- О нуц рк — национальный удостоверяющий центр республики казахстан
- Подготовка подписи к долгосрочному хранению
- Подписание документа в веб интерфейсе с помощью ncalayer
- Посмотрите видеоролик о том, как получить эцп удаленно, если вы уже зарегистрированы в базе мобильных граждан
- Проверка подписи на стороне сервера
- Формирование неизменного представления подписываемого документа
- Юридические лица — национальный удостоверяющий центр республики казахстан
О нуц рк — национальный удостоверяющий центр республики казахстан
Национальный удостоверяющий центр Республики Казахстан (далее – НУЦ РК) был создан 29 октября 2008 года.
АО Национальные информационные технологии», согласно пункту 12-1 статьи 13 Закона Республики Казахстан «Об информатизации» от 24 ноября 2021 года, осуществляет сопровождение и системно-техническое обслуживание НУЦ РК.
Основной целью создания НУЦ РК является предоставление средств надежной аутентификации и электронной цифровой подписи для физических и юридических лиц Республики Казахстан при использовании сервисов электронного правительства, информационных систем различных бизнес-структур, а также для защиты сообщений электронной почты.
НУЦ РК осуществляет выпуск регистрационных свидетельств по следующим шаблонам:
- «Физическое лицо»;
- «Юридическое лицо – Первый руководитель»;
- «Юридическое лицо – сотрудник с правом подписи» — данный шаблон сертификата предназначен только для лиц, имеющих право подписи документов (Заместители председателя правления, Управляющие Директора, Руководитель аппарата и т.д.);
- «Юридическое лицо – сотрудник с правом подписи финансовых документов» предназначен для главного бухгалтера, финансового директора и лиц, наделенных данными полномочиями;
- «Юридическое лицо – сотрудник отдела кадров» — предназначен для сотрудников отдела кадров, для отзыва регистрационных свидетельств уволенных сотрудников;
- «Юридическое лицо – сотрудник организации» — предназначен для остальных сотрудников организации;
- Участник информационной системы Казначейство – Клиент (для подписи и аутентификации);
- SSL (Secure Sockets Layer) физического лица — для идентификации клиентом сервера по доменному имени и организации защищенного соединения ;
- SSL (Secure Sockets Layer) для юридического лица — для идентификации клиентом сервера по доменному имени и организации защищенного соединения.
Данные шаблоны предоставляют возможность информационным системам создавать собственную политику безопасности. Политика применения шаблонов регистрационных свидетельств НУЦ РК в информационной системе осуществляется по усмотрению владельца информационной системы.
КОНТАКТНАЯ ИНФОРМАЦИЯ
Акционерное общество «Национальные информационные технологии»
Приемная: 7(7172) 74-01-42
Канцелярия: Тел./факс: 7(7172) 74-10-81
Телефон доверия: 7(7172)702-000 вн. 3070
Юридический адрес: Республика Казахстан, 010000, г. Нур-Султан, левобережье, ул.Кунаева 12/1 Бизнес — центр «TRUST»
График работы:ежедневно с 9:00 до 18:30, обед с 13:00 до 14:30, кроме выходных и праздничных дней
Контакты технической поддержки пользователей: 1414, 8-800-080-7777
Электронная почта техническок поддержки пользователй: support@ecpexpert.ru
Подготовка подписи к долгосрочному хранению
Проверка подписи под электронным документом включает в себя проверку срока действия сертификата и проверку статуса отозванности сертификата. В том случае, когда необходимо обеспечить юридическую значимость подписанного документа по истечению срока действия сертификата или в том случае, когда сертификат был отозван через некоторое время после подписания, следует собирать дополнительный набор доказательств фиксирующий момент подписания и подтверждающий то, что на момент подписания сертификат не истек и не был отозван.
Для фиксации момента подписания принято использовать метки времени TSP. Метку времени на подпись можно получить либо на клиенте (запрос createCMSSignatureFromBase64 интегрирует метку времени в CMS), либо на сервере. Метка времени позволит удостовериться в том, что момент подписания попадает в срок действия сертификата.
Для того, чтобы удостовериться в том, что сертификат не был отозван в момент подписания, следует использовать CRL или OCSP ответ. Этот нюанс и рекомендации по реализации описаны в разделе APPENDIX B — Placing a Signature At a Particular Point in Time документа RFC 3161.
Подписание документа в веб интерфейсе с помощью ncalayer
Для формирования цифровых подписей на стороне клиента НУЦ РК предоставляет единственный инструмент — сертифицированное программное обеспечение NCALayer которое представляет из себя WebSocket сервер, запускаемый на 127.0.0.1, которому можно отправлять запросы на выполнение криптографических (а так же некоторых смежных) операций.
Описание API NCALayer доступно в составе комплекта разработчика. Для того, чтобы поэкспериментировать со взаимодействием с NCALayer по WebSocket можно воспользоваться страницей интерактивной документации KAZTOKEN mobile (KAZTOKEN mobile повторяет API NCALayer).
Взаимодействовать с NCALayer из браузера можно напрямую с помощью класса WebSocket, либо можно воспользоваться библиотекой ncalayer-js-client которая оборачивает отправку команд и получение ответов в современные async вызовы.
Посмотрите видеоролик о том, как получить эцп удаленно, если вы уже зарегистрированы в базе мобильных граждан
Посмотрите видеоролик о том, как получить ЭЦП удаленно, если вы не зарегистрированы в Базе мобильных граждан
Проверка подписи на стороне сервера
Тема проверки цифровых подписей обширна и я не планировал раскрывать ее в этот раз, но упомянуть о необходимости выполнения проверок как с технической, так и юридической точки зрения счел необходимым.
С технической точки зрения проверка цифровой подписи на стороне сервера в первую очередь гарантирует целостность полученного документа, во вторую — авторство, а так же неотказуемость. То есть даже в том случае, если ИС получает подписанный документ не напрямую от пользователя, а через какие-то дополнительные слои программного обеспечения, уверенность в том, что было получено именно то, что отправлял пользователь сохраняется.
С юридической точки зрения ориентироваться следует на Приказ Министра по инвестициям и развитию Республики Казахстан “Об утверждении Правил проверки подлинности электронной цифровой подписи”. В Приказе перечислены необходимые проверки которые должны выполнять информационные системы для обеспечения юридической значимости подписанных электронной цифровой подписью документов. Анализу этого документа, а так же некоторым техническим вопросам посвящена заметка Проверка цифровой подписи.
Выполнять проверки необходимо с применением сертифицированных средств, к примеру с помощью библиотек входящих в состав комплекта разработчика НУЦ РК, либо можно воспользоваться готовым решением SIGEX.
Формирование неизменного представления подписываемого документа
Разработчикам важно понимать то, что любое изменение подписанного документа приведет к тому, что подпись под ним перестанет проходить проверку. При этом изменения могут быть вызваны не только редактированием самих данных документа, но и обновлением структуры документа или механизма его сериализации.
Рассмотрим простой пример — документы хранятся в виде записей в базе данных. Для подписания документа необходимо сформировать его представление в виде единого блока данных (конечно можно подписывать каждое поле записи поотдельности, но обычно так не делают), сделать это можно, к примеру, следующими способами:
- извлечь все поля записи, привести их к строкам и соединить в одну строку;
- сформировать XML или JSON представление;
- сформировать PDF документ на базе шаблона с каким-то оформлением содержащий данные из записи;
- и т.п.
Далее возможны два сценария каждый из которых имеет свои подводные камни:
- ИС не хранит сформированного представления и каждый раз для проверки подписи под документом (в частности проверки неизменности данных) формирует его;
- ИС хранит сформированное представление и использует его для проверки подписи.
В том случае, если ИС не хранит сформированного представления, разработчикам необходимо гарантировать что в будущем формируемые представления будут бинарно идентичны тем, которые были сформированы в первый раз не смотря на:
- изменения схемы базы данных;
- обновления механизма формирования представления (которое может так же зависеть от внешних библиотек которые, скорее всего, не стремятся к обеспечению бинарной идентичности).
В том случае, если на каком-то этапе бинарная идентичность перестанет соблюдаться, то проверки цифровых подписей перестанут выполняться и юридическая значимость документов в ИС будет утеряна.
Подход с хранением сформированного представления в базе данных ИС надежнее с точки зрения обеспечения сохранности юридической значимости, но и тут есть нюанс — необходимо гарантировать эквивалентность данных в подписанном документе данным в записи в базе данных иначе может возникнуть такая ситуация когда ИС принимает решение (выполняет расчет) на основании информации не соответствующей тому, что было подписано.
То есть нужно либо так же, как и в предыдущем случае, обеспечивать бинарную идентичность формируемого представления, тогда при проверках в первую очередь следует формировать представление из текущего содержимого записи в базе данных и бинарно сравнивать новое представление с сохраненным.
Либо необходим механизм позволяющий разобрать сохраненное сформированное представление и сравнить данные из него с текущим содержимым записи в базе данных. Этот механизм так же придется дорабатывать постоянно параллельно с доработками основного функционала ИС.
Юридические лица — национальный удостоверяющий центр республики казахстан
В целях отказа от циркуляции бумажных носителей информации, как потенциальных источников распространения коронавируса COVID-19, сообщаем о запуске Пилотного проекта, предоставляющего возможность получения регистрационных свидетельств Национального удостоверяющего центра Республики Казахстан» по удаленной идентификации, без посещения НАО ГК «Правительство для граждан» (ЦОН).
