- Ncalayer – решение для использования эцп в браузере
- Национальный удостоверяющий центр республики казахстан
- Обновление модулей
- Подготовка подписи к долгосрочному хранению
- Подписание документа в веб интерфейсе с помощью ncalayer
- Проверка подписи на стороне сервера
- Ручная установкаобновление модуля
- Системные требования нца лайер
- Управление модулями
- Установка ncalayer на компьютер
- Формирование неизменного представления подписываемого документа
Ncalayer – решение для использования эцп в браузере
Вслед за развитием технологий меняется и работа с документами. Все больше организаций переходят на диджитал-документооборот. Соответственно, возникает необходимость в программах, которые этот процесс упростят. Одним из таких является приложение для электронных подписей NCALayer.
Что такое электронная подпись
Аналогом привычной ручной в виртуальной среде является электронная цифровая подпись. Она точно так же утверждает авторство документа или факт его подписания. Сложные криптографические методы защищают реквизит от подделки путем копирования.
ЭЦП может быть привязана как к отдельному физическому лицу, так и к конкретному аккаунту. Она позволяет подтвердить:
● авторство – принадлежность сертификата владельцу;
● целостность – отсутствие изменений после заверения;
● неотказуемость – согласие подписавшего с содержанием документа.
С декабря прошлого года на государственных порталах Республики Казахстан вместо ПО CryptoSocket применяется программа NCALayer. Ее разработал НУЦ РК с целью расширить способы аутентификации пользователей. С помощью утилиты можно работать с цифровыми подписями как в информационных системах (в первую очередь «Электронные счета-фактуры»), так и на защищенных носителях. Среди них удостоверение личности, Казтокен, JaCarta и другие.
ПО позволяет ускорить время обработки виртуальных реквизитов и обеспечивает корректную работу Java в браузерах. При авторизации оно предлагает выбор различных сертификатов ЭЦП из разных хранилищ.
Его главные преимущества:
● скорость;
● универсальность;
● мобильность.
Есть и минусы. В первую очередь это низкая надежность. Разработчики сайтов, на которых применяется ЭЦП, могут получить доступ к ключу и паролю владельца. А если эти данные будут храниться в веб-пространстве, то завладеть ими смогут и хакеры, взломавшие сайт. А это чревато тем, что злоумышленники начнут использовать реквизиты в корыстных целях – подписывать любые документы в фоновом режиме.
Как установить NCALayer и начать работу
Чтобы получить персональную ЭЦП, необходимо посетить сайт Национального удостоверяющего центра Республики Казахстан. Там вы можете подать заявку на электронно-цифровую подпись. Подтвердить ее требуется в НАО ГК «Правительство для граждан». Подпись действует ровно один год и распространяется на определенный перечень файловых систем.
Работать с приложением начинается со скачивания установочного файла на том же ресурсе. Нужно установить программу, следуя руководству пользователя. Перед установкой она удостоверится в корректности работы других служб и сервисов, что очень удобно.
Когда ПО успешно установится и запустится, щелкните в правом нижнем углу экрана на иконку NCALayer и перейдите в раздел «Управление модулями». Из предоставленного списка выберете модуль «Электронные счета-фактуры» и нажмите «Установить».
Если у вас уже стоит NCALayer, но раньше вы не работали с ИС ЭСФ, то перед подключением модуля перезапустите софт. Обратите внимание, что его нужно запускать каждый раз, когда планируете воспользоваться информационной системой.
Если подвести итог, то сама идея такого приложения очень актуальна. Оно действительно способно облегчить пользование госуслугами и ведение бизнеса. Но реализация, в частности уровни безопасности, еще требуют доработки.
Национальный удостоверяющий центр республики казахстан
В связи с проведением плановых технических работ, в период с 21:00 часов 3 апреля до 02:00 часов 4 апреля 2021 года, возможно превышение времени ожидания […]
Обновление модулей
При каждом запуске NCALayer проверяет доступность обновлений через интернет, и при наличии таковых просит у пользователя разрешения на установку.
Подготовка подписи к долгосрочному хранению
Проверка подписи под электронным документом включает в себя проверку срока действия сертификата и проверку статуса отозванности сертификата. В том случае, когда необходимо обеспечить юридическую значимость подписанного документа по истечению срока действия сертификата или в том случае, когда сертификат был отозван через некоторое время после подписания, следует собирать дополнительный набор доказательств фиксирующий момент подписания и подтверждающий то, что на момент подписания сертификат не истек и не был отозван.
Для фиксации момента подписания принято использовать метки времени TSP. Метку времени на подпись можно получить либо на клиенте (запрос createCMSSignatureFromBase64 интегрирует метку времени в CMS), либо на сервере. Метка времени позволит удостовериться в том, что момент подписания попадает в срок действия сертификата.
Для того, чтобы удостовериться в том, что сертификат не был отозван в момент подписания, следует использовать CRL или OCSP ответ. Этот нюанс и рекомендации по реализации описаны в разделе APPENDIX B — Placing a Signature At a Particular Point in Time документа RFC 3161.
Подписание документа в веб интерфейсе с помощью ncalayer
Для формирования цифровых подписей на стороне клиента НУЦ РК предоставляет единственный инструмент — сертифицированное программное обеспечение NCALayer которое представляет из себя WebSocket сервер, запускаемый на 127.0.0.1, которому можно отправлять запросы на выполнение криптографических (а так же некоторых смежных) операций.
Описание API NCALayer доступно в составе комплекта разработчика. Для того, чтобы поэкспериментировать со взаимодействием с NCALayer по WebSocket можно воспользоваться страницей интерактивной документации KAZTOKEN mobile (KAZTOKEN mobile повторяет API NCALayer).
Взаимодействовать с NCALayer из браузера можно напрямую с помощью класса WebSocket, либо можно воспользоваться библиотекой ncalayer-js-client которая оборачивает отправку команд и получение ответов в современные async вызовы.
Проверка подписи на стороне сервера
Тема проверки цифровых подписей обширна и я не планировал раскрывать ее в этот раз, но упомянуть о необходимости выполнения проверок как с технической, так и юридической точки зрения счел необходимым.
С технической точки зрения проверка цифровой подписи на стороне сервера в первую очередь гарантирует целостность полученного документа, во вторую — авторство, а так же неотказуемость. То есть даже в том случае, если ИС получает подписанный документ не напрямую от пользователя, а через какие-то дополнительные слои программного обеспечения, уверенность в том, что было получено именно то, что отправлял пользователь сохраняется.
С юридической точки зрения ориентироваться следует на Приказ Министра по инвестициям и развитию Республики Казахстан “Об утверждении Правил проверки подлинности электронной цифровой подписи”. В Приказе перечислены необходимые проверки которые должны выполнять информационные системы для обеспечения юридической значимости подписанных электронной цифровой подписью документов. Анализу этого документа, а так же некоторым техническим вопросам посвящена заметка Проверка цифровой подписи.
Выполнять проверки необходимо с применением сертифицированных средств, к примеру с помощью библиотек входящих в состав комплекта разработчика НУЦ РК, либо можно воспользоваться готовым решением SIGEX.
Ручная установкаобновление модуля
В случае если пользователь работает в изолированной сети (без интернета), либо невозможно открыть “Управление модулями”, то можно воспользоваться ручной установкой модуля. Для этого нужно перейти в домашнюю папку NCALayer. Далее файл модуля (jar) копируется в папку bundles, после чего необходимо перезапустить NCALayer.
Файл модуля либо ссылка на него предоставляется поставщиком этого модуля. Также информация о модуле должна присутствовать в служебном файле ncalayer.der.
Системные требования нца лайер
ОС: Windows 10 / 8 / 7ОЗУ: 64 МбHDD: 100 МбТип: бухгалтерия / офисныеДата выхода: 2021Разработчик: АО «Национальные информационные технологии»Платформа: PCТип издания: finalЯзык интерфейса: русский (RUS)Лекарство: не требуетсяРазмер: 55,5 Мб
Управление модулями
“Управления модулями” можно открыть, выбрав соответствующий пункт в контекстном меню NCALayer.
Далее можно выбрать модуль (неотмеченный серым цветом) в списке, и произвести действие по его установке или удалению.
Установка ncalayer на компьютер
- Запустить установочный файл
- Установить программу согласно инструкции
- Перейти на сайт pki.gov.kz и установить корневые сертификаты, кликнув по приведенным на скриншоте ссылкам
- Найти в трее (около часов) иконку программы и кликнуть по ней правой кнопкой мыши
- Выбрать “Управление Модулями”
- В открывшемся списке выбрать “Модуль СК Формация” и нажать “Установить Модуль”
- Таким же образом активировать модуль “Государственные Закупки РК” (если требуется)
- Войти в личный кабинет через любой браузер и начать использование системы.
Формирование неизменного представления подписываемого документа
Разработчикам важно понимать то, что любое изменение подписанного документа приведет к тому, что подпись под ним перестанет проходить проверку. При этом изменения могут быть вызваны не только редактированием самих данных документа, но и обновлением структуры документа или механизма его сериализации.
Рассмотрим простой пример — документы хранятся в виде записей в базе данных. Для подписания документа необходимо сформировать его представление в виде единого блока данных (конечно можно подписывать каждое поле записи поотдельности, но обычно так не делают), сделать это можно, к примеру, следующими способами:
- извлечь все поля записи, привести их к строкам и соединить в одну строку;
- сформировать XML или JSON представление;
- сформировать PDF документ на базе шаблона с каким-то оформлением содержащий данные из записи;
- и т.п.
Далее возможны два сценария каждый из которых имеет свои подводные камни:
- ИС не хранит сформированного представления и каждый раз для проверки подписи под документом (в частности проверки неизменности данных) формирует его;
- ИС хранит сформированное представление и использует его для проверки подписи.
В том случае, если ИС не хранит сформированного представления, разработчикам необходимо гарантировать что в будущем формируемые представления будут бинарно идентичны тем, которые были сформированы в первый раз не смотря на:
- изменения схемы базы данных;
- обновления механизма формирования представления (которое может так же зависеть от внешних библиотек которые, скорее всего, не стремятся к обеспечению бинарной идентичности).
В том случае, если на каком-то этапе бинарная идентичность перестанет соблюдаться, то проверки цифровых подписей перестанут выполняться и юридическая значимость документов в ИС будет утеряна.
Подход с хранением сформированного представления в базе данных ИС надежнее с точки зрения обеспечения сохранности юридической значимости, но и тут есть нюанс — необходимо гарантировать эквивалентность данных в подписанном документе данным в записи в базе данных иначе может возникнуть такая ситуация когда ИС принимает решение (выполняет расчет) на основании информации не соответствующей тому, что было подписано.
То есть нужно либо так же, как и в предыдущем случае, обеспечивать бинарную идентичность формируемого представления, тогда при проверках в первую очередь следует формировать представление из текущего содержимого записи в базе данных и бинарно сравнивать новое представление с сохраненным.
https://www.youtube.com/watch?v=cdbO27VMVjk
Либо необходим механизм позволяющий разобрать сохраненное сформированное представление и сравнить данные из него с текущим содержимым записи в базе данных. Этот механизм так же придется дорабатывать постоянно параллельно с доработками основного функционала ИС.
