Geekly articles weekly

最小的俄罗斯EP

纸像

数字工作流程以充满信心的步骤进入我们的生活,如果对于法人而言,这已经是艰苦的日常生活,那么许多人可能还没有遇到过这种情况。 但是随着时间的流逝,在场上待命变得越来越困难,您需要适应不断变化的状况,否则您将获得的后果不是很好。

订立合同是很平常的事。 当购买家具,支付培训费用时,它们被封闭在银行,医院中。 阅读合同,检查与合同订立的法人实体的详细信息,确保您具有盖章和签名-这是减少欺诈风险的标准程序。 但是,由于电子文档的特殊性,与纸质合同打交道所获得的技能不能仅仅进入数字世界。

在本文中,我想谈谈我对俄罗斯电子签名(E签名)的了解,该电子签名用于与包括保险公司在内的个人签订合同,以及我偶然发现的陷阱。

对我来说,这个故事始于我与保险公司LLC IC Sberbank Insurance达成协议时。 执行后,一些事实对我来说似乎是可疑的(一个小小的破坏者:事实证明一切都很好),我开始思考如何验证收到的单据确实是由保险公司而非某些第三方签发的。

是什么守护着我?
在网站上的计算器中计算了金额并填写了护照和联系方式的表格后,我收到了一封电子邮件,除了一般信息,有用的链接和联系方式外,还有3个附件:备忘录,保险规则和保单本身。 我查看了文件,为保险付款,并等待该保单的签名版本。

经过半小时的等待,我开始担心,快速搜索发现该保险公司拥有多达3个不同的活动域: www.sberbank-insurance.ruwww.sberins.rusberbankins.ru ,这并没有使我对公司充满信心。

致电联系中心带来了保险单已发送的信息,这是保险公司EP的最终文件。 我觉得奇怪的是,该公司在客户付款之前就已经放弃了已经签署的文件,因此我开始检查收到的pdf文件。

第一章:ES测试


干净的Windows 10(俄语家庭版)中提供了所有使用PDF文档的操作,这是简单用户最可能使用的环境。 本文中使用的软件套件也不专业,每个人都可以使用。

首先,我在Foxit Reader中打开了文档,并将其用作主要文档:



看起来非常非常可疑-文档不清楚是谁修改了它,证书也不可信。 系统无法验证此证书的信任链,并将其标记为无效。

除了向其颁发证书的组织名称之外,还将显示颁发组织的名称LLC ITK。 搜索“ ITK证书有限责任公司”使我进入ITK LLC证书颁发机构的安装根证书”页面。 这是Internet Technologies and Communications LLC的官方网站,它是颁发电子证书证书的认证中心之一。

请按照说明进行操作:我们需要点击链接,然后从Google云端硬盘下载(!)RAR存档(!!)“ Root Qualified.rar”(仍然需要找到但未打开,我必须安装7-zip),并且在那里看到2个证书:root和在两者之间。 根已由电信和通信部向其本身发行,中间根由该部向ITK LLC发行。 我们安装它们,并同意添加根证书(在我的眼角,注意sha1所安装密钥的指纹和说明中的图片是相同的,但是在安装点上没有关于此比较的内容)。


再次,从文档中打开证书。 而且奇迹没有发生,从根到最后的信任链没有建立!

我们将更详细地研究ES:Foxit Reader提供了有关签名属性的其他信息:


是的,GOSTovsky哈希算法ES是在CryptoPro PDF中创建的。 也许Windows不了解GOST加密,因此它需要一个额外的密码提供程序。

我们访问CryptoPro网站,注册,下载3个月的CryptoPro CSP 5.0试用版。 接下来会发生什么还不是很清楚,也许所有东西都会变成南瓜。

再次,打开ES证书视图:


看起来已经更好了。 可以看出,系统认为证书有效,从根证书到中间证书建立了一个链。

验证消息有所改进,但是Foxit Reader仍然无法验证证书(可能是在GOST算法中):


在Adobe Acrobat Reader DC中,验证也不成功:


看来我们可以在这里停止:Foxit Reader在签名后确认文档没有更改,您可以动手确认证书已被系统确认且有效。 但是,我仍然想把事情结束,以便至少一个程序说:是的,文档是有效的,一切都很好。

我们记得该策略已在CryptoPro PDF程序中签名。 由于她可能会创建此类签名,因此她一定必须检查它们。 我们放。

+1试用版可使用90天,尽管安装铭文可以使您确信在Adobe Acrobat Reader DC中使用该产品时不需要许可证。


万岁,万事如意的消息。

总结小计。 要验证文档上电子签名的有效性:

  • 找出哪个认证中心签发了用于签署文档的证书,安装其中间文件,如果没有,则安装根证书(在我们的情况下,该文件来自Google Drive的rar档案);
  • 在系统中安装一个加密提供程序(可能还有其他加密提供程序将教Windows GOST加密算法)CryptoPro CSP,试用期为3个月,之后未知;
  • 要从Adobe Acrobat Reader DC验证签名,请安装CryptoPro PDF(未安装CSP)。

这是晚上对主题进行表面分析得出的一种算法。 验证数字签名的问题已解决,但是普通用户可能遇到的困难显而易见:

  • 您需要以某种方式找到并下载根证书和中间证书。 目前尚不清楚该证书可以在哪里正式下载,并且通过网络搜索可以导致安装左证书,从而使骗子可以攻击不幸的用户。
  • 您需要了解系统中缺少哪些软件以及从何处获得;没有任何可用的解决方案。 本文仅提供基于CryptoPro产品的示例,因为该名称是在创建电子签名的信息中找到的。 在寻找类似物时有必要研究该主题;
  • 该检查仅在Adobe Acrobat Reader DC中完全有效,在Foxit Reader中,ES检查不完整,没有期待已久的绿色对勾。 我们需要进一步挖掘,可能有解决方案。


第二章:另一张EP



我翻阅邮件发现了另一个电子合同。 幸运的是,它们也原来是一种保险单,但是这次是Tinkoff Insurance JSC的eOSAGO。 我们打开证书,查看颁发证书的组织。 她原来是Tinkoff Bank JSC。 是的,事实证明他们有自己的CA,该CA向子公司颁发证书(Sberbank也有自己的CA,但是在子公司中不使用)。

根据开发的算法,我们向搜索引擎发出请求“ Tinkoff证书”的请求,找到了CA Tinkoff Bank JSC的官方站点。 在这里,我们可以找到大量的根证书链接,吊销证书列表,甚至还有安装它们的视频说明。 下载“ CA Tinkoff银行GOST R 34.10.2012的根证书链”,这一次的链接不是第三方服务,而是银行的网站。 P7B文件格式不是很广为人知,但是Windows会在不安装第三方软件的情况下打开并在其中显示证书。 在这里,我们获得了交通部熟悉的根证书(另一个,与第一种情况不同)和来自CA银行的中间证书。


我们将两者都放入,在策略中检查证书。 但是不,证书不受信任,因为 系统无法确认证书提供者。 在CA网站上,有2个链接指向2个证书链,一个链接用于GOST R 34.10.2001,另一个链接用于GOST R 34.10.2012。 该政策于今年发布,使用更现代的加密算法对其进行签名会更合乎逻辑(更重要的是,已经有2018年以来的GOST版本,该算法经常更新),但让我们检查一下旧的。


新的P7B文件已经包含3个证书文件。 您可以全部放入3个,但值得注意的是,我们将“ Head Certification Authority”的证书放在ITK LLC的RAR档案的第一章中,它们是相同的。 然后cryptoPro CSP将证书的名称不那么明确地标为“ UTs 1 IS GUT”。 默认情况下,在其安装程序中安装了有关安装根证书的复选标记。 唯一的新证书是我们提交的Tinkoff Bank JSC证书。

从“ CA CA Tinkoff Bank GOST R 34.10.2001的根证书链”安装证书后,便绘制了证书中的路径,系统欣喜地宣布它是受信任的。 Adobe Acrobat Reader DC还确认签名有效。


这就是在eOSAGO政策上测试ES的冒险之旅的终点。 值得注意的是,在系统中已经安装了必要的软件之后,并且用户理解了工作原理以及对中间证书的搜索之后,对签名的验证就花费了更少的时间。

但是问题仍然存在:您需要在Internet上搜索证书颁发机构的官方网站,以了解安装证书的说明。 即使已安装根证书,也必须寻找中间证书,否则信任链将不完整,系统将无法确认签名的真实性。

第三章:关于根证书和中间证书的一些知识



完成所有这些工作后,我感到整个系统的构建不是很安全,它需要许多额外的操作和用户的诸多因素的信任:从可能无法将CA官方站点提供给第一行的搜索系统到CA人员本身的工作,将不包含校验和的证书以专有容器格式上载到第三方Web服务。

有关更多信息,我访问了通信和通信部的网站,并找到了这样的页面 。 您可以在那里下载XLS文件,该文件将列出所有当前已认证的CA,以及已暂停和终止认证的CA。 认可的列表是494 CA,这很多。

但是,仅列表是不够的,您至少需要链接到这些CA的站点,并且还需要直接从来源(通信部)中查找根证书。 搜索此信息的下一点是pravo.gov.ru ,其中列出了一些根证书的链接。 该页面只能通过http协议访问;同样,没有校验和。

仔细观察,您会看到前四个链接通向门户https://e-trust.gosuslugi.ru 。 尚不清楚为什么公共服务站点的子域已成为根证书系统的中心,但似乎此处提供了有关根证书和中间证书的所有相关信息。

在主要CA https://e-trust.gosuslugi.ru/MainCA的页面上, 10个来自通信部的根证书,用于不同的GOST算法和有效期。 密钥快照立即可用,您可以检查是否没有人替换已下载的证书。 该网站本身已通过Thawte认证。

在经过认证的CA的页面https://e-trust.gosuslugi.ru/CA上,有中间认证中心的完整列表,您可以下载其证书,然后检查演员表。 此外,所有信息均以XML格式提供。 一次可以获取一个文件,其中包含有关所有中间CA的数据以及它们的证书和链接,以获取吊销证书的列表。

证书具有吊销列表分发点(CRL)字段,该字段指定获取吊销证书列表的路径。 在检查文档上的ES时,除了安装中间证书和根证书之外,还必须安装已撤销证书的最新列表并在每次验证之前对其进行更新(此过程由专用软件自动执行,但是常规工具似乎无法做到这一点)。 每个证书在e-trust门户上都有一个指向此类列表的路径,并且可能与证书本身中的内容有所不同。 相信什么? 尚不完全清楚。



在本文的结尾,我想指出,电子文档上的电子文档验证在每个人的能力范围内,但这不是一个完全琐碎的过程,需要一些知识。 将来有可能简化此过程。 另外,在移动设备上检查ES的问题仍然悬而未决,毕竟,它们早已成为用户的主要工具,长期以来一直领先于个人计算机。

撰写本文之后,我想与社区讨论几个开放性问题:

  1. CryptoPro类似物,尤其是用于创建和检查ES的开源工具;
  2. 不仅在Adobe Acrobat Reader DC中添加ES验证,还在Foxit Reader等中添加ES验证;
  3. 仍然不在本文讨论范围之内的问题,这些问题也很重要,需要引起注意,但在我看来并未出现。


UPD 0 :在评论中,他们建议在政府服务门户上提供一种在线服务,以检查电子文档: https : //www.gosuslugi.ru/pgu/eds 。 不幸的是,在我看来,它没有用,但可能很有用。

UPD 1 :写完文章后,他们告诉我还有另一个加密提供程序ViPNet CSP,它也可以帮助系统中的GOST加密算法。 与CryptoPro CSP同时安装它是有问题的。

KDPV:edar,Pixabay

Source: https://habr.com/ru/post/zh-CN470517/

More articles:


All Articles