Какое ПО использовать для ЭЦП

[Danila]

Это точно? где об можно узнать поподробней?

Судя по тому, что встроенные в Лоцман механизмы подписи работают только с файлами xps, то больше похоже на первый вариант.
Если бы подпись была отделяемой, то не должно быть ограничений на подписание файлов pdf и jpg.

Что значит, только xps?
От формата файла вообще подпись не зависит. Алгоритм никак не привязан к типу документов.

Выше в тексте указано много различных нормативных документов, которые регламентируют работу механизма ЭЦП, как с юридической точки зрения, так и с программной:

ФЗ от 06.04.2011 N 63-ФЗ - Закон об использовании ЭЦП
ГОСТ 2.001-2013
порядок использования ЭЦП на предприятии и между организациями вещает ГОСТ 2.051
ЭП формируется по ГОСТ 34.10-2012
функция хеширования вычисляется по ГОСТ 34.11-2012

В Лоцмане сама хэш сумма не присоединяется к файлу, а хранится отдельно. В разных таблицах БД. В новой версии Лоцмана у них вообще реализована простая ЭЦП. Но можно использовать с учетом провайдеров - дальше все будет зависеть от того, как вы сами сможете это все реализовать.

Подробности реализации закрыты внутри механизмов Лоцмана, можно обратиться к разработчикам. Какое АПИ, предоставляют они для работы, и как реализованы механизмы. Но АПИ без подробного описаний разработчиков не скажет о внутренней реализации, так как механизмы инкапсулированы за именами функций. А вот построение БД - говорит о большем. Там можно найти таблицы, описывающие файлы, сами поля с blob-данными файлов. А также, и blob-поля с данными хэш-сумм ЭЦП, хранящиеся в таблице stFileSign. А вот подписи объектов хранятся в stUserSign.

Опять же, я сообщаю информацию по версии Комплекс решений АСКОН 2009. Но, в большинстве случаев общая идеология у них остается примерно такой же, поэтому маловероятно, что в этом что-то поменялось.

ПС. Скоро начнем тестировать, изучать новый комплекс - будем знать больше подробностей и по нему.

[СергейТ]

В Лоцман:ПГС стандартный функционал подписания документов (файлов) в главном дереве проектов не работает ни с какими другими форматами, кроме xps 

а у Вас какой комплекс и какие файлы подписываете? в панели файлов или в главном дереве проектов?

[Danila]

По ПГС сказать точно не могу - это уже программные ограничения Лоцман.ПГС, судя по всему - и надо уточнять информацию у разработчиков, но структура работы общая в части БД.

Программные ограничения - это другой вопрос. Мы вообще реализовали собственную систему подписей. Через свои модули, через функционал CriptoAPI. И с использованием идеологии Лоцмана в части хранения и проверки данных.

У нас Комплекс решений АСКОН 2009, Лоцман:PLM V10 sp2.

Насколько понимаю, Лоцман.ПГС - это отдельный клиент на том же АПИ от Лоцмана и той же БД, но со своими конфигурационными настройками. Дальше вопрос, возможно к разработчикам, или тем, у кого именно ПГС версия Лоцмана.

[Chaa]

У Лоцман ПГС совсем другая электронная подпись, никак не связанная с той, что в Комплексе решений.

[Danila]

У Лоцман ПГС совсем другая электронная подпись, никак не связанная с той, что в Комплексе решений.

Вот и ответ. Спасибо. Не знал. Значит, надо расширять функционал через свои решения/находки. Например, каким-то образом организовав прикрепляемую подпись, или используя полностью свое решение для ЭЦП.

Или же понять ту методологию, которую предлагает АСКОН, и подчиниться ей.

В Лоцман.ПГС есть отличия по использованию внешних модулей от Лоцман.ПЛМ? То есть существуют ли ограничения на использование АПИ-функционала от Лоцмана?

[Danila]

все верно.. Про ПГС так все точно и написано...
http://pdmonline.ru/source/articles/ITS-2013-11_.pdf

[caduser]

К счастью, в ЛОЦМАН:ПГС при работе с ЭП никаких завязок на API ЛОЦМАН — нет, т.к. используется реализация открытого международного стандарта ECMA-388 (Open XML Paper Specification). Это позволяет работать с ЭП не только в пределах ЛОЦМАН, но и после отчуждения документов от системы, вместе с ЭП, без потери целостности. Используя стандарт ECMA-388 можно организовать работу с ЭП и без применения ЛОЦМАН, используя бесплатные инструменты.

По ПГС сказать точно не могу - это уже программные ограничения Лоцман.ПГС, судя по всему - и надо уточнять информацию у разработчиков, но структура работы общая в части БД.

Программные ограничения - это другой вопрос. Мы вообще реализовали собственную систему подписей. Через свои модули, через функционал CriptoAPI. И с использованием идеологии Лоцмана в части хранения и проверки данных.

У нас Комплекс решений АСКОН 2009, Лоцман:PLM V10 sp2.

Насколько понимаю, Лоцман.ПГС - это отдельный клиент на том же АПИ от Лоцмана и той же БД, но со своими конфигурационными настройками. Дальше вопрос, возможно к разработчикам, или тем, у кого именно ПГС версия Лоцмана.

[Danila]

К счастью, в ЛОЦМАН:ПГС при работе с ЭП никаких завязок на API ЛОЦМАН — нет, т.к. используется реализация открытого международного стандарта ECMA-388 (Open XML Paper Specification). Это позволяет работать с ЭП не только в пределах ЛОЦМАН, но и после отчуждения документов от системы, вместе с ЭП, без потери целостности. Используя стандарт ECMA-388 можно организовать работу с ЭП и без применения ЛОЦМАН, используя бесплатные инструменты.

Тогда почему в ПГС можно подписать файлы только определенного типа?

[caduser]

Тогда почему в ПГС можно подписать файлы только определенного типа?

Можно подписывать файлы любых типов соответствующих стандарту ECMA-388. Например, можно использовать тип файла — DWFx.

[Danila]

Можно подписывать файлы любых типов соответствующих стандарту ECMA-388. Например, можно использовать тип файла — DWFx.

В Лоцман:ПГС ЭЦП присоединенная?

[caduser]

В Лоцман:ПГС ЭЦП присоединенная?

По стандарту ECMA-388 электронная подпись является частью документа, она встроена непосредственно в файл.

[Danila]

По стандарту ECMA-388 электронная подпись является частью документа, она встроена непосредственно в файл.

Такая методология только в Лоцман:ПГС? В других системах документооборота Лоцман:PLM, Лоцман:ОРД, Pilot-Ice не предусматривается изменение логики? Или предусматривается возможность совмещения логик отсоединенной и присоединенной ЭЦП?

И что делать с документами, разработанными в исходных инструментах? Как подписать их?

[caduser]

Такая методология только в Лоцман:ПГС? В других системах документооборота Лоцман:PLM, Лоцман:ОРД, Pilot-Ice не предусматривается изменение логики?

Не совсем понятен вопрос. О каком изменении логики идёт речь? Какую задачу хочется решить?

И что делать с документами, разработанными в исходных инструментах? Как подписать их?

Подписание документов в форматах инструментов - плохо решаемая задача. Такие форматы, как правило, ориентированы на лёгкость изменения контента, они легко компрометируются за счет всевозможных ссылок и скриптов. Например, вы можете вставить в документ ссылку на растровый файл, подписать документ, а затем изменить содержимое растрового файла. Отображение документа изменится, но подпись останется действительной — это недопустимо. Аналогичным образом его можно скомпрометировать с помощью встроенных скриптов и т.п. Документы фиксированной разметки решают эту проблему, модификация документа затрагивающая его отображение приводит к разрушению электронной подписи. Таким образом решается задача идентичности отображения документа в любой точке мира.

[Danila]

Не совсем понятен вопрос. О каком изменении логики идёт речь? Какую задачу хочется решить?

Имеется в виду вопрос. Данная методология ЭЦП с Лоцман:ПГС в будущем будем применяться и в других системах документооборота АСКОН?

Подписание документов в форматах инструментов - плохо решаемая задача. Такие форматы, как правило, ориентированы на лёгкость изменения контента, они легко компрометируются за счет всевозможных ссылок и скриптов. Например, вы можете вставить в документ ссылку на растровый файл, подписать документ, а затем изменить содержимое растрового файла. Отображение документа изменится, но подпись останется действительной — это недопустимо. Аналогичным образом его можно скомпрометировать с помощью встроенных скриптов и т.п. Документы фиксированной разметки решают эту проблему, модификация документа затрагивающая его отображение приводит к разрушению электронной подписи. Таким образом решается задача идентичности отображения документа в любой точке мира.

Тогда встречный вопрос. Если документ подписывается только xps (или соответствующий такому же формату), то файл в исходном инструменте не подписывается и его неизменяемость не гарантируется?

Конечное представление имеет значение для подписания? А файл из исходного инструмента с характеристиками для производства, расчеты, атрибутивные параметры (которых нет в xps) и т.д. не имеют права на подпись?

Плюс логика закладки в систему и xps, и исходного документа создает проблемы синхронизации информации между этими файлами одного документа. А здесь еще и вспоминается проблема аутентичных документов....

[caduser]

Имеется в виду вопрос. Данная методология ЭЦП с Лоцман:ПГС в будущем будем применяться и в других системах документооборота АСКОН?

Такой подход применяется в Pilot-ICE, с некоторыми усовершенствованиями. Например, в Pilot-ICE появилась возможность, в случае отсутствия пользователя на которого выдан запрос, поставить подпись его заместителю.

Тогда встречный вопрос. Если документ подписывается только xps (или соответствующий такому же формату), то файл в исходном инструменте не подписывается и его неизменяемость не гарантируется?

Выше я уже говорил о том, что гарантировать с помощью ЭП неизменность редактируемого файла весьма проблематично. На всякий случай дублирую:

Такие форматы, как правило, ориентированы на лёгкость изменения контента, они легко компрометируются за счет всевозможных ссылок и скриптов. Например, вы можете вставить в документ ссылку на растровый файл, подписать документ, а затем изменить содержимое растрового файла. Отображение документа изменится, но подпись останется действительной — это недопустимо. Аналогичным образом его можно скомпрометировать с помощью встроенных скриптов и т.п.

Просто нужно учитывать это при рассмотрении вопроса применения ЭП.

Конечное представление имеет значение для подписания? А файл из исходного инструмента с характеристиками для производства, расчеты, атрибутивные параметры (которых нет в xps) и т.д. не имеют права на подпись?

Здесь нужно исходить из решаемой задачи. Какую задачу хочется решить с помощью ЭП, подписывая "файл из исходного инструмента с характеристиками для производства"? Почему именно ЭП, может быть она вообще не нужна для данного типа файлов?

Плюс логика закладки в систему и xps, и исходного документа создает проблемы синхронизации информации между этими файлами одного документа. А здесь еще и вспоминается проблема аутентичных документов....

Всё зависит от того чему вы можете доверять, и чему могут доверять ваши контрагенты, а также другие участники документооборота. Или исходному файлу, или полученному из него документу фиксированной разметки, или бумажному документу.

[Kirilius83]

у нас Search, типа электронный архив. как таковой ЭЦП нет, но в архиве у файлов подписи есть, при редактировании подписи слетают и надо заново подписывать. впринципе, в пределах своего предприятия таких подписей достаточно, видно подписан чертеж (ограничений на формат нет совсем, любой файл можно вкинуть в архив и подписать), кем и когда.

[Danila]

у нас Search, типа электронный архив. как таковой ЭЦП нет, но в архиве у файлов подписи есть, при редактировании подписи слетают и надо заново подписывать. впринципе, в пределах своего предприятия таких подписей достаточно, видно подписан чертеж (ограничений на формат нет совсем, любой файл можно вкинуть в архив и подписать), кем и когда.

Как бы и в Лоцмане ограничений на подпись различных видов тоже файлов нет.
Еще и подпись объектов существует. Хотя и с особенностями.

Но в своих альтернативных системах документооборота АСКОН начал использовать другую логику. Которую пока не удается принять. По крайней мере для нашей системы ЭД.

Понятно, что присоединенная подпись - это здорово, особенно при передаче на сторону.. еще б там на стороне был тот же самый удостоверяющий центр для проверки легитимности.

ЭЦП так или иначе существует в организованной системе документооборота с учетом взаимодействующих компонентов. Потому необходим ли вынос ЭЦП в том виде, который предлагается АСКОНОМ - вопрос открытый. Но у нас замкнутая система инженерного документооборота, а не система для проектировщиков.

Если с таким же успехом можно купить систему криптопровайдера и ставить ЭЦП им, то получается такая же присоединенная подпись, но на любые файлы. Но, конечно, если у АСКОН это бесплатно (условно - так как в составе комплекса) - какой-то резон есть, но весьма ограниченный.

Про связность и использование связей - что-то в этом, конечно, есть...

[caduser]

Понятно, что присоединенная подпись - это здорово, особенно при передаче на сторону.. еще б там на стороне был тот же самый удостоверяющий центр для проверки легитимности.

Для проверки легитимности удостоверяющий центр не нужен. Единственное что требуется — доверенный корневой сертификат и криптопровайдер (CSP). И это никак не зависит от способа хранения ЭП, внутри файла документа, или отдельным файлом. Криптографические алгоритмы от этого абстрагированы.

ЭЦП так или иначе существует в организованной системе документооборота с учетом взаимодействующих компонентов.

Уточните, пожалуйста, вашу мысль?

Если с таким же успехом можно купить систему криптопровайдера и ставить ЭЦП им, то получается такая же присоединенная подпись, но на любые файлы. Но, конечно, если у АСКОН это бесплатно (условно - так как в составе комплекса) - какой-то резон есть, но весьма ограниченный.

Возможно здесь какая-то путаница. Компания АСКОН не поставляет криптопровадйры, ни отдельно, ни в составе Комплекса. Криптопровайдеры и системы документооборота, хоть и могут работать совместно, но разрабатываются и поставляются независимо друг от друга. Кроме того, есть возможность использовать криптопровайдер, который входит в операционную систему Windows и доступен всем. Иными словами, покупая Windows вы получаете криптопровайдер от Microsoft бесплатно. Аналогичная ситуация с удостоверяющим центром, он входит в базовую поставку серверных редакций Windows (http://blog.pdmonline.ru/?p=366)

[Danila]

Возможно здесь какая-то путаница. Компания АСКОН не поставляет криптопровадйры, ни отдельно, ни в составе Комплекса. Криптопровайдеры и системы документооборота, хоть и могут работать совместно, но разрабатываются и поставляются независимо друг от друга. Кроме того, есть возможность использовать криптопровайдер, который входит в операционную систему Windows и доступен всем. Иными словами, покупая Windows вы получаете криптопровайдер от Microsoft бесплатно. Аналогичная ситуация с удостоверяющим центром, он входит в базовую поставку серверных редакций Windows (http://blog.pdmonline.ru/?p=366)

Я и не говорил о криптопровайдерах, поставляемых АСКОН. Я сообщал о логике и алгоритмах предоставляемых АСКОНОМ как базовых для использования ЭЦП.

В нашей версии Лоцман:PDM используется алгоритм отсоединенной ЭЦП, хранимой в БД. В Pilot-Ice и Лоцман:ПГС вы начали использовать новую логику, присоединенной ЭЦП с ограничения на использование по стандарту ECMA-388.

Криптопровайдер не запрещает подпись любого документа и даже объекта системы. Но использование АСКОНОМ алгоритмов стандарта ECMA-388 вносит свой "шарм" 

[caduser]

Криптопровайдер не запрещает подпись любого документа и даже объекта системы. Но использование АСКОНОМ алгоритмов стандарта ECMA-388 вносит свой "шарм" 

Вы верно говорите, действительно криптопровайдер позволяет подписывать всё что шевелится угодно Вопрос в удобстве использования, отчуждаемости и возможности скомпрометировать информацию, которую мы получаем вместе с ЭП. ECMA-388 помогает найти ответы на них. Но если эти вопросы не принципиальны (например потому, что мир ограничили конкретной базой данных, всё замкнуто внутри какой-то системы, или по иным причинам), то стоит подумать — а нужна-ли вообще ЭП в данном случае? Может целесообразнее найти другое решение? Например: доверять правам доступа, версиям, атрибутам или другим сущностям?