Комментарии 9
Буду потом детям, как сказку на ночь, рассказывать
Тоже сказочку расскажу.
Поглядели как-то в соседнем царстве-государстве на то, как мудро царь Айтидон у себя всё устроил, и решили сделать так же. Но зело сложной показалась им выдумка царская. Позвали тогда на помощь великого Волшебника - повелителя туч и облаков. Сказал Волшебник:
- Пусть электронные подписи хранятся у меня, в облаке.
- Так это что же, ты и документы подписывать за нас будешь? - спросили жители.
- Ага!
- ... Передовые технологии, однако! - удивились местные. - Вот только не можем толку дать, если вы документы сами составляете, сами их присылаете, и сами же подписываете, к чему тогда эти послания, кодами в смс именуемые?
- Ничего-то вы в высоких облачных технологиях не понимаете, темнота. - презрительно молвил Волшебник. И эффектно удалился.
Так кто же хранит тайны в облаках? Это в Норвегии, США или где там еще понастроили ЦОДов.
Не даром говорят: ближе положишь, быстрее найдешь. Секреты нужно хранить только локально, причем в смысле без доступа в сеть. Это я так думаю...
Пусть электронные подписи хранятся у меня, в облаке.
Электронная подпись, так же как и сертификат, вещь публичная и она является неотъемлемой частью документа (файла), который был подписан!
В облаке можно хранить сертификаты, подписанные документы и т.д.
Некоторые умудряются хранить там и закрытые ключи, которые используются вместе с сертификатами, для подписания документов. Но это (хранение ключей не у себя, а в облаке или довериться ФНС) как говорится на любителя.
У нас до сих пор в одну кучу смешивают электронную подпись, сертификат и закрытый ключ.
Хорошая сказка должна придерживаться принцина:
Сказка быль дв в ней намёк!
Как я понимаю, кроме электронной подписи, сертификата и закрытого ключа еще в документе и time stamp требуется. А вот про это, мне кажется вообще никто и не знает и не помнит. Ну и кроме сервера time stamp'а, для проверки сертификата, нужен и сервер удостоверяющего центра (или онлайн доступ) для проверки отозванных сертификатов - что опять таки вряд ли кто помнит и вряд ли кто имеет.
А без этого, получается "как всегда". Сделать полноценное решение дорого (как я понимаю и сервер time stamp'а и свой локальный удостоверяющий центр /что бы отозванные сертификаты иметь/ - удовольствие сильно не бесплатное ), поэтому все городят поделки-велосипеды с колесами более-менее прямоугольной формы.
IMHO & AFAIK
p.s.
Насколько я знаю, проблема с time stamp'ом достаточно элегантно решена в СМЭВ (система межведомственного взаимодействия). Хотя пользователь и организация подписывают сообщение только своим закрытым ключом, но отсылают через шлюз СМЭВ'а который уже должен сам добавить time stamp. Т.ч. и подписи имеются (аж 3 штуки) и time stamp имеется.
Но вот каких либо документов об обеспечении проверки сертификата на отозванность даже в СМЭВ, я что-то не припомню. Хотя, опять таки, если сообщение пришло из СМЭВ и сертификат шлюза корректен, можно надеяться (!!!), что шлюз сертификаты конечных пользователей проверил.
Поднимать же у себя локальный удостоверяющий центр или как-то договариваться об online доступе с удостоверяющими центрами - как-то менеджеры проектов об этом не сильно запарываются.
проблема с time stamp'ом достаточно элегантно решена в СМЭВ
СМЭВ использует готовые решения. Все стандарты давно разработаны и во всём мире используются. Вопрос в том как мы следуем этим стандартом и как наша программное обеспечение соответствует этим стандартам, включая те же рекомендации ТК-26.
Хотя пользователь и организация подписывают сообщение только своим закрытым ключом, но отсылают через шлюз СМЭВ'а который уже должен сам добавить time stamp.
И что там добавит СМЭВ только ему известно.
Т.ч. и подписи имеются (аж 3 штуки) и time stamp имеется. Честь и хвала СМЭВу, что он понимает "аж три подписи", но не СМЭВ эти стандарты разработал
Дело же не в стандартах, а в доступности решений. Когда я этим занимался (лет 10 назад), бесплатных и общедоступных серверов тайм стемпа просто не было. Аналогично то же самое с проверкой подлинности сертификатов.
Изменилось ли что-то за прошедшее время и есть ли бесплатные и общедоступные сервера - вот что хотелось бы знать.Несколько подписей (отправитель, организация отправитель, шлюзов), это как раз или придумка авторов СМЭВ или правильно заимствованное решение. За счет того, что и шлюзы подписывают/проверяют, на стороне клиента-заказчика-организации не нужно плясок с таймстемпами
IMHO Одно из немного, что в СМЭВ можно похвалить
Позитивные эмоции от знакомства с подобными системами крайне редки (((, т.ч. надо ценить хоть малое )))."Все стандарты давно разработаны"
Не все так очевидно ( C ) дочь офицера
За некоторые "как-бы" разработанные стандарты, я бы пообщался бы с авторами, где нибудь в темном месте без видеокамер.
Например стандарт канализации XML (XML Canonicalization) применительно к электронной подписи. Большей недоделанной и бесполезной дичи на мой взгляд придумать сложно. Если бы кто-то бы занялся и доделал, было бы хорошо. IMHO
Банальные отступы/кол-во пробелов/кодирование пробельных символов или перевода строки. От перехода на другую имплиментацию парсера или просто от пересылки через HTTP шюзы, все запросто может разъехаться и подпись станет не валидной. Подпись на уровне байтов, а байт-представление текста вполне может исказится, например разные кодировки конца строкиP.S.
С электронной подписью, СМЭВ, ГИС ГМП сталкивался лет 10 назад, с тех пор не приходилось. Ну и в текущем проекте есть интеграция с ГИС ЖКХ, т.ч. за темой стараюсь следить. Может когда опять вспоминать придется.P.P.S.
ekey.ru
Главная страница 26.01.2023 не работает
https://www.ekey.ru/
Parse error: syntax error, unexpected 'src' (T_STRING) in /home/bitrix/www/bitrix/modules/main/include/prolog.php on line 14
Проблема в том что вместо ЭЦП используют некую "электронную подпись" к которой приравняли код из смс. Вся безопасность теперь завязана на смс.
Как мудрый царь электронные подписи вводил