15.05.2018 - Тренируемся работать с ЭЦП

Многие системные администраторы в связи с глобальной информатизацией государственных служб, различных торговых площадок, гос закупок и т.д., столкнутся с оформлением множество электронно цифровых подписей (ЭЦП) и настройкой рабочих мест пользователей с последующим их обучением.

Но что делать если под рукой нет не одной ЭЦП, а пощупать и понять из чего это все состоит хочется?! Расскажу вам об этом всем далее - поделюсь, так сказать, нашим опытом абонентского обслуживания компьютеров

(В данной статье будет акцент на практику нежели на теорию).

ЭЦП и PKI

Давайте вкратце разберем что такое ЭЦП и PKI.

Инфраструктура открытых ключей — это набор различных средств, которые в совокупности решают возложенные на них крипто задачи, PKI использует следующие принципы:

1. закрытый ключ известен только его владельцу;
2. удостоверяющий центр создает электронный документ — сертификат открытого ключа, который удостоверяет что связанный закрытый ключ принадлежит точно этому владельцу открытого ключа;
3. никто не доверяет друг другу, но все доверяют удостоверяющему центру;
4. удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Принцип работы

Рассмотрим пример Саша хочет передать письмо Маши использую PKI

1. Маша генерирует закрытый и открытый ключ (на практике во многих случаях эту пару ключей генерит сам УЦ ).
2. Маша отправляет открытый ключ в УЦ вместе с большой пачкой документов подтверждающих что это действительно она.
3. УЦ выдает сертификат открытого ключа, подписанный закрытым ключам УЦ.
4. Маша отдает сертификат Саши тот шифрует письмо открытым кличем и передаёт по открытым каналам сообщение Маши, так, как только у ее есть закрытый ключ и прочитать сообщение сможет только она.

Переходим к практике

Для тестовых целей у КриптоПро есть свой удостоверяющий центр http://www.cryptopro.ru/certsrv/  но для начала нам нужно скачать КриптоПро CSP переходим на сайт cryptopro.ru в раздел загрузки и скачиваемы его под вашу ОС. Устанавливаем и переходим в УЦ указанный выше.

Жмем сформировать ключи и отправить запрос на сертификат, делать это желательно в Internet Explorer что бы избежать дополнительный проблем.

Заполняем все данные как на скриншоте (данные можете писать любые – это же тестовый УЦ).

После того как все заполнили жмём выдать, загрузится КриптоПро CSP для работы с контейнерами закрытых ключей где нужно выбрать куда сохранять сам Private key, можно сохранить куда угодно даже в реестр, но для безопасности обычно это делается на съёмный носитель (у меня обычная флешка) но может быть и рутокен, етокен. После сформируется случайная последовательность символов и по окончанию попросить установить пароль. На контейнер закрытого ключа.

Выбор места сохранения.

Генерация случайный чисел.

Установка пароля.

Далее в браузере видим, что «Запрошенный вами сертификат был вам выдан».

Жмем установить этот сертификат, и он установится в личные сертификаты хранилища сертификатов.

Также вам нужно будет установить сертификат УЦ в «Доверенные корневые центры сертификации».

После его можно экспортировать если будет нужно.

В итоге у вас на руках должны быть:

1. Закрытый ключевой контейнер
2. Сертификат открытого ключа
3. Сертификат УЦ

Электронная цифровая подпись

Для работы ЭЦП в выше описанные процессы добавляется алгоритм хеширования.

Ниже на рисунке красочно изображен процесс работы ЭП с сгенерированными нами ранее ключами.

И так, как мы можем проверить работают ли наш закрытый и открытый ключ и как с помощью них мы можем подписывать документы? Для этих целей будем использовать продукт под названием КриптоПро Office Signature скачиваем его здесь http://cryptopro.ru/products/office/signature. А также MS Word 2016 (можно и более старые версии).
После установки КриптоПро Office Signature зоздаем Word документ.

В меню файл появиться пункт «добавить электронную подпись КриптоПро» жмем на него. Стоит отметить что MS Word имеет встроенную поддержку подписания документом, но ГОСТ алгоритмов шифрования и хеширования в системе нет, которые используются по российскому законодательству, поэтому и нужен крипто провайдер «КриптоПроCSP»

Далее если контейнер закрытого ключа у нас установлен, то SCP спросит пароль, вводим, заполняем все данные, выбирает сертификат, который приложим к документу и жмем подписать.

Готово ваш первый подписанный документ создан, о чем и сообщит нам система.

Теперь в документе появиться пункт подписи в котором можно будет просмотреть все реквизиты подписанта и проверить подпись.

Теперь можете передавать подписанный документ адресату, если кто-то по пути изменит что-либо в этом документе подписи станут недействительны (даже если поменять любую букву на туже самую и сохранить).

Поменял букву «а» на букву «а»

Открытия документа на компьютере без КриптоПро Office Signature

Для просмотра и проверки документа на другой рабочей станции на ней обязательно должен быть установлен КриптоПро Office Signature, без него все подписи будет отображаться недействительными. Также система нас об этом предупредит следующим сообщением.

Кнопка дополнительные сведения приведёт нас на сайт где можно будет скачать данный компонент.

Всем спасибо. До новых встреч!