Как сделать электронную подпись, как подписать документ электронной цифровой подписью (ЭЦП) в Москве

Как сделать электронную подпись, как подписать документ электронной цифровой подписью (ЭЦП) в Москве Электронная цифровая подпись
Содержание
  1. Для каких документов требуется цифровая подпись
  2. Как подписать документ электронной подписью в word и excel
  3. Как подписать документ эцп
  4. Как подписать документ эцп онлайн в сервисах контур крипто и рустендер
  5. Как подписать документpdf
  6. Как подписать электронной подписью документ pdf
  7. Как подписать эцп любой документ с помощью «криптоарм»
  8. Как подписывать документ эцп в vipnet cryptofile
  9. Какие бывают эцп
  10. Настройте outlook
  11. Открытие подписанного документа
  12. Подписи и версии программного обеспечения
  13. Предупреждения безопасности
  14. Электронная подпись гост р 34.10 документов формата pdf в офисном пакете libreoffice
  15. О цифровых подписях
  16. Содержание
  17. Сертификаты
  18. Сохранение и подписание документа
  19. Открытие подписанного документа
  20. Подписи и версии программного обеспечения
  21. Предупреждения безопасности
  22. Применение цифровых подписей
  23. Содержание
  24. Получение сертификата
  25. Управление сертификатами
  26. Подпись макросов в документе.
  27. Хранилище сертификатов в офисном пакете libreoffice
  28. Подписи и версии программного обеспечения
  29. Подпись макросов в документе.
  30. Получите сертификат абонента для шифрования сообщений
  31. Предупреждения безопасности
  32. Управление сертификатами
  33. Хранилище сертификатов в офисном пакете libreoffice
  34. Электронная подпись гост р 34.10 документов формата pdf в офисном пакете libreoffice

Для каких документов требуется цифровая подпись

Большая часть документооборота стала безбумажной, и использованием ЭЦП уже никого не удивить. Сфера госзакупок — не исключение. Участники визируют электронной подписью поданные заявки, а заказчики гарантированно понимают, что потенциальные поставщики — реальные компании.

  1. Для сдачи отчетности в контролирующие органы (Налоговую службу, Росстат, Пенсионный фонд и ФСС). Отправка отчетов и справок в электронном формате делает процесс более легким и уменьшает количество ошибок. Большая часть сервисов имеет встроенные проверки.
  2. При использовании ЭДО (системы электронного документооборота). Это одно из наиболее частых применений. Завизированное таким образом письмо с юридической точки зрения приравнивается к бумажному варианту, на котором проставлены печать и виза. Благодаря ЭДО, безбумажный документооборот становится реальностью как внутри организации, так и с внешними контрагентами.
  3. На портале «Госуслуги». Любой гражданин РФ может оформить для себя криптоподпись и ставить отметки на подаваемых через сайт «Госуслуги» заявлениях, принимать участие в общественных инициативах и т. д.
  4. При обращении в арбитражный суд. Как доказательство могут использоваться договоры с контрагентами, официальная переписка, счета-фактуры, подписанные электронно. По АПК РФ такие документы приравниваются к бумажным аналогам с проставленным штампом.

Как подписать документ электронной подписью в word и excel

Есть несколько способов, как подписать документ электронной подписью в Word и Excel — через онлайн-сервисы или десктопные приложения, либо использовать платный модуль КриптоПро Office Signature. Мы рассмотрим последний вариант. Инструкция (на примере Word):

  1. Установите модуль, следуя подсказкам инсталлятора.
  2. Вставьте токен в USB-разъем.
  3. Откройте текстовый файл.
  4. Найдите сертификат в разделе «Цифровые подписи» («Сервисы» — «Безопасность»).
  5. Зайдите в «Файл», перейдите в «Сведения» и кликните «Защитить документ».

В списке выберите «Цифровая подпись», нажмите «Подписать» и введите PIN-код.

Как подписать документ эцп

Для ведения документооборота онлайн нужна усиленная ЭП, которую можно оформить только в аккредитованном удостоверяющем центре. Процедура стандартна — выбираете подходящий вариант КЭП или НЭП на сайте, подаете заявку онлайн, приходите с паспортом и пенсионным удостоверением в УЦ, оплачиваете и получаете на руки USB-токен или смарт-карту с личным сертификатом и ключевой парой.

Помимо ключевого носителя, понадобится компьютер или ноутбук с ОС Microsoft Windows, которую поддерживают все информационные системы и торговые площадки. ОС MacOS и Linux также подойдут, но не для каждого портала.

ПК необходимо настроить — установить криптопровайдер (СКЗИ), драйверы для USB-токена или смарт-карты, корневой сертификат и программу для работы с ЭП. Некоторые носители имеют встроенные средства криптозащиты, поэтому могут использоваться без дополнительного ПО.

Для работы с государственными и коммерческими порталами установите в браузере специальные плагины или расширения. Универсального списка программных модулей не существует, поскольку каждая площадка предъявляет свои требования к рабочему месту. Далее расскажем, как подписывать документ ЭЦП, выданными в разных УЦ.

Как подписать документ эцп онлайн в сервисах контур крипто и рустендер

Если не планируете покупать лицензию и «привязывать» себя к одному рабочему месту, ведите электронный документооборот бесплатно онлайн. Такую возможность обеспечивает ряд веб-сервисов, в числе которых Контур.Крипто и РусТендер. В облачных приложениях можно создавать только отсоединенные ЭП с расширением .sig.

Сервисы функционально отличаются, к примеру, в Контур Крипто вы можете подписать документ ЭЦП онлайн, а также зашифровать, проверить и отправить его по e-mail. В РусТендер функции шифровки и проверки отсутствуют.

Контур.Крипто:

РусТендер:

Как подписать документpdf

Для создания и проверки электронной подписи в программах Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES есть отдельный модуль КриптоПро PDF.

Прежде чем вставить ЭП в PDF-файл, необходимо установить и настроить Acrobat Reader DC или Adobe Acrobat Pro для работы с программой КриптоПро PDF.

  1. Откройте необходимый PDF-файл, который нужно подписать. Нажимаем на значок подписи на панели «Инструменты» и видим ярлык «Сертификаты». Выбираем его.
  2. Появится инструмент «Заполнить и подписать», нажмите на него.
  3. Программа предложит выбрать нужную ЭП документа PDF, и даже цвет. Обычно по умолчанию используется черный цвет. После этого можно завершить процедуру подписания.

Как подписать электронной подписью документ pdf

Для работы с документацией в формате PDF вы можете  воспользоваться бесплатным онлайн-сервисом, десктопным приложением или плагином КриптоПро PDF. Каждый из этих способов имеет свои особенности, достоинства и недостатки, которые представлены в таблице.

Как называетсяКак работаетНужно ли платитьБесплатный тестовый периодПреимуществаНедостатки
Веб-сервисыКонтур.Крипто

РусТендер

Необходимо настроить ПК (Контур.Загрузочный диск). Процесс подписания осуществляется на компьютере, а документация сохраняется в облаке.НетНетОтсутствие абонентской платы и привязки к рабочему местуМожно создавать только отсоединенные ЭП
ПО для компьютераКриптоАРМ

КриптоПро CSP

VipNet CSP

Можно выполнять операции в главном окне или через контекстное менюДаОт 14 до 90 днейШирокий перечень функций, позволяет создавать присоединенные и отсоединенные ЭПЛицензия распространяется только на один ПК
Программный модульКриптоПро PDFВыполнение операций через Adobe AcrobatДа (только для Adobe Acrobat, c Adobe Reader поставляется бесплатно)3 месяцаПозволяет работать непосредственно в приложениях AdobeМожет использоваться только на одном ПК, узкий перечень функций, совместим только с ОС Windows

Как подписать эцп любой документ с помощью «криптоарм»

  1. Для начала установите специальный программный модуль КриптоАрм. Можно воспользоваться тестовым периодом на 14 дней или сразу приобрести годовую лицензию на нашем сайте.
  2. Кликните по файлу, правой клавишей мыши и выберите КриптоАрм.
  3. Выбираем пункт – «Подписать».
  4. Нажимаем на «Выбор файла», переходим к файлу, который нужно подписать. Щелкаем по нему и жмем «Далее».
  5. Появляется окошко «Выходной формат». Если нет обязательных требований к типу кодировок, ничего не меняем. Кроме этого есть возможность сохранить в формате ZIP, и выбрать место для сохранения результатов подписи. Жмем «Далее».
  6.  Выбираем формат подписи – существуют два вида, присоединенная и отсоединенная. В первом случае с присоединенной, ЭП будет встроена к подписываемому документу. Во втором случае с отсоединенной подписью, подписываемый документ остается неизменным, и подпись создаётся в отдельном файле с расширением *.sig. Когда все готово, жмем «Далее».
  7. Выбираем сертификат подписи, которым нужно подписать документ, и нажимаем «Далее».
  8. И наконец, последний этап. Мы видим итоговое окно с общей информацией. Обращаем внимание на опцию «Сохранить данные в профиль для дальнейшего использования» и нажимаем сохранить профиль. Нажимаем на кнопку «Готово». Система по окончании установки покажет сообщение, об успешной установке, и что выбранный файл подписан.

Как подписывать документ эцп в vipnet cryptofile

Загрузите дистрибутив криптопровайдера VipNet CSP с сайта разработчика. После установки зарегистрируйте программу через интернет, указав серийный номер (высылается на e-mail). Установите драйверы для токена или смарт-карты и настройте рабочее место с помощью «Мастера настройки» или другого сервиса.

Последний шаг — установка, регистрация и настройка VipNet CryptoFile. На этом этапе выберите КЭП из списка («Настройки операций» — «Задать»). До того как подписывать документ ЭЦП, сначала запустите приложение VipNet CryptoFile.

Какие бывают эцп

Электронная подпись — это своего рода «штамп», позволяющий не только определять подписанта, но и убедиться в целостности подписанного документа. Три типа криптоподписей и порядок их выдачи утверждены в законе № 63-ФЗ от 06.04.2022:

  1. Простая. Применяется для отметки писем и различных спецификаций. В качестве подтверждения выступают пароли, коды и иные средства. Чаще всего ее используют в системах электронного ДО.
  2. Усиленная неквалифицированная. Для ее создания необходим процесс криптографической обработки данных, применяется закрытый ключ. Эта электронная подпись дает возможность выяснить, кто подписал файл, а также вносились ли изменения после первоначального визирования.
  3. Усиленная квалифицированная. Схожа с предыдущим видом, но при ее создании и проверке должны использоваться сертифицированные ФСБ методы криптозащиты информации. ЭЦП такого вида могут выдавать только аккредитованные удостоверяющие центры.

Есть несколько способов, как подписать файл электронной подписью. Разберем те, которые встречаются наиболее часто.

Настройте outlook

  1. Откройте Outlook и выберите пункт меню «Файл/Параметры/Центр управления безопасностью».
  2. Нажмите «Параметры центра управления безопасностью».
  3. Перейдите на вкладку «Защита электронной почты» и нажмите «Параметры».
  4. В поле «Сертификат подписи» нажмите «Выбрать» и укажите ЭП, которая будет использоваться для подписания, шифрования и расшифровки сообщений.

    Выбрать можно только сертификат, в описании которого email совпадает с учетной записью Outlook.

  5. Вернитесь на вкладку «Защита электронной почты».

    Чтобы все письма подписывались и шифровались автоматически, включите режимы «Шифровать содержимое и вложения исходящих сообщений» и «Добавлять цифровую подпись к исходящим сообщениям». Иначе настраивать подпись в Outlook нужно будет для каждого письма.

    Установите режим «Отправлять подписанные сообщения открытым текстом», чтобы для всех прикрепленных файлов подпись формировалась как отдельное вложение. Иначе текст сообщения, все файлы и ЭП будут объединены в одно вложение.

Открытие подписанного документа

Когда кто-либо впоследствии открывает документ на любом компьютере с последней версией LibreOffice, программа снова вычислит контрольную сумму и сравнит ее с сохраненной контрольной суммой. Если они одинаковы, программа сообщит, что пользователь видит исходный, неизмененный документ. Кроме того, могут быть отображены данные общего ключа из сертификата.

Этот общий ключ можно сравнить с общим ключом, опубликованным на веб-узле сертифицирующего органа.

При изменении документа цифровая подпись нарушается. После изменения не будет указания на то, что пользователь видит исходный документ.

Результат проверки действительности подписи отображается в строке состояния и в диалоговом окне «Цифровая подпись». В рамках одного документа ODF может существовать несколько подписей документов и макросов. При наличии проблемы с одной из подписей результат проверки действительности этой подписи применяется ко всем подписям.

Читайте также:  Как скопировать сертификат из КриптоПро на флешку

При открытии подписанного документа отображаются следующие значки и сообщения.

Certificate 16

Notcertificate 16

Значок в строке состоянияСостояние подписи
Подпись действительна, однако проверка действительности сертификатов невозможна.

Подпись и сертификаты действительны, но подписаны не все компоненты документа. (Для получения сведений о документах, подписанных в предыдущих версиях программы, см. примечание ниже.)

Как сделать электронную подпись, как подписать документ электронной цифровой подписью (ЭЦП) в Москве

Подписи и версии программного обеспечения

В OpenOffice.org 3.2 и StarOffice 9.2 изменился способ подписи содержимого. Теперь подписывается все содержимое файлов, за исключением самого файла подписи (META-INF/documentsignatures.xml).

Если документ подписан в OpenOffice.org 3.2, StarOffice 9.2 или более поздней версии, то в случае открытия этого документа в программе более ранней версии такая подпись будет отображаться как «недействительная». При открытии документов в более поздних версиях подписи, созданные в более ранних версиях, будут отмечены фразой «документы подписаны частично».

NoteПосле загрузки документа ODF в строке состояния и в поле состояния в диалоговом окне появится значок, указывающий на то, что документ подписан только частично. Это состояние отображается том случае, если подпись и сертификат действительны, но созданы в OpenOffice.org до версии 3.2 или в StarOffice до версии 9.2. В версиях OpenOffice.org до 3.0 и StarOffice до 9.0 подпись документа применялась к основному содержимому, только рисунки и внедренные объекты, а также некоторое содержимое, например, макросы, не имели подписи. В OpenOffice.org 3.0 и StarOffice 9.0 подпись применялась к большей части содержимого документа, включая макросы. Однако mimeType и содержимое папки META-INF не имели подписи. В OpenOffice.org 3.2 и StarOffice 9.2 подписывается все содержимое, за исключением самого файла подписи (META-INF/documentsignatures.xml).

Предупреждения безопасности

Если при получении документа с подписью программное обеспечение сообщает о том, что подпись действительна, это не дает гарантии того, что данный документ соответствует документу, который был передан отправителем. Добавление к документам цифровых подписей не является абсолютно надежным способом защиты; существует достаточно много путей ее обхода.

Пример: Представьте, что злоумышленник получил доступ к почтовому ящику сотрудника банка с целью рассылки электронных писем от его имени. Под чужим именем он легко может получить сертификат, затем отправить по электронной почте любое подписанное письмо, представившись при этом сотрудником банка. Вы получите это письмо, и в нем самом или в прилагаемом документе будет стоять значок «подпись действительна».

Не доверяйте значку. Изучите и проверьте сертификат.

В операционных системах Windows используются функции проверки действительности подписи Windows. В системах Solaris и Linux используются файлы, предоставляемые Thunderbird, Mozilla или Firefox. Следует убедиться в том, что файлы, использующиеся системой, действительно соответствуют исходным файлам, предоставленным первоначальными разработчиками. Существует большое количество способов, с помощью которых злоумышленники могут заменить исходные файлы другими файлами.

Источник

Электронная подпись гост р 34.10 документов формата pdf в офисном пакете libreoffice

image loader

Пришла пора, несмотря на все пожары, исполнить свой гражданский долг – заплатить налоги. Платить налоги мы будем через портал Госуслуги. В личный кабинет портала Госуслуг будем входить с помощью электронной подписи (терминология портала Госуслуг ), т.е. имея на руках сертификат, полученный в аккредитованном удостоверяющем центре (УЦ), и закрытый ключ. И то и другое я храню на токене PKCS#11 с поддержкой российской криптографии:

image loader

И вот, выполнив свой гражданский долг, я решил еще раз проверить работу электронной подписи в офисном пакете libreoffice.

Почему я решил это сделать? Для доступа к порталу Госуслуг я использую ОС Linux и браузер Redfox, который представляет собой доработанный с учетом поддержки российской криптографии браузер Mozilla Firefox. Как известно, офисный пакет libreoffice в качестве хранилища сертификатов также использует хранилище NSS.

Браузер Redfox-52 был установлен в папку /usr/local/lib64/firefox-52.

Для подключения библиотек пакета NSS (Network Security Services) с поддержкой ГОСТ-алгоритмов устанавливаем значение переменной LD_LIBRARY_PATH следующим образом:

В качестве хранилища сертификатов в libreoffice как правило используется хранилище сертификатов из браузера Firefox, почтового клиента Thunderbird или интегрированного пакета Seamonkey. Ничто не мешает использовать хранилище сертификатов браузеров GoogleChrome/Cromium или создать свое независмое хранилище (Сервис->Параметры->Безопасность->Сертификат):

image loader

После того как выбрано хранилище, подключены библиотеки, запускаем libreoffice, создаем файл формата odt и пытаемся его подписать (Файл->Цифровые подписи->Цифровые подписи).

Сертификаты в хранилище Firefox/NSS успешно отображаются и проверяются:

image loader

Однако, подпись после выбора сертификата и нажатия кнопки «ОК» не формируется:

image loader

Похоже libreoffice не хочет понимать российские криптоалгоритмы, несмотря на то, что используется NSS из браузера Redfox, который понимает ГОСТ-овые алгоритмы, что подтверждается успешной проверкой сертификатов.

Делаем вторую попытку: на этот раз попытаемся подписать PDF-файл. Для этого подготовленный документ экспортируем в PDF-формат. Для подписания PDF-файла его, естественно, необходимо загрузить (Файл->Цифровые подписи->Подписать PDF). После его загрузки пытаемся его подписать (Файл->Цифровые подписи->Цифровые подписи) (см.выше, выбираем сертификат, прописываем, например, цель подписания документа):

image loader

И подпись формируется. Мы видим, что подпись, сформирования на базе сертификата «Test 12 512» с ключом ГОСТ Р 34.10-2022 512 бит. Подпись верна.

Выходим из libreoffice. Снова запускаем libreoffice, загружаем подписанный pdf-файл, проверяем подписи. Все ОК. Просматривает сертификаты подписантов. Все ОК. Чудеса! Подпись PDF-файлов работает. Ставим вторую, третью подпись… Все работает. Но что-то не дает покоя. Делаем дополнительную проверку.

Открываем подписанный PDF-файл (я использовал встроенный редактор от mc – Midnight Commander — консольный файловый менеджер для Linux). Находим электронную подпись (/Type/Sig/ ):

image loader

Как видим, подпись хранится в символьном шестнадцатеричном виде. Копируем ее и сохраняем в файле. Для конвертации файла в бинарный вид (DER-кодировка) воспользуемся утилитой xxd:

Полученный файл содержит отсоединенную подпись формата PKCS#7 в DER-кодировке. Теперь это подпись можно просмотреть любым asn1-prase-ом, например, утилитой openssl. Но поскольку мы говорим о пакете NSS, то воспользуемся утилитой derdump или утилитой pp:

И тут стало понятно, что не все так хорошо. Да, алгоритм подписи Digest Encryption Algorithm: GOST R 34.10-2022 Key 512 в соответствии с выбранным для подписи сертификатом, но подпись формируется от хэша, посчитанному по алгоритму SHA-256 (Digest Algorithm (1): SHA-256). А это неправильно с точки: хэш для GOST R 34.10-2022 Key 512 должен считаться по алгоритму ГОСТ Р 34.11-2022-512.

Приступаем а анализу исходного кода libreoffice: не так страшен черт как его малюют. В данной статье мы рассматриваем использование пакета NSS для формирования электронной подписи. Если кто предпочитает на платформе MS Windows, использовать CryptoAPI (и, соответственно, ГОСТ-CSP), может по аналогии с данным материалом сделать соответствующую доработку.

Анилиз показал, что правки придется внести всего в два файла:

Эти изменения связаны с правильным выбором хэш-функции для ГОСТ-овых сертификатов. Выбор хэш-функции будем определять в зависимости от типа ключа сертификата. Выбор хэш-алгоритма, например, в PDFWriter::Sign (файл pdfwriter_impl.cxx) будет выглядеть так:

Остальные изменения по логике аналогичны этим. Патч для файла

После внесения изменений проводим сборку пакета libreoffice. Внесенные изменения коснулись трех библиотек (/usr/lib64/libreoffice/program):

У Федеральной налоговой службы есть отличный сервис для получения выписки из ЕГРЮЛ для любого юридического лица, причем абсолютно бесплатно. Выписку можно получить в виде документа формата PDF, подписанном квалифицированной электронной подписью. И такую выписку можно отправить в коммерческий банк, госучреждение, и с вас не попросят ее в бумажном виде. В общем, очень удобно.

Заказываем, получаем и проверяем:

image loader

Стоит напомнить, что не следует забывать устанавливать в хранилище цепочку доверенных сертификатов для сертификата подписанта. Но это естественно.

Все, теперь есть возможность использования электронной подписи (одной или несколько) в PDF-файлах. Это очень удобно как при согласовании документов, так и хранении документов.

А если кто привык работать с классической электронной подписью в формате PKCS#7 как присоединенной, так и отсоединенной, то для них подготовлена обновленная версия (для платформы Linux и Windows) графического пакета GUINSSPY:

image loader

Разработка велась на Python3 и если на платформе Linux проблем не было, то на MS Windows пришлось попотеть с кодировками. Фактически это была отдельная разработка и это требует отдельной статьи. Все эти нюансы можно увидеть в исходном коде.

С помощью этой утилиты можно создать хранилище сертификатов для libreoffice, управлять сертификатами, подписывать файлы и т.д.:

image loader

Утилита также позволяет создать запрос на сертификат с генерацией ключевой пары, который затем можно передать в удостоверяющий центр, а полученный сертификат установить в хранилище:

image loader

И вот если производители отечественных форков Linux доработали различные пакеты (NSS, Firefox, Thunderbiird, GnuPG/SMIME, SSH, KMail, Kleopatra, LibreOffice, OpenSSL, и т.д и т.п.) для работы с российской криптографией, то тогда можно было бы говорить об импортозамещении в области криптографии.

Источник

О цифровых подписях

В LibreOffice можно подписывать документы и макросы цифровой подписью.

Содержание

Сертификаты

Чтобы подписать документ цифровой подписью, необходим персональный ключ, сертификат. Персональный ключ хранится в компьютере пользователя как комбинация личного ключа, который должен оставаться секретным, и открытого ключа, который добавляется к документам при их подписании.

Сохранение и подписание документа

При подписании документа цифровой подписью рассчитывается своего рода контрольная сумма из содержимого документа плюс ваш персональный ключ. Контрольная сумма и общий ключ хранятся вместе с документом.

Открытие подписанного документа

Когда кто-либо впоследствии открывает документ на любом компьютере с последней версией LibreOffice, программа снова вычислит контрольную сумму и сравнит ее с сохраненной контрольной суммой. Если они одинаковы, программа сообщит, что пользователь видит исходный, неизмененный документ. Кроме того, могут быть отображены данные общего ключа из сертификата.

Этот общий ключ можно сравнить с общим ключом, опубликованным на веб-узле сертифицирующего органа.

При изменении документа цифровая подпись нарушается. После изменения не будет указания на то, что пользователь видит исходный документ.

Результат проверки действительности подписи отображается в строке состояния и в диалоговом окне «Цифровая подпись». В рамках одного документа ODF может существовать несколько подписей документов и макросов. При наличии проблемы с одной из подписей результат проверки действительности этой подписи применяется ко всем подписям. Иными словами, если существует десять действительных подписей и одна недействительная, то в строке состояния и в поле состояния в диалоговом окне появится флажок недействительности подписи.

При открытии подписанного документа отображаются следующие значки и сообщения.

Подпись действительна, однако проверка действительности сертификатов невозможна.

Подпись и сертификаты действительны, но подписаны не все компоненты документа. (Для получения сведений о документах, подписанных в предыдущих версиях программы, см. примечание ниже.)

Как сделать электронную подпись, как подписать документ электронной цифровой подписью (ЭЦП) в Москве

Подписи и версии программного обеспечения

В OpenOffice.org 3.2 и StarOffice 9.2 изменился способ подписи содержимого. Теперь подписывается все содержимое файлов, за исключением самого файла подписи (META-INF/documentsignatures.xml).

Если документ подписан в OpenOffice.org 3.2, StarOffice 9.2 или более поздней версии, то в случае открытия этого документа в программе более ранней версии такая подпись будет отображаться как «недействительная». При открытии документов в более поздних версиях подписи, созданные в более ранних версиях, будут отмечены фразой «документы подписаны частично».

NoteПосле загрузки документа ODF в строке состояния и в поле состояния в диалоговом окне появится значок, указывающий на то, что документ подписан только частично. Это состояние отображается том случае, если подпись и сертификат действительны, но созданы в OpenOffice.org до версии 3.2 или в StarOffice до версии 9.2. В версиях OpenOffice.org до 3.0 и StarOffice до 9.0 подпись документа применялась к основному содержимому, только рисунки и внедренные объекты, а также некоторое содержимое, например, макросы, не имели подписи. В OpenOffice.org 3.0 и StarOffice 9.0 подпись применялась к большей части содержимого документа, включая макросы. Однако mimeType и содержимое папки META-INF не имели подписи. В OpenOffice.org 3.2, StarOffice 9.2 и всех версиях LibreOffice подписывается всё содержимое, за исключением самого файла подписи (META-INF/documentsignatures.xml).

Предупреждения безопасности

Если при получении документа с подписью программное обеспечение сообщает о том, что подпись действительна, это не дает гарантии того, что данный документ соответствует документу, который был передан отправителем. Добавление к документам цифровых подписей не является абсолютно надежным способом защиты; существует достаточно много путей ее обхода.

Пример: Представьте, что злоумышленник получил доступ к почтовому ящику сотрудника банка с целью рассылки электронных писем от его имени. Под чужим именем он легко может получить сертификат, затем отправить по электронной почте любое подписанное письмо, представившись при этом сотрудником банка. Вы получите это письмо, и в нем самом или в прилагаемом документе будет стоять значок «подпись действительна».

Не доверяйте значку. Изучите и проверьте сертификат.

В операционных системах Windows используются функции проверки действительности подписи Windows. В системах Solaris и Linux используются файлы, предоставляемые Thunderbird, Mozilla или Firefox. Следует убедиться в том, что файлы, использующиеся системой, действительно соответствуют исходным файлам, предоставленным первоначальными разработчиками. Существует большое количество способов, с помощью которых злоумышленники могут заменить исходные файлы другими файлами.

Источник

Применение цифровых подписей

Содержание

Получение сертификата

Сертификат можно получить в сертифицирующем органе, который может быть частной компанией или государственным учреждением. Некоторые сертифицирующие органы предоставляют платные услуги, например подтверждение личности. Другие сертификаты являются бесплатными, например, выдаваемые некоторыми поставщиками услуг электронной почты в подтверждение адреса электронной почты. Далее в алфавитном порядке приведены несколько компаний, выдающих сертификаты частным лицам: GlobalSign, Verisign.

Управление сертификатами

Если используется Solaris или Linux, следует установить последнюю версию программного обеспечения Thunderbird, Mozilla Suite или Firefox, чтобы установить некоторые системные файлы, необходимые для шифрования.

Для подписанного документа в строке состояния отображается значок

Certificate 16

. Для просмотра сертификата необходимо дважды щелкнуть значок в строке состояния.

Результат проверки действительности подписи отображается в строке состояния и в диалоговом окне «Цифровая подпись». В рамках одного документа ODF может существовать несколько подписей документов и макросов. При наличии проблемы с одной из подписей результат проверки действительности этой подписи применяется ко всем подписям. Иными словами, если существует десять действительных подписей и одна недействительная, то в строке состояния и в поле состояния в диалоговом окне появится флажок недействительности подписи.

Подпись макросов в документе.

Обычно макросы являются частью документа. Когда документ подписывается, макросы, содержащиеся в документе, подписываются автоматически. Чтобы подписать только макросы, но не документ, выполните следующие действия.

При открытии среды Basic IDE, содержащей подписанные макросы, в строке состояния отображается значок

Certificate 16

. Для просмотра сертификата необходимо дважды щелкнуть значок в строке состояния.

Источник

Хранилище сертификатов в офисном пакете libreoffice

image loader

LibreOffice — мощный офисный пакет. LibreOffice бесплатен и имеет открытый исходный код.

Офисный пакет содержит в себе текстовый и табличный процессор, программу для подготовки и просмотра презентаций, векторный графический редактор, систему управления базами данных и редактор формул:

image loader

Более того, проводимая политика импортозамещения, когда на столах чиновников вместо MS Windows все чаще появляются отечественные форки Linux, способствует широкому распространению пакета LibreOffice и в органах государственного управления.

LibreOffice интенсивно развивается и с момента своего появления вобрал в себя множество дополнительных возможностей. Одной из таких возможностей является электронная подпись (цифровая подпись в терминологии LibreOffice) документа. Для формирования электронной подписи (Файл → Цифровые подписи → Цифровые подписи … → Подписать документ) используются личные сертификаты:

image loader

Глядя на картинку, у неискушенного пользователя (а тем более у чиновника) возникает глубокое чувство непонимания: что за файл собирается открываться, что за пароль должен вводиться!

Следует отметить, что это не очень удачный перевод разработчиков LibreOffice. Речь идет не о файле, а о токене/смарткарте PKCS#11, и не о пароле, а о пользовательском PIN-коде для токена. Должно быть что-то следующего вида:

image loader

Тут мы подошли к главному вопросу: где и как хранятся сертификаты, которые LibreOffice использует для формирования электронной подписи документов?

В качестве хранилища сертификатов LibreOffice использует, как правило, хранилища сертификатов, создаваемых и поддерживаемых продуктами Mozilla (Firefox, Thunderbird, SeaMonkey). По умолчанию это хранилище сертификатов почтового клиента Thunderbird (Сервис → Параметры… → Безопасность → Сертификат…):

image loader

Хранилища сертификатов для продуктов Mozilla создаются средствами пакета NSS (Network Security Services). С помощью утилит командной строки можно создать и свое хранилище сертификатов, например:

Более того, также просто из хранилища сертификатов старого формата (cert8.db, key3.db и secmod.db) создается и хранилище в новом формате (cert9.db, key4.db и pkcs11.txt). Для этого достаточно выполнить утилиту работы с сертификатами certutil в режиме просмотра ключей (-K) или сертификатов (-L) с параметром –X:

Как видим, теперь в хранилище есть базы данных как в старом, так и новом форматах.
К сожалению, обратное преобразование мне неизвестно и поэтому новые хранилища сертификатов, например, google-chrome (

/.pki) в LibreOffice недоступны.

Итак, мы остановились на том, что у нас был запрошен PIN-код к токену. Подключить токены/смарткарты PKCS#11 можно как через Firefox, Thunderbir, Seamonkey, так и утилитой modutil. Например, для подключения облачного токена достаточно выполнить команду:

Именно к этому токену LibreOffice и запросил пароль:

image loader

После ввода пароля будет доступен список личных сертификатов, которые можно использовать для формирования подписи. Здесь также можно просмотреть содержимое сертификатов:

image loader

Как только будет выбран сертификат, произойдет формирование электронной подписи:

image loader

Теперь, когда документ будет заново открыт для работы с ним, то по наличию корректной подписи можно быть уверенным, что документ никем не правился. В противном случае доверия к документу нет.

В заключение еще несколько слов о работе с хранилищем сертификатов. Если пользователь решил создавать свое хранилище отличное от продуктов Mozilla и для этого использовать утилиты командной строки NSS, то удобно воспользоваться графической оболочкой GUINSS.

Данная утилита позволяет подключать токены/смарткарты, импортировать корневые сертификаты и сертификаты из защищенного контейнераPKCS#12. Позволяет также создавать запросы (CSR) на сертификаты в формате PKCS#10:

image loader

Сформированный запрос на сертификат может быть отправлен в УЦ для получения сертификата:

Источник

Подписи и версии программного обеспечения

В OpenOffice.org 3.2 и StarOffice 9.2 изменился способ подписи содержимого. Теперь подписывается все содержимое файлов, за исключением самого файла подписи (META-INF/documentsignatures.xml).

Если документ подписан в OpenOffice.org 3.2, StarOffice 9.2 или более поздней версии, то в случае открытия этого документа в программе более ранней версии такая подпись будет отображаться как «недействительная». При открытии документов в более поздних версиях подписи, созданные в более ранних версиях, будут отмечены фразой «документы подписаны частично».

NoteПосле загрузки документа ODF в строке состояния и в поле состояния в диалоговом окне появится значок, указывающий на то, что документ подписан только частично. Это состояние отображается том случае, если подпись и сертификат действительны, но созданы в OpenOffice.org до версии 3.2 или в StarOffice до версии 9.2. В версиях OpenOffice.org до 3.0 и StarOffice до 9.0 подпись документа применялась к основному содержимому, только рисунки и внедренные объекты, а также некоторое содержимое, например, макросы, не имели подписи. В OpenOffice.org 3.0 и StarOffice 9.0 подпись применялась к большей части содержимого документа, включая макросы. Однако mimeType и содержимое папки META-INF не имели подписи. В OpenOffice.org 3.2, StarOffice 9.2 и всех версиях LibreOffice подписывается всё содержимое, за исключением самого файла подписи (META-INF/documentsignatures.xml).

Подпись макросов в документе.

Обычно макросы являются частью документа. Когда документ подписывается, макросы, содержащиеся в документе, подписываются автоматически. Чтобы подписать только макросы, но не документ, выполните следующие действия.

При открытии среды Basic IDE, содержащей подписанные макросы, в строке состояния отображается значок

. Для просмотра сертификата необходимо дважды щелкнуть значок в строке состояния.

Источник

Получите сертификат абонента для шифрования сообщений

Прежде чем отправить зашифрованное сообщение, обменяйтесь с адресатом сертификатами ЭП. Для этого достаточно отправить ему подписанное (но не зашифрованное) сообщение. Когда он получит письмо, адрес и сертификат отправителя автоматически добавятся в его адресную книгу.

Проверить наличие сертификата или добавить его вместе с контактом можно из письма.

  1. Откройте входящее письмо с ЭП.
  2. Установите курсор на адрес отправителя и, нажав правую кнопку мыши, выберите «Добавить в контакты Outlook». В блоке «Показать» выберите «Сертификаты». Убедитесь, что сертификат отправителя есть в вашей адресной книге.
  3. Нажмите «Сохранить и закрыть». Если абонент с таким адресом уже существует, программа предложит добавить новый контакт или обновить сведения. Выберите второй вариант — в контакт добавится новый сертификат, который будет использоваться по умолчанию.

Предупреждения безопасности

Если при получении документа с подписью программное обеспечение сообщает о том, что подпись действительна, это не дает гарантии того, что данный документ соответствует документу, который был передан отправителем. Добавление к документам цифровых подписей не является абсолютно надежным способом защиты; существует достаточно много путей ее обхода.

Пример: Представьте, что злоумышленник получил доступ к почтовому ящику сотрудника банка с целью рассылки электронных писем от его имени. Под чужим именем он легко может получить сертификат, затем отправить по электронной почте любое подписанное письмо, представившись при этом сотрудником банка. Вы получите это письмо, и в нем самом или в прилагаемом документе будет стоять значок «подпись действительна».

Не доверяйте значку. Изучите и проверьте сертификат.

В операционных системах Windows используются функции проверки действительности подписи Windows. В системах Solaris и Linux используются файлы, предоставляемые Thunderbird, Mozilla или Firefox. Следует убедиться в том, что файлы, использующиеся системой, действительно соответствуют исходным файлам, предоставленным первоначальными разработчиками. Существует большое количество способов, с помощью которых злоумышленники могут заменить исходные файлы другими файлами.

Источник

Управление сертификатами

Если используется Solaris или Linux, следует установить последнюю версию программного обеспечения Thunderbird, Mozilla Suite или Firefox, чтобы установить некоторые системные файлы, необходимые для шифрования.

Для подписанного документа в строке состояния отображается значок

. Для просмотра сертификата необходимо дважды щелкнуть значок в строке состояния.

Результат проверки действительности подписи отображается в строке состояния и в диалоговом окне «Цифровая подпись». В рамках одного документа ODF может существовать несколько подписей документов и макросов. При наличии проблемы с одной из подписей результат проверки действительности этой подписи применяется ко всем подписям.

Хранилище сертификатов в офисном пакете libreoffice

LibreOffice — мощный офисный пакет. LibreOffice бесплатен и имеет открытый исходный код.

Офисный пакет содержит в себе текстовый и табличный процессор, программу для подготовки и просмотра презентаций, векторный графический редактор, систему управления базами данных и редактор формул:

Более того, проводимая политика импортозамещения, когда на столах чиновников вместо MS Windows все чаще появляются отечественные форки Linux, способствует широкому распространению пакета LibreOffice и в органах государственного управления.

LibreOffice интенсивно развивается и с момента своего появления вобрал в себя множество дополнительных возможностей. Одной из таких возможностей является электронная подпись (цифровая подпись в терминологии LibreOffice) документа. Для формирования электронной подписи (Файл → Цифровые подписи → Цифровые подписи … → Подписать документ) используются личные сертификаты:

Глядя на картинку, у неискушенного пользователя (а тем более у чиновника) возникает глубокое чувство непонимания: что за файл собирается открываться, что за пароль должен вводиться!

Следует отметить, что это не очень удачный перевод разработчиков LibreOffice. Речь идет не о файле, а о токене/смарткарте PKCS#11, и не о пароле, а о пользовательском PIN-коде для токена. Должно быть что-то следующего вида:

Тут мы подошли к главному вопросу: где и как хранятся сертификаты, которые LibreOffice использует для формирования электронной подписи документов?

В качестве хранилища сертификатов LibreOffice использует, как правило, хранилища сертификатов, создаваемых и поддерживаемых продуктами Mozilla (Firefox, Thunderbird, SeaMonkey). По умолчанию это хранилище сертификатов почтового клиента Thunderbird (Сервис → Параметры… → Безопасность → Сертификат…):

Хранилища сертификатов для продуктов Mozilla создаются средствами пакета NSS (Network Security Services). С помощью утилит командной строки можно создать и свое хранилище сертификатов, например:

Более того, также просто из хранилища сертификатов старого формата (cert8.db, key3.db и secmod.db) создается и хранилище в новом формате (cert9.db, key4.db и pkcs11.txt). Для этого достаточно выполнить утилиту работы с сертификатами certutil в режиме просмотра ключей (-K) или сертификатов (-L) с параметром –X:

Как видим, теперь в хранилище есть базы данных как в старом, так и новом форматах. К сожалению, обратное преобразование мне неизвестно и поэтому новые хранилища сертификатов, например, google-chrome (

/.pki) в LibreOffice недоступны.

Итак, мы остановились на том, что у нас был запрошен PIN-код к токену. Подключить токены/смарткарты PKCS#11 можно как через Firefox, Thunderbir, Seamonkey, так и утилитой modutil. Например, для подключения облачного токена достаточно выполнить команду:

Именно к этому токену LibreOffice и запросил пароль:

После ввода пароля будет доступен список личных сертификатов, которые можно использовать для формирования подписи. Здесь также можно просмотреть содержимое сертификатов:

Как только будет выбран сертификат, произойдет формирование электронной подписи:

Теперь, когда документ будет заново открыт для работы с ним, то по наличию корректной подписи можно быть уверенным, что документ никем не правился. В противном случае доверия к документу нет.

В заключение еще несколько слов о работе с хранилищем сертификатов. Если пользователь решил создавать свое хранилище отличное от продуктов Mozilla и для этого использовать утилиты командной строки NSS, то удобно воспользоваться графической оболочкой GUINSS.

Данная утилита позволяет подключать токены/смарткарты, импортировать корневые сертификаты и сертификаты из защищенного контейнераPKCS#12. Позволяет также создавать запросы (CSR) на сертификаты в формате PKCS#10:

Сформированный запрос на сертификат может быть отправлен в УЦ для получения сертификата:

Источник

Электронная подпись гост р 34.10 документов формата pdf в офисном пакете libreoffice

Пришла пора, несмотря на все пожары, исполнить свой гражданский долг – заплатить налоги. Платить налоги мы будем через портал Госуслуги. В личный кабинет портала Госуслуг будем входить с помощью электронной подписи (терминология портала Госуслуг ), т.е. имея на руках сертификат, полученный в аккредитованном удостоверяющем центре (УЦ), и закрытый ключ. И то и другое я храню на токене PKCS#11 с поддержкой российской криптографии:

И вот, выполнив свой гражданский долг, я решил еще раз проверить работу электронной подписи в офисном пакете libreoffice.

Почему я решил это сделать? Для доступа к порталу Госуслуг я использую ОС Linux и браузер Redfox, который представляет собой доработанный с учетом поддержки российской криптографии браузер Mozilla Firefox. Как известно, офисный пакет libreoffice в качестве хранилища сертификатов также использует хранилище NSS.

Браузер Redfox-52 был установлен в папку /usr/local/lib64/firefox-52.

Для подключения библиотек пакета NSS (Network Security Services) с поддержкой ГОСТ-алгоритмов устанавливаем значение переменной LD_LIBRARY_PATH следующим образом:

В качестве хранилища сертификатов в libreoffice как правило используется хранилище сертификатов из браузера Firefox, почтового клиента Thunderbird или интегрированного пакета Seamonkey. Ничто не мешает использовать хранилище сертификатов браузеров GoogleChrome/Cromium или создать свое независмое хранилище (Сервис->Параметры->Безопасность->Сертификат):

После того как выбрано хранилище, подключены библиотеки, запускаем libreoffice, создаем файл формата odt и пытаемся его подписать (Файл->Цифровые подписи->Цифровые подписи).

Сертификаты в хранилище Firefox/NSS успешно отображаются и проверяются:

Однако, подпись после выбора сертификата и нажатия кнопки «ОК» не формируется:

Похоже libreoffice не хочет понимать российские криптоалгоритмы, несмотря на то, что используется NSS из браузера Redfox, который понимает ГОСТ-овые алгоритмы, что подтверждается успешной проверкой сертификатов.

Делаем вторую попытку: на этот раз попытаемся подписать PDF-файл. Для этого подготовленный документ экспортируем в PDF-формат. Для подписания PDF-файла его, естественно, необходимо загрузить (Файл->Цифровые подписи->Подписать PDF). После его загрузки пытаемся его подписать (Файл->Цифровые подписи->Цифровые подписи) (см.выше, выбираем сертификат, прописываем, например, цель подписания документа):

И подпись формируется. Мы видим, что подпись, сформирования на базе сертификата «Test 12 512» с ключом ГОСТ Р 34.10-2022 512 бит. Подпись верна.

Выходим из libreoffice. Снова запускаем libreoffice, загружаем подписанный pdf-файл, проверяем подписи. Все ОК. Просматривает сертификаты подписантов. Все ОК. Чудеса! Подпись PDF-файлов работает. Ставим вторую, третью подпись… Все работает. Но что-то не дает покоя. Делаем дополнительную проверку.

Открываем подписанный PDF-файл (я использовал встроенный редактор от mc – Midnight Commander — консольный файловый менеджер для Linux). Находим электронную подпись (/Type/Sig/ ):

Как видим, подпись хранится в символьном шестнадцатеричном виде. Копируем ее и сохраняем в файле. Для конвертации файла в бинарный вид (DER-кодировка) воспользуемся утилитой xxd:

Полученный файл содержит отсоединенную подпись формата PKCS#7 в DER-кодировке. Теперь это подпись можно просмотреть любым asn1-prase-ом, например, утилитой openssl. Но поскольку мы говорим о пакете NSS, то воспользуемся утилитой derdump или утилитой pp:

И тут стало понятно, что не все так хорошо. Да, алгоритм подписи Digest Encryption Algorithm: GOST R 34.10-2022 Key 512 в соответствии с выбранным для подписи сертификатом, но подпись формируется от хэша, посчитанному по алгоритму SHA-256 (Digest Algorithm (1): SHA-256). А это неправильно с точки: хэш для GOST R 34.10-2022 Key 512 должен считаться по алгоритму ГОСТ Р 34.11-2022-512.

Приступаем а анализу исходного кода libreoffice: не так страшен черт как его малюют. В данной статье мы рассматриваем использование пакета NSS для формирования электронной подписи. Если кто предпочитает на платформе MS Windows, использовать CryptoAPI (и, соответственно, ГОСТ-CSP), может по аналогии с данным материалом сделать соответствующую доработку.

Анилиз показал, что правки придется внести всего в два файла: —

Эти изменения связаны с правильным выбором хэш-функции для ГОСТ-овых сертификатов. Выбор хэш-функции будем определять в зависимости от типа ключа сертификата. Выбор хэш-алгоритма, например, в PDFWriter::Sign (файл pdfwriter_impl.cxx) будет выглядеть так:

Остальные изменения по логике аналогичны этим. Патч для файла

После внесения изменений проводим сборку пакета libreoffice. Внесенные изменения коснулись трех библиотек (/usr/lib64/libreoffice/program):

У Федеральной налоговой службы есть отличный сервис для получения выписки из ЕГРЮЛ для любого юридического лица, причем абсолютно бесплатно. Выписку можно получить в виде документа формата PDF, подписанном квалифицированной электронной подписью. И такую выписку можно отправить в коммерческий банк, госучреждение, и с вас не попросят ее в бумажном виде. В общем, очень удобно.

Заказываем, получаем и проверяем:

Стоит напомнить, что не следует забывать устанавливать в хранилище цепочку доверенных сертификатов для сертификата подписанта. Но это естественно.

Все, теперь есть возможность использования электронной подписи (одной или несколько) в PDF-файлах. Это очень удобно как при согласовании документов, так и хранении документов.

А если кто привык работать с классической электронной подписью в формате PKCS#7 как присоединенной, так и отсоединенной, то для них подготовлена обновленная версия (для платформы Linux и Windows) графического пакета GUINSSPY:

Разработка велась на Python3 и если на платформе Linux проблем не было, то на MS Windows пришлось попотеть с кодировками. Фактически это была отдельная разработка и это требует отдельной статьи. Все эти нюансы можно увидеть в исходном коде.

С помощью этой утилиты можно создать хранилище сертификатов для libreoffice, управлять сертификатами, подписывать файлы и т.д.:

Утилита также позволяет создать запрос на сертификат с генерацией ключевой пары, который затем можно передать в удостоверяющий центр, а полученный сертификат установить в хранилище:

И вот если производители отечественных форков Linux доработали различные пакеты (NSS, Firefox, Thunderbiird, GnuPG/SMIME, SSH, KMail, Kleopatra, LibreOffice, OpenSSL, и т.д и т.п.) для работы с российской криптографией, то тогда можно было бы говорить об импортозамещении в области криптографии.

Источник

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector