- Что потребуется для подписания электронного документа?
- Excel и word
- Атака типа «заворачивание подписи» (signature wrapping attack, swa)
- Атака типа «инкрементальное сохранение» (incremental saving attack, isa)
- Вариант 3. воспользоваться веб-сервисами
- Настройка установленного по
- Проверка эцп плагинами для excel, pdf, word
- Сравнение программ для создания электронной подписи
- Структура pdf-файла
- Универсальная подделка подписи (universal signature forgery, usf)
- Установка криптопровайдера и плагина
- Установка сертификата уц фнс россии
- Практические выводы
Что потребуется для подписания электронного документа?
Получить электронную подпись
Excel и word
Для проверки электронной подписи в стандартном интерфейсе Microsoft Office необходимо установить платный плагин «КриптоПро Office Signature».
Как проверить подлинность электронной подписи:
- нажать «Файл» — «Сведения» — «Просмотр подписи»;
- выбрать «Состав подписи».
Аналогичным способом можно проверить данные о сертификате. Через меню «Файл» переходят к подменю «Просмотр подписи», а там выбирают «Состав подписи».
Для получения информации о сертификате в диалоговом окне переходят во вкладку «Просмотр».
Для проверки цифровой подписи в ПО Adobe также необходим специальный плагин, который можно использовать бесплатно. Кроме КриптоПро PDF пользователь должен иметь криптопровайдер КриптоПро CSP. Сама проверка происходит в несколько простых шагов:
- пользователь открывает нужный документ;
- нажимает кнопку «Подписи»;
- выбирает нужную неквалифицированную или квалифицированную подпись, и подтверждает свое действие правой клавишей мыши;
- в новом открывшемся окне выбирает «Проверить подпись».
Плагин производит проверку, которая обычно занимает несколько секунд, и выдает новое окно с результатами и информацией о сертификате и ЭЦП.
Атака типа «заворачивание подписи» (signature wrapping attack, swa)
Исследователи попробовали добавить еще одно поле /ByteRange сразу после подписи. Первые два значения в нем остаются неизменными, меняется только адрес конца кода подписи. В результате в файле появляется дополнительное пространство, в которое можно добавить какие-нибудь вредоносные объекты и описывающий их раздел XRef.
Атака типа «инкрементальное сохранение» (incremental saving attack, isa)
Следующим экспериментом стало удаление двух последних разделов (то есть обновление в основной раздел добавляется, а новые Xref и Trailer — нет). Некоторые приложения отказались работать с таким файлом. Две программы для просмотра PDF увидели, что разделов нет, и автоматически достроили их, не оповещая об изменении контента. Еще три без каких-либо возражений проглотили такой формат.
Далее исследователи задумались, а что будет, если цифровую подпись взять и просто-напросто скопировать в свое «ручное» обновление. На этом прокололись еще две программы — Foxit и MasterPDF.
Итого — 11 из 22 приложений для работы с PDF так или иначе оказались уязвимы к несложным манипуляциям с разделом. Причем в случае шести из них у пользователя, открывшего с их помощью документ, не было никаких шансов определить, что он был изменен. В остальных пяти случаях, чтобы увидеть факт манипуляции, пользователь должен был войти в меню и попробовать проверить валидность цифровой подписи, но при открытии файла никаких признаков изменения документа заметить также невозможно.
Вариант 3. воспользоваться веб-сервисами
Чтобы подписывать документы любого формата (*rar, *.jpeg и *.png,*.ppt, видео, базы данных и т.д.), можно установить на компьютер специальную программу — например, КриптоАРМ.
У программы есть несколько версий, которые отличаются функциональностью. Базовой версией КриптоАРМ Старт с минимумом возможностей можно пользоваться бесплатно. У всех платных версий есть тестовый период, в течение которого будут доступны все возможности. Когда это время истечет, потребуется приобрести лицензию, чтобы продолжить пользоваться этой версией.
Подписать документ можно из главного окна программы или из контекстного меню файла. Алгоритм подписания отличается в зависимости от этих вариантов, но в любом случае выбирайте пункт «Подписать» и следуйте инструкциям. Программа предложит вам выбрать:
- Количество файлов, которые нужно подписать: можно подписать несколько файлов или папку с документами.
- Формат подписи: присоединенная или отсоединенная. В первом случае подпись будет встроена в файл, а во втором будет создана в отдельном файле с расширением *.sig.
- Сертификат, которым нужно подписать документ.
Что учесть при использовании программы:
- В бесплатной версии можно поставить только базовую КЭП (без проверки времени подписания документа и статуса сертификата). Но проверить можно и усовершенствованную подпись (со статусом сертификата и временем подписания документа).
Можно подписать документ любого формата, не устанавливая на компьютер специальных программ, — например, в веб-сервисе Контур.Крипто.
Это бесплатная программа, которая позволяет создать и проверить электронную подпись, зашифровать и расшифровать электронный файл. Можно подписать не только отдельный файл, но и пакет файлов или архивов. Можно создать подпись документа двумя и более лицами.
Плагины КриптоПро | Отдельная программа КриптоАРМ | Веб-сервис Контур.Крипто | |
---|---|---|---|
Стоимость | Платные | Бесплатна только базовая версия Старт | Все функции доступны бесплатно |
Форматы документов | Word и Excel, PDF | Все | Все |
Соподпись/ пакетная подпись | Есть | Есть | Есть |
Максимальный вес файла | Без ограничений | Без ограничений | до 100 Мб |
Создание усовершенство ванной подпись | Есть | Только в платных версиях | Есть |
Присоединенная/ отсоединенная | Есть | Присоединенная/ отсоединенная | Только отсоединенная |
Функции проверки, шифрования и расшифрования | Есть | Только в платных версиях | Есть |
Плагин КриптоПро | КриптоАРМ | Госуслуги | Онлайн-сервис Контур | |
Стоимость | Для Excel и Word платный, для PDF — бесплатный | Бесплатно | Бесплатно | Бесплатно |
Формат проверяемого документа | PDF, Word, Excel | Все | Все | Все |
Максимальный объем файла | Не ограничен | Не ограничен | Не ограничен | 100 МБ |
Вид проверяемой ЭЦП | НЭП/КЭП | НЭП/КЭП | НЭП/КЭП | НЭП/КЭП |
Подтверждение отсоединенной и присоединенной ЭП | Оба типа | Оба типа | Оба типа | Только отсоединенная |
Функция шифрования и расшифрования ЭД, формирования подписи | Доступна лишь в платных версиях | Доступна лишь в платных версиях | Не предусмотрена | Доступно бесплатно |
Подтверждение достоверность ЭЦП необходимо при удаленной работе, заключении договоров, проверки сделок и т.п. В результате пользователь получает всю необходимую информацию о заверителе, а также убеждается в неизменности электронного документа после его подписания.
Проверить ЭЦП можно несколькими способами, используя специальные плагины для ПО, онлайн-сервисы или официальный портал государственных услуг. Обычно процесс занимает несколько минут, но в зависимости от загруженности сервера данные могут быть доступны в течение пары часов.
Есть специальные программы, которые устанавливаются на компьютер и позволяют создавать и проверять электронные подписи вне систем ЭДО. Одна из них — КриптоАРМ, сервис от ООО «Цифровые технологии», разработчика средств криптографической защиты информации «КриптоПРО».
Для проверки электронных подписей достаточно установить бесплатную версию — «КриптоАРМ Старт». В ней можно проверить документ любого формата, один документ или сразу папку. Чтобы проверить подпись, необходимо:
- Запустить программу «КриптоАРМ» и открыть вкладку Файл.
- Загрузить нужный документ или папку.
- Запустить проверку (кнопка «Проверить»).
После окончания операции откроется окно результата, в котором можно увидеть статус операции. В протоколе сервис напишет, прошла электронная подпись проверку или возникли ошибки.
Контур.Крипто — бесплатный сервис от Удостоверяющего центра СКБ Контур для создания и проверки подписи, шифрования и расшифрования электронных документов. Удобство сервиса в том, что его не нужно скачивать и устанавливать, легко разобраться, как в нем работать. Настройка компьютера для работы с электронной подписью проходит автоматически.
В сервисе можно бесплатно проверить отсоединенную подпись, выпущенную любым удостоверяющим центром. В программе можно работать с файлами любого вида весом до 100 Мб.
Проверка подписи проходит по простому алгоритму:
- Зайдите на страницу «Проверка электронной подписи».
- Загрузите в появившееся окно подписанный файл и отдельно — файл подписи с расширением.sig.
- Запустите проверку (кнопка «Проверить подпись»).
В результате проверки Контур.Крипто:
- Подтверждает, что подпись соответствует документу и он не был изменен. Укажет владельца подписи, дату подписания, наименование удостоверяющего центра.
- Или не подтверждает подпись. В этом случае он назовет причину, по которой подпись не подтверждена.
Проверить электронную подпись в Контур.Крипто
Настройка установленного по
После установки всего необходимого ПО необходимо произвести настройку для его правильной совместной работы. Настройка иллюстрируется на
примере следующего комплекта ПО:
- Adobe Reader 11.0.11
- CryptoPro CSP 3.6
- КриптоПро PDF
Для других вариантов ПО настройка производится аналогично.
При открытии PDF документа, подписанного ЭП, с помощью Adobe Reader без выполнения необходимых настроек, появляется сообщение о
недействительности подписи:
Для того, чтобы настроить Adobe Reader на использование правильного алгоритма, проделайте следующее:
Зайдите в меню Редактирование > Установки. В открывшемся окне выберите категорию “Подписи”:
Нажмите кнопку “Подробнее” в разделе “Проверка”:
В разделе “Поведение подтверждения” выберите опцию “Всегда использовать метод по умолчанию”:
В выпадающем списке выберите установленный Вами плагин:
Нажимайте кнопку “ОК”, пока не закроются все диалоговые окна. После этого в разделе “Подписи” нажмите кнопку “Проверить все” (или
закройте документ и откройте его снова):
Подписи успешно проверены.
Все выполненные настройки сохранятся до момента переустановки ПО, в дальнейшем при открытии документов, подписанных ЭП по ГОСТ Р
34.10-2021 проверка будет производиться автоматически.
Проверка эцп плагинами для excel, pdf, word
Плагины для программного обеспечения есть как платные, так и бесплатные. Они позволяют не только подтвердить работоспособность цифровой подписи, но и установить полное или частичное подписание файла, определить действительность сертификата или его недействительность с возможностью восстановления.
Сравнение программ для создания электронной подписи
Плагины КриптоПро | Отдельная программа КриптоАРМ | Веб-сервис Контур.Крипто | |
---|---|---|---|
Стоимость | Платные | Бесплатна только базовая версия Старт | Все функции доступны бесплатно |
Форматы документов | Word и Excel, PDF | Все | Все |
Соподпись/ пакетная подпись | Есть | Есть | Есть |
Максимальный вес файла | Без ограничений | Без ограничений | до 100 Мб |
Создание усовершенство ванной подпись | Есть | Только в платных версиях | Есть |
Присоединенная/ отсоединенная | Есть | Присоединенная/ отсоединенная | Только отсоединенная |
Функции проверки, шифрования и расшифрования | Есть | Только в платных версиях | Есть |
Получить электронную подпись
Структура pdf-файла
Для начала нужно сказать несколько слов о том, как устроен формат PDF. Файл состоит из четырех основных частей: заголовка (Header), где хранится версия PDF; основной части, где размещается контент, который видит пользователь (body); раздела Xref, представляющего собой каталог, в котором перечислены объекты внутри основного раздела и их местонахождение (он служит для корректного отображения контента); и трейлера (trailer) — раздела, с которого программы для чтения PDF начинают обработку документа.
Универсальная подделка подписи (universal signature forgery, usf)
Исследователи решили на всякий случай проверить приложения и при помощи стандартных пентестерских приемов — попробовать заменить значения разных полей на некорректные или просто удалить их. При экспериментах с разделом /contents выяснилось, что если вместо реальной подписи в нем будет значение 0x00, то две программы для просмотра все равно будут успешно валидировать ее.
А что будет, если оставить подпись на месте, но удалить информацию о том, что именно подписано (то есть раздел /ByteRange)? Или поставить в нем вместо реальных значений null? В обоих случаях нашлись приложения, которые валидировали такую подпись.
Итого, четыре программы из 22 имели ошибки в имплементации, которые можно эксплуатировать.
Если посмотреть на сводную таблицу по итогам исследования, то видно, что так или иначе удается обмануть 21 из 22 программ для просмотра PDF. То есть при необходимости почти под каждую из них можно сделать PDF-файл с вредоносным контентом или ложной информацией, но в глазах пользователя он останется подписанным автором.
Забавно, что единственное приложение, не поддавшееся ни на одну из уловок исследователей, это Adobe Reader 9. Проблема в том, что он подвержен RCE-уязвимости, а потому он стоит только у пользователей Linux — просто потому, что это последняя доступная для них версия.
Установка криптопровайдера и плагина
Программное обеспечение, реализующее алгоритмы криптографии по ГОСТ Р 34.10-2021, поставляется лицензированными компаниями-разработчиками
на коммерческой основе.
Для приобретения ПО обратитесь в одну из таких компаний. При установке ПО следуйте инструкциям, поставляемым в комплекте, или
воспользуйтесь услугами консультантов поставщика.
Установка сертификата уц фнс россии
Установку сертификатов вручную необходимо выполнить следующим образом:
Сохраните на компьютер сертификат Удостоверяющего Центра ФНС России
Для установки сертификата FNS Russia.cer нажмите на файл правой кнопкой мыши и выберите «Установить сертификат»:
Для продолжения установки нажмите кнопку «Далее»
В следующем окне установите режим «Поместить все сертификаты в следующее хранилище» и нажмите на кнопку «Обзор». Появится окно в котором необходимо выбрать хранилище сертификатов «Доверенные корневые центры сертификации»:
Для завершения установки нажмите кнопки «ОК» – «Далее» – «Готово». Вы увидите окно с информацией о завершении процесса установки. Нажмите «ОК»:
Практические выводы
Какой практический вывод можно сделать из этого? Во-первых, что не стоит слепо доверять цифровой подписи PDF-файла. Если где-то рисуют зеленую галочку, это не значит, что подпись действительно валидна.
Во-вторых, даже подписанный документ может представлять опасность. Так что прежде чем открывать любые файлы, полученные из Интернета, и переходить по ссылкам из них, следует убедиться, что у вас на компьютере стоит надежное защитное решение.