Файл укпэ что это
Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован. Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.
- Читает контейнер не напрямую, а через криптопровайдер, поэтому там, где кроме OpenSSL ничего нет, не работает.
- Если в свойствах ключа не отмечено, что ключ «экспортируемый», то конвертировать его невозможно.
- В демо версии не формирует файл с ключом, эта возможность присутствует только в платной версии.
Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:
Содержит 32 байта маски ключа в формате Asn1, зашифрованного на ключе хранения pwd_key. Далее 12 байт «затравочной» информации для генерации ключа хранения pwd_key, если криптоконтейнер защищен паролем, то пароль также участвует в генерации ключа хранения.
Далее контрольная сумма (имитозащита) 4 байта. Контрольной информацией для простоты мы пользоваться не будем, общий контроль будет осуществляться путем генерации открытого ключа и сравнения первых 8 байт полученного ключа с соответствующим полем из файла header.key:
- GostR3410_2001_CryptoPro_A_ParamSet — 1.2.643.2.2.35.1
- GostR3410_2001_CryptoPro_B_ParamSet — 1.2.643.2.2.35.2
- GostR3410_2001_CryptoPro_C_ParamSet — 1.2.643.2.2.35.3
- GostR3410_2001_CryptoPro_XchA_ParamSet — 1.2.643.2.2.36.0
- GostR3410_2001_CryptoPro_XchB_ParamSet — 1.2.643.2.2.36.1
Основную работу выполняют следующие 3 функции:
1. Создаем ключ хранения исходя из 12-ти байтовой «соли» и пароля.
2. Расшифровываем основной ключ на ключе хранения.
3. Делим ключ с маской на маску.
Но так как в библиотеке OpenSLL операция деления по модулю традиционно отсутствует, пользуемся операцией взятия обратного числа и умножением.
Далее сборка исходников описана для Linux версии.
Версию для Windows можно скачать отсюда там же есть сертификаты и закрытый ключ для тестирования, для сборки потребуется бесплатный компилятор Borland C++ 5.5
Компиляция OpenSSL библиотеки
После скачивания и распаковки исходных текстов openssl в целевой директории выполняем команды:
Получаем готовую библиотеку libcrypto.a в текущей директории.
Также потребуются заголовочные файлы из директорий engines/ccgost и include.
При необходимости заверения документов средствами стороннего программного обеспечения, порядок действий следующий.
Содержимое каталога с электронным образом документа.
Затем средствами стороннего программного обеспечения необходимо сформировать в этом же каталоге файл с электронно-цифровой подписью. Файл с ЭЦП должен иметь такое же название, как файл электронного образа, с добавлением «. SIG » в конце имени файла. После чего необходимо подписанный образ загрузить как указано в пункте 4.2.2.
Содержимое каталога с электронным образом документа после формирования файла ЭЦП.
Секция «Файлы» после прикрепления ЭЦП образа документа.
При наведении курсора на файл подписи появляется информация об сертификате.
В декабре этого года запланировано внедрение собственной отраслевой системы и ИТ-инфраструктуры для учёта средств криптографической защиты информации и работы с электронными подписями Платформы доверенных сервисов Госкорпорации «Росатом» (ПДС). Она призвана увеличить долю электронных документов в отрасли, обеспечить переход с бумаги в цифру. С её внедрением более 80 000 сотрудников смогут использовать усиленную неквалифицированную электронную подпись (УНЭП) в системах Личный кабинет работника и ЕОС-Качество, а получение усиленной квалифицированной электронной подписи (УКЭП) станет ещё проще.
Важно помнить, что документы, подписанные электронной подписью – это такие же юридически значимые документы, как если бы вы подписывали их на бумаге при помощи ручки.
Виды электронных подписей
Простая электронная подпись – это код, пароль или иное средство, подтверждающее факт формирования электронной подписи определенным лицом.
Усиленная неквалифицированная электронная подпись – это две уникальные последовательности символов, связанные между собой: ключ электронной подписи (закрытый код) и ключ проверки электронной подписи (открытый код). УНЭП позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в электронный документ после момента его подписания.
Для признания документа, подписанного УНЭП, равнозначным документу на бумажном носителе, заверенному печатью, могут быть предусмотрены дополнительные требования проверки и наличие Соглашения о применении УНЭП в корпоративной информационной системе (КИС).
Усиленная неквалифицированная электронная подпись действует только между участниками электронного документооборота (например, в случае с сервисом Личный кабинет такими участниками будут сотрудник и работодатель). УНЭП можно подписывать юридически значимые документы (договора, дарственные и пр.), если участники электронного взаимодействия дали на это согласие.
Усиленная квалифицированная электронная подпись – ключ проверки электронной подписи должен быть указан в квалифицированном сертификате. Квалифицированные сертификаты выдаются удостоверяющими центрами, аккредитованными в установленном порядке, и формируются средствами, прошедшими подтверждение соответствия требованиям безопасности – для отрасли таким аккредитованным центром является Корпоративный удостоверяющий центр Госкорпорации «Росатом», обслуживаемый отделом криптографической защиты АО «Гринатом».
Уникальность квалифицированной подписи состоит в том, что она приравнена к собственноручной подписи без дополнительных условий. Электронный документ, подписанный таким образом, должен приниматься везде, кроме случаев, когда федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
УКЭП используется в электронном взаимодействии с государственными органами и учреждениями, например, при сдаче отчетности, регистрации новых юридических лиц, электронных торговых площадках, регистрации сделок в различных государственных реестрах и др.
С внедрением ПДС получить новые сертификаты УКЭП и УНЭП и продлить действующие для пользователей станет ещё проще – не нужно будет посещать удостоверяющий центр для подачи бумажного комплекта документов. Необходимо будет пройти личную идентификацию у доверенного лица удостоверяющего центра только для получения сертификата УКЭП.
Преимущества УНЭП перед УКЭП
УНЭП для отрасли – не совсем привычный вариант, в отличие от УКЭП, но гораздо более выгодный. И вот почему.
Во-первых, это экономично , ведь УНЭП стоит в несколько раз дешевле УКЭП.
Во-вторых, быстро. Получение облачной усиленной неквалифицированной электронной подписи не требует личного присутствия сотрудника, все данные для создания сертификата УНЭП уже содержатся в корпоративных информационных системах.
В-третьих, это легко. УНЭП перевыпускается автоматически в случае любого изменения личных или рабочих данных пользователя.
В-четвёртых, практично . УНЭП заменяет УКЭП почти во всех рабочих процессах, не требующих представление интересов юридического лица перед третьими лицами (для взаимодействия с государственными органами или торговыми площадками пока ещё требуется усиленная квалифицированная электронная подпись).
И в-пятых, это безопасно . УНЭП использует механизмы защиты аналогичные УКЭП, подпись в документе совершается по тем же правилам.
Так ли безопасна электронная подпись?
С внедрением электронного документооборота у большинства пользователей возникает вопрос, а так ли безопасно использование электронной подписи? Кажется, что всё хранящееся в цифре слишком легко украсть при помощи взлома или кражи физического носителя. На самом деле это не так: использование электронной подписи также безопасно, как и использование подписи собственноручной.
Могут ли украсть мою электронную подпись?
УНЭП и УКЭП хранятся в системе Платформа доверенных сервисов, аттестованной в соответствии требованиям ФСТЭК РФ, а также с применением сертифицированных средств. Работник получает доступ к работе с УНЭП, войдя в свою учётную запись в корпоративной системе.
В то же время для подтверждения подписания документов электронной подписью используется двухфакторная авторизация, с отправкой кода подтверждения на личную почту сотрудника, при попытке подписания.
В случае с УКЭП на физическом носителе, также можно не переживать, даже если у вас украдут сам токен. Из-за двухфакторной аутентификации пароль, который вы установили, не получится взломать.
Что если украдут мой компьютер, на котором я использовал УНЭП?
Применение УНЭП в корпоративных информационных системах реализуется только с рабочих мест, находящихся в зоне корпоративной сети передачи данных. Да и сами по себе УНЭП не хранятся на рабочих компьютерах пользователя, поэтому ими невозможно воспользоваться.
Что делать, в случае подозрений на кражу пароля от учётной записи?
В данном случае обязательно смените пароль: по возможности, как можно быстрее. Не используйте электронную подпись если есть опасность, что конфиденциальность пароля от учётной записи нарушена.
Незамедлительно уведомите службу безопасности своего предприятия и своего непосредственного руководителя о подозрении или факте кражи пароля от учётной записи. А дальше следуйте инструкциям службы безопасности.
1. Минимальные системные требования к рабочему месту
- Операционная система Microsoft Windows;
- Один из браузеров:
- Спутник
- Google Chrome
- КриптоПро CSP 4.0 или 5.0
- Носитель с действующей электронной подписью, вставленный в компьютер.
- Права администратора для установки программного обеспечения.
- Установлен КриптоПРО ЭЦП Browser plug-in, а также настроен браузер:
- Должен быть выключен Антивирус
- У вас должна быть действующая лицензия Крипто Про csp. Как проверить действительность лицензии Вы можете узнать по ссылке
- Если приложение установлено, но не появляется клавиша подписать воспользуйтесь инструкцией
2. Подписание
2.1 Первый способ (по ссылке)
2. На странице выберите «Подписать файл», нажмите ДАЛЕЕ.
4. Обновите страницу подписания файла в браузере. На странице должно появиться окно запроса доступа к сертификатам. Нажмите «Продолжить».
5. Во всплывающем окне нажмите кнопку «Предоставить доступ».
Ответы на вопросы! Что делать, если после установки приложения, окно запроса доступа к сертификатам не появилось — инструкция. |
6. На следующем шаге выберите какой электронной подписью необходимо подписать (если в компьютер установлена только одна подпись, выбирать не нужно, выбор контейнера произойдет автоматически).
8. После завершения процесса подписания в папку «Загрузки» или в другую указанную Вами директорию (в зависимости от настроек браузера) загрузится файл с расширением .sig – это и есть подписанный файл.
2.2 Второй способ (правым щелчком мыши)
Для подписания вторым способом, приложение ITCOM КриптоДок предварительно должно быть установлено на компьютер (см. п.3 подписания первым способом). |
3. Подписание заявления КЭП второй (двумя) электронной подписью.
В случае, если сертификат выпускается на сотрудника юридического лица, который не является законным его представителем, заявление обязательно подписать двумя подписями:
- подписью сотрудника ЮЛ, на которого выпускается электронный ключ:
- подпись руководителя организации (законного представителя).
1. Документ подписанный первой подписью имеет расширение *.sig. Процедура подписания описана выше в разделе «Подписание».
2. Чтобы добавить вторую подпись, следует повторно выполнить пункты № 1 – 7 в разделе «Подписание » и в пункте №7 важно выбрать файл, который подписан первой подписью с расширением *.sig.
Читайте также: