Меню Рубрики

Установка алгоритма шифрования для эцп

ЭЦП и шифрование данных в 1С

СЭД «Корпоративный документооборот» поддерживает использование электронно-цифровых подписей (ЭЦП) при работе с файлами системы. Поддержка ЭЦП производится на уровне встроенных в платформу «1С:Предприятие 8.3 / 8.2» механизмов криптографии и шифрования, а так же с помощью дополнительных объектов метаданных конфигурации.

Для включения возможности использования ЭЦП в системе документооборота откройте форму настройки параметров системы «Настройка параметров: Система» (расположена в подсистеме «Администрирование системы»).

На закладке «Общие параметры» включите флажок «Использовать электронные цифровые подписи», далее нажмите на кнопку «Настройка криптографии».


В открывшемся окне выберите тип провайдера (для провайдера КриптоПро значение должно быть равно 75) и другие параметры. При использовании провайдера КриптоПро (Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider) следующие значения будут подставлены автоматически:

  • Алгоритм подписи: GOST R 34.10-2001
  • Алгоритм хеширования: GOST R 34.11-94
  • Алгоритм шифрования: GOST 28147-89

Если проверка ЭЦП выполняется на сервере и при этом в качестве сервера используется операционная система Linux, то необходимо указать путь к её модулю криптографии.

Пример настройки модуля криптографии для КриптоПро показан на рисунке ниже.

Для работы с электронными цифровыми подписями в системе документооборота необходимо их предварительно получить у провайдера ЭЦП. Для тестирования работы и обучения пользователей можно получить тестовые ЭЦП в тестовом удостоверяющем центре КриптоПро. В следующем разделе показан пошаговый пример получения и установки ЭЦП.

Получение и установка ЭЦП

Для получения и установки ЭЦП необходимо установить программный продукт «КриптоПро CSP 3.6». Продукт можно скачать на сайте cryptopro.ru в разделе «Продукты СКЗИ КриптоПро CSP/TLS/JSP» пункт «Загрузка файлов».

Перед скачиванием дистрибутива и началом формирования ЭЦП необходимо зарегистрироваться на сайте и войти в свою учетную запись.

В соответствии с вашей операционной системой вы можете скачать нужный вам дистрибутив, пример показан на рисунке ниже.

После скачивания запустите установку из дистрибутива, дождитесь окончания установки и перезагрузите компьютер. Теперь можно переходить к формированию ЭЦП для сотрудников.

После входа под своей учетной записью на сайт провайдера Крипто-Про, перейдите в раздел «Поддержка» и выберите «Тестовый центр сертификации» либо воспользуйтесь коммерческим доступом к формированию ЭЦП у данного провайдера.

Формирование ЭЦП на сайте Крипто-Про нужно выполнять в браузере InternetExplorer (желательно версии не ниже 9), при этом необходимо разрешить работу с элементами ActiveX.

Для начала процесса формирования электронно-цифровой подписи выберите пункт «Сформировать ключи и отправить запрос на сертификат».

На новой странице выберите пункт «Создать и выдать запрос к этому ЦС».

Откроется страница ввода данных о сотруднике. Необходимо указать его Ф.И.О., электронную почту и другие данные.

В разделе Type of Certificate Needed укажите «Сертификат проверки подлинности клиента». Также укажите, что вам требуется создать новый набор ключей CSP Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.

Рекомендуется задать вручную имя контейнера ключа (латинскими буквами).
Пример заполнения страницы приведен на рисунке ниже.

Необходимо пометить ключ как экспортируемый, выбрать в дополнительных параметрах формат запроса PKCS10 и алгоритм хеширования ГОСТ Р 34.11-94. Для начала процесса формирования сертификата ЭЦП нажмите на кнопку «Выдать».

После нажатия на кнопку «Выдать» будет открыт диалог выбора места расположения экспортируемого ключа. Рекомендуется выбрать съемный носитель. В нашем примере мы выберем флеш –накопитель с именем MyDrive.

Важно! После создания ЭЦП не рекомендуется менять имя носителя.

В процессе формирования ЭЦП необходимо будет работать с биологическим датчиком случайных чисел. Случайные числа получаются посредством движений мыши, нажатия клавиш.

Если вы будете нажимать кнопки мыши, то это тоже приведет к формированию случайных значений, но не стоит увлекаться, так как по окончанию создания пакета случайных чисел вместо показанного окна будет выведено окно, в котором нужно будет создать пароль к электронно-цифровой подписи и можно будет случайно нажать на ненужную кнопку в окне формирования пароля.

После успешного завершения формирования сертификата система предложит его установить в вашу операционную систему. Нажатие на ссылку «Установить этот сертификат» приведет к установке сертификата вашей ЭЦП.

Сертификаты устанавливаются в раздел сертификатов текущего пользователя в каталог «Личное Реестр Сертификаты».

Открыть данный список сертификатов можно через меню «Пуск Программы» пункт «Крипто-Про». На рисунке ниже показан пример для «Windows 7».

После формирования сертификатов можно переходить к их использованию в СЭД «Корпоративный документооборот».

На текущий день в системе реализованы следующие механизмы, связанные с ЭЦП:

  • Подписание документов цифровой подписью
  • Проверка подписи документов
  • Выгрузка документов и подписей в файлы
  • Загрузка документов и подписей из файлов
  • Шифрование файлов с возможностью открытия указанному списку лиц

Основные действия можно выполнить из карточки файла. На рисунке ниже представлена карточка файла, в нижней части формы на закладке «ЭЦП» можно выполнить подписание документа. Для подписания документа нажмите кнопку «Подписать» и на экран будет выведен список существующих на данном компьютере подписей сотрудников, выберите нужную подпись, введите пароль и нажмите кнопку «Подписать». Файл будет подписан.

В табличной части появляется запись, содержащая ФИО подписавшего сотрудника, дату и время подписания и комментарий.

У подписанного файла может быть одна или несколько подписей, при наличии хотя бы одной подписи кнопки редактирования файла становятся недоступными.

Читайте также:  Установка mail ru firefox

Пользователи в любой момент могут проверить статус подписи нажав на кнопку «Проверить» или «Проверить все». Если подпись сотрудника верна и документ не был изменен, то в таком случае в колонке «Статус» появится запись «Верна».

Файл может быть сохранен из карточки на диск компьютера, для этого выберите в меню «ЭЦП и шифрование» пункт «Сохранить вместе с ЭЦП».

После сохранения файла (файл лучше сохранить в отдельный каталог), вместе с ним будут сохранены файлы цифровых подписей в формате p7s. В данном файле сохраняется сертификат и другие данные открытого (публичного) ключа ЭЦП (PKCS7).

Предположим, что сохраненный файл подвергся изменению, для проверки вы можете добавить один символ в содержание сохраненного файла. Теперь давайте загрузим файл в систему документооборота, также загрузим цифровые подписи, которые были сохранены с ним.

Создадим новый корпоративный документ в СЭД «Корпоративный документооборот» и добавим в него сохраненный файл, добавить файл можно перетягиванием мышкой файла в поле списка файлов документа. Файлы p7s подписей мы загрузим позже.

Теперь откроем карточку загруженного файла и выберем в меню «ЭЦП и шифрование» пункт «Добавить ЭЦП из файла». Выберем с диска сохраненные подписи сотрудников и нажмем кнопку «ОК». Пример загрузки показан на рисунке ниже.

Так как наш файл был нами изменен, то проверка подписей выдает ошибку. В колонке «Статус» появляется запись «Неверна, Хеш-значение неправильное».

Данное сообщение говорит о том, что цифровая подпись сотрудников была скомпрометирована и больше не является достоверной. Если бы мы не изменили наш файл на диске, то проверка ЭЦП выдала бы корректный результат.

СЭД «Корпоративный документооборот» позволяет проводить шифрование файлов с использованием ЭЦП.
Шифрование файлов позволяет ограничить доступ к файлу только теми сотрудниками, которые указаны в списке пользователей, остальные сотрудники не смогут прочесть файл, даже если у них будет к нему физический доступ. Файл хранится в зашифрованном виде согласно ГОСТ 28147-89.

После шифрования список пользователей, которые могут просмотреть файл, находится на закладке «Зашифрован для» формы карточки файла.

Попытка открытия файла для его просмотра приводит к необходимости ввести пароль от электронно-цифровой подписи.

Файл можно сохранить в зашифрованном виде, для этого нажмите кнопку «Сохранить как». Также есть возможность расшифровать файл (используя известный пароль и сертификат пользователя).

Для работы с механизмами электронно-цифровых подписей требуется платформа «1С:Предприятие» версии не ниже 8.2.14.

источник

Гайд по криптографии: что такое электронная цифровая подпись и как она работает

Содержание статьи

Roadmap

Это пятый урок из цикла «Погружение в крипту». Все уроки цикла в хронологическом порядке:

  • Урок 1. Исторические шифры. Основы и исторические шифраторы. Как работают (и анализируются) шифры сдвига, замены, Рихарда Зорге, шифр Вернама и шифровальные машины
  • Урок 2. Распределение ключей. Что это такое, как выполняется распределение ключей и как выбрать криптостойкий ключ
  • Урок 3. Современные отечественные шифры. Что такое сеть Фейстеля и какими бывают отечественные блочные шифры, используемые в современных протоколах, — ГОСТ 28147—89, «Кузнечик»
  • Урок 4. Современные зарубежные шифры. В чем разница между 3DES, AES, Blowfish, IDEA, Threefish от Брюса Шнайера и как они работают
  • Урок 5. Электронная подпись. Виды электронных подписей, как они работают и как их использовать (ты здесь)
  • Урок 6. Квантовая криптография. Что это такое, где используется и как помогает в распределении секретных ключей, генерации случайных чисел и электронной подписи

Как работает цифровая подпись

Если вспомнить формальное определение, то ЭЦП — это реквизит электронного документа. Другими словами, последовательность битов, вычисленная уникально для каждого конкретного сообщения. Подпись может быть вычислена как с применением секретного ключа, так и без него. Без секретного ключа подпись представляет собой просто код, который может доказать, что документ не был изменен. С использованием секретного ключа подпись докажет целостность сообщения, позволит убедиться в его подлинности и аутентифицировать источник.

Если ты читал вторую часть нашего цикла, то помнишь, что существуют симметричный и асимметричный подходы к шифрованию. С электронной подписью дела обстоят очень похоже — есть подписи с симметричным механизмом, а есть с асимметричным.

Симметричный механизм подписи малоприменим на практике — никому не хочется генерировать ключи для каждой подписи заново. А как ты помнишь, именно в одинаковых ключах кроется фишка симметричной криптографии.

  • В лучших традициях асимметричной криптографии — имеем пару открытый и секретный ключ. Но не спеши пролистывать все это описание. Электронная подпись концептуально отличается от шифрования применением ключей, описанного ранее.
  • От документа или сообщения подсчитывается хеш-функция, которая сократит сообщение любого объема до определенного количества байтов.
  • Посредством криптографических преобразований вычисляется сама электронная подпись. В отличие от асимметричного шифрования, подпись основана на закрытом ключе, а вот проверить с помощью открытого ключа ее может любой его обладатель. Если помнишь, в шифровании все происходит наоборот: шифруют для нас на открытом ключе, а вот расшифровывать мы будем с помощью секретного ключа.
  • Электронная подпись предоставляется вместе с исходным документом на проверку. По полученной композиции можно доказать, что документ с момента вычисления подписи не был изменен.
Читайте также:  Установка датчика давления в шинах infiniti

Схемы электронной подписи так же многообразны, как и способы шифрования. Чтобы схема подписи была стойкой, нужно, чтобы она основывалась на трудновычислимой математической задаче. Есть два типа таких задач: факторизация больших чисел и дискретное логарифмирование.

Факторизация больших чисел

Рассмотрим на практике электронную подпись на основе знаменитого алгоритма RSA. Шифрование RSA мы рассматривать не стали — это мейнстрим, и в той же «Википедии» есть его подробное описание.

1. Генерация ключей

Причина стойкости RSA кроется в сложности факторизации больших чисел. Другими словами, перебором очень трудно подобрать такие простые числа, которые в произведении дают модуль n. Ключи генерируются одинаково для подписи и для шифрования.

Когда ключи сгенерированы, можно приступить к вычислению электронной подписи.

2. Вычисление электронной подписи

3. Проверка электронной подписи

RSA, как известно, собирается уходить на пенсию, потому что вычислительные мощности растут не по дням, а по часам. Недалек тот день, когда 1024-битный ключ RSA можно будет подобрать за считаные минуты. Впрочем, о квантовых компьютерах мы поговорим в следующий раз.

В общем, не стоит полагаться на стойкость этой схемы подписи RSA, особенно с такими «криптостойкими» ключами, как в нашем примере.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

источник

Электронная библиотека

Подробно с математической точки зрения и программной реализации понятия шифрования и электронно-цифровой подписи рассматриваются в рамках криптографической науки. Но в настоящее время основные из них должен знать любой специалист в области информации и информационных технологий.

Криптография – комплексная наука о защите информации. Это могут быть конфиденциальные документы (договора, соглашения, номер банковского счета и др.), деловая и личная переписка. Безопасность передаваемых данных обеспечивается за счет шифрования данных и их электронной цифровой подписи.

Использование криптографических методов и алгоритмов необходимо для безопасной передачи информации по открытым каналам связи (например, Интернет) таким образом, чтобы она была недоступна никому, кроме того лица, для кого она предназначена. Это достигается благодаря использованию шифрования и подписи документов или файлов при помощи ключевой пары.

Ключевая пара – открытый и закрытый ключи, которые используются для шифрования данных.

В современной криптографии криптографические системы подразделяются на два класса в зависимости от количества используемых ключей:

· симметричные криптосистемы (одноключевые);

· асимметричные криптосистемы (двухключевые).

Ключи, используемые в одноключевых и двухключевых криптосистемах, называются, соответственно, симметричными и асимметричными.

В симметричных криптосистемах пользователь использует один и тот же закрытый ключ как для шифрования, так и для расшифрования данных. Достоинством подобных систем является большая скорость при передаче данных, а недостатком – сложность безопасной и надежной передачи закрытого ключа на сторону получателя зашифрованной информации.

В асимметричных криптосистемах у каждого пользователя есть два ключа – открытый и закрытый (секретный). Один из них используется для шифрования, а другой – для расшифрования информации. Если шифрование осуществляется с помощью открытого ключа, то расшифрование должно осуществляться с помощью парного ему закрытого.

Закрытый и открытый ключи определенным образом связаны между собой и

генерируются одновременно. Закрытый ключ пользователя доступен только самому владельцу и хранится в тайне, а открытый ключ может распространяться свободно и известен всем лицам, с кем владелец поддерживает обмен защищенной информацией.

Информационная безопасность ассиметричных криптосистем основывается на том, что знание открытого ключа не позволяет по нему определить парный закрытый ключ.

Основное применение ассиметричных криптосистем – создание/проверка электронной цифровой подписи и асимметричное шифрование.

Шифрование – это преобразование данных в вид, недоступный для чтения без соответствующей информации (ключа шифрования). Задача состоит в том, чтобы обеспечить конфиденциальность, скрыв информацию от лиц, которым она не предназначена, даже если они имеют доступ к зашифрованным данным.

Шифрование информации гарантирует вам:

· недоступность информации для сторонних лиц;

· подлинность информации (информации поступит в неискаженном виде);

· целостность информации (данные, которые вы хотите передать останутся целыми в процессе передачи).

В общем случае шифрование состоит из следующих этапов (рис. 5.9):

1) вы зашифровываете данные (открытый текст) с помощью своего закрытого ключа и открытого ключа вашего партнера. Открытый ключ партнера вы получаете у него самого или в общедоступной базе данных, в которой хранятся открытые ключи пользователей;

2) после этого вы отправляете зашифрованные данные партнеру;

3) ваш партнер получает зашифрованные данные. С помощью своего закрытого ключа и вашего открытого он расшифровывает данные. В результате ваш партнер получает тот самый открытый текст (конфиденциальные данные) который вы зашифровали.

Одним из самых распространенных алгоритмов шифрования является алгоритм RSA, длина ключа которого обычно 1024 бита. Принцип работы этого алгоритма достаточно простой. Каждый участник криптосистемы генерирует два случайно больших простых числа p и q, выбирает число e, меньшее pq и не имеющее общего делителя с (p-1)(q-1), и число d, такое, что (ed-1) делится на (p-1)(q-1). Затем он вычисляет n = pq, а p и q уничтожает. Пара (n,e) называется открытым ключом, а пара (n,d) – закрытым ключом.

Читайте также:  Установка антивандальной решетки кондиционер

Открытый ключ передается всем остальным участникам криптосистемы (обычно это означает, что клиент должен прийти в офис банка для заверения открытого ключа), а закрытый сохраняется в тайне.

Стойкость RSA есть функция сложности разложения произведения pq на простые множители p и q (эту задачу придется решать тому, кто вознамерится «вычислить» закрытый ключ из открытого). При достаточной длине этих простых чисел (несколько тысяч двоичных разрядов) такое разложение вычислительно невозможно. Для обеспечения конфиденциальности участник А «шифрует» сообщение m участнику Б с помощью открытого ключа Б:

а участник Б «расшифровывает» его с помощью своего закрытого ключа:

Электронно-цифровая подпись решает несколько иную задачу, чем шифрование. С ее помощью обеспечивается доверие к передаваемой информации, гарантируется авторство и целостность данных.

Электронно-цифровая подпись (ЭЦП) – это последовательность байтов, формируемая путем преобразования подписываемого электронного документа специальным программным средством по криптографическому алгоритму и предназначенная для проверки авторства электронного документа.

При соблюдении правовых условий использования ЭЦП в электронном документе она признается равнозначной собственноручной подписи в документе на бумажном носителе. Правовыми основами использования ЭЦП в системах электронного документооборота являются главы Гражданского кодекса Российской Федерации, федеральные законы (ФЗ) РФ «Об информации, информатизации и защите информации» № 24-ФЗ от 20 февраля 1995 г. и «Об электронной цифровой подписи» №

При использовании электронно-цифровой подписи в условиях электронного документооборота применяется технология «криптография с открытым ключом». Для наложения цифровой подписи (рис. 5.10) участник А «шифрует» сообщение m участнику Б с помощью своего закрытого ключа:

и отправляет подпись s вместе с сообщением m. Участник Б может верифицировать подпись участника А с помощью открытого ключа А, вычислив:

Если m = mп, то сообщение m признается подписанным пользователем, который предоставил ранее открытый ключ (n,e).

Рис. 5.10 Работа с электронно-цифровой подписью

Обычно первоначальный обмен ключами между клиентом и банком осуществляется на магнитных носителях без передачи ключей через открытые компьютерные сети. Для осуществления всех операций с электронно-цифровой подписью на компьютер клиента устанавливается программное обеспечение, которое предоставляет банк. Все необходимые данные для клиента (открытый, закрытый ключ, идентификационные данные и прочие) обычно хранятся на отдельной дискете или в специальном аппаратном устройстве, которое подключается к компьютеру клиента.

Перед непосредственным созданием ЭЦП (см. рис. 5.10) на документе происходит процесс хэширования с помощью специальной хэш-функции. Представленная на рис. 5.10 процедура соответствует, например, стандарту ГОСТ Р 34.10-94.

Хэш-функция представляет собой криптографическую функцию от сообщения произвольной длины, значение которой зависит сложным образом от каждого бита сообщения. Хэш-функция реализуется обычно в виде некоторого итеративного

механизма, который позволяет вычислить для сообщения m произвольный длины так называемый хэш-код h(m) фиксированного размера r (обычно r = 128 бит). Этот код является подобием «слепка» сообщения m. Важно знать, что в системах электронно-цифровой подписи вместо подписывания сообщения (например, документов большого объема) используется подписывание соответствующих им хэш-функций, то есть ЭЦП накладывается не на сам документ, а на его хэш-код, и потом полученный результат записывается в конец файла документа. Тот факт, что сообщение m считается подписанным, если подписана его хэш-функция, определяет следующие основные требования к хэш-функциям:

· вычислительно неосуществимо нахождение сообщения m, хэш-функция которого была бы равна заданному значению h;

· вычислительно неосуществимо нахождение двух сообщений m1 и m2 m1 с равными значениями хэш-функций, то есть удовлетворяющих условию h(m1) = h(m2).

Если эти требования не выполняются, то потенциальный злоумышленник может подделать сообщение для подписанной хэш-функции. Во втором случае это осуществляется путем совместной подготовки истинного и поддельного документа. Отметим, что трудоемкость такой атаки в среднем составляет около 2 r/2 вычислений хэш-функции и не зависит от качества преобразований, используемых для задания хэш-функции. Это обстоятельство определяет длину хэш-кода r = 128 бит.

При проверке подписи проверяющий должен быть абсолютно уверен в подлинности открытого ключа. То есть в том, что имеющийся у него открытый ключ принадлежит конкретному пользователю. Для заверения принадлежности открытого ключа конкретному пользователю используется сертификат открытого ключа, подписанный третьей доверенной стороной – Удостоверяющим Центром.

Сертификат – электронный документ, включающий открытый ключ и информацию о владельце данного ключа, заверенную с помощью ЭЦП Удостоверяющим Центром.

Сертификат предназначен для:

· подтверждения подлинности ЭЦП и идентификации ее автора;

· обеспечения возможности шифрования электронных документов, направляемых владельцу сертификата;

· аутентификации владельца при установлении защищенных соединений по TLS/SSL протоколам.

Сертификат представляет собой информационный блок данных, формат которого включает следующую информацию (в соответствии с положениями международной Рекомендации ITU-T Х.509):

· серийный номер сертификата;

· идентификатор алгоритма, используемого для подписи удостоверяющего центра;

· сведения об издателе сертификата (УЦ);

· период действия сертификата: начало и конец периода;

· сведения о владельце сертификата, однозначно идентифицирующие его в рамках данной системы;

· информацию об открытом ключе пользователя: идентификатор алгоритма и собственно открытый ключ;

· дополнительные атрибуты, определяемые требованиями использования сертификата в системе;

· ЭЦП Удостоверяющего Центра.

Срочно?
Закажи у профессионала, через форму заявки
8 (800) 100-77-13 с 7.00 до 22.00

источник

Добавить комментарий

Adblock
detector