatadi. Ushbu muammoni dasturiy ta'minot sozlamalarini o'zgartirish orqali osongina tuzatish mumkin.
Boshqa ilovalar
P7S formatini qo'llab-quvvatlaydigan boshqa vositalar mavjud. PostBox dasturi sizga bunday hujjatni qanday ochishni aniqlashga yordam beradi. Bu holatda ham yordam berishi mumkin Microsoft Outlook. Biz Microsoft tomonidan yaratilgan axborot menejeri haqida gapiramiz. Dastur xususiyatlarni birlashtiradi pochta mijozi hamkorlik vositalari bilan. Outlook paketning bir qismidir ofis dasturlari Microsoft Office. CryptoARM ilovasi yordamida P7S faylini qanday ochish kerakligi haqidagi savolni ham hal qilishingiz mumkin. Bu universal dasturiy ta'minot to'plami. Bu sizga biznes va shaxsiy yozishmalar uchun kriptografik vositalardan foydalanish imkonini beradi. Ushbu yechimdan foydalanib, siz ham korporativ, ham shaxsiy ma'lumotlarning himoyasini ta'minlashingiz mumkin.
Ilova juda chiroyli grafik interfeysga ega. Bu qaror ishonchli shifrlash bilan bir qatorda ma'lumotlarning shifrini ochishni ham ta'minlaydi. Bundan tashqari, ushbu vositadan foydalanib, siz dastur yaratishingiz va mavjud bo'lishingiz mumkin umumiy kalitlar, shuningdek sertifikatlar va kriptoprovayderlar bilan ishlashni qo'llab-quvvatlaydi. Yordamida ushbu ilova Siz o'zboshimchalik bilan raqamli imzolarni yaratishingiz, shuningdek ularning haqiqiyligini tekshirishingiz mumkin. Fayl shifrini ochish qo'llab-quvvatlanadi. Bir bosqichda operatsiyalarni bajarish.
Endi siz P7S nima ekanligini bilasiz. Ushbu kengaytmali faylni qanday ochish va bu format nima uchun ishlatilishi yuqorida batafsil tavsiflangan.
