Comments 9
Если уж совсем придираться, то технически всё реализовано. Но юридическая значимость не обеспечивается, т.к. КриптоПро CSP используется не в соответствии с его Формуляром (см. "контроль встраивания" "оценка соответствия"). Может конечно этот момент просто в статье не описан.
В чем именно заключается несоответствие?
Работать всё будет. Но если возникнет необходимость доказать в суде, что подпись юридически-значимая, то нужно подтверждение (оценка соответствия) контроля встраивания КриптоПро в систему. Этот кейс конечно очень маловероятен, но если это игнорировать, то не особенно честно получится по отношению к заказчику системы.
Данная реализация не выполняет требования 17 (22) приказа ФСТЭК, да и требования Формуляра к эксплуатации самого изделия.
Вопрос есть к хранению самого УКЭП, для полного соответствия он должен находится на отчуждаемом ключевом носителе.
А есть рабочий кейс получения мнемоники коммерческой организацией?
Подскажите, а как вы физически смогли вот то сделать "Загрузку пользовательского сертификата с PIN кодом?
Ведь по требованиям это должен быть квалифицированный сертификат ЮЛ, выпускаемый аккредитованным УЦ. А аккредитованные УЦ выпускают квалифицированные сертификаты ЮЛ только на аппаратном носителе (Рутокен итд), а у них закрытый ключ естественно неизвлекаемый.
Или ваше решение делалось еще тогда, когда самоподписанные сертфикаты разрешались?
Как интегрировать авторизацию через Госуслуги (ЕСИА) с помощью Docker и Typescript