Усовершенствование встроенной в PDF ЭП

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Усовершенствование встроенной в PDF ЭП - Обеспечение долговременного хранения PDF со встроенными ЭП

Опции

Предыдущая тема Следующая тема

Евгений В.		#1 Оставлено : 24 ноября 2025 г. 16:43:13(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 24.11.2025(UTC) Сообщений: 2 Откуда: Тольятти		Здравствуйте. Ситуация, на мой взгляд, анекдотичная… Но, не знаю, смеяться ли… При закупке системы для долговременного (50+ лет) архива документов задали вопрос вендору: как будет обеспечена юр. значимость документа после истечения срока действия сертификата ЭП? На что был получен ответ: усовершенствуем её (ЭП) до CAdES-A, а дальше будем перештамповывать штампом времени. И, вроде, все нормально, но есть один, как-говорится, нюанс… У нас есть договорные документы в формате PDF, подписанные с двух сторон встроенными CAdES-BES КЭП. С ними-то что делать? Как усовершенствовать встроенную(!) ЭП, а потом еще и перештамповывать?.. Вендор не растерялся – нужны открепленные? Сделаем! У нас есть ноу-хау… И что вы думаете, «открепили»!.. Они выковыряли из PDF контейнеры с ЭП, положили их как открепленные ЭП рядом с PDF, при этом из исходного PDF сделали два – первый с контейнером первой подписи, второй с контейнерами двух подписей. Получилось так: (договор + ЭП1).pdf (договор + ЭП1).sig и (договор + ЭП1+ЭП2).pdf (договор + ЭП1+ЭП2).sig Но, т.к. в расчете хеша файла будет участвовать не только то, что рассчитывалось для ЭП, но и информация самого, встроенного в файл, контейтера с ЭП, проверка таких «открепленных» ЭП просто не должна проходить! Я не поверил глазам, когда они продемонстрировали на сайте CryptoPro положительные(!) результаты проверки… Как такое возможно? Могу предположить что-то вроде: сервис проверки ЭП (или вообще - криптопровайдер) вначале честно проверяет такую ЭП как открепленную, затем, когда проверка не прошла, смотрит на формат данных и, если он похож на PDF, втихаря пытается выполнить проверку этой ЭП как встроенной. Хотелось бы узнать: 1. Почему все-таки проходит проверка по вышеописанному сценарию? 2. М.б. есть какие-то рекомендации по обеспечению долговременного хранения таких документов - PDF со встроенными ЭП? 3. Как вы считаете, насколько легитимно решение, предложенное нам вендором? С уважением, Евгений.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Новожилова Елена		#2 Оставлено : 24 ноября 2025 г. 18:18:08(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 942 Откуда: Крипто-Про Поблагодарили: 115 раз в 104 постах		Добрый день! Давайте разберёмся вместе, нам тоже интересно, как это было сделано. Скажите пожалуйста, на какой именно странице нашего сайта производилась проверка подписи? И я правильно понимаю, что изначальная подпись CAdES-BES, была сделана внутри AdobeAcrobat или аналогичной программы. То есть, речь идёт о встроенной в PDF-документ подписи?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#3 Оставлено : 24 ноября 2025 г. 18:25:49(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,019 Сказал «Спасибо»: 609 раз Поблагодарили: 2364 раз в 1860 постах		Здравствуйте. Я встречал ИС, где было подписание - PDF + присоединенные ЭП, файл имел расширение pdf и успешно отображался в программах, а подпись "проходила проверку" (при этом извлекался оригинал pdf) и никто не замечал\считалось нормой. Если это такой случай, то они просто извлекли PDF файл, а присоедиенные ЭП - сделали отсоединенными. Если речь про PAdES - то внутри, у ЭП же разные хеши будут подписанного контента ("контейнера"). Предлагаю прислать исходный pdf и результаты, можно в ЛС
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#4 Оставлено : 24 ноября 2025 г. 18:34:12(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,019 Сказал «Спасибо»: 609 раз Поблагодарили: 2364 раз в 1860 постах		Либо просто - из файл2 - сделали откат к файл1, удалив всё. А sig просто игнорируются, потому что сервис при проверке видит, что внутри pades и проверяет именно такой вариант. Самое простое - проверьте через Инструменты КриптоПРО эти 2 отсоединенные ЭП.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#5 Оставлено : 24 ноября 2025 г. 18:48:38(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,019 Сказал «Спасибо»: 609 раз Поблагодарили: 2364 раз в 1860 постах		Автор: Андрей * Либо просто - из файл2 - сделали откат к файл1, удалив всё. А sig просто игнорируются, потому что сервис при проверке видит, что внутри pades и проверяет именно такой вариант. Самое простое - проверьте через Инструменты КриптоПРО эти 2 отсоединенные ЭП. либо извлечены контейнеры, т.е. "не полноценный PDF", обычно Reader на такие файлы выдавал сообщение при закрытии - необходимо сохранить изменения в файле и после этого дописывал информацию в файл pdf.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений В.		#6 Оставлено : 25 ноября 2025 г. 8:50:05(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 24.11.2025(UTC) Сообщений: 2 Откуда: Тольятти		Доброе утро. Автор: Новожилова Елена Скажите пожалуйста, на какой именно странице нашего сайта производилась проверка подписи? Елена, проверка производилась на сайте КриптоПро: https://dss.cryptopro.ru/verify/#/signature кроме того, на сайте Госуслуг: https://e-trust.gosuslug.../sign?checkType=detached и на внутреннем сервисе собственной разработки, использующем CryptoPro CSP 4.0 Автор: Новожилова Елена И я правильно понимаю, что изначальная подпись CAdES-BES, была сделана внутри AdobeAcrobat или аналогичной программы. То есть, речь идёт о встроенной в PDF-документ подписи? Совершенно верно. В этом-то и вопрос. Встроенные подписи как были, так и остались внутри PDF и они валидны. Но, в то же время, они валидны как открепленные в отношении того же PDF в котором они и находятся... Автор: Андрей * Предлагаю прислать исходный pdf и результаты, можно в ЛС Андрей, документы, на которых мы тестировались содержат чувствительную информацию. Я попрошу подготовить тестовый PDF и пришлю по готовности. С уважением, Евгений. Отредактировано пользователем 25 ноября 2025 г. 8:50:36(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

proskurinov		#7 Оставлено : 25 ноября 2025 г. 10:05:13(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 12.07.2024(UTC) Сообщений: 5 Откуда: Обнинск Поблагодарили: 1 раз в 1 постах		Автор: Евгений В. И что вы думаете, «открепили»!.. Я думаю тут вариант "открепления" - вытащить подпись из pdf и вырезать из самого pdf подписть. В рассчете хэша подпись не учитывается,теоретически может сработать. Но тогда PDF будет уже без PADES.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

proskurinov		#8 Оставлено : 25 ноября 2025 г. 10:10:01(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 12.07.2024(UTC) Сообщений: 5 Откуда: Обнинск Поблагодарили: 1 раз в 1 постах		Автор: Новожилова Елена И я правильно понимаю, что изначальная подпись CAdES-BES, была сделана внутри AdobeAcrobat или аналогичной программы. То есть, речь идёт о встроенной в PDF-документ подписи? Совершенно верно. В этом-то и вопрос. Цитата: Встроенные подписи как были, так и остались внутри PDF и они валидны. Но, в то же время, они валидны как открепленные в отношении того же PDF в котором они и находятся... А встроенная и открепленная - идентичны? Расскажите хоть потом - интересно... Может все-таки не в личку? Тоже было бы интересно заглянуть в файлики,спасибо. Отредактировано пользователем 25 ноября 2025 г. 10:18:02(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Новожилова Елена		#9 Оставлено : 25 ноября 2025 г. 12:10:32(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 942 Откуда: Крипто-Про Поблагодарили: 115 раз в 104 постах		Автор: Евгений В. Автор: Новожилова Елена И я правильно понимаю, что изначальная подпись CAdES-BES, была сделана внутри AdobeAcrobat или аналогичной программы. То есть, речь идёт о встроенной в PDF-документ подписи? Совершенно верно. В этом-то и вопрос. Встроенные подписи как были, так и остались внутри PDF и они валидны. Но, в то же время, они валидны как открепленные в отношении того же PDF в котором они и находятся... Дело в том, что встроенные в PDF-документ подписи действительно представляют собой отделённую подпись CMS, и технически скопировать их из документа и положить в отдельный файл не представляет никаких сложностей. Но хэш-значение для таких встроенных в PDF-документ подписей вычисляется не от документа целиком, а как минимум от документа без самой подписи (на самом деле там есть разные варианты, включая только подпись нескольких полей, но смысл в том, что сама подпись в вычислении хэш-значения не участвует). В стандарте на подпись PDF используется термин ByteRange для данных, от которых вычисляется хэш-значение для подписи. А вот понятия отделённая подпись именно PDF-фокумента (по аналогии со встроенной) на те же самые данные (ByteRange), на сегодняшний день я в стандартах не встречала. И наша страница проверки такие подписи проверять не умеет. Если бы такие подписи были, то ваш сценарий (выделить подпись и сохранить отдельно) выглядел бы работоспособным. Если же рассматривать отделённую подпись PDF как CMS-подпись бинарного файла, но в этом случае она вычисляется на весь файл целиком. Понятно, что хэш-значение файла целиком будет отличаться от хэш-значения ByteRange. Поэтому очень интересно взглянуть на такие подписи. Если информация чувствительная, то вы можете самостоятельно сравнить хэш-значение и значение самой подписи внутри PDF-документа и в отделённой подписи, которая проходит проверку.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close