День добрый.

тут возникло несколько вопросов - прошу помочь (или если тема уже обсуждалась - указать (я по поиску не нашел))

1. При подписании любого документа ЭЦП-кой в word - тут все понятно - ЭЦП прикрепляется к документу и сам word блокирует изменения документа, а если документ изменяешь - все - эцп с него слетает.

А вот на электронных ресурсах (например на ЭТП)- когда ЭЦП подписываешь документ - там ведь в документ никакая ЭЦП не прикладывается (потом этот документ скачиваешь - и можешь его менять как захочешь) - таким образом - как я понимаю тут самим гарантом неизменности данного документа является сам электронный ресурс (площадка в частности) (но теоретически если там на сервере кто то документ подменит (внутреннее содержимое)) - никто этого и не увидит.

Некоторые ресурсы еще стали вместе с документам прикладывать так называемый хеш

<hash>RUY4Mjg2NzI4QTgzMzhGMkVFNDM3Q ......... MyMw==</hash>

и

<sign>MIIKLwYJKo ................. ewZAa6nI2bYzg==</sign>

Вот вопрос - вот эти данные - они как указывают на неизменность документа?
Можно ли их как то расшифровать, и если можно то что они покажут? (если просто что такой то документ был загружен с такого то ip такого то числа с таким то названием - это одно, а если эта шифровка укажет и на внутреннее содержание документа - это другое)


Все эти размышления навеяны изучением 63 ФЗ


Прошу пояснить спецов, если не затруднит.

Спасибо - на самом деле стало понятнее - так же из вики изучил материал.

Правильно ли я теперь понял: -т.е хеш - это не зашифрованный документ который я ЭЦП подписывал - а набор символов - который присущ именно тому набору и составу документов которые я подписал ЭЦП.

Проверить на легитимность можно только заново подписав эти документы - получить хеш - и сравнить с предыдущим - если совпадает - значить документы те и они не изменялись.


1. И тут вопрос - могу ли я у себя на компе осуществить какие то действия с какой то программой чтобы получить этот хеш? и соответственно сравнить с тем хешем что дала мне площадка (с целью проверки не изменялся ли документ)

2. Как и какой программой можно сделать: " Для расшифровки подписи используется сертификат открытого ключа (в случае использования ключевой пары), который содержит в себе информацию о владельце данного ключа, а сертификат в свою очередь, подписан удостоверяющим центром, который гарантирует что это действительно настоящий сертификат."

Извиняюсь если вопросы дилетантские.

Заранее спасибо за ответы на вопросы.

Спасибо за пояснение. Но не так просто как кажется на первый взгляд.

Исходные данные: у меня есть документ который якобы был подписан ЭЦП и есть хеш - который был якобы снят с этого документа при подписании (такие данные выдают площадки)


Вопрос? как я могу проверить действительно ли документ выдаваемый площадкой был подписан ЭЦП и после этого не изменялся.

Что я знаю: то что при подписании документа - был сгенерирован хеш (назовем его хеш 1).

хеш 1 у меня есть.

но ведь сертификата пользователя у меня нет - вот и тут вопрос - как я могу сгенерировать хеш 2 - чтобы сравнить его с хешем 1

вроде как никак. а если бы он был - то как?. Похоже при исходных данных (хеш 1 и документ) - проверить легитимность не получается возможным? - или нет ? как думаете ?

Мда...

В общем всё очень просто:
1) Есть исходный документ;
2) Есть сертификат площадки (общий случай - сертификат подписанта);
3) Есть цифровая подпись, сгенерированная с помощью сертификата подписанта;
4) Для проверки подписи сначала вычисляется хэш исходного документа (функция "CryptHashData");
5) Потом с помощью простейшей функции "CryptVerifySignature" проверяется цифровая подпись;

Сравнивать какие-то хэши напрямую не надо, нужно просто осуществить проверку электронной подписи данного документа.
Эта операция одновременно служит "сравнителем хэшей", а также автоматически подтверждает, что цифровая подпись была сделана именно этой площадкой.
И ещё раз: для проверки неизменности документа надо иметь сертификат подписанта и собственно цифровую подпись. Сам по себе хэш тоже можно сравнивать, но это избыточно когда есть цифровые подписи.

насчет готового инструмента - это правильно (не все в криптоапи разбираются)

а вот и один из примеров

http://www.sberbank-ast....cument.aspx?id=119690150

тут вниз опускаешся и + нажимаешь вываливается

Подпись
MIILCQYJKoZIhvcNAQcCoIIK+jCCCvYCAQExDDAKBgYqhQMCAgkFADALBgkqhkiG 9w0BBwGggge0MIIHsDCCB1+gAwIBAgIDEutiMAgGBiqFAwICAzCCAkMxITAfBgkq hkiG9w0BCQEWEnV1Y19ma0Byb3NrYXpuYS5ydTEiMCAGA1UECQwZ0YPQuy4g0JjQ u9GM0LjQvdC60LAg0LQuNzEZMBcGA1UEBwwQ0LMuINCc0L7RgdC60LLQsDGBojCB nwYJKoZIhvcNAQkCDIGR0JTQsNC90L3Ri9C5INGB0LXRgNGC0LjRhNC40LrQsNGC INC+0YLQutGA0YvRgtC+0LPQviDQutC70Y7Rh9CwINC40YHQv9C+0LvRjNC30YPQ tdGC0YHRjyDRgdC+INGB0YDQtdC00YHRgtCy0L7QvCDQodCa0JfQmCDQmtGA0LjQ v9GC0L4g0J/RgNC+IENTUDELMAkGA1UEBhMCUlUxcjBwBgNVBAsMadCj0L/RgNCw 0LLQu9C10L3QuNC1INGA0LXQttC40LzQsCDRgdC10LrRgNC10YLQvdC+0YHRgtC4 INC4INCx0LXQt9C+0L/QsNGB0L3QvtGB0YLQuCDQuNC90YTQvtGA0LzQsNGG0LjQ uDE4MDYGA1UECgwv0KTQtdC00LXRgNCw0LvRjNC90L7QtSDQutCw0LfQvdCw0YfQ tdC50YHRgtCy0L4xfzB9BgNVBAMMdtCj0L/QvtC70L3QvtC80L7Rh9C10L3QvdGL 0Lkg0YPQtNC+0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQuSDRhtC10L3RgtGAINCk0LXQ tNC10YDQsNC70YzQvdC+0LPQviDQutCw0LfQvdCw0YfQtdC50YHRgtCy0LAwHhcN MTMwMTMwMDQxNzM4WhcNMTQwMTMwMDQxNzM4WjCCAWMxHjAcBgkqhkiG9w0BCQEW D211dWtzQHlhbmRleC5ydTELMAkGA1UEBhMCUlUxMDAuBgNVBAgMJ9Ch0LLQtdGA 0LTQu9C+0LLRgdC60LDRjyDQvtCx0LvQsNGB0YLRjDETMBEGA1UEBwwK0KHQtdGA 0L7QsjEaMBgGA1UECgwR0JzQmtCjICIg0KPQmtChIiAxLDAqBgNVBCoMI9CQ0L3Q tNGA0LXQuSDQkNC90LDRgtC+0LvRjNC10LLQuNGHMRcwFQYDVQQEDA7QoNCw0LPQ vtC30LjQvTEbMBkGA1UEDAwS0J3QsNGH0LDQu9GM0L3QuNC6MTAwLgYJKoZIhvcN AQkCEyExLjIuNjQzLjMuNjEuMS4xLjYuNTAyNzEwLjMuNC4yLjExOzA5BgNVBAMM MtCg0LDQs9C+0LfQuNC9INCQ0L3QtNGA0LXQuSDQkNC90LDRgtC+0LvRjNC10LLQ uNGHMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEDQwAEQNXiDitUQ61L iK4j35DEtlr/EsKZ0GVvFlT+TYiO7mfpWu/YWp29HIIxUV1FTwWq5nZ0pcrgzeIT D+9eZElXHmejggMUMIIDEDAMBgNVHRMBAf8EAjAAMBgGA1UdIAQRMA8wDQYLKoUD Az2e1zYBAgIwgdYGA1UdEQSBzjCBy6ASBgNVBAygCxMJMTI5MTEwMzAxoBgGCCqF AwOBAwEBoAwTCjY2MzIwMTc1NzigGQYKKoUDAz2e1zYBB6ALEwk2NjMyMDEwMDGg GwYKKoUDAz2e1zYBBaANEwswMzYyMzAwMTQ5OKANBgcqhQMB4DkBoAITAKAYBgkq hkiG9w0BCRSgCxMJUmFnb3NpbkFBoB0GCiqFAwM9ntc2AQigDxMNMDg2MjMwMDAw MDEzNqAYBgUqhQNkAaAPEw0xMDI2NjAxODEzMDI4hgEwMA4GA1UdDwEB/wQEAwID +DCCAYEGA1UdJQSCAXgwggF0BggrBgEFBQcDAQYIKwYBBQUHAwIGCCqFAwIBBggF Bg8qhQMDPQEBBp7XNgMEAQEGDyqFAwM9AQEGntc2AwQBAgYPKoUDAz0BAQae1zYD BAEDBg8qhQMDPQEBBp7XNgMEAQQGDyqFAwM9AQEGntc2AwQBBQYPKoUDAz0BAQae 1zYDBAEGBg8qhQMDPQEBBp7XNgMEAQcGDyqFAwM9AQEGntc2AwQBCAYPKoUDAz0B AQae1zYDBAEJBg8qhQMDPQEBBp7XNgMEAQoGDyqFAwM9AQEGntc2AwQBCwYPKoUD Az0BAQae1zYDBAEMBg8qhQMDPQEBBp7XNgMEAQ4GCyqFAwM9ntc2AQYBBgwqhQMD PZ7XNgEGAwIGDiqFAwM9ntc2AQYDBAEBBg4qhQMDPZ7XNgEGAwQBAgYOKoUDAz2e 1zYBBgMEAQMGDiqFAwM9ntc2AQYDBAEEBg0qhQMDPZ7XNgEGAwUBBg0qhQMDPZ7X NgEGAwUCMB8GA1UdIwQYMBaAFGed+2/vWTrzCyEpO4NYwxYNEMOiMDgGA1UdHwQx MC8wLaAroCmGJ2h0dHA6Ly9jcmwucm9za2F6bmEucnUvY3JsL0xBU1RfbmV3LmNy bDAdBgNVHQ4EFgQUE9nKnswPF/NPuJyZMtaCe0IH8sIwCAYGKoUDAgIDA0EAdVLi H4ERpfuOp1p58LnD8dHr1ylSNx9QcCQZVTjNfKBkwx5y5Z7QWYgnq2mAal5r0T8d E9q8hh7DhWC6gPtAmzGCAxwwggMYAgEBMIICTDCCAkMxITAfBgkqhkiG9w0BCQEW EnV1Y19ma0Byb3NrYXpuYS5ydTEiMCAGA1UECQwZ0YPQuy4g0JjQu9GM0LjQvdC6 0LAg0LQuNzEZMBcGA1UEBwwQ0LMuINCc0L7RgdC60LLQsDGBojCBnwYJKoZIhvcN AQkCDIGR0JTQsNC90L3Ri9C5INGB0LXRgNGC0LjRhNC40LrQsNGCINC+0YLQutGA 0YvRgtC+0LPQviDQutC70Y7Rh9CwINC40YHQv9C+0LvRjNC30YPQtdGC0YHRjyDR gdC+INGB0YDQtdC00YHRgtCy0L7QvCDQodCa0JfQmCDQmtGA0LjQv9GC0L4g0J/R gNC+IENTUDELMAkGA1UEBhMCUlUxcjBwBgNVBAsMadCj0L/RgNCw0LLQu9C10L3Q uNC1INGA0LXQttC40LzQsCDRgdC10LrRgNC10YLQvdC+0YHRgtC4INC4INCx0LXQ t9C+0L/QsNGB0L3QvtGB0YLQuCDQuNC90YTQvtGA0LzQsNGG0LjQuDE4MDYGA1UE Cgwv0KTQtdC00LXRgNCw0LvRjNC90L7QtSDQutCw0LfQvdCw0YfQtdC50YHRgtCy 0L4xfzB9BgNVBAMMdtCj0L/QvtC70L3QvtC80L7Rh9C10L3QvdGL0Lkg0YPQtNC+ 0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQuSDRhtC10L3RgtGAINCk0LXQtNC10YDQsNC7 0YzQvdC+0LPQviDQutCw0LfQvdCw0YfQtdC50YHRgtCy0LACAxLrYjAKBgYqhQMC AgkFAKBpMBgGCSqGSIb3DQEJAzELBgkqhkiG9w0BBwEwHAYJKoZIhvcNAQkFMQ8X DTEzMDQyMzA5MzQxMlowLwYJKoZIhvcNAQkEMSIEIMyaJdXBGtG7CN+sKCAjpmpF G8TNQ9ccTAqyyPp/OXVXMAoGBiqFAwICEwUABEDuzmBnffPLsrQvNC1GxsktP10+ 90aMgIzwLhLE3QLLHI2ysjSjx00CEuNTDmgUdhTHiAEnp6yFKkGjQqdKcYUF


Содержание документа
PurchaseProtocol2: Протокол подведения итогов открытого электронного аукциона (Дата подписания: 23.04.2013 07:33)
<purchaseprotocol2><purchid>1359738</purchid><purchcode>0362300149813000059</purchcode><purchversion>1</purchversion><purchname>Выполнение работ по ремонту кровли дома по адресу г. Серов, ул. Красногвардейская, д. 5</purchname><auctionbegindate>22.04.2013 07:10</auctionbegindate><auctionenddate>22.04.2013 07:43</auctionenddate><notificationfeatures><notificationfeature><placementfeature><name>Для субъектов малого предпринимательства</name></placementfeature></notificationfeature></notificationfeatures><offers><purchoffer><reqid>4732855</reqid><buid>460162</buid><budocid></budocid><offerplace>1</offerplace><inn>6623088639</inn><kpp>662301001</kpp><reqno>4810617</reqno><bufullname>Общество с ограниченной ответственностью "УралМонтажСервис"</bufullname><offerprice>237575.74</offerprice><offerkind>понижение</offerkind><createat>22.04.2013 07:33:12</createat><reqstate>A</reqstate><rejectreason></rejectreason></purchoffer><purchoffer><reqid>4760777</reqid><buid>2462</buid><budocid></budocid><offerplace>2</offerplace><inn>6652025954</inn><kpp>667201001</kpp><reqno>4838539</reqno><bufullname>Общество с ограниченной ответственностью "УралРегионСтрой"</bufullname><offerprice>250701.47</offerprice><offerkind>понижение</offerkind><createat>22.04.2013 07:32:08</createat><reqstate>A</reqstate><rejectreason></rejectreason></purchoffer></offers><protocoldoc><file><fileid>bcea3733-eaf7-4ac9-a498-c0360d532400</fileid><filename>протокол рассмотрения №3.doc</filename><signinfo>Файл подписан</signinfo><hash>OEY0QjNFODg2RUQ4OTJFODhDOTk1QTcyMEM0OEJDMjA3QUVCODc2MkU1RjczN0YxRTc3QTUwOERDNzQzNkY5Rg==</hash><sign>MIILCQYJKoZIhvcNAQcCoIIK+jCCCvYCAQExDDAKBgYqhQMCAgkFADALBgkqhkiG 9w0BBwGggge0MIIHsDCCB1+gAwIBAgIDEutiMAgGBiqFAwICAzCCAkMxITAfBgkq hkiG9w0BCQEWEnV1Y19ma0Byb3NrYXpuYS5ydTEiMCAGA1UECQwZ0YPQuy4g0JjQ u9GM0LjQvdC60LAg0LQuNzEZMBcGA1UEBwwQ0LMuINCc0L7RgdC60LLQsDGBojCB nwYJKoZIhvcNAQkCDIGR0JTQsNC90L3Ri9C5INGB0LXRgNGC0LjRhNC40LrQsNGC INC+0YLQutGA0YvRgtC+0LPQviDQutC70Y7Rh9CwINC40YHQv9C+0LvRjNC30YPQ tdGC0YHRjyDRgdC+INGB0YDQtdC00YHRgtCy0L7QvCDQodCa0JfQmCDQmtGA0LjQ v9GC0L4g0J/RgNC+IENTUDELMAkGA1UEBhMCUlUxcjBwBgNVBAsMadCj0L/RgNCw 0LLQu9C10L3QuNC1INGA0LXQttC40LzQsCDRgdC10LrRgNC10YLQvdC+0YHRgtC4 INC4INCx0LXQt9C+0L/QsNGB0L3QvtGB0YLQuCDQuNC90YTQvtGA0LzQsNGG0LjQ uDE4MDYGA1UECgwv0KTQtdC00LXRgNCw0LvRjNC90L7QtSDQutCw0LfQvdCw0YfQ tdC50YHRgtCy0L4xfzB9BgNVBAMMdtCj0L/QvtC70L3QvtC80L7Rh9C10L3QvdGL 0Lkg0YPQtNC+0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQuSDRhtC10L3RgtGAINCk0LXQ tNC10YDQsNC70YzQvdC+0LPQviDQutCw0LfQvdCw0YfQtdC50YHRgtCy0LAwHhcN MTMwMTMwMDQxNzM4WhcNMTQwMTMwMDQxNzM4WjCCAWMxHjAcBgkqhkiG9w0BCQEW D211dWtzQHlhbmRleC5ydTELMAkGA1UEBhMCUlUxMDAuBgNVBAgMJ9Ch0LLQtdGA 0LTQu9C+0LLRgdC60LDRjyDQvtCx0LvQsNGB0YLRjDETMBEGA1UEBwwK0KHQtdGA 0L7QsjEaMBgGA1UECgwR0JzQmtCjICIg0KPQmtChIiAxLDAqBgNVBCoMI9CQ0L3Q tNGA0LXQuSDQkNC90LDRgtC+0LvRjNC10LLQuNGHMRcwFQYDVQQEDA7QoNCw0LPQ vtC30LjQvTEbMBkGA1UEDAwS0J3QsNGH0LDQu9GM0L3QuNC6MTAwLgYJKoZIhvcN AQkCEyExLjIuNjQzLjMuNjEuMS4xLjYuNTAyNzEwLjMuNC4yLjExOzA5BgNVBAMM MtCg0LDQs9C+0LfQuNC9INCQ0L3QtNGA0LXQuSDQkNC90LDRgtC+0LvRjNC10LLQ uNGHMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEDQwAEQNXiDitUQ61L iK4j35DEtlr/EsKZ0GVvFlT+TYiO7mfpWu/YWp29HIIxUV1FTwWq5nZ0pcrgzeIT D+9eZElXHmejggMUMIIDEDAMBgNVHRMBAf8EAjAAMBgGA1UdIAQRMA8wDQYLKoUD Az2e1zYBAgIwgdYGA1UdEQSBzjCBy6ASBgNVBAygCxMJMTI5MTEwMzAxoBgGCCqF AwOBAwEBoAwTCjY2MzIwMTc1NzigGQYKKoUDAz2e1zYBB6ALEwk2NjMyMDEwMDGg GwYKKoUDAz2e1zYBBaANEwswMzYyMzAwMTQ5OKANBgcqhQMB4DkBoAITAKAYBgkq hkiG9w0BCRSgCxMJUmFnb3NpbkFBoB0GCiqFAwM9ntc2AQigDxMNMDg2MjMwMDAw MDEzNqAYBgUqhQNkAaAPEw0xMDI2NjAxODEzMDI4hgEwMA4GA1UdDwEB/wQEAwID +DCCAYEGA1UdJQSCAXgwggF0BggrBgEFBQcDAQYIKwYBBQUHAwIGCCqFAwIBBggF Bg8qhQMDPQEBBp7XNgMEAQEGDyqFAwM9AQEGntc2AwQBAgYPKoUDAz0BAQae1zYD BAEDBg8qhQMDPQEBBp7XNgMEAQQGDyqFAwM9AQEGntc2AwQBBQYPKoUDAz0BAQae 1zYDBAEGBg8qhQMDPQEBBp7XNgMEAQcGDyqFAwM9AQEGntc2AwQBCAYPKoUDAz0B AQae1zYDBAEJBg8qhQMDPQEBBp7XNgMEAQoGDyqFAwM9AQEGntc2AwQBCwYPKoUD Az0BAQae1zYDBAEMBg8qhQMDPQEBBp7XNgMEAQ4GCyqFAwM9ntc2AQYBBgwqhQMD PZ7XNgEGAwIGDiqFAwM9ntc2AQYDBAEBBg4qhQMDPZ7XNgEGAwQBAgYOKoUDAz2e 1zYBBgMEAQMGDiqFAwM9ntc2AQYDBAEEBg0qhQMDPZ7XNgEGAwUBBg0qhQMDPZ7X NgEGAwUCMB8GA1UdIwQYMBaAFGed+2/vWTrzCyEpO4NYwxYNEMOiMDgGA1UdHwQx MC8wLaAroCmGJ2h0dHA6Ly9jcmwucm9za2F6bmEucnUvY3JsL0xBU1RfbmV3LmNy bDAdBgNVHQ4EFgQUE9nKnswPF/NPuJyZMtaCe0IH8sIwCAYGKoUDAgIDA0EAdVLi H4ERpfuOp1p58LnD8dHr1ylSNx9QcCQZVTjNfKBkwx5y5Z7QWYgnq2mAal5r0T8d E9q8hh7DhWC6gPtAmzGCAxwwggMYAgEBMIICTDCCAkMxITAfBgkqhkiG9w0BCQEW EnV1Y19ma0Byb3NrYXpuYS5ydTEiMCAGA1UECQwZ0YPQuy4g0JjQu9GM0LjQvdC6 0LAg0LQuNzEZMBcGA1UEBwwQ0LMuINCc0L7RgdC60LLQsDGBojCBnwYJKoZIhvcN AQkCDIGR0JTQsNC90L3Ri9C5INGB0LXRgNGC0LjRhNC40LrQsNGCINC+0YLQutGA 0YvRgtC+0LPQviDQutC70Y7Rh9CwINC40YHQv9C+0LvRjNC30YPQtdGC0YHRjyDR gdC+INGB0YDQtdC00YHRgtCy0L7QvCDQodCa0JfQmCDQmtGA0LjQv9GC0L4g0J/R gNC+IENTUDELMAkGA1UEBhMCUlUxcjBwBgNVBAsMadCj0L/RgNCw0LLQu9C10L3Q uNC1INGA0LXQttC40LzQsCDRgdC10LrRgNC10YLQvdC+0YHRgtC4INC4INCx0LXQ t9C+0L/QsNGB0L3QvtGB0YLQuCDQuNC90YTQvtGA0LzQsNGG0LjQuDE4MDYGA1UE Cgwv0KTQtdC00LXRgNCw0LvRjNC90L7QtSDQutCw0LfQvdCw0YfQtdC50YHRgtCy 0L4xfzB9BgNVBAMMdtCj0L/QvtC70L3QvtC80L7Rh9C10L3QvdGL0Lkg0YPQtNC+ 0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQuSDRhtC10L3RgtGAINCk0LXQtNC10YDQsNC7 0YzQvdC+0LPQviDQutCw0LfQvdCw0YfQtdC50YHRgtCy0LACAxLrYjAKBgYqhQMC AgkFAKBpMBgGCSqGSIb3DQEJAzELBgkqhkiG9w0BBwEwHAYJKoZIhvcNAQkFMQ8X DTEzMDQyMzA5MzM1MlowLwYJKoZIhvcNAQkEMSIEINDEEkBw8Jg7Pk9ikyET+K8Q SHmumEIwfZrEpOtHrQwvMAoGBiqFAwICEwUABEBlaycR+1aKKDfdQj8uPd5bifBv 2E4ez5yLt/9ok3b2G/0RiXyoJv0rEkQpQkbMRGVL2xKRWcjAc5hEpEq/hvhm</sign><signrequired>True</signrequired></file></protocoldoc><doc><file><fileid></fileid><filename></filename><signinfo></signinfo><hash></hash><sign></sign><signrequired>True</signrequired></file></doc><solutiondate>22.04.2013</solutiondate><datesolutionagree>y</datesolutionagree></purchaseprotocol2>

вот и вопрос - как пользователь может проверить - тот ли документ скачивается который был подписан тем кто загрузил. - иных исходных данных нет.