Как работает электронная подпись

Основа эп — асимметричное шифрование

Мы уже писа­ли об асим­мет­рич­ном шиф­ро­ва­нии. Вот основ­ные мысли: 

  • В сим­мет­рич­ном алго­рит­ме зашиф­ро­вать и рас­шиф­ро­вать сооб­ще­ние мож­но толь­ко одним и тем же клю­чом. Это полез­но для пере­да­чи сек­рет­ных сооб­ще­ний, когда две сто­ро­ны дове­ря­ют друг дру­гу и могут зара­нее обме­нять­ся ключом. 
  • При асим­мет­рич­ном сооб­ще­ние шиф­ру­ет­ся одним клю­чом, а рас­шиф­ро­вы­ва­ет­ся дру­гим. В раз­ных ком­би­на­ци­ях этот алго­ритм помо­га­ет шиф­ро­вать сооб­ще­ния, когда сто­ро­ны друг дру­гу не дове­ря­ют или не могут обме­нять­ся клю­ча­ми зара­нее. В част­но­сти, это полез­но для под­твер­жде­ния под­лин­но­сти документов. 

Что такое электронная подпись

Элек­трон­ная под­пись — это тех­но­ло­гия, кото­рая помо­га­ет под­твер­дить под­лин­ность элек­трон­но­го доку­мен­та: дого­во­ра, справ­ки, выпис­ки или чего-то ещё. 

Если упро­щён­но, рабо­та­ет так: 

👉 Есть некий доку­мент, под­пи­сан­ный ЭП

👉 С помо­щью спе­ци­аль­ной про­грам­мы мож­но про­ве­рить под­лин­ность этой под­пи­си и документа

✅ Если про­грам­ма гово­рит, что всё окей, то мы можем быть уве­ре­ны: доку­мент под­пи­сал имен­но тот, кто в нём ука­зан; и с момен­та под­пи­са­ния в доку­мен­те ниче­го не изменилось. 

❌ Или про­грам­ма может ска­зать, что под­пись не сов­па­ла. Это зна­чит, что либо доку­мент под­пи­сал дру­гой чело­век, либо после под­пи­са­ния кто-то изме­нил этот доку­мент (напри­мер, допи­сал ноль в сто­и­мость кон­трак­та). Так мы пой­мём, что это­му доку­мен­ту нель­зя доверять.

Элек­трон­ная под­пись нуж­на, что­бы защи­щать дого­во­ры, выда­вать офи­ци­аль­ные справ­ки, заклю­чать сдел­ки и участ­во­вать в тор­гах по госзакупкам. 

Что делать, если компании необходимо множество электронных подписей?

Все больше компаний понимают, что использование электронной подписи позволяет сэкономить время и деньги, а потому покупают сотрудникам электронные подписи для различных целей – бухгалтеру для сдачи отчетности, закупщику – для работы на электронных торговых площадках. В данном случае возникает сразу несколько сложностей:

1. Трудно контролировать все электронные подписи – люди уходят из компании и уносят с собой токены с подписями.

2. Сроки действия электронных подписей заканчиваются неожиданно в самый неподходящий момент, их необходимо перевыпускать в срочном порядке.

3. Покупка электронной подписи может затянуться: закупщик запросил счет в Удостоверяющем центре, отдал его бухгалтеру. Бухгалтер считала зарплату и счет оплатила только через неделю. За это время интересная закупка уже закончилась – компания потеряла возможность подписать выгодный контракт с крупным заказчиком.

Удостоверяющие Центры предлагают крупным компаниям и организациям с разветвленной филиальной структурой решения, которые позволяют подавать заявления на выпуск сертификатов электронной подписи, не покидая собственного рабочего места. Данные сервисы позволяют сотрудникам организации оперативно получать КЭПы и управлять жизненным циклом каждого конкретного сертификата. Один сотрудник в вашей компании берет на себя функции администратора такой системы и осуществляет:

· регистрацию пользователей для получения сертификата;

· отправку заявки на проверку в УЦ;

· создает запросы на выпуск электронных подписей и их аннулирование.

Подробнее о решении для работы с множеством электронных подписей в компании можно почитать по ссылке

Безопасность при использовании кэп


Безопасность КЭП

Статьей 10 Федерального закона от 06.04.2021 №63-ФЗ «Об электронной подписи (далее — Федеральный закон №63-ФЗ) установлена обязанность участников электронного взаимодействия обеспечивать конфиденциальность ключей электронных подписей.

При использовании электронной подписи стоит помнить, что токен в ваших руках — не просто флешка, а важный инструмент с помощью которого недоброжелатели могут вывести деньги со счета организации или даже переоформить ее на себя.

Чтобы не стать участником аферы, не передавайте свой ключ электронной подписи третьим лицам. Примером такой ситуации является случай, когда генеральный директор приобретает УКЭП и передает его бухгалтеру для сдачи отчетности, а бухгалтер выводит средства с расчетного счета компании.

В любом случае, чтобы обезопасить себя и свой бизнес, вам необходимо придерживаться трех простых правил:

  • Максимально бережно относиться к токену, который вы получили в УЦ, не передавать его третьим лицам. Если вашим сотрудникам для работы требуется сертификат ЭП — оформите им собственные КЭП.
  • В случае утери токена с действующим сертификатом ЭП или подозрений на незаконное использование — сразу обращайтесь в в УЦ для прекращения действия сертификата.
  • Если вам необходимо получить квалифицированную подпись – обращайтесь за ней только в проверенный Удостоверяющий Центр.

Спасибо, за внимание! Если у вас остались вопросы, от отвечу в комментариях.

#Электронная_Подпись#ЭЦП#крипто

Богатый ассортимент

ВидСозданиеИзменение
1ПростаяИспользуются коды, пароли, подтверждающие принадлежность определенному лицу; сертификат отсутствует.
2Усиленная неквалифицированнаяКриптографическое преобразование инфо, закрытый ключ; сертификат есть.
3Усиленная квалифицированнаяСредства криптозащиты проверяются ФСБ России; обладает квалифицированным сертификатом.

Рассмотрение функций начнем с третьего вида, самого навороченного. Он в любых ситуациях заменяет собственноручно подписанный документ. Усиленная квалифицированная электронная подпись позволяет компаниям сдавать отчётность в контролирующие органы дистанционно.

Для ФНС, ФСС документация, заверенная таким типом подписи, аналогична бумажной. Кроме того, третий вариант нужен для участия в электронных торгах. На специальных сайтах поставщики и заказчики встречаются в виртуальном пространстве. Для того, чтобы заверить договоры, подписать документы, нужен именно такой тип подписи.

Неквалифицированная электронная подпись подойдет компаниям для внутреннего и внешнего документооборота, арбитражного суда. Физическим лицам пригодится в кабинете налогоплательщика.

Простой вариант используется на различных сайтах, предоставляющих товары, услуги, справочную информацию. Это самый распространенный вариант использования технологии, помогающий физическому лицу упростить документооборот.

Где получить квалифицированную электронную подпись?

Издавать квалифицированные ключи электронной подписи имеют право только специальные организации — аккредитованные удостоверяющие центры, деятельность которых регулируется Минкомсвязи и ФСБ России. Выбирая удостоверяющий центр, прежде всего убедитесь, что он имеет аккредитацию Минкомсвязи, лицензии ФСБ и желательно ФСТЭК.

Для того, что бы Удостоверяющий Центр начал функционировать, ему необходимо приобрести специализированное дорогостоящее оборудование и иметь в штате высококвалифицированных сотрудников с образованием в области информационной безопасности и опытом работы в данной сфере.

Беря в расчет что в условиях самоизоляции каждый выход на улицу может обернуться штрафами, то лучше заказать доставку ЭП себе домой или в офис, часть Удостоверяющих Центров оказывают данную услугу. Лично у нас, в КОРУС Консалтинг СНГ, доставка реализована через курьеров Спецсвязи, так как они уполномочены работать с секретными документами.

Для чего необходима электронная подпись?

Наличие электронной подписи позволяет решить многие задачи бизнеса.

С помощью КЭП можно сдавать обязательную отчетность в ФНС, ПФР, ФСС, РОССТАТ и другие государственные организации. Можно также вести переписку с контролирующими органами, обмениваться с ними документами, например, получать требования из налоговой и отвечать на них. Только представьте, какое количество времени вы сэкономите, отправляя отчетность через интернет, а не ожидая в очередях.

Завести квалифицированную электронную подпись

Оформить подобную ЭЦП можно только в специальном удостоверяющем центре. Никакие другие организации не вправе это делать!

Найти УЦ очень легко с помощью Сети. Он есть в каждом регионе. В моем небольшом (250 тысяч жителей) городе два крупных УЦ оказывают услуги по оформлении электронной подписи.

При получении усиленного варианта нужно обращаться только в УЦ, прошедшие аккредитацию – их криптографические системы проверены Федеральной службой безопасности. Кстати, значительная часть крупных УЦ прошла эту процедуру. Информацию об этом всегда можно уточнить у специалиста или посмотреть на сайте УЦ.

Читайте также:  Получить сведения из ЕГРЮЛ/ЕГРИП в форме электронных документов на сайте ФНС России: быстро и бесплатно | ФНС России | 64 Саратовская область

Нужно оформить заявку. В большинстве случаев это делается через Интернет, в электронном варианте. Менеджер проводит консультацию онлайн. Заявка несложная, с указанием ФИО и контактов.

После оформления заявки менеджер в течение 30-60 минут связывается с Вами и уточняет, какой вариант электронной подписи Вам нужен.

По e-mail Вы с УЦ осуществляете обмен сканами документов.

Вам понадобится отослать следующие документы:

    Вам понадобится отослать:

  • паспорт и СНИЛС – для физических лиц;
  • выписку из Единого государственного реестра юридических лиц (свеженькую, максимум месячной давности), копию приказа, наделяющего должностное лицо правом действовать от лица компании – для юридических лиц;
  • подтверждение регистрации в Едином реестре ИП, свежую выписка из реестра, личные документа лица, на которого оформляется сертификат – для предпринимателей.

Оплачиваете присланный счет. Стоимость сертификата простой электронной подписи колеблется в диапазоне 900-2000 рублей. За квалифицированную, конечно, придется доплатить.

Чаще всего оформление сертификата занимает 2-6 часов. В ходе личного визита в УЦ субъект становится счастливым обладателем токена и может его использовать на полную катушку.

Заморочки счастливого обладателя: так как ей пользоваться

В зависимости от разновидности ЭЦП варьируются варианты использования. Чтобы использовать электронную подпись, Вам нужно установить на компьютер приложение. Его выдаст УЦ. Вам могут предложить работы по настройке программного обеспечения, но чаще всего это лишняя трата денег. Процедура несложная, справится любой опытный пользователь ПК.

Кроме того, надо установить библиотеки «Capicom» и «Cadescom». Они доступны для скачивания в интернете и нужны для тот, чтобы работать с ЭЦП.

Может потребоваться настройка браузера. Иначе он заблокирует программы, и Вы не сможете подписать документ. Потребуется установка специальных плагинов. Самый распространённый вариант работы с ЭЦП – «КриптоПро». Его мы с Вами и рассмотрим.

Итак, какие типы электронных подписей существуют?

Электронные подписи бывают трех типов:

· простая электронная подпись (ПЭП)

· неквалифицированная электронная подпись (НЭП)

· квалифицированная электронная подпись (КЭП)

Как работает: алгоритмы шифрования

Допу­стим, вы уже схо­ди­ли в удо­сто­ве­ря­ю­щий центр и полу­чи­ли на флеш­ке сер­ти­фи­кат и ключ элек­трон­ной под­пи­си. Теперь нуж­но ска­чать спе­ци­аль­ный софт, кото­рый и будет под­пи­сы­вать ваши доку­мен­ты и про­ве­рять чужие на подлинность.

Про­бле­ма в том, что ЭП осно­ва­на на алго­рит­мах асим­мет­рич­но­го шиф­ро­ва­ния, а их мно­го: раз­ло­же­ние на про­стые мно­жи­те­ли, дис­крет­ное лога­риф­ми­ро­ва­ние, эллип­ти­че­ские кри­вые и мно­же­ство дру­гих. Ключ из одно­го алго­рит­ма не подой­дёт для исполь­зо­ва­ния в дру­гом, поэто­му в Рос­сии дого­во­ри­лись исполь­зо­вать стан­дарт шиф­ро­ва­ния ГОСТ Р 34.

Это зна­чит, что нам нужен спе­ци­аль­ный софт, в кото­ром уже есть этот алго­ритм. Чаще все­го исполь­зу­ют Крип­то­П­РО, реже — ViPNet CSP. С помо­щью этих про­грамм мож­но под­пи­сать доку­мен­ты и про­ве­рить сер­ти­фи­ка­ты на подлинность.

Как установить электронную подпись в «криптопро?

  1. У Вас должна быть установлена программа «КриптоПро».
  2. С токена Вам надо установить на ПК сначала ваш сертификат, затем сертификат УЦ. В качестве места хранения необходимо выбрать вкладку «Доверенные корневые центры сертификации».
  3. С меню «Пуск» заходим в программу «КриптоПро». Во вкладке «Сервис» удаляем заполненные пароли.
  4. Выбираем пункт «Установить личный сертификат» и ищем его на токене. Открывается окно «Мастер установки личного сертификата». Выбираем опцию «Найти контейнер автоматически». Программа найдет сертификат автографа на токене.
  5. Далее, нажав на вкладку «Обзор» выбираем хранилище «Личные».

Как устроена электронная подпись

Электронная подпись состоит из двух основных частей:

  1. Открытый ключ, он же сертификат.
  2. Закрытый ключ — криптографическая часть.

Эти составные части выполняют разные функции: с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, документ дешифруется. Таким образом, достигается цель использования ЭЦП — подтверждается то, кем был подписан документ, и заверяется его неизменность с момента подписания.

Закрытый ключ не содержит в себе ничего, кроме механизма, с помощью которого он может шифровать документы. Сертификат же несёт в себе такую полезную информацию, как сведения о владельце, сведения об удостоверяющем центре, срок действия электронной подписи и т.д. Сертификат выступает в роли главного носителя информации о ЭЦП.

Ключик

Рассматривая ЭЦП, мы не конкретизировали понятие «ключ». Он относится только к квалифицированным подписям и является важнейшей составляющей системы.

    В сертификате содержится:

  • информация о собственнике электронной подписи;
  • уникальный номер;
  • данные о центре, выдавшем сертификат.

Ключи

ОткрытыйЗакрытый
Для обмена информацией в открытом вариантеПодтверждение подписи в документах

Нужна ли мне лицензия скзи криптопро csp?

КриптоПро является наиболее распространенным в нашей стране средством криптозащиты, из тех, которые предлагают удостоверяющие центры покупателям электронных подписей.

Чаще всего при покупке электронной подписи пользователю предлагается лицензия СКЗИ КриптоПро на 1 год. Этот вариант является наиболее подходящим для тех, кто собирается использовать электронную подпись на одном компьютере в течение этого года.

Минусами такого приобретения можно считать 2 фактора:

  • лицензия СКЗИ привязана к компьютеру, следовательно, вы сможете работать с УКЭП только на одном рабочем месте
  • при использование КЭП на разных компьютерах, вам придется купить дополнительно к ним и лицензии КриптоПро CSP.

Если же вы постоянно используете в своей работе электронные подписи для разных целей (например, имеете квалифицированную подпись ИП, квалифицированную подпись физического лица и УКЭП для юридического лица), имеет смысл приобрести бессрочную лицензию СКЗИ КриптоПро.

Принцип работы электронной подписи

Электронная подпись работает по ассиметричному принципу шифрования. То есть документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого.

Подписание документа производится в несколько этапов:

  1. Хеш документа шифруется с помощью закрытого ключа.
  2. Полученная подпись добавляется к документу.
  3. К документу прикрепляется сертификат проверки.

Усиленная квалифицированная электронная подпись (кэп)

В чем отличие квалифицированной подписи от неквалифицированной?

КЭП так же, как и НЭП, создается при помощи средств криптографической защиты и позволяет идентифицировать своего владельца. Однако, в отличие от неквалифицированной электронной подписи, квалифицированная электронная подпись является аналогом собственноручной подписи, поставленной на бумаге.

Подписанные ею документы юридически имеют такую же силу, как подписанные на бумаге. Равнозначность документов, подписанных собственноручно на бумаге, и электронных документов, подписанных квалифицированной электронной подписью, установлена статьей 6 Федерального закона от 06.04.2021 № 63-ФЗ «Об электронной подписи».

Электронная цифровая подпись для чайников: с чем ее есть и как не подавиться. часть 4 #эп / эцп #сэд #ecmj

ИТ-директоруДелопроизводителюКадровикуБухгалтеру
Электронная цифровая подпись (ЭП)

Василий Овчинников
 0 комментариевДобавить в закладки

В предыдущих частях мы приблизительно разобрались, что же
именно мы собираемся есть. Теперь, наконец, перейдем непосредственно к выбору
блюда нам по вкусу. Здесь мы рассмотрим цели использования цифровой подписи, к
какому лагерю примкнуть и в чем особенности использования каждого из вариантов,
а также коснемся юридической подоплеки использования цифровых подписей.
Параллельно, мы будем рассматривать возникающие в процессе вопросы и углублять
те познания о работе механизма, которыми на данный момент обладаем.

Читайте также:  ЭЦП для Ростелеком купить — самая выгодная цена на официальном сайте

Допустим, у вас возникло непреодолимое желание, а, может
быть, насущная необходимость использовать цифровую подпись. Первый же
всеобъемлющий вопрос, который вы должны себе задать: зачем? Если вы не можете
более-менее однозначно на этот вопрос ответить, то подумайте дважды перед тем,
как идти по пути использования этой технологии дальше. Ведь внедрение, а
главное, использование цифровой подписи в любой ее ипостаси – достаточно
трудоемкий процесс, поэтому если четкого понимания поставленных целей нет,
лучше даже не браться.

Пусть, вы все же понимаете, что цифровая подпись вам
просто необходима. И необходима она вам, естественно, для защиты вашей
информации. Теперь рассмотрим ситуации, в которых возможно применять цифровую
подпись и шифрование в порядке усложнения.

Начнем со сравнительно простого варианта: вы – частное
лицо и хотите защитить отсылаемую вами по электронным источникам информацию от
подмены, а также, может быть, и от прочтения посторонними людьми. Информацию вы
отсылаете такому же обыкновенному человеку, с которым вы всегда можете
договориться о том, как же будете защищать вашу информацию. Что же вам для
этого необходимо?

Рассмотрение начнем с S/MIME. Сделаем это, во-первых,
потому, что данный формат, как я уже говорил, существенно более распространен,
а главное: он поддерживается на уровне Windows (а Windows, как ни крути, самая
распространенная операционная система), а также многими программами, которые
под Windows работают. Ну а во-вторых – данный формат с юридической точки зрения
позволяет (в рамках нашего государства, естественно) существенно больше.

Какой самый простой и распространенный способ передать
информацию другому человеку? Конечно же, это – электронная почта. Берем письмо,
цепляем к нему файлы и отправляем. И тут нам с цифровой подписью в формате
S/MIME особенно везет: все распространенные почтовые клиенты умеют как
принимать сообщения с цифровой подписью, так и отправлять их. При этом
подписывается все письмо целиком, включая присоединенные к письму файлы.

Страница центра управления безопасностью Outlook 2007

Рис. 1.Страница
центра управления безопасностью Outlook 2007

И все бы хорошо, вот только для того, чтобы отправить
письмо с подписью надо иметь программу, которая осуществляет работу с
криптографией (криптопровайдер или cryptographic service provider, CSP), и
сертификат определенного назначения и связанный с ним закрытый ключ. Назначение
сертификата – это та область, в которой он может быть использован. Подробнее о
назначениях сертификатов мы поговорим позже, а для текущей задачи нам,
собственно говоря, нужен сертификат для защиты электронной почты (e-mail
protection certificate).

Но вернемся к нашим потребностям. Где взять эту самую
программу, криптопровайдер? На наше счастье, операционная система Windows не
только поддерживает сам формат, но и содержит в себе набор криптопровайдеров,
которые идут в комплекте с любой из версий системы абсолютно бесплатно, то есть
даром. А значит, самое очевидное решение для данной ситуации – использовать
именно их.

Итак, с криптопровайдером мы разобрались, но что же делать
с сертификатом? В предыдущей части я говорил, что в процессе выдачи
сертификатов участвует некая третья сторона – удостоверяющий центр, которая и
осуществляет выпуск, непосредственно, сертификатов и удостоверение их
содержимого и актуальности. Остановлюсь на этом моменте несколько подробнее,
так как эти знания понадобятся нам в дальнейшем.

Подтверждением, что данный конкретный пользовательский
сертификат корректен, и что содержимое в нем не было изменено, является все та
же самая цифровая подпись, только подписывается уже удостоверяющий центр.

У удостоверяющего центра, также как и у пользователей,
есть собственный сертификат. И вот именно с его помощью он подписывает
выдаваемые им сертификаты. Эта процедура, во-первых, защищает выдаваемые
удостоверяющим центром сертификаты от изменения (о чем я уже сказал выше), а
во-вторых, однозначно показывает, какой именно удостоверяющий центр данный
сертификат выдал. Как следствие, нехороший человек, конечно, может сделать
полную копию вашего сертификата, с вашими именем, фамилией, даже любой
дополнительной информацией, вот только подделать цифровую подпись
удостоверяющего центра, не имея его закрытого ключа, для него будет практически
невыполнимой задачей, а значит и распознать эту подделку будет не просто легко,
а очень легко.

Сам же сертификат удостоверяющего центра, по-хорошему,
тоже должен быть защищен. А значит, и подписан. Кем? Более высоко стоящим
удостоверяющим центром. А тот, в свою очередь, еще более вышестоящим. И такая
цепочка может быть очень длинной. Чем же она заканчивается?

А заканчивается она самоподписанным сертификатом
удостоверяющего центра. Такой сертификат подписан закрытым ключом, связанным с
ним же. Приводя аналогию, это как справка о занимаемой должности и зарплате
генерального директора. «Данной справкой Иванов И.И., генеральный директор
ООО
«Одуванчик» удостоверяет, что Иванов И.И. занимает в данной
организации должность генерального директора и получает зарплату в размере
####### рублей
». Чтобы данной справке верить, вы должны верить самой фирме
ООО «Одуванчик», причем вера эта не подкрепляется никакой третьей стороной.

Так же и с корневыми сертификатами (т.е. сертификатами
удостоверяющих центров). Самоподписанные сертификаты тех удостоверяющих
центров, которым вы доверяете, должны лежать в специальном хранилище в системе,
которое называется «Доверенные корневые центры сертификации». Но перед тем, как
попасть туда, их надо как-то получить. И это – самое слабое звено в системе.
Сам самоподписанный сертификат подделать, так же, как и пользовательский, не
получится, зато замечательно получится подменить при передаче. Значит, передача
должна осуществляться по защищенному от подмены каналу.

Чтобы избежать, по возможности, подобных трудностей,
Microsoft выбрала несколько удостоверяющих центров и включила их сертификаты
прямо в установку Windows (это Thawte, VeriSign
и другие). Они уже есть у вас на компьютере и их не надо ниоткуда получать. А
значит и подменить их можно только, если у вас на компьютере живет троян (или у
нехорошего человека должен быть администраторский доступ к вашему компьютеру),
а говорить об использовании цифровой подписи в таком случае несколько
бессмысленно. Кроме того, эти удостоверяющие центры широко известны и много кем
используемы, и простая подмена их сертификатов приведет к множеству ошибок в
работе, скажем, сайтов, чьи сертификаты выданы этими удостоверяющими центрами,
что, в свою очередь, достаточно быстро наведет на мысль о том, что что-то здесь
не чисто.

Кстати, о самоподписанных сертификатах: такой сертификат
можно создать и для собственного пользования, а не только для удостоверяющего
центра. Естественно, такой сертификат наследует все минусы сертификатов
подобного типа, но для проверки того, стоит ли использовать цифровую подпись в
переписке, или лучше так обойтись он отлично подходит. Для создания подобных
сертификатов можно использовать программу, входящую в состав средств Microsoft
Office (Цифровой сертификат для проектов VBA), или же, для лучшей настройки
назначения и прочих полей данного сертификата, программу стороннего
производителя, например КриптоАрм, который даже в бесплатной своей версии
позволяет такие сертификаты создавать.

Читайте также:  Федеральный закон от 06.04.2011 г. № 63-ФЗ • Президент России

Просмотр самоподписанного сертификата средствами системы Windows

Рис. 2. Просмотр
самоподписанного сертификата средствами системы Windows

Итак, мы выбираем некий устраивающий нас обоих
удостоверяющий центр, получаем на нем сертификаты (для чего заполняем форму на
сайте, предоставляем необходимые документы и платим деньги, если потребуется),
или создаем себе самоподписанный сертификат и… Собственно говоря, все. Теперь
мы можем с помощью нашего почтового клиента (того же Outlook’а) отправлять и
принимать подписанные и зашифрованные сообщения.

Для использования стандарта OpenPGP все и проще и сложнее.
Для использования данного стандарта все так же необходимы криптопровайдер, пара
из открытого и закрытого ключа и программа, осуществляющая непосредственно
подписание и шифрование. Для OpenPGP все эти компоненты могут быть как
платными, так и бесплатными. С бесплатными больше мороки по установке, а с
платными меньше, но принципы и у тех, у тех одинаковы.

Следуя уже использованной последовательности описания,
начнем с программы, с которой вы и будете контактировать больше всего: почтовым
клиентом. Использование чистого Outlook’а здесь уже невозможно, по причине
незнания им о стандарте OpenPGP, а значит надо либо переходить на клиент,
который стандарт знает, либо использовать плагины к Outlook’у, или же даже
осуществлять работу с подписями и шифрованием через копирование информации во
внешние программы. Как пример почтовых клиентов, работающих со стандартом
OpenPGP, можно привести Mozilla Thunderbird к
которому, кстати, все равно нужен плагин или же The Bat!, умеющий в версии
Profissional работать со стандартом OpenPGP сам по себе.

Главный экран почтового клиента Mozilla Thunderbird

Рис. 3. Главный
экран почтового клиента Mozilla Thunderbird

Главный экран почтового клиента The Bat!

Рис. 4. Главный
экран почтового клиента The Bat!

Плагины, необходимые для работы со стандартом OpenPGP в
почте, также можно найти как платные, так и бесплатные. Платные плагины
поставляются вместе с платными же версиями программыPGP, а как пример бесплатного плагина
можно привести плагин Enigmail
для все того же Thunderbird.

Дополнения, появляющиеся в почтовом клиенте после установки Enigmail

Рис. 5. Дополнения,
появляющиеся в почтовом клиенте после установки Enigmail

Криптопровайдеры же здесь все так или иначе бесплатные.
Можно использовать криптопровайдер, поставляющийся в составе даже бесплатной
версии программы PGP, а
можно использовать GnuPG.

Страница управления ключами GnuPG

Рис. 6. Страница
управления ключами GnuPG

Здесь, пожалуй, стоит немного предостеречь тех, кто
погонится за бесплатностью и открытостью кода. Большинство подобных приложений
действительно работают и выполняют свои функции, но есть ряд проблем,
характерных для всех них. И особенно весомо звучит проблема недостаточного
тестирования и проблема проработки пользовательских интерфейсов. Обе эти
проблемы коренные для свободного ПО по самой его сути: разработка ведется «всем
миром» (или отдельной группой), а значит у проектов в большинстве случаев нету
общего идеолога, нету общего конструктора, дизайнера и т.п. В итоге, зачастую
получается ситуация «что выросло – то выросло», а это не всегда удобно чисто с
функциональной точки зрения. Тестирование тоже, как правило, ведется «всем
миром», а не профессиональными тестировщиками, над которыми нависает злой
руководитель, поэтому багов в итоговую версию попадает больше. Кроме того, если
обнаружен баг, который может привести к потере вашей информации, спросить
бывает некого: ПО то бесплатное и открытое, и финансовой или юридической
ответственности перед вами точно никто не несет. Впрочем, не стоит обольщаться,
с платным ПО ситуация ровно такая же, хотя в редких случаях возможны варианты.
К сожалению, эти случаи относятся, скорее, к компаниям-партнерам и
корпоративным клиентам, поэтому для нас, простых пользователей, можно с тем же
успехом считать, что вариантов нет.

При этом я ни в коей мере не хочу умолять достоинства
такого рода софта. Вообще-то, рассматривая и платные, и бесплатные программы,
работающие с криптографией, можно заметить, что первой проблеме – багам –
данный софт практически (за редким исключением, которым просто не надо
пользоваться) не подвержен. А вот вторая – ужасающие с точки зрения пользователя
интерфейсы – касается, как ни странно, почти всех. И если причиной такой
ситуации для свободного ПО может быть принято как раз «что выросло – то
выросло» (скажем, у замечательной во всех отношениях программы TrueCrypt,
являющейся де-факто стандартом в области шифрования данных, интерфейс ужасающ
для человека, не очень глубоко разбирающегося в вопросе), то аналогичную
ситуацию с платным ПО можно объяснить, пожалуй, только тем, что криптография,
как направление разработки, обычно рассматривается по остаточному принципу.
Исключения из этих правил встречаются и там, и там, но большее число
исключений лично мне, все же, встречалось в лагере платного ПО.

Но, вернемся к нашей почте. Остался нерешенным вопрос
сертификата. «Проще и сложнее» живет именно здесь. Создать его вы можете прямо
у себя на компьютере, не прибегая к услугам внешнего удостоверяющего центра,
что, согласитесь, проще, чем отправлять запрос в какой-то удостоверяющий центр.
Но отсюда и проблемы с данными сертификатами: они все самоподписанные, а значит,
на них распространяются те же вопросы, которые мы рассматривали с
самоподписанными сертификатами удостоверяющих центров. Второй пункт, собственно
говоря, и является тем самым «сложнее».

Проблема доверия к сертификатам в данном лагере решается с
помощью сетей доверия, принцип которых можно вкратце описать следующим образом:
чем больше человек знают вас (ваш сертификат), тем больше оснований для
доверия. Кроме того, облегчить решение проблемы передачи сертификата получателю
могут публичные банки сертификатов, в недрах которых покопаться нехорошему
человеку несколько сложнее, чем в передаваемой почте. В данный банк можно
загрузить сертификат при его создании, а получателю просто передать, откуда ему
следует этот сертификат забрать.

Сертификаты хранятся в некоторых хранилищах, которые
создают на вашей машине программы для работы со стандартом OpenPGP, они
обеспечивают доступ к ним. Об этом тоже не стоит забывать, ведь это означает,
что получить доступ к этим сертификатам только лишь силами операционной системы
без использования данных программ не получится.

Все, как и в случае S/MIME, вышеописанного набора действий
вам уже хватит для достижения поставленной нами цели: обмена подписанной и
зашифрованной почтой.

Итак, начало положено. Мы уже можем употребить первое,
достаточно простое блюдо с приправой в виде цифровых подписей, но оно хорошо
лишь для затравки и останавливаться на нем, естественно, не стоит. В дальнейших
статьях мы будем разбирать все более и более сложные ситуации, и все больше и
больше узнавать про особенности этой технологии.

http://habrahabr.ru/blogs/infosecurity/99038/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector