Статус: Новичок
Группы: Участники
Зарегистрирован: 26.04.2010(UTC)
Сообщений: 9
Откуда: Москва
|
В разрабатываемом ПО нашей компании требуется автоматизированно осуществлять юридически значимую ЭЦП произвольных файлов. В подписи должен содержаться штамп времени подписания. Это время тоже должно иметь юридическую значимость. Ключевой момент - доказательство того, что файл существовал на момент подписания.
ПО разрабатывается на технологиях .NET. С точки зрения программного интерфейса требуется реализация двух методов: подписать файл, проверить подпись (узнать дату подписания).
Какие средства стоит использовать? Какие ключи/сертификаты следует использовать? Какое самое простое решение данной задачи?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Самое простое решение:
Берёте КриптоПро CSP, КриптоПро TSP SDK. Встраиваете подписание и проверку функциями CryptoAPI, добавление и проверку штампа времени средствами библиотеки TSPCOM (входит в TSP SDK). Выбираете способ получения сертификатов для ЭЦП и службу штампов времени - можно развернуть УЦ и службу штампов у себя, можно обслуживаться у нас. На рабочее место устанавливаете КриптоПро CSP, КриптоПро TSPCOM (инсталлятор входит в TSP SDK) и ваше ПО. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.04.2010(UTC)
Сообщений: 9
Откуда: Москва
|
Можно ли в данном случае использовать утилиту SingTool для подписи со штампом времени? Предполагается использование ГОСТ-алгоритмов КриптоПро CSP.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Нет, нельзя. SignTool предназначен для подписи исполняемого кода, а не произвольных данных. Штампы времени SignTool не соответствуют RFC3161. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.04.2010(UTC)
Сообщений: 9
Откуда: Москва
|
Нашел полезную тему по данному вопросу: http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=1607. Возник вопрос. Как я понимаю есть следующие варианты, как подписывать произвольный файл: используя CMS или XML-DSig. Равнозначны ли эти варианты? То есть, не влияет ли выбор типа подписи на юридическую сторону вопроса? Если варианты равнозначны, то, наверное, разумнее использовать XML-DSig, так как в этом случае проще реализовать включение штампа времени. Общий вопрос: какой должен быть результат подписи со штампом времени? Файл, файл подписи (в случае detached) - этой пары достаточно, чтобы в дальнейшем подтвердить подлинность файла и время его подписания? Отредактировано пользователем 7 мая 2010 г. 16:25:19(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.04.2010(UTC)
Сообщений: 9
Откуда: Москва
|
Наткнулся на приложение командной строки cryptcp. Получится ли его использовать для решения данной задачи?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
XML-DSig подразумевает подпись документов в формате XML, поэтому для произвольного файла напрямую не применим. По крайней мере, придётся как-то уложить содержимое этого файла в XML.
На юридическую сторону вопроса формат подписи напрямую не влияет. При грамотном написании Положения об ЭЦП для Вашей системы документооборота влияние нивелируется полностью.
Насчёт простоты включения штампа времени не уверен. API работы с CMS умеет добавлять и кодировать неподписанные атрибуты, в случае с XMLDSIG Вам придётся ручками формировать и разбирать XML-узел со штампом времени.
Файла с исходными данными и файла с отделённой подписью достаточно для проверки ЭЦП при наличии доступа к необходимым конечным, промежуточным и корневым сертификатам, а также к CRL или OCSP-серверам. Если с сертификатом ключа подписи к моменту проверки происходит нечто плохое - компрометация или истечение срока действия, то необходимо подтвердить его действительность на момент подписания - понадобится старый CRL или OCSP-ответ. |
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Приложение командной строки умеет создавать и проверять подписи со штампом времени в формате CMS. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
