How to become an author
Search
Write a publication
Pull to refresh

Comments 33

Напишите аналог в DEBIAN. Заранее благодарю.
Total votes 1: ↑1 and ↓0+1
Поддерживаю, но не только для Debian, а вообще для Linux, или хотяб для популярных дистрибутивов.
Total votes 2: ↑2 and ↓0+2

Не легче уже использовать U2F/FIDO2 который поддерживается во всех браузерах?

Total votes 3: ↑3 and ↓0+3
Точно не легче. Для U2F вам потребуется вводить в систему новые сущности, сервер аутентификации. А тут все работает почти само собой.
This comment wasn’t rated yet0

Недолго ждать пока майкрософт добавит поддержку FIDO2 во все сервисы *)

This comment wasn’t rated yet0
когда добавит — мы обязательно об этом напишем :)
This comment wasn’t rated yet0
UFO just landed and posted this here
Думал, что тут научусь делать это для линуксового сервера под Apache/ngnix…
This comment wasn’t rated yet0
Поддерживаю.
Сейчас более актуально решение на Linux системах…
Total votes 1: ↑1 and ↓0+1

Потенциальным пользователям/админам, не идите на поводу, пользователи вас проклянут, т.к. ситуации бывают очень разные, от нет windows/ios вообще, до нет свободных usb портов.
Из личного опыта, когда увидел инструкцию для debian (другой продукт) был в шоке.
При этом есть вполне работающее решение использующее личный брелок для генерации уникальных пин-кодов, для которого ни драйверов ни спец сертификатов не нужно.

Total votes 1: ↑1 and ↓0+1
Потенциальным пользователям/админам, не идите на поводу, пользователи вас проклянут

Админы должны исходить из задач, которые необходимо решить, и принимать во внимание тех пользователей, с которыми они работают. А не идти на поводу у автора, или у вас.
This comment wasn’t rated yet0

Увы, мир не идеален, как пример, некоторые решающие задачи в очень крупных корпорациях не видят дальше своего носа, в итоге, к примеру, забывают запросить у разработчика решения по удалённому доступу утилиты и инструкции кроме как для win/ios, хотя у разработчика они в наличии, просто не в открытом доступе. Просто идут по пути наименьшего сопротивления.

This comment wasn’t rated yet0
А можно тупой вопрос? Заранее извиняюсь, если это слишком просто. Ответа нигде не нашел.
Речь о подписании отдельных файлов электронной подписью.
Имеем ЭЦП и файл *.pdf, который нужно подписать. Для подписания файла в него добавляется блок информации, который содержит сведения о подписи. Этот блок формируется из собственно самой подписи и контрольной суммы (?) исходного файла. Но, дописывая что-то в файл (подпись) мы изменяем его контрольную сумму. В итоге в файле вписана цифровая подпись, которая создана не на той контрольной сумме, которая соответствует конечному файлу.
Где я неправильно рассуждаю?
This comment wasn’t rated yet0
Во-первых, не контрольная сумма, а хеш-сумма. Во-вторых читайте про PKCS#7, если вкратце то хеш-сумма считается только от исходного файла, а не от всего конверта с подписью.
Total votes 1: ↑1 and ↓0+1
не контрольная сумма, а хеш-сумма

Это одно и то же. Нет?
Если один или несколько файлов упаковываются в контейнер с подписью, то все понятно, но речь о другом случае. Открываешь файл *.pdf, а в углу стоит значок: «Файл подписан цифровой подписью». И нет рядом никакого дополнительного файла подписи, все это — и документ и подпись хранится в одном файле и открывается обычным pdf-просмотрщиком.
This comment wasn’t rated yet0
нет, не одно и то же. я вам даже ссылку сделал, но вы, видимо, поленились нажать. Хотя к вашем вопросу это напрямую не относится. Что касается PDF, то там свой формат конверта, но суть тоже не меняется. Хеш считается только от исходных данных, а не от всего файла с подписью.
This comment wasn’t rated yet0
Спасибо. Если честно, то и правда не прочитал сначала. Разница есть.

Получается, что не любой файл можно подписать эцп? То есть, нужно знать структуру файла и сам формат должен позволять дописывать в файл информацию так, чтобы не нарушалась целостность?
This comment wasn’t rated yet0
Подписать можно абсолютно любой файл. Если использовать формат PKCS#7 то внутренний формат не важен, файл как бы вкладывается в конверт. Причем есть 2 вида подписи: прицепленная и отцепленная. Прицепленная — это исходный файл внутри конверта, а отцепленная — это как бы файл отдельно и конверт отдельно. В первом случае, чтобы посмотреть что в подписанном файле, его надо вытащить из конверта какой-то программой. Во втором случае, исходный файл существует отдельно от файла с подписью, поэтому ничто не мешает вам его открыть и использовать — главное, не изменять его, иначе подпись перестанет подходить.
This comment wasn’t rated yet0

Нужна не просто хэш сумма, а криптографический хеш https://ru.wikipedia.org/wiki/Криптографическая_хеш-функция
Классические контрольные суммы нестойки к преднамеренному искажению документа, например, изменив 4 байта можно получить нужный crc32.


Формат PDF поддерживает подпись внутри файла — https://www.adobe.com/devnet-docs/acrobatetk/tools/DigSigDC/Acrobat_DigitalSignatures_in_PDF.pdf
Входом хеш-суммы (например, sha256) является весь документ, в который добавлен участок из достаточного количества нулевых байт на месте блока для хранения подписи ("The entire PDF file is written to disk with a suitably-sized space left for the signature value as well as with worst-case values in the ByteRange array.")

This comment wasn’t rated yet0
Спасибо большое за разъяснения! Мне этот вопрос давно покоя не давал, а найти ответ как-то не удавалось.
This comment wasn’t rated yet0
Кроме PDF формата специальные выделенные места для подписи существуют и в других популярных форматах для документов, например в документах популярных пакетах Microsoft office, libreOffice и других, а также для электронной подписи S/MIME. Но ввиду того, что форматы разработаны не в России, интегрировать туда отечественную подпись по ГОСТ непросто. Поэтому даже для PDF и DOC форматов в России часто используют универсальный PKCS#7 формат.
This comment wasn’t rated yet0
А в формат ODF ODT, которыми призывают заменить DOC в государственных учреждениях, он разве не позволяет подписать его по ГОСТу?
This comment wasn’t rated yet0
Насколько я понимаю, в ODT документы подписываются по протоколу XMLDSig и скорее всего подписи по ГОСТ там ничего не противоречит, но я не знаю, есть ли прикладное обеспечение, которое такую фичу поддерживает.
This comment wasn’t rated yet0
Значит со временем появится, когда сверху приказ поступит (как это обычно бывает). Еще бы сверху приказали разрулить сложившийся зоопарк из различных ЭЦП, когда у физического лица одна подпись, у юридического другая, на разных торгах третья, для отчетности пятая и т.д.
This comment wasn’t rated yet0
вы тут немного разные сущности смешиваете, но да, возможно, что кто-нибудь подпись по ГОСТ в ODT сделает или уже сделал. Думаю, приоритет у этой задачи не самый большой, так как и PKCS#7 и его улучшенный вариант CADES прекрасно работают. А что насчет разных подписей — то работа по из объединению хоть и медленно, но ведется.
This comment wasn’t rated yet0
В случае p7s-контейнеров считается хэш всего файла. Если бы pdf подписали таким образом, то изменение любого бита файла привело бы к невалидной подписи.
Но форматом pdf предусмотрен и свой собсвенный механизм создания и хранения подписи, и вы говорите именно о нем. В этом случае все происходит более умно — хэш счиатется не от сырых битов всего pdf-файла, а от отдельных объектов его структуры. Секция, в которой хранится подпись, естественно не входит в их число.
Total votes 1: ↑1 and ↓0+1
Спасибо за ответ. Плюсик поставить не могу, статус еще не позволяет.
This comment wasn’t rated yet0
Это только доступ через веб, а зачастую для некоторых важных вещей веб-сервер и вовсе не поднимается. к примеру, бухгалтерия, зачем там веб?
This comment wasn’t rated yet0
web-клиент 1С, например
This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr