Pkcs formatında elektronik imza oluşturma 7. Birincil klasik imza. Etkileşim konularının elektronik imzaları - bireyler

"CryptoARM" programını kullanarak imzalayabilirsiniz

• ayrı dosya
• dosyalar klasörü (bu, belirtilen klasörde bulunan her dosya için bir imza oluşturacaktır. İmzalanan dosyalar otomatik olarak orijinal verilerin bulunduğu klasöre kaydedilir)

Dosya formatı P7S daha sık kullanılır. *.p7s – PKCS #7 formatında, ancak base64 metin biçiminde (PEM gibi) imzalı dosyalar

Base64 kodlamasındaki PKCS#7 Mesaj formatı için bayrağı belirtebilirsiniz Hizmet başlıklarını devre dışı bırak(bu durumda imza dosyası, imzalı verinin bulunduğu bloğun başlangıcını ve sonunu belirten başlıkları kullanmayacaktır. Dijital imza doğrulamasının yapılabilmesi için başlıklar gereklidir. önceki sürümler programlar "CryptoARM").

1. Gerekli imza özelliklerini girin (imza yorumu*, kaynak kimliği ** , imza oluşturma süresinin dahil edilmesi). Ek olarak, ek bir modül kurulduğunda etkinleştirilebilecek "imzalı verilerde zaman damgasını etkinleştir" seçeneğini de ayarlayabilirsiniz. TSP.

* İmza yorumu, imzalı belgeyi görüntüleyen kişiler tarafından okunması amaçlanan bilgiler olabilir (örneğin, "Kabul Edildi!")

** Kaynak tanımlayıcı şu anlama gelir:

• imzalanacak kaynak dosyanın yolu (bu dosyanın bulunduğu bilgisayarda veya internette)
• dosya adı (dosya adı değiştirilirse imzalı belgenin alıcısının orijinal adını belirleyebilmesi için belirtilir)

Bayrak	Açıklama
İmzayı ayrı bir dosyaya kaydet	Bayrağı ayarladığınızda dosya üzerinde ayrı bir elektronik imza oluşturulacaktır (örneğin, CryptoARM kullanmayan ve imzayla pek ilgilenmeyen bir kişiye belge gönderiyorsanız bu uygun olabilir. verinin kendisi) Bayrak yoksa, orijinal verileri içeren bir dosya içeren bir elektronik imza oluşturulacaktır (bu durumda belge ve dijital imza birlikte saklanacaktır)
İşlem tamamlandıktan sonra orijinal dosyayı silin	Birleşik imza dosyası oluşturmayı seçerseniz işlem tamamlandıktan sonra orijinal dosyayı silebilirsiniz. Bu özellik önemlidir her şeyden önce belgelerle çalışmanın rahatlığı için yalnızca dijital imzayla imzalanmış belgeleri saklaması ve değiştirmesi gerekenler için (kuruluş tarafından kabul edilen elektronik belge yönetimi düzenlemeleri çerçevesinde) Bayrağı çizginin karşısına yerleştirirseniz Silmek işlem tamamlandıktan sonra kaynak dosya,İmza için seçilen belge/belgeler, işlemin başarıyla tamamlanmasının ardından silinecektir.
İmza oluşturma süresini dahil et	Bayrağı ayarlarken imza süresi imza dosyasına dahil edilecektir.
İmzalı verilerde zaman damgasını etkinleştir	Bayrak ayarlandığında, orijinal verilerdeki zaman damgası dijital imza dosyasına dahil edilecektir. Bu işaret yalnızca TSP Modülü kuruluysa görünür.
İmzaya orijinallik kanıtını ekleyin

1. Bayrak ayarlanmış olsaydı Aç İmzalı veriler için zaman damgası , bir sonraki adımda Zaman Damgası Hizmeti parametrelerini belirtin:

1. Gerekli dijital imza parametrelerini belirtin - dijital imza ve karma algoritma oluşturmak için kişisel sertifika.

1. Seçilen anahtar kapsayıcısına (GOST sertifikası) erişmek için şifreyi girin.

Dijital imza oluşturmak için veri topladıktan sonra, işlemin durumu ve kullanılan parametreler hakkında bilgi içeren bir pencere açılacaktır: dosyanın imzalandığı sertifika.

Belirlenen dijital imza parametreleri, gelecekte kullanılmak üzere şablon olarak kuruluma kaydedilebilir. Bunu yapmak için kutuyu işaretleyin Verileri daha sonra kullanmak üzere ayarlara kaydedin ve ayar için bir ad girin. Ayrıca listeden adını seçerek tüm verileri mevcut bir ayara kaydedebilirsiniz.

1. Dosya imzalama işlemi başlayacaktır. Butona tıklayarak işlemi durdurabilirsiniz İptal etmek.
2. Oluşturulan dijital imza dosyası, varsayılan olarak kaynak verileri içeren dosyanın bulunduğu dizine kaydedilecektir. Dijital imza dosyasının adı, bir uzantıyla desteklenen, imzalanmakta olan dosyanın adı ile örtüşür (uzantı, seçilen çıktı biçimine karşılık gelir). Aynı adda bir dosya zaten mevcutsa, onu farklı bir adla kaydedin.
3. İşlem tamamlandıktan sonra bir pencere görünecektir Operasyonun sonucu. İmza oluşturma sonuçları ve kullanılan parametreler hakkında ayrıntılı bilgi görüntülemek için: kaynak dosya adı, çıktı dosyası adı, işlemin tamamlanma durumu, işlem süresi, düğmesine tıklayın Ayrıntılar >>.

Dijital imza ve abone sertifikası hakkındaki bilgileri görüntülemek istiyorsanız penceredeki listeden girişi seçin. Operasyonun sonucu ve düğmeye tıklayın Mesaj Yöneticisi.

Bir pencere açılacak İmzalı veri yönetimi, imza ve sertifika bilgilerini görüntüleyebileceğiniz:

• düğmesine tıklayarak imzalanan dosyayı görüntüleyin Görüş dosya adının karşısında,
• düğmesine tıklayarak belirtilen yola kaydedin Kaydetmek,
• imza, sertifika ve durumu hakkındaki bilgileri görüntüleyin (düğme Görüş)

Yer imi	Yer işaretindeki bilgiler
İmza	İmzanın nitelikleri, oluşturulduğu zaman, imza ve kullanılan hash algoritmaları hakkında bilgiler.
Sertifika	Sertifikaya ilişkin bilgiler (sertifika durumu/geçerliliği vb./, numarası, sahibi ve düzenleyene ilişkin bilgiler, sertifikanın geçerlilik süresi ve kullanımı).
Sertifika durumları	Tam sertifika yolunu kontrol etmenin genel durumu (sertifika durumları hakkında daha fazla bilgiyi bu bölümde bulabilirsiniz) Sertifika Durumunu Kontrol Etme). Ek olarak, sekmede sertifikaların durumunu kontrol etme yöntemini de ayarlayabilirsiniz (yerel SOS ile; CA'dan alınan SOS ile; İptal Sağlayıcıyı kullanarak; OCSP hizmetinde)
Zaman damgaları	Zaman damgası bilgileri (zaman damgası durumu, zaman damgası özellikleri, Damga Hizmeti özellikleri, Hizmet sertifikası durumu ve ayrıntıları)

Bu tür dosyalar ve hangi amaçlarla tasarlandıkları aşağıda ayrıntılı olarak açıklanacaktır. Bu materyalin orijinal adı PKCS-7 İmza dosyasıdır.

Uzantının açıklaması

O halde format hakkında konuşmaya başlayalım; size daha fazlasını anlatacağız ama şimdilik bu çözümün amacını anlamaya çalışalım. Bu formattaki materyal, dijital imza içeren bir e-posta mesajıdır. Bu format güvenli bir şekilde e-posta göndermek için kullanılır. Yalnızca alıcı tarafından görüntülenebilirler. Bu iletim yöntemi, gönderenin kimliğini doğrular ve ayrıca belirli bir e-postanın gönderme işlemi sırasında hiçbir şekilde değiştirilmediğini doğrular. Kullandığınız e-posta programı dijital imzaları desteklemiyorsa P7S dosyası genellikle mesajın eki olarak görünür. Bu formatla çalışan e-posta istemcileri PKCS standardını kullanır. Bu, e-posta mesajları için bir imza oluşturur.

Mozilla Thunderbird

Yani bir P7S dosyamız var. Bu e-posta istemcisi size onu nasıl açacağınızı söyleyecektir. Mozilla Thunderbird, tescilli tarayıcının arayüzünü büyük ölçüde kopyalar. Bu çözüm benzer prensipte çalışır. Zevkinize uygun uygun bir tasarım teması seçebilirsiniz. Harflerdeki arka planın yanı sıra 5 yazı tipi düzeyini de özelleştirmek mümkündür. Uygulama bir ifade kütüphanesi içerir. Çalışma hızı markalı tarayıcının hızına yakındır. Mektup almak veya göndermek için maksimum bekleme süresi 10 dakikadır. Belirtilen süre dolduktan sonra uygulama bağlantının koptuğunu tespit eder ve bunun sonucunda gönderimi durdurur. Bu sorun yazılım ayarlarını değiştirerek kolayca çözülebilir.

Diğer uygulamalar

P7S formatını destekleyen başka araçlar da var. PostBox programı, böyle bir belgenin nasıl açılacağını anlamanıza yardımcı olacaktır. Bu durumda Microsoft Outlook da yardımcı olabilir. Microsoft'un yarattığı bir bilgi yöneticisinden bahsediyoruz. Program, bir e-posta istemcisinin yeteneklerini işbirliği araçlarıyla birleştirir. Outlook, Microsoft Office ofis programları paketinin bir parçasıdır. P7S dosyası nasıl açılır sorusunu da CryptoARM uygulamasını kullanarak çözebilirsiniz. Evrensel bir yazılım paketinden bahsediyoruz. İş ve kişisel yazışmalar için şifreleme araçlarını kullanmanızı sağlar. Bu çözümü kullanarak hem kurumsal hem de kişisel bilgilerin korunmasını sağlayabilirsiniz.

Uygulama oldukça güzel bir grafik arayüze sahip. Bu çözüm, verilerin şifrelenmesinin yanı sıra güvenilir şifreleme de sağlar. Ayrıca bu aracı kullanarak genel anahtarlar oluşturabilir ve kullanabilir, ayrıca sertifikalar ve kripto sağlayıcılarla çalışmayı da destekleyebilirsiniz. Bu uygulamayı kullanarak, isteğe bağlı sayıda dijital imza oluşturabilir ve bunların orijinalliğini doğrulayabilirsiniz. Dosya şifre çözme desteklenir. Operasyonların tek aşamada yürütülmesi.

Artık P7S'nin ne olduğunu biliyorsunuz. Bu uzantıya sahip bir dosyanın nasıl açılacağı ve bu formatın ne için kullanıldığı yukarıda detaylı olarak anlatılmıştır.

4.3 Elektronik imza oluşturma kuralları Her türlü elektronik imza oluşturulurken aşağıdaki algoritmalar kullanılmalıdır:

	İsim	URI
Hash toplamı hesaplaması	GOST R34.11-94	http://www.w3.org/2001/04/xmldsig-more#gostr3411
İmzanın oluşumu	GOST R34.10-2001	http://www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411
Kanonikleştirme (XMLDSig için)	18 Temmuz 2002 tarihli Özel XML Kanonikleştirmesi	http://www.w3.org/2001/10/xml-exc-c14n#
Ek dönüşüm (XMLDSig için)	SMEV'in normalleştirilmesi

Bu bölüm boyunca, eğer bir öğe adı ad alanı olmadan belirtilirse, urn://x-artefacts-smev-gov-ru/services/message-exchange/types/1.1 ad alanı varsayılır.

4.3.1 PKCS#7 formatındaki imzalar

PKCS#7 formatı mesajlara eklenen dosyaları imzalamak için kullanılır.

PKCS#7 spesifikasyonunun (RFC-2315) 1.5 sürümü kullanılır.

İmza biçimi için aşağıdaki kısıtlamalar geçerlidir:

Kök ContentInfo öğesi için geçerli tek contentType SignedData'dır.

İmzanın ayrılması gerekir (yani SignedData/contentInfo/contentType öğesi için geçerli tek değer 1.2.840.113549.1.7.1'dir ve SignedData/contentInfo/content öğesi bulunmamalıdır).

Mesaj özetini hesaplamak için yalnızca GOST 34.11-94 algoritmasına izin verilir.

Dijital imza oluşturmak için yalnızca GOST 34.10-2001 algoritmasına izin verilir.

Bir PKCS#7 kripto mesajına birden fazla dijital imza yerleştirmek yasaktır.

SignerInfo öğesi aşağıdaki kimliği doğrulanmış öznitelikleri içermelidir:

1. 
   contentType (1.2.840.113549.1.9.3), her zaman 1.2.840.113549.1.7.1 değerine sahiptir.
2. 
   messageDigest (1.2.840.113549.1.9.4), imzalanacak dosyanın GOST özetini içerir.

Daha resmi olarak O Bu kısıtlamaların çoğu PKCS#7 format profili, Ek 2'de açıklanmıştır. Profil aynı zamanda bu bağlamda PKCS#7 formatının yalnızca elektronik imzaların iletimi için kullanıldığı ve elektronik imzaların iletimi için kullanılmadığı gerçeğini de yansıtmaktadır. şifrelenmiş veriler ve CRL. Profil, PKCS#9 standardında (RFC-2985) tanımlanan türleri kullanır.

4.4 Etkileşim konularının elektronik imzaları - bireyler.

4.4.1 Bakanlıklar arası bilgi alışverişi sırasında devlet yetkilileri adına oluşturulan elektronik imzaya ilişkin genel gereklilikler

Bir yetkilinin elektronik imza sertifikaları ve anahtarları (63-FZ "Elektronik İmza Hakkında" Federal Kanunun 14. Maddesinin 3. Maddesi), bir devlet kurumunun bireysel temsilcisi adına düzenlenir ve bilgi sistemlerinde kullanılır. elektronik imzaların oluşturulması ve (veya) doğrulanması için bölümler arası bir elektronik etkileşim sistemi kullanılarak devlet ve belediye hizmetlerinin sağlanması/devlet ve belediye işlevlerinin yerine getirilmesi.

Bu imzalar, bu çalışanların el yazısı imzalarına benzer ve diğer şeylerin yanı sıra, elektronik belgenin OV IS'deki belirli bir OV çalışanı tarafından oluşturulduğu gerçeğini doğrular.

ES-SP imza anahtarının saklanması ve kullanılması sorumluluğu yetkiliye aittir ve hükümet yetkilileri tarafından kontrol edilir.

OV yetkililerinin mevcut ES-SP anahtar sertifikalarının departmanlar arası etkileşimde kullanılmak üzere yeniden düzenlenmesi zorunlu değildir - yetkililerin daha önce verilmiş ve geçerli imza anahtar sertifikalarını, bunların içinde yer alan sertifika merkezlerinden biri tarafından verilmiş olması koşuluyla kullanmak mümkündür. Telekom ve Kitle İletişim RF Bakanlığı tarafından oluşturulan tek ES güven alanı.

4.4.2 Departmanlar arası etkileşim için elektronik imza

ES-SP, XML'de sunulan mesajın ve ekli dosyaların iş verilerini imzalar. Ekler iş verilerinden ayrı olarak aktarıldığından, ES-SP iş verilerine ayrı ayrı, her eklenen dosyaya ayrı ayrı yerleştirilir.

4.4.2.1 Mesajlar için elektronik imza oluşturma kuralları

İmza Formatı	XMLDSig ayrıldı
Kanonlaştırmaya ek olarak dönüşüm	urn://smev-gov-ru/xmldsig/transform
Biçimlendirme Gereksinimleri	XML imza yapısında öğeler arasında izin verilmiyor satır sonları da dahil olmak üzere metin düğümlerinin varlığı.
İmzalanabilir öğe	İstekler ve yanıtlar için, istek veya yanıtın iş verilerini temsil eden XML belgesinin kök öğesi.
Mesajda yayınlama	//SenderProvidedRequestData/ PersonalSignature/dsig:Signature (sorularınız için), //SenderProvidedResponseData/Kişiselİmza/dsig:İmza (cevaplar için),
Mesaja imza koyma yöntemi	İletilen web hizmeti istemcisi SendRequest ve SendResponse yöntemlerinin parametrelerinin yapısında.
Doğrulama için imza çıkarma yöntemi	ES alınır ve kontrol edilir web hizmeti istemcisi.