Bună ziua, colegii.
Este timpul ca organizația noastră modestă să aibă un site propriu pentru a lucra la 222-FZ.
Următoarea întrebare a apărut în fața noastră: cât de corect (și în conformitate cu legile țării noastre, dacă acestea reglementează astfel de lucruri și în conformitate cu securitatea obișnuită) lucrează cu EDS?
Prima opțiune este să semnați fiecare acțiune importantă a utilizatorului folosind EDS (IE + CAPICOM + cryptcp). Totuși, în același timp, vedem pur și simplu că utilizatorul a încărcat un astfel de fișier (cum ar fi un citat).
Teoretic expuneți resursa la atac și acest fișier ar putea fi ușor înlocuit de orice altul (de exemplu, cu un preț de ofertă de 2 ori mai mic), iar în conformitate cu regulile, câștigătorul ar trebui să plătească câștigătorul.
Din aceasta văd două căi:
A) Pentru a forța toate fișierele doc să fie semnate de clienți (și să lucreze în consecință numai cu ei) în Microsoft Office și numai după aceea pentru a le descărca și a le pune în funcțiune.
B) semnează Într-un fel fișier atunci când încărcarea unui buton special de pe site-ul după ce sarcina, cum ar fi se face printr-o acțiune pe zakupki.gov.ru (zakupki.gov.ru/wps/portal/faq/utilities/PGZ. Punctul 4.4.4.)
Cercetarea mea a condus la faptul că, probabil, pot să fac un fișier, de exemplu, semnat cu un certificat de utilizator printr-un hash al fișierului, dar dacă această decizie este corectă sau nu, nu sunt sigur.
Teoretic, combinația unui fișier hash semnat trebuie să fie unică pentru o combinație de "proprietar EDS" + "fișier specific".
Vreau să aud un sfat, o experiență în implementarea unor astfel de funcții sau unde poate fi citită partea tehnică a unor astfel de probleme.
Mă răspund - brusc, altcineva este util.
După intervievarea celor mai mari jucători de pe piață, sa dovedit că se folosește o variantă B strictă. Semnătura fișierului este valabilă numai în contextul sistemului în care a fost semnat. Dacă cineva descarcă fișierul, atunci era imposibil să verifici dacă a fost semnat sau nu.
Podverzhdaet că platforma RF punerea în aplicare a semnăturii, deși de un standard, dar, de fapt, poluchaetsya, astfel încât fișierul este semnat pe aceeași platformă de tranzacționare nu trece în mod necesar testul pe celălalt ETP.
Cu ocazia "a verifica până este imposibil" - dacă este clar, ce anume este semnat, iar certificatul public este disponibil, este foarte posibil.
Există două opțiuni:
1 datele sunt semnate;
2 fișiere hash semnate.
Dacă se folosește capicom, atunci cea mai mare probabilitate este folosirea celei de-a doua opțiuni. în primul există probleme cu semnarea datelor de lungime ciudată și de lucru cu capicom + js cu unicode.
Aceasta este, în cea de-a doua variantă, de care aveți nevoie
1 aveți un fișier
2 știu cum să calculeze hash-ul (care algoritm)
3 au cheia publică (certificatul public) al utilizatorului care a semnat fișierul
Și verificați-vă singur fișierul cu orice mijloc care suportă criptarea necesară (pentru ETP-ul RF este GOST)
Teren de joacă, din păcate, a refuzat născut mort (și nu l-au adus pe piață, chiar dacă este scris), astfel încât să nu controalele văzut și într-un fel să răspundă cu precizie la întrebarea, „am decis că e așa și pe bună dreptate,“ nu pot.
Dacă nu mă înșel, am semnat hașul fișierelor - exact așa cum ai scris-o.
Tel. Bună ziua. Avem o sarcină similară - implementăm EDS în IS (web) al uneia dintre instituțiile autonome. Am dori să discutăm cu dvs., eventual în cadrul consultărilor, pentru a umple unele lacune în organizarea lucrărilor cu EDS. Dacă veți avea ocazia și interesul :) vă rugăm să scrieți pe e-mailul agrDOMAugraweb.ru
Articole similare
Trimiteți-le prietenilor: