Comments 13
Есть промежуточный вариант. Можно бесплатно протолкнуть свою неквалифицированную в пул публичных серверов ключей OpenPGP.
Проблема есть в том никто не проверят источник ключа и фактически любой злоумышленник
может засабмитить туда свою подпись. Однако пул не примет подпись для адреса который там уже есть, если она не будет сертифицирована ранее опубликованным ключем.
Ну и в целом система публичных серверов была придумана еще в 90х задолго до появления блокчейна, и уже конечно морально устарела.
Проблема есть в том никто не проверят источник ключа и фактически любой злоумышленник
может засабмитить туда свою подпись. Однако пул не примет подпись для адреса который там уже есть, если она не будет сертифицирована ранее опубликованным ключем.
Ну и в целом система публичных серверов была придумана еще в 90х задолго до появления блокчейна, и уже конечно морально устарела.
0
Проблема еще в том, что какая-нибудь тетя Маня из бухгалтерии для проверки подписи скорее всего пойдет на сайт госуслуг, а не на какой-то неведомый ей публичный сервер ключей. Тем более что никто не мешает злодею зарегистрировать красивое доменное имя и создать типа публичный сервер ключей для своих грязных целей. Я изучал этот пул публичных серверов, лучше уж публиковать свой ключ на сайте своей организации, ему больше доверия.
0
Сейчас по работе периодически вижу письма разных организаций (государственных и нет), у которых вместо подписи стоит такой штамп, как в конце статьи: «Документ подписан электронной подписью». Обычно в штампе также указан буквенно-цифровой код сертификата, ФИО пользователя и срок действия.
Как проверить такие подписи? Сами письма в pdf. Внутренний механизм работы с подписями Adobe Acrobat, например, и не видит никакой подписи. Пробовал изменить текст pdf-файла и пересохранить — визуально ничего не меняется. Как для обычного пользователя увидеть, что файл правда подписан? Если честно, есть подозрения, что на деле сами файлы не подписывают.
Как проверить такие подписи? Сами письма в pdf. Внутренний механизм работы с подписями Adobe Acrobat, например, и не видит никакой подписи. Пробовал изменить текст pdf-файла и пересохранить — визуально ничего не меняется. Как для обычного пользователя увидеть, что файл правда подписан? Если честно, есть подозрения, что на деле сами файлы не подписывают.
0
Спасибо, очень доступно, наконец у меня сложилась полная картинка.
0
Почему-то у меня после строчки
Если перенести
pubkey = await (await fetch("public.key")).text();
код скрипта не выполняется.Если перенести
if (flag["doc"] && flag["sig"]) document.querySelector("button").disabled = false;
до неё, то кнопка активируется, иначе нет.0
Предполагаю, что ваш браузер просто не поддерживает fetch. Попробуйте переписать это всё, используя AJAX. Ну либо вообще не запрашивайте файл с открытым ключом, а просто вставьте этот ключ в текст скрипта как строку (в самом начале скрипта, где переменная pubkey объявляется), что-то типа
pubkey = `-----BEGIN PGP PUBLIC KEY BLOCK-----
...
`;
0
Возможно ли у себя на файловом сервере организовать картотеку подписанных документов?
Я считаю, что нет. Одной электронной подписи недостаточно, нужна ещё служба времени, иначе любой документ можно удалить и перезаписать новым.
И подскажите, что за программа такие шильдики красивые делает. Подписано ЭЦП и как проверить корректность подписи? желательно под виндой
Я считаю, что нет. Одной электронной подписи недостаточно, нужна ещё служба времени, иначе любой документ можно удалить и перезаписать новым.
И подскажите, что за программа такие шильдики красивые делает. Подписано ЭЦП и как проверить корректность подписи? желательно под виндой
0
По поводу картотеки — конечно, возможно, и даже лучше не картотеку документов, а просто текстовый файл с хэшами подписанных документов. И где-нибудь в открытом доступе (благо бесплатных хостингов для статических сайтов сейчас много) простенькая html-страничка, которая в браузере клиента вычисляет хэш загруженного клиентом (с помощью html5 API) документа, получает с вашего файлового сервера ajax-запросом тот самый текстовый файл с хэшами и проверяет, содержится ли вычисленный хэш в файле с хэшами. Это все на клиентской стороне.
По поводу подменить — не понял, если честно. К файловому серверу же только вы доступ имеете? Злодей файл с хэшами подменить не сможет. Видоизменить документ так, чтобы его хэш остался прежним? Это фантастика :)
Штампик можно нарисовать в любом векторном редакторе, хоть в том же Corel Draw. Я пользуюсь Inkscape, он открытый, бесплатный и под Windows он тоже есть.
По поводу подменить — не понял, если честно. К файловому серверу же только вы доступ имеете? Злодей файл с хэшами подменить не сможет. Видоизменить документ так, чтобы его хэш остался прежним? Это фантастика :)
Штампик можно нарисовать в любом векторном редакторе, хоть в том же Corel Draw. Я пользуюсь Inkscape, он открытый, бесплатный и под Windows он тоже есть.
0
Огромное спасибо за краткую статью без лишнего! Тоже видел в интернете много статей, в которых одна скопирована с другой. Но там было много «воды», что усложняло восприятие. А по вашей можно смело делать себе усиленную неквалифицированную ЭЦП как по инструкции.
Только вот небольшой вопрос к этой фразе:
Вы пробовали так делать? Продиктовать человеку 40 цифр по телефону это не такая уж и простая задача. Мало того что долго. Из этих 40 цифр наверное после каждых 5 оператор будет переспрашивать, если не расслышит. Или оператор просто ошибётся с вводом пары цифр. Увидит на экране ПК страшное сообщение «ОШИБКА. НЕВЕРНЫЙ КОД!!!» и в лучшем случае придётся заново диктовать ему отпечаток, а в худшем оператор решит, что вы мошенник и бросит трубку.
Только вот небольшой вопрос к этой фразе:
отпечаток можно просто продиктовать по телефону (обычно это 40 шестнадцатеричных цифр).
Вы пробовали так делать? Продиктовать человеку 40 цифр по телефону это не такая уж и простая задача. Мало того что долго. Из этих 40 цифр наверное после каждых 5 оператор будет переспрашивать, если не расслышит. Или оператор просто ошибётся с вводом пары цифр. Увидит на экране ПК страшное сообщение «ОШИБКА. НЕВЕРНЫЙ КОД!!!» и в лучшем случае придётся заново диктовать ему отпечаток, а в худшем оператор решит, что вы мошенник и бросит трубку.
0
Sign up to leave a comment.
Как самостоятельно изготовить электронную подпись