Что такое oid в эцп
Данный материал публикуется как обязательный для знания IT-специалистами, которые занимаются или только собираются заниматься темой PKI (Public Key Infrastructure).
- Шаблоны сертификатов;
- Application Policies/Extended Key Usages (EKU);
- Issuance Policies/Certificate Policies;
- Certificate Practice Statement;
- алгоритмы криптографии
- и т.д.
-
— ISO assigned — ISO Identified Organization — US Department of Defense — Internet — Security — Mechanisms — PKIX — id-kp, arc for extended key purpose OIDS — id_kp_serverAuth
Вы — компания «Дизайн табуреток» по производству приложений для макетирования и моделирования табуреток и эти приложения используются у партнёрской организации «Табуретки для всех». Каждое ваше приложение подписано сертификатом подписи. В обеих компаниях существуют строгие правила проверки и выдачи сертификатов подписи. В компании «Дизайн табуреток» используется 2 шаблона сертификатов подписи:
Сертификаты на основе первого шаблона выдаются разработчикам на основе автоматической выдачи сертификатов (autoenrollment) для внутренних нужд. Когда приложение уже готово для поставки производителям табуреток (например, «Табуретки для всех»), то приложение окончательно подписывается руководителем разработок приложения. Поскольку это очень ответственный процесс, вы создали шаблон сертификатов с названием External Code Signing, но с более строгими требованиями:
- Сертификат выдаётся только уполномоченным лицам, предварительно подписавших документ, который регулирует ответственность за подписываемые этим сертификатом файлы;
- Для выдачи сертификата требуется явное одобрение менеджера CA;
- Сертификат должен храниться только на смарт-карте (в криптопровайдерах шаблона указан CSP поставщика смарт-карт, например Aladdin);
- Сертификат выдаётся только теми CA, которые отвечают 2-му уровню безопасности (что подразумевает использование HSM, раздельное управление службами CA и т.д.).
Поскольку оба шаблона выпускают сертификаты с одинаковым Application Policy/EKU (OID = 1.3.6.1.5.5.7.3.3), для определения различных порядков выдачи сертификатов вы создали два отдельных Issuance Policy, InternalIssuance (OID = 1.3.6.1.4.1.311.8888.8888) и ExternalIssuance (OID = 1.3.6.1.4.1.311.9999.9999) и назначили каждую политику выдачи соответствующему шаблону.
Компания «Табуретки для всех» удовлетворена мерами безопасности, которые предприняты разработчиком программ макетирования табуреток для охраны сертификата подписи и готова доверять таким сертификатам. Но в силу ряда причин, компания не хочет доверять остальным сертификатам выданных в компании «Дизайн табуреток». Следовательно будет организовываться частичное доверие, которое именуется как Cross-certification или Qualified Subordination.
Как быть в такой ситуации? Поскольку оба шаблона выдают сертификаты с одинаковым Application Policy, то Certificate Trust List (CTL) здесь не подходит. Для этого компания «Табуретки для всех» создаёт у себя файл policy.inf, который помимо всего прочего содержит вот такие строчки:
и с использованием этого файла policy.inf создали сертификат на основе шаблона Cross Certification Authority. Вот что будет в этом сертификате:
Данный CrossCA сертификат выдан в CA компании «Табуретки для всех» на имя выдающего (Issuing CA) CA в компании «Дизайн табуреток». И данный сертификат публикуется в компании «Табуретки для всех» посредством групповых политик или через AD.
Вопрос создания Cross Certification Authority выходит за рамки данной статьи. Хоть тема создания Cross CA весьма интересна, но, к сожалению, на практике используется не так часто, как сами сертификаты. Поэтому рассказывать об этом нет смысла, наверное.
Таким образом, компания «Табуретки для всех» будет доверять только тем сертификатам компании «Дизайн табуреток», в расширениях которых содержится как минимум:
- Certificate Policies –> Policy Identifier = 1.3.6.1.4.1.311.9999.9999
- Application Polocies –> Policy Identifier = Code Signing
Если любое из этих условий не выполняется, то «Табуретки для всех» не будут доверять таким сертификатам.
OID (Object Identifier) - это дополнительный и необязательный атрибут сертификата электронной подписи, который либо предоставляет дополнительную информацию о владельце, ключах, удостоверяющем центре, либо несёт какую-то дополнительную информацию для приложений и сервисов, которые используют этот сертификат электронной подписи.
Согласно федеральному закону №63-ФЗ от 06.04.2011 «Об электронной подписи», квалифицированный сертификат электронной подписи можно использовать в любой информационной системе без дополнительных соглашений между пользователями. Указанный закон лишь запрещает «операторам информационных систем накладывать на квалифицированные сертификаты требования, ограничивающие их использование в других информационных системах».
Пользуясь расплывчатой формулировкой, некоторые коммерческие площадки требуют в составе сертификата электронной подписи объектный идентификатор. Он открывает доступ к торгам на этой конкретной площадке, не ограничивая доступа к другим. Поэтому OIDы позиционируются как «расширение сферы действия сертификата», но доплачивать за это расширение приходится поставщикам.
Электронных торговых площадок для закупок коммерческих организаций и компаний с госучастием (торги по 223-ФЗ) более 100. По 223-ФЗ проводят закупки компании с долей участия государства выше 50%, их «дочки» и «внучки», естественные монополии (нефтегазовые компании, РЖД и т д.) и ряд других юридических лиц. Требования к электронной подписи эти площадки определяют сами.
Заказчикам, которые получают электронные подписи в Федеральном казначействе и которые работают на 8 основных ЭТП, отобранных для осуществления закупок по 44-ФЗ, не стоит беспокоиться, т.к. их электронные подписи содержат необходимый OID.
Примеры OID электронных торговых площадок:
OID 1.2.643.6.17.1 - ЭТП ГПБ
OID 1.2.643.6.7 - B2B-Center
OID «Фабрикант.ру» - 1.2.643.6.15
OID 1.2.643.3.241 – ТЭК ТОРГ
Внимание: на момент прочтения вами статьи приведённые примеры OID могут измениться, уточняйте у операторов электронных торговых площадок.
СОВЕТ: перед тем, как обратиться в удостоверяющий центр за изготовлением электронной подписи, вы должны понимать на каких электронных торговых площадках будет использоваться данная электронная подпись. Желательно выяснить какой OID должна содержать электронная подпись для работы на конкретной площадке (в этом вам может помочь запрос в службу техподдержки) и уже при обращении в удостоверяющий центр назвать необходимые OID или электронные торговые площадки, на которых планируете работать.
Отмена использования OID - расширений в сертификатах Электронной подписи.
1 июля 2020 год вступила в силу часть 2.1 статьи №17 Федерального закона № 63 от 06 апреля 2011 г. в редакции от 08.06.20г. Которая вводит запрет для ряда информационных систем, а так же некоторым электронным торговым площадкам требовать внесения в состав сертификата электронной подписи специального объектного идентификатора OID.
Данный введенный запрет, в основном коснулся федеральных информационных систем. И информационных систем массового пользования организациями и физическими лицами. Деятельность этих систем регулируется различными правовыми нормами и актами. В случае отказа торговой площадки от внесения объектного идентификатора OID, в сертификат электронной подписи. То для работы на такой площадке будет достаточно приобрести обычную Квалифицированную Электронную подпись КЭП.
Торговые площадки по своему трактовали это законодательное нововведение. В связи с этим далеко не все площадки решили отказаться от использования OID в сертификатах КЭП.
На данный момент точно известно, что от использования данного расширения в своей коммерческой секции отказалась ЭТП Газпромбанк. Сейчас появилась возможность зарегистрироваться, и торговать в этой секции использую стандартную квалифицированную электронную подпись.
Но далеко не все торговые площадки отказались от использования в сертификатах ЭП дополнительных OID. Такие площадки как НЭП-Фабрикант и B2B-Center от использования дополнительного расширения не отказались. Но дали возможность регистрации сертификата ЭЦП без требуемого OID. Теперь можно провести регистрацию со стандартной КЭП. Для того чтобы вы смогли использовать свою ЭЦП, вам потребуется заплатить за регистрацию вашей ЭП. На данный момент стоимость регистрации Электронной подписи на ЭТП B2B Center составляет 1600 руб. Стоимость регистрации на ЭТП НЭП-Фабрикант составит 2500 руб. Столько же примерно стоит доплата за данное расширение если купить электронную подпись в УЦ.
Данная тенденция, направленная на отказ в использование в работе дополнительных расширений сохраниться. Поэтому стоит ожидать, что и другие порталы и площадки откажутся от использования OID в своих системах. По этой причине перед покупкой Электронной подписи для торговой площадки. На которой раньше необходимо было использовать дополнительное расширение, лучше уточнить, необходимо ли оно сейчас.
Электронная цифровая подпись или ЭЦП – современный способ идентификации в интернете. Электронные подписи разных видов позволяют как просто авторизоваться на государственном портале, так и придать электронному документу юридическую значимость.
Государственные и коммерческие закупки в электронной форме не обошли стороной такой способ подписания документов, поэтому цифровые подписи активно используются для участия в тендерах.
Более того, ЭЦП сейчас должна быть у каждого участника закупок, ведь именно с её помощью регистрируются в ЕИС, отправляют заявки на участие, участвуют и подписывают контракты.
Конечно, при желании можно найти и процедуры на бумажных носителях, так называемые конверты, и закупки коммерческого сектора без требований наличия цифровой подписи. Да что уж там, есть даже ЭТП, где вообще не нужна цифровая подпись! Но стоит ли создавать себе такие ограничения, учитывая, что получить ЭЦП не так сложно?
Какими бывают ЭЦП
Видов электронной подписи не так много, запутаться не получится :). Различаются они по уровню юридической значимости.
Простая электронная подпись — по сути это привычные логин и пароль, которые мы используем в интернете для аутентификации, получения госуслуг и проведения банковских операций. Такая подпись, разумеется, не подходит для подписания документов, так как не имеет юридического значения и не отслеживает последующие изменения в файле.
Усиленная неквалифицированная электронная подпись — уже более серьёзный вариант! Такая ЭЦП создаётся при помощи криптографии – специального механизма шифрования данных. Чаще всего неквалифицированная подпись используется во внутреннем документообороте и позволяет отследить, изменился ли документ после подписания.
Помимо этих, основных видов, существует ещё один интересный вариант – облачная квалифицированная электронная подпись или ОКЭП. Такая ЭЦП обладает тем же функционалом, что и КЭП, только находится на сервере удостоверяющего центра, в котором её получили.
Вся информация, содержащаяся в обычных ЭЦП, хранится на токене – небольшой флешке. Поэтому, чтобы ей воспользоваться, необходимо подключить сам токен к компьютеру. ОКЭП позволяет забыть о физическом носителе, что делает возможным подписание необходимых документов хоть с мобильного телефона!
Что такое сертификат электронной подписи?
Для того, чтобы воспользоваться токеном, необходимо иметь сертификат электронной подписи. Именно он гарантирует юридическую силу ЭЦП и её принадлежность конкретному человеку. Существует сертификат как в бумажном, так и в электронном виде.
В зависимости от удостоверяющего центра, срок действия сертификата может отличаться. Самым популярным вариантом является годовой, но существуют как на 3 месяца и 6 месяцев, так и на 15 месяцев.
Сертификат содержит информацию о владельце, выпустившем ЭЦП удостоверяющем центре, а также информацию об области применения.
Кстати об областях применения! Для работы на конкретных ЭТП, необходимо наличие специальных расширений в сертификате – идентификаторов OID. Удостоверяющий центр вносит их при выпуске новой КЭП, а также по запросу в уже имеющуюся. Одна цифровая подпись может содержать несколько расширений, поэтому нет необходимости выпускать много для разных площадок.
Некоторые центры при выпуске предлагают заготовленные тарифы – наборы идентификаторов для ЭТП. Они бывают отдельными для госзакупок, коммерческих тендеров, торгов по банкротству, а также универсальными.
Так что при оформлении электронной подписи лучше заранее подумать, какие именно площадки вам понадобятся, чтобы не переплачивать за лишние.
Как получить ЭЦП
Оформление, как правило, не занимает много времени – до трёх рабочих дней. Практически весь срок уходит на проверку удостоверяющим центром данных, которые Вы предоставите. Это очень ответственный этап.
- Сначала необходимо обратиться в выбранный УЦ и подать заявку. В идеале, как мы уже и говорили ранее, необходимо сразу же сообщить, на каких площадках планируете применять ЭЦП.
- После этого необходимо оплатить счёт и подготовить пакет запрошенных документов. Чаще всего в него входят паспорт руководителя организации, СНИЛС, ИНН, доверенность на право участия в закупках и, наконец, заявление на изготовление сертификата электронной подписи.
- Последний, самый приятный этап, получение сертификата.
При разных обстоятельствах требуемые документы могут отличаться, так что внимательно подходите к этому моменту, чтобы не потерять лишнее время.
Чтобы воспользоваться подписью, после получения сертификата, необходимо приобрести носитель (токен), а также программу для проверки и защиты ЭЦП.
Последним подготовительным этапом станет запись подписи (сертификата) на сам носитель. Сделать этом можно разными способами – в личном кабинете удостоверяющего центра, через программу для проверки и защиты ЭЦП и при помощи встроенных средств Windows.
Как пользоваться ЭЦП
Данный этап имеет множество нюансов и вариантов дальнейших действий. Такие факторы как системное ПО, браузер, местоположение и другие, могут и будут непосредственно влиять на порядок подписания документов.
Читайте также: