В долгосрочном хранении документов, например, в формате CAdES-A, допускается, что сертификат электронной подписи истёк. Проверка в этом случае возможна при наличии подтверждённого времени подписания — для этого используются доверенные штампы времени (TSP) и подтверждения действительности сертификата на момент подписания (OCSP). Архивные штампы могут автоматически добавляться даже после подписания. Они "продляют" всю информацию, необходимую для проверки и обеспечивают возможность проверки юридической значимости подписи спустя десятилетия. Главное своевременно обновлять такие штампы.
вариант просто звать csptest из fastapi и возвращать результат я знаю. Вдруг что красивее есть
У коллег из КриптоПро есть красивое решение - расширение для Python3. Исходный код открыт
В исследовательских целях можно найти примеры реализации ГОСТ криптографии под любой язык. Но для коммерческого использования разумнее воспользоваться готовым решением, от любого вендора.
Посмотрите еще на сервисы по проверке (те что с поддержкой pades). Их можно развернуть в своей инфраструктуре и реализовать проверку подписи у себя (вызовами REST API). Это повышает лояльность клиентов (и не возникает переживаний, что файлы передают третей стороне).
А тем, кто чуть более параноик и хочет перепроверить подпись локально, можно предлагать desktop приложения (например тот же КриптоПро PDF с Adobe Reader или КриптоАРМ, покупать лицензию для проверки подписи там не надо).
Но отдельный файл, тоже вариант конечно. Хотя и не всегда удобен.
" 20тыс за 6 часов " - в итоге остановились на подписании браузерным плагином и ЭП сотрудника из за требований по типу документов? Или возникли сложности с получением сертификата обезличенного? Если второе, то для его получения у ФНС из требований это приказ о создании информационной системы, или подтверждение что вы оператор ИС, что вполне реализуемо. В этой статье коллеги из Контура приложили шаблоны для заявки.
Такие объемы файлов (предположу, что шаблонных) подписывать автоматически обезличенной ЭП на сервере было бы удобнее, чем прогонять их через сотрудника.
Да, пока чаще используют отсоединенную подпись. Возможно так сложилось исторически, не было достаточного количества продуктов и сервисов для использования встроенной в pdf?
При отсоединенной подписи часто присылают пользователям копию pdf с картинкой, что документ подписан. Немало людей воспринимают этот красивый штампик как факт, хранят потом эти документы (без файла подписи), рассчитывая на юридическую значимость. При встроенной в pdf эта проблема решается сама собой
Хотелось бы предупредить, что выкачивание всех промежуточных сертификатов не подходит для использования в openssl s_server. Упремся в лимит TLS 65535 bytes
Там ничего сверхсложного нет, но потребуется хеши считать
-CApath dir
a directory containing trusted CA certificates, only used with -verify. This directory must be a standard certificate directory: that is a hash of each subject name (using x509 -hash) should be linked to each certificate.
В КриптоПро CSP присутствует механизм, при котором недостающие промежуточные сертификаты и CRL автоматически выкачиваются при построении цепочки, для квалифицированных сертификатов потребуется установить только сертификат ГУЦ. Так например отработает вызов – CertGetCertificateChain. Флаги этой функции позволяют управлять кэшированием при её вызове, например: CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY.
Тогда полагаю следует использовать CApath, только придется с именами файлов повозиться (mod_ssl в Apache настраивается аналогично, директива SSLCARevocationPath)
В том году обратился в один банк с невозможностью авторизоваться
моё обращение
Столкнулся с ошибкой работы с паролем в интернет банке.
Получив временный пароль, успешно по нему авторизовался. Заменил пароль на постоянный. Позже, попытался авторизоваться повторно, но постоянный пароль не подходил. Допустив, хоть и незначительную, вероятность моей ошибки, позвонил в поддержку и сбросил пароль.
Теперь, на странице ввода постоянного пароля вводил посимвольно и внимательно, успешно его установил и зашел в профиль. Сразу же разлогинившись попытался войте вновь, но пароль уже не подходит. Ошибка ввода на этот раз была исключена.
Т.к. пароль довольно длинный и содержит спец символы, возможно он некорректно обрабатывается интернет банком.
на что получил довольно забавный ответ:
В ответ на Ваше обращение сообщаем, что использование специальных символов может блокироваться системой при сохранении Вашего пароля. Рекомендуем не использовать специальные символы при создании постоянного пароля.
If the 'ca' option is not given, then Node.js will use the default publicly trusted list of CAs as given in http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt.
В долгосрочном хранении документов, например, в формате CAdES-A, допускается, что сертификат электронной подписи истёк. Проверка в этом случае возможна при наличии подтверждённого времени подписания — для этого используются доверенные штампы времени (TSP) и подтверждения действительности сертификата на момент подписания (OCSP). Архивные штампы могут автоматически добавляться даже после подписания. Они "продляют" всю информацию, необходимую для проверки и обеспечивают возможность проверки юридической значимости подписи спустя десятилетия. Главное своевременно обновлять такие штампы.
Есть европейский стандарт CAdES (ETSI TS 101 733) и в виде RFC 5126 "CMS Advanced Electronic Signatures (CAdES)"
"В юности я думал, что если получать зарплату 25 000 рублей, то можно за 4 месяца накопить 100 000 рублей."
У коллег из КриптоПро есть красивое решение - расширение для Python3. Исходный код открыт
В исследовательских целях можно найти примеры реализации ГОСТ криптографии под любой язык. Но для коммерческого использования разумнее воспользоваться готовым решением, от любого вендора.
обычно обжалования по ЭП затягиваются чуть ли не на годы, как вам удалось ускорить (или не удалось?)
Посмотрите еще на сервисы по проверке (те что с поддержкой pades). Их можно развернуть в своей инфраструктуре и реализовать проверку подписи у себя (вызовами REST API). Это повышает лояльность клиентов (и не возникает переживаний, что файлы передают третей стороне).
А тем, кто чуть более параноик и хочет перепроверить подпись локально, можно предлагать desktop приложения (например тот же КриптоПро PDF с Adobe Reader или КриптоАРМ, покупать лицензию для проверки подписи там не надо).
Но отдельный файл, тоже вариант конечно. Хотя и не всегда удобен.
Интересный опыт, спасибо за описание кейса
" 20тыс за 6 часов " - в итоге остановились на подписании браузерным плагином и ЭП сотрудника из за требований по типу документов? Или возникли сложности с получением сертификата обезличенного? Если второе, то для его получения у ФНС из требований это приказ о создании информационной системы, или подтверждение что вы оператор ИС, что вполне реализуемо. В этой статье коллеги из Контура приложили шаблоны для заявки.
Такие объемы файлов (предположу, что шаблонных) подписывать автоматически обезличенной ЭП на сервере было бы удобнее, чем прогонять их через сотрудника.
Да, пока чаще используют отсоединенную подпись. Возможно так сложилось исторически, не было достаточного количества продуктов и сервисов для использования встроенной в pdf?
При отсоединенной подписи часто присылают пользователям копию pdf с картинкой, что документ подписан. Немало людей воспринимают этот красивый штампик как факт, хранят потом эти документы (без файла подписи), рассчитывая на юридическую значимость. При встроенной в pdf эта проблема решается сама собой
Хотелось бы предупредить, что выкачивание всех промежуточных сертификатов не подходит для использования в openssl s_server. Упремся в лимит TLS 65535 bytes
Подробнее: https://github.com/openssl/openssl/issues/4819
Да то же самое что и для сертификатов (https://github.com/openssl/openssl/issues/1701)
Получив временный пароль, успешно по нему авторизовался. Заменил пароль на постоянный. Позже, попытался авторизоваться повторно, но постоянный пароль не подходил. Допустив, хоть и незначительную, вероятность моей ошибки, позвонил в поддержку и сбросил пароль.
Теперь, на странице ввода постоянного пароля вводил посимвольно и внимательно, успешно его установил и зашел в профиль. Сразу же разлогинившись попытался войте вновь, но пароль уже не подходит. Ошибка ввода на этот раз была исключена.
Т.к. пароль довольно длинный и содержит спец символы, возможно он некорректно обрабатывается интернет банком.
на что получил довольно забавный ответ:
При регистрации никаких предупреждений не было.
Но уважаемые разработчики Node.js несколько лукавят, т.к. используют бандл, который вручную сами и правят.
Несколько странный уровень доверия, не так ли?
И только в недавнем пулл реквесте добавили опцию, для указания собственного (пользовательского) бандла.