يدخل سير العمل الرقمي حياتنا بخطوات واثقة ، وإذا كانت هذه هي الحياة اليومية القاسية بالنسبة للكيانات القانونية ، فقد لا يواجهها كثير من الأفراد حتى الآن. ولكن مع مرور الوقت ، أصبح البقاء على الهامش أكثر صعوبة وتحتاج إلى التكيف مع الظروف المتغيرة ، وإلا يمكنك الحصول على عواقب غير سارة للغاية.
إبرام العقود هو شيء شائع. فهي مغلقة في البنوك والمستشفيات ، عند شراء الأثاث ، ودفع ثمن التدريب. قراءة العقد ، والتحقق من تفاصيل الكيان القانوني الذي أبرم معه العقد ، تأكد من أن لديك ختم وتوقيع - الإجراء القياسي الذي يقلل من خطر الاحتيال. ومع ذلك ، فإن المهارات المكتسبة في التعامل مع العقود الورقية لا يمكن أن تذهب إلى العالم الرقمي فقط بسبب تفاصيل المستندات الإلكترونية.
في هذه المقالة ، أود أن أتحدث عن تجربتي في التعارف مع التوقيعات الإلكترونية الروسية (التوقيعات الإلكترونية) ، والتي تستخدم لتوقيع العقود مع الأفراد بما في ذلك شركات التأمين ، فضلاً عن المخاطر التي تعثرت عليها.
بالنسبة لي ، بدأت هذه القصة عندما أبرمت اتفاقًا مع شركة تأمين LLC IC Sberbank Insurance. بعد التنفيذ ، بدت بعض الحقائق مشبوهة بالنسبة لي (مفسد صغير: كل شيء تبين أنه جيد) وبدأت في معرفة كيفية التحقق من أن المستند الذي تم استلامه قد تم إصداره بالفعل من قبل شركة تأمين ، وليس من قبل بعض الأطراف الثالثة.
ما حرسني؟بعد حساب المبلغ في الحاسبة على الموقع وملء النموذج بتفاصيل جواز السفر والاتصال ، تلقيت رسالة بريد إلكتروني تحتوي على 3 مرفقات: مذكرة وقواعد التأمين والسياسة نفسها ، بالإضافة إلى المعلومات العامة والروابط المفيدة وجهات الاتصال. لقد راجعت المستندات ، ودفعت للتأمين ، وانتظرت النسخة الموقعة من السياسة.
بعد نصف ساعة من الانتظار ، بدأت أشعر بالقلق ، أظهر البحث السريع أن لدى شركة التأمين ما يصل إلى 3 مجالات نشطة مختلفة:
www.sberbank-insurance.ru و
www.sberins.ru و
sberbankins.ru ، والتي لم تضفي الثقة على الشركة.
جلبت مكالمة إلى مركز الاتصال معلومات تفيد بأن الوثيقة قد تم إرسالها وهي الوثيقة النهائية من شركة التأمين EP. بدا لي غريباً أن الشركة تتخلى عن الوثيقة الموقعة بالفعل قبل قيام العميل بالدفع وبدأت أتحقق من ملف pdf المستلم.
الفصل الأول: اختبار ES
يتم إعطاء كافة عمليات التلاعب مع مستند PDF في إصدار نظيف من Windows 10 ، الإصدار المنزلي الروسي ، باعتباره البيئة الأكثر احتمالًا للمستخدم البسيط. مجموعة البرامج المستخدمة في المقالة هي أيضًا غير مهنية ومتاحة للجميع.
للبدء ، فتحت المستند في برنامج Foxit Reader ، والذي أستخدمه باعتباره المستند الرئيسي:
يبدو مشبوهًا جدًا - المستند ليس واضحًا من قام بتعديله ، كما أن الشهادة غير موثوق بها. لا يمكن للنظام التحقق من سلسلة الثقة لهذه الشهادة ووضع علامة عليها غير صالحة.
بالإضافة إلى اسم المؤسسة التي تم إصدار الشهادة إليها ، يكون اسم المنظمة المصدرة ، LLC ITK ، مرئيًا أيضًا. أدى البحث عن "ITK Certificate LLC" إلى توجيهي إلى صفحة
تثبيت شهادة الجذر من
سلطة التصديق على ITK LLC . هذا هو الموقع الرسمي لشركة Internet Technologies and Communications LLC ، والتي تعد أحد مراكز إصدار الشهادات التي تصدر شهادات الشهادات الإلكترونية.
اتبع التعليمات: نحتاج إلى اتباع
الرابط وتنزيله من أرشيف Google Drive (!) RAR (!!) "Root Qualified.rar" (الذي لا يزال يتعين العثور عليه من الفتح ، وكان عليّ تثبيت 7-zip) ونرى شهادتين هناك: root و في ما بين. تم إصدار الجذر من قبل وزارة الاتصالات و الاتصالات لنفسها ، و قد تم إصدار الجذر الوسيط من قبل الوزارة إلى ITK LLC. نحن نقوم بتثبيتها ، ونوافق على إضافة شهادة الجذر (خارج زاوية عيني ، مع الإشارة إلى أن بصمة المفتاح الذي تم تثبيته على الشاشة) وأن الصورة في التعليمات هي نفسها ، ولكن لا يوجد شيء عن هذه المقارنة في نقاط التثبيت).
مرة أخرى ، افتح الشهادة من المستند. ولم تحدث المعجزة ، لم يتم بناء سلسلة الثقة من الجذر إلى النهائي!
ندرس ES بمزيد من التفاصيل: يحتوي برنامج Foxit Reader على معلومات إضافية حول خصائص التوقيع:
نعم ، خوارزمية تجزئة GOSTovsky ، تم إنشاء ES في CryptoPro PDF. ربما ، لا يعرف Windows عن تشفير GOST ، وبالتالي فهو يحتاج إلى مزود تشفير إضافي.
نذهب إلى موقع CryptoPro ، التسجيل ، تنزيل نسخة تجريبية من CryptoPro CSP 5.0 لمدة 3 أشهر. ما سيحدث بعد ذلك ليس واضحًا تمامًا ، ربما سيتحول كل شيء إلى قرع ، ولنرى.
مرة أخرى ، افتح عرض شهادة ES:
يبدو أفضل بالفعل. يمكن ملاحظة أن النظام يعتبر الشهادة صالحة ، حيث تم بناء سلسلة من شهادة الجذر عبر شهادة متوسطة.
لقد تحسنت رسالة التحقق بعض الشيء ، ولكن لا يزال يتعذر على Foxit Reader التحقق من الشهادة (ربما تكون موجودة في خوارزمية GOST):
في Adobe Acrobat Reader DC ، لم ينجح التحقق أيضًا:
ويبدو أننا يمكن أن نتوقف هنا: يؤكد Foxit Reader أن المستند لم يتغير بعد التوقيع ، ويمكنك استخدام يديك للتحقق من أن الشهادة قد أكدها النظام وأنها صالحة. لكن ما زلت أريد إنهاء الأمر حتى يقول برنامج واحد على الأقل: نعم ، المستند صالح ، كل شيء على ما يرام.
نذكر أنه تم توقيع السياسة في برنامج CryptoPro PDF. من المحتمل أنه نظرًا لأنها يمكنها إنشاء مثل هذه التوقيعات ، فعليها بالتأكيد التحقق منها. نضع.
نسخة تجريبية +1 لمدة 90 يومًا ، على الرغم من أن نقش التثبيت يؤكد لك أنك لست بحاجة إلى ترخيص عند استخدام المنتج في Adobe Acrobat Reader DC.
الصيحة ، الرسالة التي طال انتظارها أن كل شيء على ما يرام.
لتلخيص المجموع الفرعي. للتحقق من صحة التوقيع الإلكتروني على المستند:
- تعرف على مركز الشهادات الذي أصدر الشهادة التي تم بواسطتها توقيع المستند ، وقم بتثبيت الشهادة الوسيطة الخاصة به ، وإذا لم يكن هناك شهادة الجذر (في حالتنا ، من أرشيف rar من Google Drive) ؛
- قم بتثبيت موفر تشفير في النظام (من المحتمل أن يكون هناك مزودو تشفير آخرون يقومون بتعليم خوارزميات التشفير القياسية لـ Windows GOST) CryptoPro CSP مع الإصدار التجريبي لمدة 3 أشهر وغير معروف بعد ؛
- للتحقق من التوقيع من Adobe Acrobat Reader DC ، قم بتثبيت CryptoPro PDF (بدون CSP ، لم يتم تثبيته).
فيما يلي خوارزمية تنشأ من تحليل سطحي للموضوع للمساء. تم حل مشكلة التحقق من التوقيع الرقمي ، ولكن الصعوبات التي قد يواجهها المستخدم العادي واضحة:
- تحتاج إلى البحث عن شهادات الجذر والمتوسط وتنزيلها بطريقة أو بأخرى. من غير الواضح أين يمكن تنزيله رسميًا ، ويمكن أن يؤدي البحث في الشبكة إلى تثبيت الشهادات اليسرى ، والتي من خلالها يستطيع المحتالون مهاجمة مستخدم غير محظوظ ؛
- تحتاج إلى فهم البرنامج المفقود في النظام ومكان الحصول عليه ؛ لا شيء يعمل خارج الصندوق. تقدم هذه المقالة أمثلة تستند إلى منتجات CryptoPro فقط لأنه تم العثور على هذا الاسم في المعلومات المتعلقة بإنشاء التواقيع الإلكترونية. من الضروري دراسة الموضوع في البحث عن نظائرها ؛
- تمت عملية الفحص بالكامل فقط في Adobe Acrobat Reader DC ، وفي برنامج Foxit Reader ، لم يكن فحص ES مكتملًا ، ولا توجد علامة خضراء طال انتظارها. نحن بحاجة إلى مزيد من الحفر ، وربما هناك حلول.
الفصل الثاني: آخر EP
بالتفتيش عبر البريد ، وجدت عقدًا إلكترونيًا آخر. بالمصادفة المحظورة ، تحولوا أيضًا إلى بوليصة تأمين ، لكن هذه المرة eOSAGO من Tinkoff Insurance JSC. نفتح الشهادة ، وننظر إلى المنظمة التي أصدرت الشهادة. لقد تحولت إلى بنك تينكوف. نعم ، اتضح أن لديهم شهادات اعتماد خاصة بهم ، والتي تصدر شهادات لشركات تابعة (لدى سبيربنك أيضًا مرجع مصدق خاص به ، لكنه لا يستخدم في الشركات التابعة).
وفقًا للخوارزمية المطورة ، نذهب إلى محرك البحث مع طلب "شهادة Tinkoff" ، نجد الموقع الرسمي
لبنك CA Tinkoff Bank JSC . هنا يتم استقبالنا مع وفرة من الروابط لشهادات الجذر ، وقوائم الشهادات الملغاة ، وحتى تعليمات الفيديو لتثبيتها. قم بتنزيل "سلسلة شهادات الجذر من CA Tinkoff Bank GOST R 34.10.2012" CA ، وهذه المرة لا يؤدي الارتباط إلى خدمة تابعة لجهات خارجية ، ولكن إلى موقع البنك على الويب. تنسيق ملف P7B غير معروف جيدًا ، لكن Windows يفتح دون تثبيت برنامج تابع لجهة خارجية ويعرض الشهادات فيه. هنا لدينا شهادة الجذر المألوفة من وزارة الاتصالات (أخرى ، ليست هي نفسها كما في الحالة الأولى) وشهادة وسيطة من بنك CA.
نضع على حد سواء ، والتحقق من الشهادة في السياسة. لكن لا ، الشهادة غير موثوق بها ، لأن لا يمكن للنظام تأكيد مزود الشهادة. على موقع CA ، يوجد رابطان إلى سلسلتين من الشهادات ، واحدة لـ GOST R 34.10.2001 ، والأخرى لـ GOST R 34.10.2012. تم إصدار السياسة هذا العام ، سيكون من المنطقي أكثر توقيعه باستخدام خوارزمية تشفير أكثر حداثة (علاوة على ذلك ، هناك بالفعل إصدار من GOST من 2018 ، يتم تحديث الخوارزميات في كثير من الأحيان) ، ولكن دعونا نتحقق من الخوارزمية القديمة.
يحتوي ملف P7B الجديد بالفعل على 3 ملفات شهادات. يمكنك وضع الكل 3 ، لكن تجدر الإشارة إلى أننا وضعنا شهادة "المرجع الرئيسي للهيئة" في الفصل الأول من أرشيف RAR الخاص بـ ITK LLC ، فهي متطابقة. ووضع cryptoPro CSP الشهادة التي تحمل اسم "UTs 1 IS GUTs". تم تثبيت علامة اختيار حول تثبيت شهادات الجذر افتراضيًا في برنامج التثبيت الخاص بها. الجديد الوحيد هو شهادة Tinkoff Bank JSC ، التي وضعناها.
بعد تثبيت الشهادات من "سلسلة شهادات الجذر من CA CA Tinkoff Bank GOST R 34.10.2001" ، تم رسم المسار في الشهادة وأعلن النظام بسرور أنه موثوق به. أكد Adobe Acrobat Reader DC أيضًا أن التوقيع صالح.
هذا هو المكان الذي تنتهي فيه مغامرات اختبار ES في سياسة eOSAGO. من الملاحظ أنه بعد تثبيت البرنامج الضروري بالفعل في النظام ، ويدرك المستخدم مبادئ العمل والبحث عن شهادات وسيطة ، ثم يستغرق التحقق من التوقيع وقتًا أقل.
ولكن لا تزال مناطق المشكلات مرئية: تحتاج إلى البحث في الإنترنت عن المواقع الرسمية لسلطات التصديق ، لفهم الإرشادات الخاصة بتثبيت الشهادات. حتى مع تثبيت شهادات الجذر ، يجب أن تبحث عن وسيط ، وإلا فلن تكتمل سلسلة الثقة ولن يتمكن النظام من تأكيد صحة التوقيع.
الفصل الثالث: القليل عن شهادات الجذر والوسيط
بعد أن أنجزت كل هذا العمل ، شعرت أن النظام بأكمله لم يتم بناؤه بشكل آمن للغاية ، فهو يتطلب الكثير من العمليات الإضافية والثقة من العديد من العوامل من المستخدم: من نظام البحث الذي قد لا يعطي الموقع الرسمي لل CA إلى السطر الأول ، إلى عمل موظفي CA نفسه ، والذي تحميل الشهادات دون اختباري إلى خدمات الويب التابعة لجهات خارجية بتنسيقات حاوية خاصة.
لمزيد من المعلومات ، ذهبت إلى الموقع الإلكتروني لوزارة الاتصالات والاتصالات ووجدت هذه
الصفحة . هناك يمكنك تنزيل ملف XLS ، والذي سيدرج جميع المراجع المصدقة المعتمدة حاليًا ، بالإضافة إلى المراجع المصدقة (CA) ذات الاعتماد المرحلي والمنتهي. قائمة المعتمدين هي 494 CA ، وهو الكثير.
ومع ذلك ، لا تكفي قائمة فقط ، فأنت بحاجة على الأقل إلى روابط لمواقع هذه المراجع المصدقة ، وتحتاج أيضًا إلى العثور على شهادات الجذر مباشرة من المصدر ، وزارة الاتصالات. النقطة التالية في البحث عن هذه المعلومات هي
pravo.gov.ru ، التي تسرد روابط لبعض شهادات الجذر. لا يمكن الوصول إلى الصفحة إلا من خلال بروتوكول http ، ومرة أخرى ، لا توجد مجموعات اختبارية.
إذا نظرنا عن كثب ، يمكنك أن ترى أن أول 4 روابط تؤدي إلى البوابة
https://e-trust.gosuslugi.ru . ليس من الواضح لماذا أصبح النطاق الفرعي لموقع الخدمات العامة محوريًا في نظام شهادات الجذر ، ولكن يبدو أن جميع المعلومات ذات الصلة بشهادات الجذر والوسيط مقدمة هنا.
على صفحة المرجع الرئيسي
https://e-trust.gosuslugi.ru/Main CA ،
يوجد 10 شهادات الجذر من وزارة الاتصالات ، ولوغاريتمات GOST المختلفة ومع فترات صلاحية مختلفة. تتوفر لقطات رئيسية على الفور ، ويمكنك التحقق من عدم قيام أي شخص باستبدال الشهادة التي تم تنزيلها. الموقع نفسه معتمد من قبل
Thawte .
على صفحة المراجع المصدقة المعتمدة
https://e-trust.gosuslugi.ru/CA هناك قائمة كاملة بمراكز الشهادات الوسيطة ، يمكنك تنزيل شهاداتهم والتحقق من طاقم الممثلين. بالإضافة إلى ذلك ، تتوفر جميع المعلومات بتنسيق XML. في وقت واحد ، يمكنك الحصول على ملف يحتوي على بيانات حول جميع المراجع المصدقة المتوسطة ، بالإضافة إلى شهاداتها وروابطها للحصول على قائمة بالشهادات الملغاة.
تحتوي الشهادات على حقل نقطة توزيع قائمة الإبطال (CRL) يحدد المسار للحصول على قائمة الشهادات الملغاة. عند التحقق من ES في مستند ، بالإضافة إلى تثبيت الشهادات المتوسطة والجذر ، يجب عليك أيضًا تثبيت آخر قائمة من الشهادات الملغاة وتحديثها قبل كل عملية تحقق (يتم هذا الإجراء تلقائيًا بواسطة برنامج متخصص ، ولكن يبدو أن الأدوات العادية غير قادرة على القيام بذلك). كل شهادة لها مسار إلى مثل هذه القائمة على بوابة الثقة الإلكترونية وقد تختلف عما هو مكتوب في الشهادة نفسها. ماذا تصدق؟ ليس واضحا تماما.
في ختام المقال ، أود أن أشير إلى أن التحقق من الوثائق الإلكترونية على الوثائق الإلكترونية هو في متناول الجميع ، ولكن هذه ليست عملية تافهة تماما تتطلب بعض المعرفة. من الممكن تبسيط هذه العملية في المستقبل. بالإضافة إلى ذلك ، تظل مسألة التحقق من ES على الأجهزة المحمولة مفتوحة ، وبعد كل شيء ، أصبحت الآن الأداة الرئيسية للمستخدمين ، بعد أن كانت طويلة قبل أجهزة الكمبيوتر الشخصية.
بعد كتابة هذا المقال ، هناك العديد من الأسئلة المفتوحة التي أود مناقشتها مع المجتمع:
- نظائرها CryptoPro ، وخاصة أدوات مفتوحة المصدر لإنشاء والتحقق من ES ؛
- إضافة التحقق من صحة ES ليس فقط في Adobe Acrobat Reader DC ، ولكن أيضًا في Foxit Reader وغيرها ؛
- المشكلات التي لا تزال خارج نطاق هذه المقالة ، وهي مهمة أيضًا وتتطلب اهتمامًا ، لكنها لم تظهر في حالتي.
محدث 0 : في التعليقات ، اقترحوا خدمة عبر الإنترنت على بوابة الخدمات الحكومية لفحص المستندات الإلكترونية:
https://www.gosuslugi.ru/pgu/eds . لسوء الحظ ، لم ينجح الأمر في حالتي ، لكن يمكن أن يكون مفيدًا.
محدث 1 : بعد كتابة المقال ، أخبروني أن هناك مزود تشفير آخر ، ViPNet CSP ، والذي يمكن أن يساعد أيضًا في خوارزميات تشفير GOST في النظام. التثبيت المتزامن لها مع CryptoPro CSP هو في السؤال.
KDPV: edar ، Pixabay