Kwert-soft.ru

IT Софт для ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита цифровой подписи

Как я решил защищать документы от подделки и «изобрел» электронную цифровую подпись

О чем это

На идею создать свой маленький интернет-проект по защите документов от подделки, меня натолкнула дискуссия на форуме дефектоскопистов, посвященная повальной подделке выданных ими заключений по контролю качества.

В ходе реализации своего проекта я понял, что пришел к концепции электронной цифровой подписи, то есть велосипед, я, конечно, не изобрел, но рассказ о моем пути может оказаться поучительным.

Актуальность задачи защиты от подделок

Дело в том, что в наш век безбумажной информации ни одно капитальное строительство, будь то газопровод или торговый центр, не обходится без подготовки полного комплекта исполнительной документации (as built), частью которой являются заключения по неразрушающему контролю (визуальному, радиографическому, ультразвуковому).

Это заключение — оформленный на определенном бланке документ с выводом о годности или негодности, к примеру, сварного шва. Услуги по неразрушающему контролю стоят денег и часто весьма немалых. Недобросовестный заказчик/посредник может нанять аккредитованную лабораторию, получить от нее несколько заключений и прекратить или приостановить работу.

Каково же может быть удивление дефектоскописта или начальника лаборатории, когда они узнают о том, что и после прекращения работы от их имени выдаются заключения, на них ставятся поддельные печати и подделываются подписи. Страдает репутация лаборатории, да и по сути нарушается законодательство. Просто в ряде случае об этом так никто и не узнает.

В рамках дискуссии — как защитить свои документы, была высказана идея наносить на документ QR-код, в котором будет записан номер заключения, дата и вывод о годности или не годности объекта контроля. Чем хорош такой способ — QR-код останется хорошо различим при сканировании, копировании документа.

Однако, просто сгенерировать QR-код с нужным содержимым точно также смогут и мошенники.

Рождение идеи

И тут меня осенила мысль — а почему бы не шифровать содержимое такого QR-кода надежным алгоритмом. Раз так — надо придумать способ его расшифровывать при сканировании, например через камеру смартфона. Здесь родилась идея расшифровку делать на стороне web-сервиса, который будет хранить ключ для расшифровки.

В последний раз я делал сайт в 2000 году в notepad и не слишком хорошо знаком с современными технологиями сайтостроительства, поэтому выбрал Wix, подумав, что с помощью сервиса я получу красивую картинку и минимальные возможности работы с базой данных, а с помощью Wix code закодирую то что мне нужно.

Сразу скажу, что это у меня получилось без особого труда и за несколько вечеров я, будучи дилетантом, вполне смог собрать из более-менее готовых блоков нужное мне решение.

Шифрование

Готовый алгоритм AES 128-битного шифрования с реализацией на Java Script я взял на Github и разместил в backend разделе сайта.

Это была, пожалуй, самая простая часть работы. Как работает само шифрование мне было не совсем неинтересно. Меня волновала грандиозность задуманного.

Главное не забыть перевести кодируемый текст в Bytes, а результат шифрования в HEX.

Генерация QR-кода

Я воспользовался готовым API.

Для работы достаточно создать объект html1 — для отображения произвольного html кода и вызвать фунцию API

Работа с пользователями

Wix поддерживает базовые функции регистрации пользователей и редактирования профиля. Инструмент, несколько глючный, но работоспособный.

Мне лишь потребовалось добавить поле, которое описывает наименование организации, которую представляет зарегистрированный пользователь, но это поле read only и его заполняет администратор сервиса, когда получает подтверждение, что зарегистрированный пользователь действительно представляет указанную организацию.

Потребовалось также прикрутить простейшую логику, связанную с платным/бесплатным доступом к функциям (до 20 документов в месяц можно защитить бесплатно) и сроком оплаты услуг.

Принцип работы

К аккаунту пользователя привязывается уникальный закрытый ключ шифрования.

Залогиненый пользователь заполняет форму с информацией о заключении (номер, дата, результат):

Затем алгоритм выдает URL, содержащий зашифрованный текст TEXT и, выступающий в виде открытого ключа USER_ID, как на примере ниже:

URL превращается в QR-код, который пользователь уже наносит на свой документ, скопировав в буфер обмена (можно включить в исходный файл или же налепить как стикер на готовый напечатанный документ).

Что здесь важно — как таковая информация не попадает в базу данных сайта, а остается лишь в виде этой ссылки и QR-кода, содержащего эту ссылку. Таким образом, никакая информация о содержимом защищаемого документа на сервере не хранится.

Проверка кода выполняется сайтом при распарсивании ссылки

Для распарсивания при распознавании сайтом ссылки я воспользовался справкой по Wix code
www.wix.com/code/reference/wix-http-functions.html

Если при расшифровке что-то пошло не так, а это может быть, если в оригинальный QR-код попытались внести какие-то изменения

«Код документа расшифрован с ошибкой. Возможна подделка. Обратитесь в организацию, подготовившую документ для получения пояснений»

Если расшифровка завершена успешно, то выдается расшифрованный текст, содержащий название лаборатории, номер документа, дату выдачи и результат, а пользователю предлагается сопоставить результат расшифровки с тем, что он видит на реальном документе.

Читать еще:  Microsd transcend защита от записи

Заключение

От рождения идеи я с помощью ряда готовых кирпичиков пришел к работающей реализации.

Приглашаю к дискуссии по придуманной мной идее, попытке протестировать/взломать мой сервис.

Что еще осталось доделать

Предварительный ответ на возможную критику:

Не проще лаборатории вести реестр заключений на своем сайте, а подобная QR метка будет вести на этот реестр или даже выводить копию заключения?

Это можно сделать, но потребуется значительная ручная работа или внедрение собственного IT решение наподобие разработанного мной, но это явно обойдется дороже чем воспользоваться готовым решением.

Сделать такой реестр полностью общедоступным нельзя, потому что информация не является открытой, а может быть рассмотрена лишь исполнителем, заказчиком и Ростехнадзором.

Как и где можно хранить электронную подпись

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен, eToken, JaCarta. Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭП

Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Читать еще:  Как защитить файл ворд от редактирования

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

Защита цифровой подписи

Это комбинация цифровых данных, с помощью которых можно идентифицировать личность. Простой пример — логин и пароль, которые вводим на сайтах для авторизации, или смс-код, который присылают на телефон для входа в личный кабинет. Это электронная подпись для повседневной жизни.

Как получить

Простую электронную подпись (ПЭП) можно создать с помощью программного обеспечения, например:

Для оформления простого электронного сертификата (подписи) нужно создать документ, открыть меню «Файл», выбрать пункт «Защита документа», а потом выбрать «Добавить цифровую подпись». Если подпись создаётся впервые, программа выдаст запрос на получение программного обеспечения от партнеров. В этом случае поможет русскоязычная версия приложения «Карма», которое установит подпись в операционную систему.
После завершения всех действий нужно сохранить файл.

Приложение КриптоПро CSP

Этот метод сложнее, зато с помощью этого ПО можно создать усиленные ключи.

Ещё один способ — получить заверенную простую электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен. Этот вариант подойдёт тем, кто создаёт документы в текстовых программах: с помощью сертификата получится защитить документ от плагиата и подтвердить авторство.

Где можно применять

  • Для регистрации или авторизации на интернет-сайтах.
  • В качестве ключа доступа к файлам и базам данных, защищенным паролем.
  • Для заверения электронных документов.

Недостатки

Простая электронная подпись не имеет юридической силы. Её нельзя использовать для подачи документов в государственные инстанции, а также для участия в торгах по 44-ФЗ и 223-ФЗ.

Чтобы при помощи ПЭП можно было подписывать обычные документы (например, договоры с контрагентами), нужно составить соглашение о простой электронной подписи. Такое соглашение должно содержать пункты об обязанности соблюдать конфиденциальность сведений и правила определения подписавшего лица — подлинности подписи. И подписывать его придётся всем сторонам, участвующим в электронном взаимодействии. Иначе все документы, подписанные ПЭП, закон признает недействительными.

Неквалифицированная электронная подпись

Неквалифицированная электронная подпись (НЭП) — чаще всего это ключ, хранящийся на USB-носителе. Иногда НЭП может создать программа, в которой работаете (только она и опознает эту подпись). Функционал такой подписи тоже частично ограничен, но, по сравнению с ПЭП, она обладает рядом преимуществ.

Как получить

Юридические лица и ИП могут оформить неквалифицированную подпись в удостоверяющих центрах или даже сделать её самостоятельно при помощи опытного программиста.

Где можно применять

  • В рамках внутреннего документооборота компании.
  • Для взаимодействия с контрагентами, если заключено соглашение с указанием условий использования НЭП (аналогично ПЭП).

Для аккредитации и участия в торгах на электронных площадках с помощью неквалифицированной подписи поставщик может создавать заявки и осуществлять сделки при наличии дополнительного соглашения между сторонами. Однако НЭП позволяет совершать не все типы операций.

Недостатки

НЭП подходит скорее физлицам. Юридическим лицам и ИП неквалифицированная электронная подпись подойдёт только при внушительном объёме внутреннего или внешнего документооборота, в других ситуациях её функционала может быть недостаточно.

Квалифицированная электронная подпись

Наиболее совершенный вид электронной подписи — усиленная квалифицированная подпись (КЭП). Это ключ, сформированный с помощью сертифицированных криптографических средств, который записывается на USB-носитель.

Ключ электронной подписи указан в сертификате, который выдаёт удостоверяющий центр, аккредитованный в Минкомсвязи.

КЭП состоит из двух частей:

  • проверочного сертификата для ключа подписи (USB-носитель);
  • лицензированного дистрибутива — установочного пакета специальной программы, который можно использовать в течение ограниченного периода действия ключа.

КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности данных владелец устанавливает сам. Данные будут защищены даже когда срок действия ключа истечёт.

Как получить

Для подачи заявления в аккредитованный удостоверяющий центр придётся собрать пакет уставных документов организации и документов, удостоверяющих личность владельца.

Читать еще:  Для каких целей используется защита формы

Для работы с квалифицированной подписью потребуются:

  • Флеш-накопитель.
  • Компьютерная программа, которая устанавливается с флэш-накопителя к ЭЦП. Например, КриптоПро.
  • Установленный личный сертификат.
  • Установленные библиотеки для электронной подписи.

Где можно применять

Если коротко — везде.

  • Для (пере)регистрации онлайн-кассы в ФНС.
  • Для удалённой подачи документов.
  • Для работы с государственными порталами, включая ФНС, ПФР и другие.
  • Для участия в коммерческих и государственных торгах или покупки имущества банкротов на множестве площадок.

Недостатки

У КЭП существует один недостаток: нужно ежегодно оплачивать сертификат электронной подписи.

Электронная подпись. Защита информации

Рубрика: Информационные технологии

Дата публикации: 07.11.2018 2018-11-07

Статья просмотрена: 1801 раз

Библиографическое описание:

Хошимова Ч. С. Электронная подпись. Защита информации // Молодой ученый. — 2018. — №44. — С. 30-33. — URL https://moluch.ru/archive/230/53324/ (дата обращения: 04.04.2020).

Электронная подпись. Защита информации

Хошимова Чарос Саидаминовна, ассистент

Ташкентский государственный технический университет имени Ислама Каримова (Узбекистан)

В статье рассматривается вопрос об электронной цифровой подписи, криптостойкости, о целях защиты информации.

Ключевые слова: электронная, цифровая, подпись, криптостойкость, защита.

Достоверность документа может быть установлена на основе двух процедур, определяющих его: аутентичность — целостность документа, идентификацию — авторство документа. Для бумажного документа аутентичность и идентификация обеспечивается неразрывно за счет экспертизы подписи и печати ввиду неразрывности документа с бумажным носителем. Для электронных документов данная проверка обеспечивается механизмом электронной подписи.

Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

– сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

– подтверждена подлинность электронной цифровой подписи в электронном документе;

– электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

Сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;

Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;

Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;

Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

Подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

Пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Симметричный ключ — кодирование и раскодирование документа производится одинаково. Этим ключом владеет определенная группа людей, доверяющих друг другу и несущих единую, равную ответственность за сохранность ключа.

Несимметричный ключ — данные шифруются одним ключом, а расшифровываются другим. Клиент обладает ключом для расшифровки. Головная организация имеет два ключа. Каждый клиент имеет свой ключ.

Криптостойкость средств электронно-цифровой подписи.

Ссылка на основную публикацию
Adblock
detector