Электронная цифровая подпись в веб-шаблонах SAP / Песочница / Хабр

Основные понятия

Крипто провайдер – средство защиты криптографической защиты информации. Программа, с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.

Плагин крипто про ЭЦП – компонент (дополнение) браузера, позволяющий электронной подписи взаимодействовать с компонентами удостоверения личности на сайтах (авторизация, подписание).

Плагин CAPICOM – компонент (дополнение) браузера Internet explorer, позволяющий электронной подписи взаимодействовать с компонентами удостоверения личности на сайтах (авторизация, подписание).

Электронная подпись (ЭП) – позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в крипто валютной системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.

Дистрибутив – форма распространения программного обеспечения.

Браузер – программное обеспечение для просмотра страниц, содержания веб-документов, компьютерных файлов и их каталогов.

Драйвер – компонент операционной системы, необходимый для корректной работы персонального компьютера с присоединяемым устройством.

5 дополнительно словесное описание

Рассмотрим порядок подписанияпроверки документа.

Автоматическая установка capicom на компьютер (описание способа)

Сначала следует попробовать автоматически установить Capicom для Сбербанка АСТ. Для этого зайти на официальный сайт Microsoft и там найти необходимую программу.

1 порядок применения эцп

1) Администратор безопасности регистрирует сертификат в базе сертификатов. Сертификат необходимо получить от подлинного удостоверяющего центра.

2) Пользователь работает в системе, создает документ и подписывает его, используя свой секретный ключ на внешнем носителе. При этом:а) Создается «слепок» документа (выбирается все его содержание).б) Над содержимом производятся криптографические операции подписания, в результате получаем подпись. в)

3) При последующих просмотрах документа, подпись проверяется при открытии документа. Подпись извлекается из БД. Над подписью и содержимым документа проводятся криптографические операции верификации подписи.

4) Администратор безопасности может добавлять сертификаты пользователей в базу сертификатов, приостанавливать временно или постоянно их действие.

2 реализация хранения данных

Подписи хранятся в плоской таблице «Подписи».

База сертификатов – набор из двух плоских таблиц:

Ключи – собственно сертификаты. В таблице храниться привязанный к ключу пользователь, дата начала и конца действия ключа, сам ключ, статус (блокирован или нет), описание.

Приостановки – набор возможных приостановок действия ключа. Хранит дату начало, конца и описание приостановки. Также хранит ID приостановленного ключа.

3 архитектура системы цифровой подписи

Механизм цифровой подписи построен на основе следующих компонентов.

1) ActiveX компонент для доступа к криптографическому API. (CAPICOM)

2) С помощью JS получаем содержимое документа

3) Вызовом метода ActiveX компонента подписать данные.

4) Отправить подпись на сервер (классу ABAP) с целью разместить в базе подписей.

CAPICOM – библиотека от MS, предоставляющая интерфейс к крипто провайдерам.1 – посредством JS кода, происходят обращения к библиотеке CAPICOM2 – Веб шаблон формирует данные для подписи (XML, описывающий DataProvider).3 – Полученная подпись, посредством AJAX передается ABAP классу, осуществляющему сохранение подписи в плоскую таблицу.4 – взаимодействие крипто провайдера с eToken происходит автоматически.

4 реализация api

Класс Signer – реализует пользовательские методы – Подписать, проверить подпись, получить последнюю подписьКласс CryptoProvider – враппер для Capicom.ZCL_AJAX_DIG_SIGN – реализация интерфейсных методов через Ajax.Z_DIGITAL_SIGNER – реализация методов сохранения и поиска подписи, методов проверки действительности публичного ключа по базе ключей.

Автоматическая настройка рабочего места

Внимание! Вы можете воспользоваться автоматической настройкой рабочего места для работы с ЭЦП и торговыми площадками. Подробнее по ссылке.

Если, после всего проделанного, сообщение об ошибке всё равно не исчезает, вы всегда можете обратиться к нам за БЕСПЛАТНОЙ ОН-ЛАЙН КОНСУЛЬТАЦИЕЙ с помощью чата в правом нижем углу страницы. Мы с радостью поможем вам установить необходимые для работы с ЭЦП библиотеки, настроить компьютер и браузер, а также окажем помощь в участии в тендерах.

В чем заключалась задача

Есть SAP NetWeaver в роли хранилища данных Business Warehouse.

Все данные хранятся в кубах. В кубах же хранятся документы. Документом, по сути, является набор строк куба, имеющих одинаковый признак – номер документа. Работа с данными построена на базе веб-шаблонов Business Explorer Web Application. Содержимое документов отображаются в компоненте analisys item.

Несколько слов для незнакомых с Bex Web. Технология веб-шаблонов (веб форм) по сути напоминает собой ASP.NET. В дизайнере создаешь макет формы, используя компоненты, схожие с ASP (dataGrid, button и прочее). Навешиваешь с помощью мастеров обработчики событий (это могут быть определенные команды или произвольный ABAP код).

При запуске веб-формы – она обрабатывается на сервере и клиенты отдается HTML страничка с JS. Реакция на действия пользователя – производиться на стороне сервера при обновлении страницы. В коде веб-шаблона обычно нет необходимости генерировать HTML, как в PHP.

В некой web-форме пользователи вводят данные в таблицу, представленную analisys item. Введенные данные сохраняются в куб. После ввода данных пользователь должен поменять их статус (например, со статуса «Новый» на «Обработано»: перевод статуса происходит с помощью функции repost по значениям признака хранящего статусы данных; этот признак также находится в этом же кубе).

Поиск в сети показал, что использовать ЭЦП не так то просто, как хотелось бы. В большинстве стран существуют собственные законодательные акты, регулирующие применение средств криптозащиты. Федеральный закон Российской Федерации от 10 января 2002 г.

N 1-ФЗ «Об электронной цифровой подписи»В частности устанавливаются алгоритмы, которые должны применяться при шифровании и генерации подписи. Например, алгоритм формирования и проверки электронной цифровой подписи ГОСТ Р 34.10-2001

Возможности

При передаче данных в сети, программное обеспечение задействует функцию шифрования. Информация, хранящаяся на дисках и переносных накопителях, защищается путем производной работы с паролем и создании соответствующего ключа. К другим возможностям библиотеки относятся:

• дополнительные опции точной инициализации, позволяющие рабочему приложению выбирать необходимый алгоритм криптографической технологии с сортировкой по имени и требуемому функционалу;
• автоматическая генерация ключей, позволяет формировать и хранить конфиденциальные данные различного типа;
• обмен ключами между приложениями, с целью обеспечения быстрой передачи информации между рабочими утилитами;
• предоставление прикладному уровню доступ к криптографическому функционалу для генерации необходимых ключей и формирования проверки электронной цифровой подписи;
• изолирование прикладного уровня от всех криптографических функций с целью использования различных алгоритмов, включая аппаратные.

В процессе сетевого взаимодействия, библиотека обеспечивает весь необходимый функционал ЭЦП при аутентификации. При необходимости может быть использован симметричный ключ шифрования, выступающий единым для нескольких объектов системы.

Встраивание криптопро csp в приложения

Для встраивания КриптоПро CSP в разрабатываемые приложения следует использовать функции Microsoft CryptoAPI, SSPI, CAPICOM, а так же КриптоПро ЭЦП Browser plug-in. Ниже приведено краткое описание этих интерфейсов. Более подробное описание можно найти в программной документации MSDN (Microsoft Developer Network).

Высокоуровневые функции обработки криптографических сообщений

Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:

Эти функции (так же как и функции низкого уровня) оперируют сертификатами открытых ключей X.509 для адресации отправителя/получателя данных. В качестве формата данных, формируемых функциями, используется формат PKCS#7 (RFC2315) или CMS (RFC2630) в Windows.

Для windows 8 и windows 10

Теперь остановимся на том, какая версия Windows подходит к библиотеке программы. Ее последнее обновление проходило в 2007 году, поэтому современные версии Windows 8 и 10 подходят под стандартные пакеты. При установке потребуются те же файлы, которые применялись ранее.

Инсталляция плагина на операционную систему 32 бит

Извлеките скаченный архив в новую папку. Нажмите по установщику и запустите процесс инсталляции файлов на компьютер. Установите плагин в раздел операционной системы в папку System 32. При помощи компонента вы можете хэшировать данные, обрабатывать информацию в целях сохранения конфиденциальности, расшифровывать и шифровать данные. Основная задача плагина заключается в том, чтобы оставить цифровую подпись под документом.

Инструментарий разработчика capicom

CAPICOM предоставляет COM-интерфейс, использующий основные функции CryptoAPI. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control (xenroll), который реализуют клиентские функции генерации ключей, запросов на сертификаты и обмена с центром сертификации.

С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C , JavaScript, VBScript и среды разработки Delphi.

Загрузить дистрибутив и примеры использования CAPICOM можно непосредственно с сайта Microsoft.

Подробную информацию о CAPICOM смотрите на сайте Microsoft в следующих разделах:

Инструментарий разработчика криптопро csp sdk

КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.

Для этих целей в комплект поставки включается Руководство программиста (csp_2_0.chm, tls_2_0.chm для версии 2.0, CSP_3_0.chm, SSPI_3_0.chm, CAPILite_3_0.chm для версии 3.0), описывающее состав функций и тестовое ПО (sample2_0.zip для версии 2.0 и SDK для версии 3.0).

Руководство программиста и тестовое ПО для версии 3.6 доступны на странице загрузки.

Онлайн-версия руководства программиста для версии 3.6 также доступна на нашем сайте:

Тестовое ПО разработано с использованием компиляторов Microsoft Visual C (версия 2.0) и Microsoft Visual Studio .NET (для 3.0).

Для компиляции программ, входящих в тестовое ПО, дополнительно необходимы include файлы и библиотеки, входящие в Microsoft Windows Platform SDK.

В состав тестов входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/расшифрования сообщений, создания и проверки сертификатов и другие примеры. Примеры используют функции CryptoAPI, подробное описание которых можно получить в MSDN, а также позволяют вызывать функции криптопровайдеров непосредственно на низком уровне.

Вы также можете получить уже скомпилированную тестовую программу csptest2_0.exe для версии 2.0 или SDK для версий 3.0 и выше.

Использование cryptoapi

Использование CryptoAPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

На рисунке ниже приведена общая архитектура криптографических функций.

Общая архитектура CryptoAPI состоит из пяти основных функциональных групп:

Использование sspi

Использование SSPI в ОС Windows/Solaris/Linux/FreeBSD преследует две главные цели:

Использование криптопро csp в по microsoft

К стандартным приложениям, которые теперь могут использовать российские алгоритмы электронной цифровой подписи и шифрования, относятся:

Как установить капиком для сбербанк аст

Для работы на электронной площадке торгов обязательно наличие этого специального компонента в операционной системе. Иначе при попытке загрузки электронной подписи и входа на АСТ возникнет следующее предупреждение – «Сбербанк АСТ не установлен Капиком».

Сначала следует разобраться, что является причиной того, что появилось такое предупреждение. Действительно ли софта нет, или причина в работе Internet Explorer. Нужно сделать следующее:

Перед тем, как установить Капиком для Сбербанка АСТ, следует запомнить важное правило. Чтобы не подвергать себя опасности со стороны мошенников, которые могут свести на нет все ваши торговые операции, не следует загружать файлы с неофициальных источников или с неизвестных интернет-ресурсов.

Существует 2 способа – автоматический и ручной.

Автоматическая установка capicom на компьютер (описание способа)

Сначала следует попробовать автоматически установить Capicom для Сбербанка АСТ. Для этого зайти на официальный сайт Microsoft и там найти необходимую программу.

Дальше следует действовать согласно подсказкам. Потребуется скачать установщик, распаковать файл из архива и запустить его. В завершении нужно перезагрузить компьютер.

Но может случиться так, что после завершения появляется известная фраза, что система не установлен. Причин может быть несколько:

Если подобные проблемы отсутствуют, то следует провести ручную установку.

Ручная установка capicom на компьютер

Если после предыдущего способа необходимо вручную установить Капиком, то сначала надо удалить из реестра раннее установленную базу:

Далее приступить к установке вручную в зависимости разрядности ОС. Для 32-разрядного ОС:

Разрядность ос (32 или 64)

При установке библиотеки Капиком важно знать, что разрядность ОС имеет значение. При 32-х или 64-х разрядных операционных системах устанавливаются разные пакеты. Чтобы выяснить разрядность собственного компьютера, необходимо зайти в меню «Пуск», затем «Компьютер» и остановится на «Свойствах». В разделе «Система» в строке «Тип системы» можно увидеть разрядность ОС данного компьютера. Затем в зависимости от полученного результата действовать следующим образом:

Как установить объект capicom для сбербанк-аст

На первом этапе для устранения проблемы необходимо убедиться, что данного объекта уже нет в системе, для этого проделайте несколько простых шагов:

Как установить плагин на операционную систему 64 бит?

Перед началом установки плагина на устройство, зайдите в систему под именем администратора. Теперь можно приступать к распаковке файлов на компьютер. Перейдите в раздел и скопируйте файлы «capicom.dll» и «capicom.inf». Их нужно добавить в папку Windows в раздел syswow64.

Теперь пользователю нужно зарегистрировать библиотеку. Для этого следует зайти в каталог system32 и запустить файл cmd от имени администратора. В появившемся окне вставьте значение файла. Это будет выглядеть следующим образом c:windowssyswow64regsvr32.exe capicom.dll.

Ключевые особенности плагина

• простая и быстрая установка на компьютер;
• полная совместимость со всеми версиями Windows;
• плагин используется для возможности использования цифрой подписи;
• программа относится к категории элементов управления элементов управления ActiveX;
• плагин обладает минималистичным интерфейсом. 

Настройка персонального компьютера и генерация электронной подписи успешно завершена!

Остались вопросы? 

Низкоуровневые функции обработки криптографических сообщений

Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность потребует от прикладного программиста более детальных знаний в области прикладной криптографии.

Особенности

Программное обеспечение способствует созданию защищенной автоматизированной системы, обеспечивающей высокий уровень защищенности информации. В процессе создания подобной системы, учитывается модель угроз и политика безопасности, вследствие чего определяется набор используемых криптографических функций и других технических мер. К основным плюсам исполняемой библиотеки относятся:

• обеспечение надежного уровня аутентификации в сети;
• целостность использования электронных цифровых подписей;
• высокая защита уникального идентификатора сетевой сессии;
• предотвращение нарушения авторства передаваемой информации;
• исключение проникновения вирусных программ и модификации системного обеспечения.

CAPICOM может быть использована для защиты необходимой информации и работы с цифровой подписью данных. Программное обеспечение требуется для успешной работы с сертификатами и их последующем размещением или удалением в хранилищах.

Подключение эцп к веб-шаблону

1) подключить в XHTML веб шаблона ActiveX компонент CAPICOM, например<objectid=”CapicomObj”codebase=”bwmimerep:///sap/bw/mime/Customer/JS/bin/capicom.cab”classid=”clsid:

2) Создать новый провайдер данных с тем же запросом, что и основной. То есть, сделать копию провайдера. Таким образом получим выгруженный документ в HTML, который будем подписывать. Нельзя подписывать провайдер, который выводит документ в таблицу пользователя, потому что, при сортировки или фильтрации таблицы — данные в провайдеры будут меняться, а нам нужен документ в начальном виде.

3) Разместить на форме компонент «провайдер данных-информация».
Назовем его DATA_PROVIDER_TO_SIGN.

Синим- компонент «провайдер данных-информация», красным — он же в палитре компонентов, желтым — провайдер данных, поставляющий контент документа

4) Укажем в настройках DATA_PROVIDER_TO_SIGN:Провайдер данных: Укажем созданную в шаге 2 копию провайдера.Статус навигации — вывод: OffДанные отчета: вывод: On

Разрядность ос (32 или 64)

При установке библиотеки Капиком важно знать, что разрядность ОС имеет значение. При 32-х или 64-х разрядных операционных системах устанавливаются разные пакеты. Чтобы выяснить разрядность собственного компьютера, необходимо зайти в меню «Пуск», затем «Компьютер» и остановится на «Свойствах».

Реализация эцп

Здесь описание того, как реализовал ЭЦП

Ручная установка capicom на компьютер

Если после предыдущего способа необходимо вручную установить Капиком, то сначала надо удалить из реестра раннее установленную базу:

Далее приступить к установке вручную в зависимости разрядности ОС. Для 32-разрядного ОС:

Удаление capicom

1. В Пуске Windows запустите программу «Выполнить», введите в строку regedit и нажмите Выполнить.
2. Воспользовавшись поиском, найдите ключ capicom.dll и удалите его.
3. Перезагрузите компьютер.

Далее, в зависимости от операционной системы, выполните следующие действия:

Установка программного обеспечения

Установку программного обеспечения важно произвести предварительно, согласно инструкции.

Функции кодирования/декодирования

Данные функции предназначены для преобразование (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN.1 (Abstracy Syntax Notation One), определенный серией рекомендаций X.680.

К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI, путем реализации и регистрации собственных типов объектов.

Функции работы со справочниками сертификатов

Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.

Цели использования криптографических функций

Для обеспечения защиты электронных документов и создания защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, которые позволяют обеспечить защиту целостности, авторства и конфиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему.

В общем случае создание защищенной автоматизированной системы – это в каждом конкретном случае процесс индивидуальный, поскольку не бывает абсолютно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации.

В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и политику безопасности проектируемой системы. Впоследствии, исходя из этого, можно определить тот набор криптографических функций и организационно-технических мер, реализуемых в создаваемой системе.

Ниже приведен основной перечень функций защиты информации, реализуемый при помощи криптографических функций библиотек СКЗИ.

• Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифрования. При хранении данных (на дисках, в базе данных) может использоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе.
• Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями ЭЦП при использовании их в процессе аутентификации (например, в соответствии с рекомендациями Х.509). Одновременно при аутентификации должна использоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для двух субъектов (объектов) системы. При электронном документообороте обеспечивается использованием функций ЭЦП электронного документа. Дополнительно должна быть предусмотрена защита от навязывания, переповтора электронного документа.
• Целостность. Обеспечивается использованием функций ЭЦП электронного документа. При использовании функций шифрования (без использования ЭЦП) обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть использована функция хеширования или имитозащиты, но при этом не обеспечивается авторство информации.
• Неотказуемость от передачи электронного документа. Обеспечивается использованием функций ЭЦП (подпись документа отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной.
• Неотказуемость от приема электронного документа. Обеспечивается использованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хранением документа и квитанции с ЭЦП в течении установленного срока отправляющей стороной.
• Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитозащиты с добавлением уникального идентификатора сетевой сессии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного протокола аутентификации (обмена электронными документами).
• Защита от навязывания информации. Зашита от нарушителя с целью навязывания им приемной стороне собственной информации, переданной якобы от лица санкционированного пользователя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации про компрометации ключа обеспечивается организационно-техническими мероприятиями. Например, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специализированных протоколов электронного документооборота.
• Защита от закладок, вирусов, модификации системного и прикладного ПО. Обеспечивается совместным использованием криптографических средств и организационных мероприятиях.

Заключение

Те клиенты, которые планируют участвовать в торговых сделках на площадках Сбербанка АСТ, не смогут обойтись без Капиком. Инсталяция этой программы дает возможность работать с цифровой электронной подписью, так необходимой при заключении договоров и оформления документации.