ऑफिस सुइट लिब्रे ऑफिस में पीडीएफ दस्तावेजों के GOST R 34.10 इलेक्ट्रॉनिक हस्ताक्षर

सभी आग के बावजूद, हमारे नागरिक कर्तव्य को पूरा करने का समय आ गया है - करों का भुगतान करने के लिए। हम राज्य सेवा पोर्टल के माध्यम से करों का भुगतान करेंगे। हम इलेक्ट्रॉनिक हस्ताक्षर (राज्य सेवा पोर्टल की शब्दावली) का उपयोग करके राज्य सेवा पोर्टल के व्यक्तिगत खाते में प्रवेश करेंगे, अर्थात। एक मान्यता प्राप्त प्रमाणीकरण केंद्र (सीए), और एक निजी कुंजी पर प्राप्त प्रमाण पत्र हाथ में होने पर। मैं उन दोनों को PKCS # 11 टोकन पर रूसी क्रिप्टोग्राफी के लिए समर्थन के साथ संग्रहीत करता हूं:



और इसलिए, अपने नागरिक कर्तव्य को पूरा करने के बाद, मैंने एक बार फिर से लिबर ऑफिस ऑफिस सूट में इलेक्ट्रॉनिक हस्ताक्षर के संचालन की जांच करने का फैसला किया।

मैंने ऐसा करने का फैसला क्यों किया? राज्य सेवा पोर्टल का उपयोग करने के लिए, मैं लिनक्स और रेडफॉक्स ब्राउज़र का उपयोग करता हूं, जो कि रूसी क्रिप्टोग्राफी समर्थन के साथ संशोधित मोज़िला फ़ायरफ़ॉक्स ब्राउज़र है। जैसा कि आप जानते हैं, लिबरेऑफिस ऑफिस सुइट भी प्रमाण पत्र की दुकान के रूप में एनएसएस स्टोर का उपयोग करता है।

Redfox-52 ब्राउज़र / usr / स्थानीय / lib64 / फ़ायरफ़ॉक्स -52 फ़ोल्डर में स्थापित किया गया था।

GOST एल्गोरिदम के समर्थन के साथ एनएसएस (नेटवर्क सुरक्षा सेवा) पैकेज के पुस्तकालयों को जोड़ने के लिए, LD_LIBRARY_PATH चर का मान निम्नानुसार सेट करें:

$export LD_LIBRARY_PATH=/usr/local/lib64/firefox-52:$LD_LIBRARY_PATH $ 

एक प्रमाण पत्र की दुकान के रूप में, libreoffice आम तौर पर फ़ायरफ़ॉक्स, थंडरबर्ड ईमेल क्लाइंट, या एकीकृत सीमॉन्की पैकेज से एक प्रमाणपत्र स्टोर का उपयोग करता है। GoogleChrome / Cromium ब्राउज़र प्रमाणपत्र स्टोर का उपयोग करने या अपना स्वतंत्र स्टोर बनाने से कुछ भी नहीं रोकता है (उपकरण-> विकल्प-> सुरक्षा-> प्रमाणपत्र):



भंडारण का चयन होने के बाद, लाइब्रेरी कनेक्ट होती हैं, कामेच्छा को चलाते हैं, एक ओट्ट फ़ाइल बनाते हैं और उस पर हस्ताक्षर करने की कोशिश करते हैं (फाइल-> डिजिटल हस्ताक्षर-> डिजिटल हस्ताक्षर)।

फ़ायरफ़ॉक्स / एनएसएस भंडार में प्रमाण पत्र सफलतापूर्वक प्रदर्शित और सत्यापित किए जाते हैं:



हालाँकि, प्रमाणपत्र का चयन करने और ओके बटन दबाने के बाद हस्ताक्षर नहीं बनता है:



ऐसा लगता है कि libreoffice रूसी क्रिप्टोग्राफिक एल्गोरिदम को समझना नहीं चाहता है, इस तथ्य के बावजूद कि एनएसएस का उपयोग Redfox ब्राउज़र से किया जाता है, जो GOST एल्गोरिदम को समझता है, जो एक सफल प्रमाणपत्र सत्यापन द्वारा पुष्टि की जाती है।

हम दूसरा प्रयास करते हैं: इस बार हम पीडीएफ फाइल पर हस्ताक्षर करने का प्रयास करेंगे। ऐसा करने के लिए, तैयार किए गए दस्तावेज़ को पीडीएफ प्रारूप में निर्यात करें। पीडीएफ फाइल पर हस्ताक्षर करने के लिए, आपको स्वाभाविक रूप से इसे डाउनलोड करना होगा (फाइल-> डिजिटल हस्ताक्षर-> साइन पीडीएफ)। इसे डाउनलोड करने के बाद, हम इस पर हस्ताक्षर करने की कोशिश करते हैं (फ़ाइल-> डिजिटल हस्ताक्षर-> डिजिटल हस्ताक्षर) (ऊपर देखें, प्रमाण पत्र का चयन करें, उदाहरण के लिए, दस्तावेज़ पर हस्ताक्षर करने का उद्देश्य):



और हस्ताक्षर बनता है !!! हम देखते हैं कि हस्ताक्षर, GOST R 34.10-2012 512 बिट्स के साथ प्रमाण पत्र "टेस्ट 12 512" के आधार पर बनता है। हस्ताक्षर सही है।

कामवासना से बाहर निकलना। फिर से कामेच्छा चलाएं, हस्ताक्षरित पीडीएफ-फाइल को लोड करें, हस्ताक्षर जांचें। सब कुछ ठीक है। हस्ताक्षरकर्ताओं के प्रमाण पत्र देखें। सब कुछ ठीक है। चमत्कार! पीडीएफ पर हस्ताक्षर करना काम करता है। हमने दूसरा, तीसरा हस्ताक्षर किया ... सब कुछ काम करता है। लेकिन कुछ सता रहा है। हम एक अतिरिक्त जांच करते हैं।

हस्ताक्षरित पीडीएफ-फाइल खोलें (मैंने mc से निर्मित संपादक का उपयोग किया - मिडनाइट कमांडर - लिनक्स के लिए कंसोल फ़ाइल प्रबंधक)। इलेक्ट्रॉनिक हस्ताक्षर खोजें (/ टाइप / सिग /):



जैसा कि आप देख सकते हैं, हस्ताक्षर प्रतीकात्मक हेक्साडेसिमल रूप में संग्रहीत है। हम इसे कॉपी करते हैं और इसे एक फाइल में सेव करते हैं। फ़ाइल को बाइनरी (DER एन्कोडिंग) में बदलने के लिए, हम xxd उपयोगिता का उपयोग करते हैं:

 $xxd –p –r <    PDF> > <>.der $ 

परिणामी फ़ाइल में डिस्कनेक्ट किया गया DER- एन्कोडेड PKCS # 7 प्रारूप हस्ताक्षर है। अब इस हस्ताक्षर को किसी भी asn1-prase के साथ देखा जा सकता है, उदाहरण के लिए, ओपनसेल उपयोगिता के साथ। लेकिन जब से हम एनएसएस पैकेज के बारे में बात कर रहे हैं, हम व्युत्पन्न उपयोगिता या पीपी उपयोगिता का उपयोग करेंगे:

 $pp –t p7 –u –i pkcs7_detach.p7 PKCS #7 Content Info: PKCS #7 Signed Data: Version: 1 (0x1) Digest Algorithm List: Digest Algorithm (1): SHA-256 Content Information: PKCS #7 Data: <no content> Certificate List: Certificate (1): Data: Version: 3 (0x2) Serial Number: 4107 (0x100b) Signature Algorithm: GOST R 34.10-2012 signature with GOST R 34.11-2012-512 Issuer: "E=ca_12_512@lissi.ru,OGRN=1234567890123,INN=1234 56789012,CN= 12_512,O= 12_512,L=GnuPG  -2012-512,ST= ,C=RU" Validity: Not Before: Sat Sep 08 07:17:56 2018 Not After : Tue Sep 12 07:17:56 2023 Subject: "C=RU,ST= ,CN=  ,SN=,givenName= ,E=xx@xx.ru,L= ,STREET=,INN=123456789012,SNILS=12345678901" Subject Public Key Info: Public Key Algorithm: GOST R 34.10-2012 512 Public Key: . . . Digest Encryption Algorithm: GOST R 34.10-2012 Key 512 Encrypted Digest: 34:9d:6f:37:e6:60:00:ed:fe:ef:f7:96:db:52:66:e1: 47:4c:5d:da:7f:9f:f3:20:50:ac:73:6c:97:db:f9:8d: 43:9b:8f:40:61:99:d3:4b:17:08:b8:34:e3:1e:92:76: b1:0c:dd:37:01:1e:2a:30:45:68:06:af:3d:33:5e:2f: 71:c8:17:b3:a9:8a:6b:2f:78:9e:e4:b2:00:59:6f:5a: a0:c5:9e:be:1e:4b:ca:d5:64:25:50:1a:6f:f9:55:b8: 3a:cf:37:a0:04:eb:89:b4:6c:39:77:27:92:de:61:c7: b1:d3:a5:2f:ef:66:9b:f5:71:42:77:0a:d2:10:7f:50 $ 

और फिर यह स्पष्ट हो गया कि सब कुछ इतना अच्छा नहीं है। हां, डाइजेस्ट एन्क्रिप्शन एल्गोरिथम: GOST R 34.10-2012 कुंजी 512 हस्ताक्षर एल्गोरिथ्म हस्ताक्षर के लिए चयनित प्रमाण पत्र के अनुसार, लेकिन हस्ताक्षर SHA-256 एल्गोरिथ्म (डाइजेस्ट एल्गोरिथम (1: SHA-256) का उपयोग करके गणना की गई हैश से उत्पन्न होता है। और यह बात गलत है: GOST R 34.10-2012 के लिए हैश को 512 के GOST R 34.11-2012-512 एल्गोरिथम के अनुसार माना जाना चाहिए।

चलो लेबरऑफ़िस सोर्स कोड के विश्लेषण के लिए नीचे आते हैं: शैतान इतना भयानक नहीं है जितना कि इसे चित्रित किया गया है। इस लेख में, हम इलेक्ट्रॉनिक हस्ताक्षर उत्पन्न करने के लिए एनएसएस पैकेज के उपयोग पर विचार करते हैं। यदि कोई MS Windows प्लेटफ़ॉर्म पर पसंद करता है, तो CryptoAPI का उपयोग करें (और, तदनुसार, GOST-CSP), इस सामग्री के साथ सादृश्य द्वारा, इसी संशोधन कर सकते हैं।

विश्लेषण से पता चला है कि परिवर्तन केवल दो फाइलों में करना होगा:
- ~ / libreoffice-5.3.7.2 / vcl / source / gdi / pdfwriter_impl.cxx
- ~ / libreoffice-5.3.7.2 / xmlsecurity / source / pdfio / pdfdocument.cxx

ये परिवर्तन GOST प्रमाणपत्र के लिए हैश फ़ंक्शन के सही चयन से जुड़े हैं। प्रमाणपत्र कुंजी के प्रकार के आधार पर हैश फ़ंक्शन का विकल्प निर्धारित किया जाएगा। उदाहरण के लिए, PDFWriter :: साइन (फ़ाइल pdfwriter_impl.cxx) में हैश एल्गोरिदम चुनना, इस तरह दिखाई देगा:

 bool PDFWriter::Sign(PDFSignContext& rContext) { #ifndef _WIN32 /* */ SECKEYPublicKey *pubk = NULL; SECOidTag hashAlgTag; HASH_HashType hashType; int hashLen; CERTCertificate *cert = CERT_DecodeCertFromPackage(reinterpret_cast<char *>(rContext.m_pDerEncoded), rContext.m_nDerEncoded); if (!cert) { SAL_WARN("vcl.pdfwriter", "CERT_DecodeCertFromPackage failed"); return false; } /*    */ pubk = CERT_ExtractPublicKey(cert); if (pubk == NULL) return NULL; /*   */ switch(pubk->keyType){ case gost3410Key: hashAlgTag = SEC_OID_GOSTHASH; hashType = HASH_AlgGOSTHASH; hashLen = SHA256_LENGTH; break; case gost3410Key_256: hashAlgTag = SEC_OID_GOST3411_2012_256; hashType = HASH_AlgGOSTHASH_12_256; hashLen = SHA256_LENGTH; break; case gost3410Key_512: hashAlgTag = SEC_OID_GOST3411_2012_512; hashLen = SHA256_LENGTH * 2; hashType = HASH_AlgGOSTHASH_12_512; break; default: hashAlgTag = SEC_OID_SHA256; hashType = HASH_AlgSHA256; hashLen = SHA256_LENGTH; break; } /* */ HashContextScope hc(HASH_Create(hashType)); . . . } 

तर्क में अन्य परिवर्तन इन के समान हैं। फ़ाइल के लिए पैच ~ / libreoffice-5.3.7.2 / vcl / source / gdi / pdfwriter_impl.cxx स्थित है


फ़ाइल के लिए पैच ~ / libreoffice-5.3.7.2 / xmlsecurity / source / pdfio / pdfdocument.cxx स्थित है


परिवर्तन करने के बाद, हम libreoffice पैकेज बनाते हैं। इन परिवर्तनों ने तीन पुस्तकालयों (/ usr / lib64 / libreoffice / program) को प्रभावित किया:

• libvcllo.so ;
• libxmlsecurity.so ;
• libxsec-xmlsec.so

इन तीन पुस्तकालयों को स्थापित परिवाद वितरण (/ usr / lib64 / libreoffice / program) में बदल दिया गया था।

उसके बाद, पीडीएफ-फाइलों में GOST- हस्ताक्षर का हस्ताक्षर और सत्यापन बिना किसी अड़चन के चला गया। और यहाँ साइटों में से एक पर आंख को इस तरह के अंश को पकड़ता है:

संघीय कर सेवा में किसी भी कानूनी इकाई के लिए यूनिफाइड स्टेट रजिस्टर ऑफ़ लीगल एंटिटीज़ से अर्क प्राप्त करने के लिए एक उत्कृष्ट सेवा है , और बिल्कुल मुफ्त है। योग्य इलेक्ट्रॉनिक हस्ताक्षर द्वारा हस्ताक्षरित पीडीएफ दस्तावेज़ के रूप में एक अर्क प्राप्त किया जा सकता है। और इस तरह के एक्सट्रैक्ट को एक वाणिज्यिक बैंक, सरकारी एजेंसी को भेजा जा सकता है, और आपको पेपर फॉर्म में इसके लिए नहीं कहा जाएगा। सब सब में, बहुत आरामदायक।

हम आदेश देते हैं, प्राप्त करते हैं और सत्यापित करते हैं:



यह याद रखने योग्य है कि आपको हस्ताक्षर प्रमाणपत्र के लिए रिपॉजिटरी में विश्वसनीय प्रमाण पत्र की एक श्रृंखला स्थापित करने के लिए नहीं भूलना चाहिए। लेकिन यह स्वाभाविक है।

यह सब है, अब पीडीएफ फाइलों में इलेक्ट्रॉनिक हस्ताक्षर (एक या अधिक) का उपयोग करने की संभावना है। दस्तावेजों के समन्वय और दस्तावेजों को संग्रहीत करते समय यह बहुत सुविधाजनक है।

और अगर किसी को PKCS # 7 प्रारूप में क्लासिक इलेक्ट्रॉनिक हस्ताक्षर के साथ काम करने के लिए उपयोग किया जाता है, दोनों जुड़े और डिस्कनेक्ट हो जाते हैं, तो GUINSSPY ग्राफिक्स पैकेज का एक अद्यतन संस्करण (लिनक्स और विंडोज प्लेटफार्मों के लिए) तैयार किया गया है :



विकास Python3 में आयोजित किया गया था और अगर लिनक्स प्लेटफॉर्म पर कोई समस्या नहीं थी, तो एमएस विंडोज पर मुझे एनकोडिंग के साथ पसीना करना पड़ता था। वास्तव में, यह एक अलग विकास था और इसके लिए एक अलग लेख की आवश्यकता होती है। इन सभी बारीकियों को स्रोत कोड में देखा जा सकता है।

इस उपयोगिता का उपयोग करके, आप libreoffice के लिए एक प्रमाण पत्र स्टोर बना सकते हैं, प्रमाण पत्र प्रबंधित कर सकते हैं, फाइलों पर हस्ताक्षर कर सकते हैं।



उपयोगिता आपको एक प्रमुख जोड़ी की पीढ़ी के साथ एक प्रमाणपत्र अनुरोध बनाने की अनुमति देती है, जिसे बाद में प्रमाणन केंद्र में स्थानांतरित किया जा सकता है, और रिपॉजिटरी में प्राप्त प्रमाण पत्र स्थापित कर सकते हैं:



और अगर घरेलू लिनक्स कांटों के निर्माताओं ने रूसी क्रिप्टोग्राफी के साथ काम करने के लिए विभिन्न पैकेजों (एनएसएस, फ़ायरफ़ॉक्स, थंडरबर्ड, GnuPG / SMIME, SSH, KMail, Kleopatra, LibreOffice, OpenSSL, आदि) को संशोधित किया है, तो आप कर सकते हैं। यह क्रिप्टोग्राफी के क्षेत्र में आयात प्रतिस्थापन के बारे में होगा।