как создать открепленную подпись в криптопро csp

Из нашей статьи вы узнаете:

«КриптоАРМ» — программа, в которой можно подписывать электронные документы разных форматов. Популярные форматы, с которыми можно работать в программе — PDF и XML.

В этой статье мы расскажем о преимуществах и особенностях «КриптоАРМ» и о том, как подписать электронной подписью XML и PDF файлы.

Как человек может удостоверить свою личность в реальном мире? С помощью уникального номера и серии паспорта. ЭЦП также содержит номер, сгенерированный и зашифрованный при помощи криптографической программы. В зависимости от степени защиты, специалисты выделяют три вида электронной подписи:

Простая электронная подпись. Наличие такой ЭЦП на файле может говорить только о том, что файл был отправлен именно вами.

Усиленная неквалифицированная. Такая подпись подтверждает, что документ был неизменным с момента заверения.

Усиленная квалифицированная. Приравнивает электронный документ к бумажному. Дает ему полную юридическую силу.

Оговорюсь сразу — я почти дилетант в вопросах, связанных с электронной цифровой подписью (ЭЦП). Недавно, движимый естественным любопытством, я решил немного разобраться в этом и нашел в Интернете 100500 статей на тему получения сертификатов ЭЦП в различных удостоверяющих центрах, а также многочисленные инструкции по использованию различных готовых приложений для подписания документов. Кое-где при этом вскользь упоминалось, что неквалифицированную подпись можно изготовить самостоятельно, если воспользоваться услугами «опытного программиста».

Мне тоже захотелось стать хоть немного «опытным» и разобраться в этой кухне изнутри. Для интереса я научился генерировать PGP-ключи, подписывать документы неквалифицированной подписью и проверять ее достоверность. Понимая, что никакой Америки не открыто, я, тем не менее, предлагаю этот краткий туториал для таких же, как и я, дилетантов в вопросах работы с ЭЦП. Я постарался особо не углубляться в теорию и в детали, а написать именно небольшое и краткое введение в вопрос. Тем, кто уже работает с ЭЦП, это вряд ли будет интересно, а вот новичкам, для первого знакомства — в самый раз.

Если иногда возникает необходимость подписать файл электронно-цифровой подписью (ЭЦП), то необязательно покупать КриптоАрм, такую операцию можно произвести при помощи инструментов КриптоПро (устанавливаются вместе с КриптоПро).

Например, если Вы взаимодействуете с сервисом приема (СуперСервис Поступление в вуз онлайн) и необходимо загрузить в личный кабинет сервиса приема подписанный файл для привязки сертификата подписи для дальнейшей работы по API, то такой способ подойдет, а так как сделать это нужно только один раз, приобретение КриптоАрм в этом случае не совсем оправдано.

Форматы получаемой подписи при таком способе:

1) attached PKSC#7, кодировка der (присоединенная ЭЦП, включает сам файл)

2) detached PKSC#7, кодировка der (отсоединенная ЭЦП, только подпись, не включает файл)

Для работы понадобится версия КриптоПро CSP 5.0 (в версии 4 такой возможности нет).

Вместе с ней устанавливается дополнительная утилита “Инструменты КриптоПро”:

Запускаем “Инструменты КриптоПро” и переходим на вкладку “Создание подписи”:

Нажмите кнопку “Показать расширенные”, если отображаются не все настройки.

В списке сертификатов необходимо выбрать нужный сертификат ЭЦП (действующий), см. также на колонку “Срок действия”.

Нажмите кнопку “Выбрать файл для подписи” и укажите файл, который необходимо подписать.

Примечание: для суперсервиса – это может быть любой файл в любым содержимым внутри.

По кнопке “Сохранить подпись как” задайте путь для сохранения файла подписи.

Примечание: для суперсервиса параметр “Создать отсоединенную подпись” должен быть отключен.

По умолчанию будет предложено расширение файла подписи “p7s”, но можно вручную переименовать в “sig” или “sgn”, если требуется.

Для подписания нажмите кнопку “Подписать”. По указанному пути будет сохранена подпись в зависимости от заданного формата.

Можно сразу же произвести проверку полученной подписи по кнопке “Проверка подписи”, если это необходимо.

Примечание: для личного кабинета сервиса приема (СуперСервис Поступление в вуз онлайн) необходимо загрузить полученный файл с подписью в меню Организация – Управление – Блок “Файл подписанный ЭЦП”. Если сертификат будет принят успешно, то будет отображена его информация.

Если Вам понравилась статья, пожалуйста, поставьте лайк, сделайте репост или оставьте комментарий. Если у Вас есть какие-либо замечания, также пишите комментарии.

Из нашей статьи вы узнаете:

Электронную цифровую подпись традиционно записывают на токен в виде USB-карты, что позволяет использовать ее на разных компьютерах и не зависеть от одного рабочего места. Однако необходимость скопировать ключи и сертификаты может появиться в следующих случаях:

• желание скопировать информацию для защиты данных и предотвращения потери сведений по причине выхода из строя токена;
• необходимость работы одновременно на нескольких компьютерах;
• использование облачного сервера, где доступ к ЭЦП получит несколько пользователей;
• необходимость переустановки операционной системы, где на жестком диске есть цифровая подпись.

Способы копирования ЭЦП

Сегодня доступно копирование цифровой электронной подписи следующими способами:

1. с помощью стандартных инструментов OS Windows (здесь экспорт идет из реестра операционной системы);
2. с использованием возможностей КриптоПро CSP;
3. с помощью массового копирования.

Как выполнить копирование ЭЦП средствами Windows

Это самый оперативный и простой вариант переноса данных, который сработает только в отношении ключей, находящихся в реестре операционной системы. Также понадобится установленная программа КриптоПро в версии не ниже 3.0. Для выполнения операции выполните следующие действия:

1. Перейдите в раздел «Сертификаты» вашего браузера, находящийся в его свойствах



2. Найдите во вкладе «Личные» копируемый контейнер с находящимися там сертификатами и нажмите кнопку «Экспорт»



3. Нажмите «Нет» на предложение мастера выполнить экспорт вместе с сертификатом и закрытый ключ



4. В появившейся форме выберите нужный формат файла сертификата (по умолчанию необходима DER-кодировка)



5. Укажите директорию для сохранения ключей



6. Скопируйте, нажав последовательно «Далее» и «Готово»

Теперь можно использовать электронную подпись без носителя ключа.

Как экспортировать ЭЦП с помощью КриптоПро CSP

Утилита позволяет записать контейнер на другой ПК или флешку. Сделать это можно следующим образом:

1. Откройте раздел «Сервис» в программе и выберите пункт «Скопировать контейнер».



2. Введите соответствующее имя контейнера (его можно найти в реестре операционной системы) и криптопровайдер для его поиска.





3. Введите пароль вашего ключа и перейдите в блок непосредственного копирования.



4. Укажите имя обновлённого контейнера и выберите расположение его хранилища.



5. Выберите нужный носитель и укажите новый PIN для доступа к контейнеру с последующим подтверждением.

Возможность копирования контейнера доступна только при наличии активного параметра «Экспортируемый», который должен быть выбран ещё на стадии генерации ЭЦП. В противном случае система выдаст только ошибку.

Массовое копирование ключей

Способ позволяет за один раз перенести на другой компьютер несколько цифровых подписей одновременно. Для этого на компьютере создайте новую ветку и скопируйте путь с основного рабочего ПК. Сам процесс копирования идёт следующим образом:

1. Определите SID-идентификатор ПК с помощью команды wmic useraccount where name=’name user; get sid (полученный код надо запомнить).
2. Копируйте ветку из реестра, которая расположена по адресу \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1…ХХХ\Keys, где ХХХ — полученный выше код.
3. Экспортируйте папку Keys, где находятся ключи.



4. Перенесите сертификаты, скопировав директорию, расположенную по адресу C:\Users\ polzovatel\AppData\Roaming\Microsoft\SystemCertificates\My.
5. Скопируйте ветку и директорию с находящимися там сертификатами на новый ПК (для этого первоначальную строку важно подкорректировав, указав там нужный SID).
6. Откройте файл с именем fileName.reg, откуда загрузите данные в реестровую запись.

Если не получилось скопировать

Процесс переноса электронной подписи с компьютера на флешку любым из предложенных способов обычно проходит без ошибок. Однако в некоторых случаях сохранить ЭЦП не удаётся — возникает «Ошибка копирования контейнера».

Если появилась ошибка, то владельцу подписи нужно обратиться в удостоверяющий центр, который выдал данную электронную подпись. Невозможность копирования контейнера свидетельствует о том, что ключ защищён и нужно получить его копию.

Где оформить ЭЦП и получить помощь

Если для работы вам необходима цифровая электронная подпись, то обращайтесь в УЦ «Астрал-М». Мы специализируемся на оформлении ЭЦП любого типа, предлагая следующие преимущества:

• оперативное выполнение заказа;
• широкий выбор тарифных планов с возможностью подключения дополнительных опций;
• помощь в подборе оптимального плана с учетом специфики работы заказчика;
• консультации по вопросам подготовки документов.

Для оформления ЭЦП оставьте заявку на сайте, заполнив форму обратной связи, или свяжитесь с нами по телефону. При необходимости возможно открытие подписи в офисе клиента и в ускоренном формате.

Для осуществления электронного документооборота необходимо, чтобы документы были подписаны электронной подписью (ЭП, ЭЦП). Это обязательное условие, так как документ без подписи не может считаться юридически значимым.
Рассказываем, что и в каком порядке нужно сделать, чтобы подписать документ электронной подписью.

Что потребуется

Документ следует подписывать только в окончательной редакции — какие-либо изменения в нём после подписания будут невозможны, иначе документ таким образом потеряет свою юридическую силу.

Чтобы подписать документ с помощью ЭЦП, вам потребуются:

1. Действующий сертификат квалифицированной электронной подписи.

КЭП — единственная ЭЦП, которая даёт документу юридическую силу без дополнительных соглашений между сторонами ЭДО.

2. Средства электронной подписи.

В связи с особенностями технологии электронной подписи владелец ЭЦП не может подписывать документы без специального ПО, которое пользователь должен установить на ПК.

3. Программа для создания ЭЦП — плагины, онлайн-сервисы и программы, устанавливаемые отдельно.

Как с помощью ЭЦП подписать документы формата Word и Excel

Чтобы документ, подписанный в Word или Excel, обладал юридической силой, необходимо предварительно установить КриптоПро Office Signature — специальный программный модуль, позволяющий создавать и проверять ЭЦП по алгоритмам программ Word и Excel.

Порядок действий при подписании документа для разных версий MS Office отличается.
Для программ, начиная с версии MS Office 2010, алгоритм следующий:

• на вкладке Файл перейти в разделе Сведения;

• нажать кнопку Добавить электронную подпись (КриптоПро);

• в окне Подписание нажать кнопку Изменить и выбрать личный сертификат ЭЦП;

• после выбора сертификата нажать кнопку Подписать.

Если ключевой контейнер защищён паролем, нужно указать его в соответствующем окне.Если ключевой контейнер защищён паролем, нужно указать его в соответствующем окне.

Если пароль указан правильно, появится сообщение об успешном подписании документа.

Обратите внимание! Если создать подпись в одной версии КриптоПро Office Signature, а проверять её в другой, результат проверки может быть некорректным.

Как с помощью ЭЦП подписать документ в формате PDF

Для создания и проверки электронной подписи в программах для работы с PDF-файлами Adobe Acrobat, Adobe Reader предусмотрен модуль КриптоПро PDF.

Прежде чем подписывать документ, для работы с КриптоПро PDF нужно установить и настроить Acrobat Reader DC либо Adobe Acrobat Pro.

Рассмотрим настройку на примере Acrobat Reader DC:

1. В блоке Создание и оформление нажимаем кнопку Подробнее.

2. В пункте Метод подписания по умолчанию выбираем КриптоПро PDF.

Чтобы подписать PDF-файл:

1. Откройте документ в Acrobat Reader DC

2. Выберите пункт Заполнить и подписать на панели инструментов справа.





3. Выберите пункт Сертификаты. Если его нет в списке, то необходимо добавить через настройки панели инструментов.





4. Нажмите Поставить цифровую подпись.





5. Выделите область, где будет стоять ЭЦП . После этого появится окно, в котором нужно будет выбрать цифровое удостоверение для подписи.

Как создать и подписать файл в формате SIG с помощью ЭЦП

Как видно по изображению, файл с подписанным документом не только имеет другой формат, но и больше исходного по размеру. Это связано с добавлением подписи.

Чтобы сформировать документ в формате SIG или посмотреть содержимое документа с таким форматом, потребуется специальное ПО для шифрования и расшифрования данных, создания и проверки ЭЦП.

Как создать файл электронной подписи в формате SIG

Процесс создания документа в формате SIG мы рассмотрим на примере программы КриптоАРМ. Чтобы создать подписанный документ необходимо:

1. Выбрать исходный документ, кликнув по нему правой кнопкой мыши (1), выбрать в меню КриптоАРМ (2), затем – Подписать (3).





2. Нажать кнопку Далее в открывшемся Мастере создания электронной подписи.





3. Выбрать в списке исходный файл для подписания. При необходимости можно добавить дополнительные файлы, которые нужно подписать.





4. Выбрать формат, в который будет преобразован исходный файл. По умолчанию установлен sig, поэтому менять в нашем случае ничего не нужно.





5. В блоке свойства подписи выбрать Подписано рядом с параметром Использование подписи (4). Если необходимо сохранить отдельный файл в формате SIG, отмечаем соответствующий параметр (5).





6. Нажать кнопку Выбрать(6) в окне Выбор сертификата подписи.





7. В Хранилище сертификатов выбрать сертификат ЭЦП из списка.





8. На последнем этапе создания документа с помощью Мастера нажать Готово.





После завершения операции подписания документа появится окно с результатами (7).





Готово! Документ в формате SIG создан и подписан.

Чтобы воспользоваться программой КриптоАРМ, потребуется лицензия, приобрести которую можно у нас на сайте. Если у вас ещё нет электронной подписи, оставьте заявку на её изготовление — наши менеджеры свяжутся с вами и проконсультируют по вопросам её получения в удостоверяющем центре «Астрал-М», а также помогут подобрать удобный вариант тарифа.

Что такое электронная подпись

Все термины и определения приведены в законе, поэтому изложим всё, как говорится, своими словами, не претендуя при этом на абсолютную юридическую точность формулировок.

Электронная цифровая подпись (ЭЦП) — это совокупность средств, позволяющих однозначно удостовериться в том, что автором документа (или исполнителем какого-то действия) является именно то лицо, которое называет себя автором. В этом смысле ЭЦП полностью аналогична традиционной подписи: если в обычном «бумажном» документе указано, что его автор Иванов, а внизу стоит подпись Петрова, вы справедливо можете усомниться в авторстве Иванова.

Электронная подпись бывает простая и усиленная. Простая подпись не предполагает использование стандартных криптографических алгоритмов; все способы аутентификации (установления авторства), которые были придуманы до эпохи ЭЦП — это по сути и есть простая электронная подпись. Если вы, например, зарегистрировались на сайте госуслуг, удостоверили свою личность путем явки в многофункциональный центр, а затем направляете через этот сайт обращения в различные государственные органы, то ваши логин и пароль от сайта госуслуг и будут в данном случае вашей простой электронной подписью.

Мне однажды встречался такой способ удостоверения подлинности электронных документов в одной организации: перед рассылкой документа изготавливался его хэш и подписывался в базу хэшей (обычный текстовый файл, лежащий на сервере). Далее любой желающий удостовериться в подлинности электронного документа заходил на официальный сайт этой организации (в официальности которого ни у кого сомнений не возникало) и с помощью специального сервиса проверял, содержится ли хэш проверяемого документа в базе. Замечательно при этом, что сам документ даже не нужно было загружать на сервер: хэш можно вычислить на клиентской стороне в браузере, а на сервер послать только маленький fetch- или ajax-запрос с этим хэшем. Безусловно, этот немудрёный способ можно с полным основанием назвать простой ЭЦП: подписью в данном случае является именно хэш документа, размещенный в базе организации.

Поговорим теперь об усиленной электронной подписи. Она предполагает использование стандартных криптографических алгоритмов; впрочем, таких алгоритмов существует достаточно много, так что и здесь единого стандарта нет. Тем не менее де-факто усиленная ЭЦП обычно основана на асимметричном шифровании (абсолютно гениальном, на мой взгляд, изобретении Ральфа Меркла), идея которого чрезвычайно проста: для шифрования и расшифровывания используются два разных ключа. Эти два ключа всегда генерируются парой; один называется открытым ключом (public key), а второй — секретным ключом (private key). При этом, имея один из двух ключей, второй ключ воспроизвести за разумное время невозможно.

Представим себе, что Аня хочет послать Боре (почему в литературе по криптографии обычно фигурируют Алиса и Боб? пусть будут Аня и Боря) секретную посылочку, закрытую на висячий замочек, и при этом на почте работают злые люди, которые хотят эту посылочку вскрыть. Других каналов связи, кроме почты, у Ани и Бори нет, так что ключ от замочка Аня передать Боре никак не может. Если она пошлет ключ по почте, то злые люди его, конечно, перехватят и вскроют посылочку.

Ситуация кардинально меняется, если изобретен замок с двумя ключами: один только для закрывания, а второй — только для открывания. Боря генерирует себе пару таких ключей (открытый и секретный) и открытый ключ шлет по почте Ане. Работники почты, конечно, потирая руки, делают себе копию этого ключа, но не тут-то было! Аня закрывает замок на посылке открытым ключом Бори и смело идет на почту. Работники почты вскрыть посылку открытым ключом не могут (он использовался для закрывания), а Боря спокойно открывает ее своим секретным ключом, который он бережно хранил у себя и никуда не пересылал.

Вернемся к усиленной электронной подписи. Предположим, некий Иван Иванович Иванов захотел подписать документ с помощью ЭЦП. Он генерирует себе два ключа: открытый и секретный. После этого изготавливает (стандартным способом) хэш документа и шифрует его с использованием своего секретного ключа. Можно, конечно, было зашифровать и весь документ, но полученный в результате такого шифрования файл может оказаться очень большим, поэтому шифруется именно небольшой по размеру хэш.

Полученный в результате такого шифрования файл и будет являться усиленной электронной подписью. Её еще называют отсоединенной (detach), так как она хранится в отдельном от документа файле. Такой вариант удобен тем, что подписанный отсоединенной ЭЦП файл можно спокойно прочитать без какой-либо расшифровки.

Что же теперь отправляет Иван Иванович получателям? А отправляет он три файла: сам документ, его электронную подпись и открытый ключ. Получатель документа:

• изготавливает его хэш с помощью стандартного алгоритма;
• расшифровывает электронную подпись, используя имеющийся у него открытый ключ Ивана Ивановича;
• убеждается, что хэш совпадает с тем, что указан в расшифрованной электронной подписи (то есть документ не был подменен или отредактирован). Вуаля!

Всё, казалось бы, хорошо, но есть одно большое «но». Предположим, что некий злодей по фамилии Плохиш решил прикинуться Ивановым и рассылать документы от его имени. Ничто не мешает Плохишу сгенерировать два ключа, изготовить с помощью секретного ключа электронную подпись документа и послать это всё получателю, назвавшись Ивановым. Именно поэтому описанная выше ЭЦП называется усиленной неквалифицированной: невозможно достоверно установить, кому принадлежит открытый ключ. Его с одинаковым успехом мог сгенерировать как Иванов, так и Плохиш…

Из этой коллизии существует два выхода. Первый, самый простой, заключается в том, что Иванов может разместить свой открытый ключ на своем персональном сайте (или на официальном сайте организации, где он работает). Если подлинность сайта не вызывает сомнений (а это отдельная проблема), то и принадлежность открытого ключа Иванову сомнений не вызовет. Более того, на сайте можно даже разметить не сам ключ, а его отпечаток (fingerprint), то есть, попросту говоря, хэш открытого ключа. Любой, кто сомневается в авторстве Иванова, может сверить отпечаток ключа, полученного от Иванова, с тем отпечатком, что опубликован на его персональном сайте. В конце концов, отпечаток можно просто продиктовать по телефону (обычно это 40 шестнадцатеричных цифр).

Второй выход, стандартный, состоит в том, что открытый ключ Иванова тоже должен быть подписан электронной подписью — того, кому все доверяют. И здесь мы приходим к понятию усиленной квалифицированной электронной подписи. Смысл ее очень прост: Иванов идет в специальный аккредитованный удостоверяющий центр, который подписывает открытый ключ Иванова своей электронной подписью (присоединив предварительно к ключу Иванова его персональные данные). То, что получилось, называется сертификатом открытого ключа Иванова.

Теперь любой сомневающийся может проверить подлинность открытого ключа Иванова с помощью любого из многочисленных сервисов Интернета, то есть расшифровать его сертификат (онлайн, с помощью открытого ключа удостоверяющего центра) и убедиться, что ключ принадлежит именно Иванову. Более того, Иванову теперь достаточно послать своим корреспондентам только сам документ и его отсоединенную подпись (содержащую и сведения о сертификате): все необходимые проверки будут сделаны желающими онлайн.

Справедливости ради необходимо отметить, что и неквалифицированная ЭЦП может быть сертифицирована: никто не мешает какому-то третьему лицу (например, неаккредитованному удостоверяющему центру) подписать открытый ключ Иванова своей ЭЦП и получить таким образом сертификат открытого ключа. Правда, если удостоверяющий центр не аккредитован, степень доверия к подписи Иванова будет полностью зависеть от степени доверия к этому центру.

Всё замечательно, да вот только услуги удостоверяющих центров по изготовлению для вас подписанных (снабженных сертификатом центра) ключей стоят денег (обычно несколько тысяч рублей в год). Поэтому ниже мы рассмотрим, как можно самостоятельно изготовить усиленную ЭЦП (неквалифицированную, не снабженную сертификатом открытого ключа от аккредитованного удостоверяющего центра). Юридической силы (например, в суде) такая подпись иметь не будет, так как принадлежность открытого ключа именно вам никем не подтверждена, но для повседневной переписки деловых партнеров или для документооборота внутри организации эту подпись вполне можно использовать.

Чтение присоединенной и отсоединенной подписи

Еще одно важное отличие отсоединенной и присоединенной подписи исходит от того, что отсоединенная подпись не изменяет подписываемый документ. Это означает, что он будет доступен к чтению без специальных программ.

Для чтения документа, который заверен присоединенной печатью, нужны специальные программы для работы с ЭЦП. Они должны проверить подпись и «извлечь» файл перед чтением.

Открепленная (отсоединенная) ЭП

• Файл подписи создается отдельно от подписываемого файла
• Для проверки подписи нужно передавать два файла — исходный документ и файл подписи
• Нет ограничения по формату подписываемых документов
• Созданный файл подписи имеет, как правило, расширение .sig, .sgn, .p7s
• Есть возможность создать усовершенствованную открепленную подпись, такой файл содержит отметку времени
• Можно создать файл, содержащий подписи нескольких лиц

  Проверку созданной открепленной подписи контрагент может выполнить в программах, предназначенных для проверки электронных документов с отсоединенной подписью.

КриптоАРМЛокальная программа для подписи и шифрования файлов любого формата. С помощью КриптоАРМ можно расшифровать, посмотреть подпись файла, создать как открепленную подпись документа, так и присоединенную подпись.Инструкция по работе с КриптоАРМ.

Криптопро CSP 5 версии

В составе Криптопро CSP есть утилита Инструменты Криптопро, в которой реализована возможность подписывать файлы любого формата.Инструкция по работе с Инструментами Криптопро.

Порядок прикрепления подписанных документов в заявку на выпуск электронной подписи.

Для того, чтобы работала система автоматического одобрения заявок на основании заявления, подписанного электронной подписью, нужно, чтобы в поле заявления был загружен файл, подписанный прикрепленной электронной подписью.

Вам необходимо предоставить подписанное квалифицированной ЭП заявление и подписанную доверенность (в случаях выпуска на сотрудника).

Для прикрепления данных документов, необходимо перейти в заявку на выпуск подписи и выбрать «Анкета и документы».

Внимание! Документы не принимаются в случае:— Если они находятся в архиве.— Если они имеют расширение отличающееся от .sig, .p7s, .sgn.— Документ должен быть подписан прикрепленной подписью, открепленные подписи не принимаются.

В открывшемся окне необходимо выбрать раздел «Документы».

Далее необходимо загрузить документы в правильные поля.

Подписанное заявление загружается в поле:

Необходимо нажать на данное поле, откроется окно выбора необходимого документа, выберите подписанное заявление и нажмите «ОК», либо перетяните документ прямо на данную иконку.

Подписанная доверенность загружается в поле:

Необходимо нажать на данное поле, откроется окно выбора необходимого документа, выберите подписанное заявление и нажмите «ОК», либо перетяните документ прямо на данную иконку.

Остались вопросы? Как мы можем помочь?

Проверка подписи

Вряд ли, конечно, вам самому придется проверять достоверность собственной электронной подписи, но если вдруг (на всякий случай) вам захочется это сделать, то нет ничего проще:

gpg --verify имя_файла_подписи имя_файла_документа

В реальности гораздо полезнее опубликовать где-нибудь в открытом доступе (например, на вашем персональном сайте или на сайте вашей организации):

• открытый ключ public.key для того, чтобы все желающие могли проверить (верифицировать) вашу подпись с использованием, например, той же GPG;
• веб-интерфейс для проверки вашей подписи всеми желающими, не являющимися специалистами.

Описанию такого веб-интерфейса (причем без использования серверных технологий, с проверкой подписи исключительно на клиентской стороне) и будет посвящена последняя часть моего краткого туториала.

К счастью для нас, имеется свободная библиотека OpenPGP.js; скачиваем самый маленький по размеру (на момент написания данного туториала — 506 КБ) файл dist/lightweight/openpgp.min.js и пишем несложную html-страничку (для упрощения восприятия я удалил все описания стилей и очевидные meta-тэги):

<!DOCTYPE html>
<html>
<head><meta charset="utf-8"></head>
<body>

<label for="doc">Загрузите файл с документом</label>
<input id="doc" type="file" onChange="readDoc('doc')">

<label for="sig">Загрузите файл с подписью</label>
<input id="sig" type="file" onChange="readDoc('sig')">

<button type="button" disabled onClick="check()">Проверить</button>
<output></output>

<script src="openpgp.min.js"></script>
<script src="validate.js"></script>

</body>
</html>

Понятно, что файл с открытым ключом public.key и файл библиотеки openpgp.min.js должны лежать в той же папке, что и эта страничка.

Вся работа по верификации подписей будет производиться подключенным скриптом validate.js:

"use strict";
let cont   = {doc:'', sig:''},
    flag   = {doc:false, sig:false},
    pubkey = '',
    mess   = '';

// Чтение файлов документа (как бинарного),
// ключа и подписи (как текстовых)
const readDoc = contKey => {
    let reader = new FileReader();
    reader.onload  = async e => {
        cont[contKey] = contKey == "sig" ?
                        e.target.result :
                        new Uint8Array(e.target.result);
        flag[contKey] = true;
        pubkey = await (await fetch("public.key")).text();   
        if (flag["doc"] && flag["sig"])
            document.querySelector("button").disabled = false;
    }
    reader.onerror = err => alert("Ошибка чтения файла");

    let fileObj = document.querySelector(`#${contKey}`).files[0];
    if (contKey == "sig") reader.readAsText(fileObj);
    else                  reader.readAsArrayBuffer(fileObj);
}

// Верификация подписи
const check = async () => {
    try {   
       const verified = await openpgp.verify({
           message:    openpgp.message.fromBinary(cont["doc"]),
           signature:  await openpgp.signature.readArmored(cont["sig"]),
           publicKeys: (await openpgp.key.readArmored(pubkey)).keys
       });
       const {valid} = verified.signatures[0];
       mess = "Электронная подпись НЕ является подлинной!";
       if (valid) mess = "Электронная подпись является подлинной.";
    } catch(e) {mess = "Файл подписи имеет недопустимый формат.";}
    document.querySelector("output").innerHTML = mess;
}

Вот, собственно, и всё. Теперь вы можете в соответствии с пунктом 5.23 ГОСТ 7.0.97–2016 разместить на документе (в том месте, где должна стоять собственноручная подпись) вот такую красивую картинку:

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

Что из себя представляет «КриптоАРМ»

«КриптоАРМ» шифрует и расшифровывает данные и создаёт ключи проверки электронной подписи. В своей основе программа использует популярный криптопровайдер «КриптоПро CSP».

Программа нужна для шифрования данных файлов различных форматов, проверки корректности электронных подписей, а также отправки соответствующих файлов на электронную почту. Также предусмотрена работа с сертификатами электронной подписи.

С помощью «КриптоАРМ» можно подписать XML файл или PDF документ в единичном экземпляре или сразу целую папку. При подписании нескольких документов в папке для каждого файла, входящего в неё, создаётся подпись.

Кроме того, в «КриптоАРМ» можно создать запрос в удостоверяющий центр, чтобы получить или отозвать сертификат. Программа позволяет выполнять с запросами такие операции, как создание, просмотр, фильтрация и удаление.

Если вам нужно подписать электронный документ с помощью криптопровайдера «КриптоПро CSP», потребуется версия «Стандарт» или «Стандарт PRO».

Совмещенная (прикрепленная/присоединенная) ЭП

Разновидность электронной подписи, при создании которой формируется файл, содержащий как саму электронную подпись, так и исходный документ.Создать такую подпись можно через КриптоАРМ или Инструменты Криптопро. В той же папке, в которой хранился исходный документ, появится файл с аналогичным названием, но с расширением, как правило, .sig, .sgn. Размер этого файла несколько больше, чем размер исходного документа.Отправлять контрагенту нужно будет только этот файл. Для проверки и прочтения документа у контрагента должно быть установлено ПО, поддерживающее работу с прикрепленной подписью.

Подписание документов электронной подписью

Электронная подпись содержит информацию об авторе и подтверждает отсутствие изменений в электронном документе после его подписания. Есть несколько основных способов подписания, но выбор способа зависит от требований контрагента, поэтому прежде чем принимать решение, каким способом и в каком программном обеспечении подписывать документ, уточните у контрагента требования к подписи:

• Открепленная (отсоединенная) ЭП
• Совмещенная (прикрепленная/присоединенная) ЭП

Инструкция

Для подписания файлов потребуется установленная программа Vipnet cryptoFile, скачать можно по ссылке

После установки открываем программу

3. Нажимаем и переходим «Файл — Настройки»

Откроется меню настроек

Нажимаем задать и указываем нужный сертификат для подписания, остальные настройки оставляем по умолчанию (за исключением если необходима открепленная подпись, тогда снимаем галочку с пункта «Использовать прикрепленную подпись».

После нажимаем «ОК»

Далее для подписания нажимаем ПКМ по необходимому файлу, выбираем «Vipnet cryptofile» — «Подписать»

Либо можно открыть программу с рабочего стола и окне сверху нажать на значек:

Выбрать файл (ы), после выделить строку с выбранным файлом

И нажать на значек:

После чего произойдёт подписание (файл подписи сохранится в той же директории (папке) что и оригинал)

Чтобы добавить вторую подпись, следует повторно выполнить все пункты сначала и выбрать файл, который подписан первой подписью с расширением *.sig. и выбрав вторую подпись для подписания там где требуется «Задать» сертификат

Подписанный документ вы можете проверить с помощью нашей инструкции

Как подписать файл «КриптоАРМ»

Подготовка к работе

Перед непосредственной работой с «КриптоАРМ», программу нужно скачать и установить. Приобрести можно как бесплатную версию, так и платную, которая включает поддержку аппаратных СКЗИ JaCarta ГОСТ и Рутокен ЭЦП 2.0.

В бесплатной версии «КриптоАРМ» подписывать документы с помощью электронной подписи можно будет лишь в течение 14 дней. При этом все функции программы будут доступны без ограничений. Если вы захотите подписывать электронные документы в «КриптоАРМ» в дальнейшем, потребуется приобрести лицензию.

Пошаговая инструкция

После установки программы можно приступить к подписанию документов:

1. Кликните по файлу, который нужно подписать, правой кнопкой мыши, выберите «КриптоАРМ» → «Подписать…».



2. В появившемся окне «Мастер создания электронной подписи» нажмите «Далее».



3. В окне «Выбор файлов» можно добавить любое количество папок или файлов, которые нужно подписать. Когда вы будете готовы, нажмите «Далее».



4. В окне «Выходной формат» выберите один из типов кодировки: DER или BASE64. Здесь также нужно выбрать, что делать с файлами после подписания: архивировать или поместить в выбранный каталог без архивирования.

   

5. В следующем окне настройте параметры электронной подписи. Здесь можно также выбрать, будет ли подпись встроена в документ, или же будет представлена в виде отдельного файла.



После настройки параметров нажмите «Далее».

6. В окне «Выбор сертификата подписи» нажмите кнопку «Просмотреть», выберите нужный сертификат и нажмите «Далее».



7. В завершающем окне можно поставить галочку напротив пункта «Сохранить данные в профиль…» и дать ему название. Впоследствии этот профиль настроек можно будет использовать регулярно.

После проверки все информации нажмите «Готово».

После совершённых действий выбранные файлы будут подписаны электронной подписью, о чём будет сказано в соответствующем уведомлении.

Если у вас ещё нет программы для подписания и шифрования «КриптоАРМ» или криптопровайдера «КриптоПро CSP», вы можете приобрести это ПО в нашем УЦ «Калуга Астрал» по выгодной цене, заполнив

С помощью какой программы можно сделать отсоединенную подпись?

Сделать отсоединенную ЭЦП проще, чем присоединенную. Она доступна по умолчанию в большинстве программ для электронного документооборота. Сравним по функционалу упомянутые выше программы:

Программа	Плагины КриптоПРО	КриптоАРМ
Присоединенная/отсоединенная подписи	Допустимый формат файла	Допустимый размер файла
Да	PDF, Exel, Word	Нет ограничений
Да	Все	Нет ограничений

По функционалу и доступности для подписи электронных документов лучше всего использовать программу КриптоАРМ. Бесплатна только базовая версия – КриптоАРМ СТАРТ.

Обращайтесь за лицензией на использование полноценной версии КриптоАРМ СТАНДАРТ ПЛЮС к нам! Наши специалисты подберут вам необходимый сертификат электронной подписи, лицензию КриптоПро и ответят на все возникающие вопросы.

Как поставить отсоединенную подпись?

Поставить отделенную подпись с помощью программы КриптоАРМ может даже человек, который буквально только что получил свой первый сертификат.

Давайте действовать поэтапно:

Скачайте и установите программу КриптоАРМ. На этом этапе на вашем компьютере уже должен быть установлен личный сертификат ЭЦП

Нажмите правой кнопкой мыши на файле, который хотите подписать. Выберите из контекстного меню «КриптоАРМ» и «Подписать…». Должен открыться Мастер по созданию электронной подписи»

Ставим галочку на опции «Сохранить подпись в отдельном файле», чтобы сделать отсоединенную подпись

Жмем «далее», оставляя все настройки неизменными вплоть до окна «Параметры подписи»

Вот и все. Дальше нам остается только выбрать личный сертификат, с помощью которого мы заверяем документ, и нажать на кнопку «Готово».

Отсоединенная и присоединенная подпись

Нельзя сказать, что ЭЦП бывают отсоединенных и присоединенных видов. Последнее больше относится к формату. С помощью одного сертификата можно сделать как отсоединенную, так и присоединенную подпись.

Разница между ними состоит только в том, что первая отделена от подписываемого файла, а вторая является его частью. Приведем пример:

Допустим, у вас есть текстовый файл, который нужно заверить печатью. Вы делаете это с помощью специальной программы, выбирая свой личный сертификат и формат «присоединенная подпись». В этом случае вес текстового документа увеличится. К нему буквально будет прикреплена ваша виртуальная подпись.

Открепленная подпись действует наоборот. Она создается отдельным файлом. Чтобы проверить ее достоверность, нужны одновременно два файла: текстовый документ, который мы подписали, и открепленная подпись.

Генерирование открытого и секретного ключей

Итак, вы решили самостоятельно изготовить усиленную неквалифицированную электронную подпись и научиться подписывать ею свои документы. Начать необходимо, конечно, с генерирования пары ключей, открытого (public key) и секретного (private key).

Существует множество стандартов и алгоритмов асимметричного шифрования. Одной из библиотек, реализующих эти алгоритмы, является PGP (Pretty Good Privacy). Она была выпущена в 1991 году под проприетарной лицензией, поэтому имеются полностью совместимые с ней свободные библиотеки (например, OpenPGP). Одной из таких свободных библиотек является выпущенная в 1999 году GNU Privacy Guard (GnuPG, или GPG). Утилита GPG традиционно входит в состав почти всех дистрибутивов Линукса; для работы из-под Windows необходимо установить, например, gpg4win. Ниже будет описана работа из-под Линукса.

Сначала сгенерируем собственно ключи, подав (из-под обычного юзера, не из-под root’а) команду

gpg --full-generate-key

В процессе генерирования вам будет предложено ответить на ряд вопросов:

• тип ключей можно оставить «RSA и RSA (по умолчанию)»;
• длину ключа можно оставить по умолчанию, но вполне достаточно и 2048 бит;
• в качестве срока действия ключа для личного использования можно выбрать «не ограничен»;
• в качестве идентификатора пользователя можно указать свои фамилию, имя и отчество, например, Иван Иванович Иванов; адрес электронной почты можно не указывать;
• в качестве примечания можно указать город, либо иную дополнительную информацию.

После ввода вами всех запрошенных данных утилита GPG попросит вас указать пароль, необходимый для доступа к секретному ключу. Дело в том, что сгененрированный секретный ключ будет храниться на вашем компьютере, что небезопасно, поэтому GPG дополнительно защищает его паролем. Таким образом, не знающий пароля злоумышленник, даже если и получит доступ к вашему компьютеру, подписать документы от вашего имени не сможет.

Сгенерированные ключи (во всяком случае, открытый, но можно также и секретный, на тот случай, если ваш компьютер внезапно сломается) необходимо экспортировать в текстовый формат:

gpg --export -a "Иван Иванович Иванов" > public.key
gpg --export-secret-key -a "Иван Иванович Иванов" > private.key

Понятно, что private.key вы должны хранить в секрете, а вот public.key вы можете открыто публиковать и рассылать всем желающим.

Подписание документа

Нет ничего проще, чем создать отсоединенную ЭЦП в текстовом (ASCII) формате:

gpg -ba имя_подписываемого_файла

Файл с подписью будет создан в той же папке, где находится подписываемый файл и будет иметь расширение asc. Если, например, вы подписали файл privet.doc, то файл подписи будет иметь имя privet.doc.asc. Можно, следуя традиции, переименовать его в privet.sig, хотя это непринципиально.

Если вам не хочется каждый раз заходить в терминал и вводить руками имя подписываемого файла с полным путем, можно написать простейшую графическую утилиту для подписания документов, например, такую:

#!/usr/bin/python
# -*- coding: utf-8 -*-
from Tkinter import *
from tkFileDialog import *
import os, sys, tkMessageBox

def die(event):
    sys.exit(0)

root = Tk()
w = root.winfo_screenwidth()//2 - 400
h = root.winfo_screenheight()//2 - 300
root.geometry("800x600+{}+{}".format(w, h))
root.title("Подписать документ")

flName = askopenfilename(title="Что подписываем?")

if flName:
    os.system("gpg -ba " + flName)
    button = Button(text="ЭЦП создана")
    button.bind("<Button-1>", die)
    button.pack(expand=YES, anchor=CENTER)
else:
    die()

root.mainloop()

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Для работы можно использовать ЭЦП, выданную Казначейством района Для этого необходимо скачать и установить корневой сертификат Федерального казначейства РФ по ссылке. Так как это корневой сертификат, то и установить его необходимо в хранилище корневых сертификатов.

Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро

Для собственного использования создал инструкцию для подведов. Буду рад, если кому-нибудь пригодится в работе. Ниже представлен текст с картинками из инструкции по созданию подписанного ЭЦП электронного документа, с использованием ПО КриптоПро. В самом конце приложена ссылка на исходник, он выполнен в виде Гугл документа, шаблон – брошюра, формат листа А4. Его можно использовать по своему усмотрению.

Как подписываются документы?

С помощью ЭЦП можно подписать какой-угодно файл. Это может быть текст, изображение, pdf или даже видео. Ограничений практически нет. Главное – наличие личного сертификата. Без него ваша ЭП не будет иметь юридической силы.

Обратите внимание! Личный сертификат ЭЦП выдается в удостоверяющем центре. Центр удостоверяет вашу личность, выдает сертификат и управляет его жизненным циклом – приостанавливает, возобновляет и т. д.

Личный сертификат устанавливается на персональный компьютер с помощью сторонней программы. Позже можно создать открепленную ЭП с помощью программы КриптоАРМ, плагинов КриптоПро или Веб.Сервисов.

Встроенная ЭП

Подписание внутри документов Word, Excel, PDF с помощью дополнительного ПО КриптоПро Office Signature и КриптоПро PDF.Формат исходного документа не меняется, информацию о подписи можно просмотреть, открыв документ. Если в документ после подписания внести изменения, подпись будет определяться как недействительная.

КриптоПро Office Signature

Плагин, позволяющий создавать встроенную подпись в документах Word и Excel. Можно создать неотображаемую подпись, которую будет видно только на вкладке подписей, или строку подписи в самом документе. Строка подписи представляет собой графический объект, который можно переместить на любое место в тексте документа, содержит в себе как сведения о подписавшем, так и произвольный рисунок. Есть возможность создания нескольких подписей в одном документе.

После того, как в документе появилась цифровая подпись, он автоматически помечается как окончательный и доступен только для чтения. Любое действие по редактированию документа приведёт к тому, что все подписи из документа будут помечены как недействительные.При открытии документа с подписью на компьютере, где не установлен продукт «КриптоПро Office Signature» подпись будет отображаться как недействительная.Инструкция по работе с КриптоПро Office Signature.

КриптоПро PDF

Плагин для создания подписи внутри документов PDF. Можно создать видимую подпись (отображается на панели Подписи, и в виде поля подписи в документе), или невидимую (отображается только на панели Подписи). Также позволяет настроить разрешенные изменения, при которых подпись останется действующей (например, добавление комментариев). Есть возможность создания усовершенствованной подписи с отметкой времени. Для использования совместно с программой Adobe Reader модуль КриптоПро PDF распространяется бесплатно.Инструкция по работе с КриптоПро PDF.

КриптоПро CSP

Для подписи электронных документов, будем использовать программное обеспечение КриптоПро CSP.

Использование иных криптографических программ под административную ответственность руководителей и лиц, использующих ПО СКЗИ, не имеющих действующего сертификата соответствия ФСБ РФ.

Создание подписанного документа

Подписать можно абсолютно любой файл.

Перейдите в пункт “Создание подписи”

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

Выберите подпись, которой необходимо подписать документ. Обратите внимание – ЭЦП должно быть актуальной.

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок – под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла – сам документ и его подпись. Размещать или пересылать необходимо оба документа.

Подведем итоги

Еще раз пройдемся по информации выше, выделив основные тезисы, которые стоит запомнить:

• отделенная печать отличается от присоединенной тем, что буквально хранится в отдельном
  файле;
• документ, который заверен присоединенной печатью, нельзя открыть без сторонних
  программ;
• заверить документ можно с помощью плагинов КриптоПРО, КриптоАРМ или бесплатных
  Веб-сервисов;
• электронный документооборот – это удобно, эффективно и просто.

Поделитесь этой статьей с друзьями, если она ответила на ваш вопрос. Читайте наши новые новости, чтобы узнавать еще больше интересного.