Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: IliaSA  1. Если я хочу сохранить в БД данные подписи, я же могу это сделать? НА BE у меня ничего и не проверялось, простохрание факта подписи и хэша.
2. Мне нужно, чтобы если что, сам подписнный ЭЦП документ мог рапознаваться другими системами как подписанный. Например в случае когда я сохраняю в единый реест документов мои данные с подписью, другие системы (пока понятия не имею какие) смогут распознать эту подпись? Или все таки для этого лучше подписывать PDF как воветуют выше?
3. Уже уточнил выше, но может у вас ест конкретные ссылки на документацию или какие нибудь описанные готовые решения?
4. Т.е. оффлайн можно организовать но больно? а можно где нибудь про оффлайн реализацию также посмотреть? В основном уже вроде бы ответили. 1. Если очень хочется, то сохраняйте, но лучше перепроверить (так как несмотря на успешность подписания в целом могут быть мелкие "накладки"). Еще многое зависит от срока хранения документа, требуется ли шифрование документа (медицинские данные конфиденциальны же?) и т.п. Простые форматы подписи действительны только пока действует сертификат. Если срок хранения долгий и требуется чтобы подпись проходила проверку длительное время, то используются более сложные подформаты подписи. Они включают в себя "доказательства подписи" - что на время создания сертификат не был отозван. В худшем случае таким доказательством может оказаться многомегабайтный список отзыва сертификатов. Причем он будет мало отличаться для подписей с сертификатами одного УЦ, выполненных в один день. Логика подсказывает, что БД раздуется ооочень быстро, если сохранять подписи в БД. В общем, это отдельная тема про оптимизацию хранения подписей. Поднималась не раз даже за последние полгода. С другой стороны, если данные зашифрованы, то это фактически убивает идею оптимизации и сжатия данных и поднимает извечные вопросы что лучше "подписать потом шифровать" или "шифровать потом подписать". 2. Как мне кажется, подпись PDF (Pades) все же несколько менее поддержана на данный момент, в том плане что это зависимость от формата Adobe (который сам по себе сложный) и я не слышал про шифрование PDF. CMS (Cades) отсоединенный сейчас более универсален. Также не надо забывать про третий формат XmlDsig (Xades) - если документ уже был в форме XML, то более логично использовать его. Обмен ЭЛН уже фактически перевели на него. 3. С документацией немного сложно - есть отличия у разных версий, обычно последняя версия содержит устранения двусмысленности или расширение списка разрешенных функций. 4. В целом да, больно. Для сложных подформатов подписи все же потребуется хотя бы какой-то тоннель к серверу доверенного времени либо организация такого сервера внутри сети. Например, нечто подобное организовано у Федерального казначейства - при работе с СУФД через тоннель доступен и сервер доверенного времени. государственные медицинские организации по идее получают сертификаты в ФК, так что имеет смысл использовать его же. С доказательствами чуть проще, но вместо короткого ocsp нужны те самые многомегабайтные списки отзыва. Если режим изоляции строгий, то это может быть даже не реализация, а человек записывающий оптический диск на компьютере с интернетом, переносящий диск к компу внутри сети без интернета, копирующий информацию с диска во внутреннюю сеть. На форуме часто обсуждали разные схемы, но до формального описания вроде бы не дошло. Какие-то УЦ помню ставили срок действия списков отзыва 90 дней, мне казалось 24 часа нормально, но есть люди которые говорят что и 6 часов слишком долго.
|
