Какое ПО использовать для ЭЦП

Автор rutit, 09.02.15, 17:56:06

« предыдущая - следующая »

0 Пользователей и 1 гость просматривают эту тему.

Danila

07.04.15, 09:16:01 #20 Последнее редактирование: 07.04.15, 09:51:35 от Danila
Цитата: СергейТ от 06.04.15, 18:10:49
Это точно? где об можно узнать поподробней?

Судя по тому, что встроенные в Лоцман механизмы подписи работают только с файлами xps, то больше похоже на первый вариант.
Если бы подпись была отделяемой, то не должно быть ограничений на подписание файлов pdf и jpg.


Что значит, только xps?
От формата файла вообще подпись не зависит. Алгоритм никак не привязан к типу документов.

Выше в тексте указано много различных нормативных документов, которые регламентируют работу механизма ЭЦП, как с юридической точки зрения, так и с программной:
ЦитироватьФЗ от 06.04.2011 N 63-ФЗ - Закон об использовании ЭЦП
ГОСТ 2.001-2013
порядок использования ЭЦП на предприятии и между организациями вещает ГОСТ 2.051
ЭП формируется по ГОСТ 34.10-2012
функция хеширования вычисляется по ГОСТ 34.11-2012


В Лоцмане сама хэш сумма не присоединяется к файлу, а хранится отдельно. В разных таблицах БД. В новой версии Лоцмана у них вообще реализована простая ЭЦП. Но можно использовать с учетом провайдеров - дальше все будет зависеть от того, как вы сами сможете это все реализовать.

Подробности реализации закрыты внутри механизмов Лоцмана, можно обратиться к разработчикам. Какое АПИ, предоставляют они для работы, и как реализованы механизмы. Но АПИ без подробного описаний разработчиков не скажет о внутренней реализации, так как механизмы инкапсулированы за именами функций. А вот построение БД - говорит о большем. Там можно найти таблицы, описывающие файлы, сами поля с blob-данными файлов. А также, и blob-поля с данными хэш-сумм ЭЦП, хранящиеся в таблице stFileSign. А вот подписи объектов хранятся в stUserSign.

Опять же, я сообщаю информацию по версии Комплекс решений АСКОН 2009. Но, в большинстве случаев общая идеология у них остается примерно такой же, поэтому маловероятно, что в этом что-то поменялось.

ПС. Скоро начнем тестировать, изучать новый комплекс - будем знать больше подробностей и по нему.
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

СергейТ

В Лоцман:ПГС стандартный функционал подписания документов (файлов) в главном дереве проектов не работает ни с какими другими форматами, кроме xps  :(

а у Вас какой комплекс и какие файлы подписываете? в панели файлов или в главном дереве проектов?

Danila

По ПГС сказать точно не могу - это уже программные ограничения Лоцман.ПГС, судя по всему - и надо уточнять информацию у разработчиков, но структура работы общая в части БД.

Программные ограничения - это другой вопрос. Мы вообще реализовали собственную систему подписей. Через свои модули, через функционал CriptoAPI. И с использованием идеологии Лоцмана в части хранения и проверки данных.

У нас Комплекс решений АСКОН 2009, Лоцман:PLM V10 sp2.

Насколько понимаю, Лоцман.ПГС - это отдельный клиент на том же АПИ от Лоцмана и той же БД, но со своими конфигурационными настройками. Дальше вопрос, возможно к разработчикам, или тем, у кого именно ПГС версия Лоцмана.
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

Chaa

У Лоцман ПГС совсем другая электронная подпись, никак не связанная с той, что в Комплексе решений.

Danila

08.04.15, 09:34:57 #24 Последнее редактирование: 08.04.15, 10:04:00 от Danila
Цитата: Chaa от 08.04.15, 07:19:48
У Лоцман ПГС совсем другая электронная подпись, никак не связанная с той, что в Комплексе решений.


Вот и ответ. Спасибо. Не знал. Значит, надо расширять функционал через свои решения/находки. Например, каким-то образом организовав прикрепляемую подпись, или используя полностью свое решение для ЭЦП.

Или же понять ту методологию, которую предлагает АСКОН, и подчиниться ей.

В Лоцман.ПГС есть отличия по использованию внешних модулей от Лоцман.ПЛМ? То есть существуют ли ограничения на использование АПИ-функционала от Лоцмана?
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

Danila

все верно.. Про ПГС так все точно и написано...
http://pdmonline.ru/source/articles/ITS-2013-11_.pdf
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

К счастью, в ЛОЦМАН:ПГС при работе с ЭП никаких завязок на API ЛОЦМАН -- нет, т.к. используется реализация открытого международного стандарта ECMA-388 (Open XML Paper Specification). Это позволяет работать с ЭП не только в пределах ЛОЦМАН, но и после отчуждения документов от системы, вместе с ЭП, без потери целостности. Используя стандарт ECMA-388 можно организовать работу с ЭП и без применения ЛОЦМАН, используя бесплатные инструменты.

Цитата: Danila от 07.04.15, 14:14:35
По ПГС сказать точно не могу - это уже программные ограничения Лоцман.ПГС, судя по всему - и надо уточнять информацию у разработчиков, но структура работы общая в части БД.

Программные ограничения - это другой вопрос. Мы вообще реализовали собственную систему подписей. Через свои модули, через функционал CriptoAPI. И с использованием идеологии Лоцмана в части хранения и проверки данных.

У нас Комплекс решений АСКОН 2009, Лоцман:PLM V10 sp2.

Насколько понимаю, Лоцман.ПГС - это отдельный клиент на том же АПИ от Лоцмана и той же БД, но со своими конфигурационными настройками. Дальше вопрос, возможно к разработчикам, или тем, у кого именно ПГС версия Лоцмана.

Danila

Цитата: caduser от 18.04.16, 19:10:12
К счастью, в ЛОЦМАН:ПГС при работе с ЭП никаких завязок на API ЛОЦМАН -- нет, т.к. используется реализация открытого международного стандарта ECMA-388 (Open XML Paper Specification). Это позволяет работать с ЭП не только в пределах ЛОЦМАН, но и после отчуждения документов от системы, вместе с ЭП, без потери целостности. Используя стандарт ECMA-388 можно организовать работу с ЭП и без применения ЛОЦМАН, используя бесплатные инструменты.



Тогда почему в ПГС можно подписать файлы только определенного типа?
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

Цитата: Danila от 19.04.16, 10:08:23
Тогда почему в ПГС можно подписать файлы только определенного типа?

Можно подписывать файлы любых типов соответствующих стандарту ECMA-388. Например, можно использовать тип файла -- DWFx.

Danila

Цитата: caduser от 19.04.16, 13:08:44
Можно подписывать файлы любых типов соответствующих стандарту ECMA-388. Например, можно использовать тип файла -- DWFx.


В Лоцман:ПГС ЭЦП присоединенная?
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

Цитата: Danila от 19.04.16, 14:07:23
В Лоцман:ПГС ЭЦП присоединенная?

По стандарту ECMA-388 электронная подпись является частью документа, она встроена непосредственно в файл.

Danila

20.04.16, 09:43:10 #31 Последнее редактирование: 20.04.16, 12:09:31 от Danila
Цитата: caduser от 19.04.16, 17:30:13
По стандарту ECMA-388 электронная подпись является частью документа, она встроена непосредственно в файл.


Такая методология только в Лоцман:ПГС? В других системах документооборота Лоцман:PLM, Лоцман:ОРД, Pilot-Ice не предусматривается изменение логики? Или предусматривается возможность совмещения логик отсоединенной и присоединенной ЭЦП?

И что делать с документами, разработанными в исходных инструментах? Как подписать их?
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

04.05.16, 17:02:18 #32 Последнее редактирование: 04.05.16, 17:12:48 от caduser
Цитата: Danila от 20.04.16, 09:43:10
Такая методология только в Лоцман:ПГС? В других системах документооборота Лоцман:PLM, Лоцман:ОРД, Pilot-Ice не предусматривается изменение логики?

Не совсем понятен вопрос. О каком изменении логики идёт речь? Какую задачу хочется решить?

Цитата: Danila от 20.04.16, 09:43:10
И что делать с документами, разработанными в исходных инструментах? Как подписать их?

Подписание документов в форматах инструментов - плохо решаемая задача. Такие форматы, как правило, ориентированы на лёгкость изменения контента, они легко компрометируются за счет всевозможных ссылок и скриптов. Например, вы можете вставить в документ ссылку на растровый файл, подписать документ, а затем изменить содержимое растрового файла. Отображение документа изменится, но подпись останется действительной -- это недопустимо. Аналогичным образом его можно скомпрометировать с помощью встроенных скриптов и т.п. Документы фиксированной разметки решают эту проблему, модификация документа затрагивающая его отображение приводит к разрушению электронной подписи. Таким образом решается задача идентичности отображения документа в любой точке мира.

Danila

05.05.16, 09:47:53 #33 Последнее редактирование: 05.05.16, 11:02:25 от Danila
Цитата: caduser от 04.05.16, 17:02:18
Не совсем понятен вопрос. О каком изменении логики идёт речь? Какую задачу хочется решить?


Имеется в виду вопрос. Данная методология ЭЦП с Лоцман:ПГС в будущем будем применяться и в других системах документооборота АСКОН?

Цитата: caduser от 04.05.16, 17:02:18
Подписание документов в форматах инструментов - плохо решаемая задача. Такие форматы, как правило, ориентированы на лёгкость изменения контента, они легко компрометируются за счет всевозможных ссылок и скриптов. Например, вы можете вставить в документ ссылку на растровый файл, подписать документ, а затем изменить содержимое растрового файла. Отображение документа изменится, но подпись останется действительной -- это недопустимо. Аналогичным образом его можно скомпрометировать с помощью встроенных скриптов и т.п. Документы фиксированной разметки решают эту проблему, модификация документа затрагивающая его отображение приводит к разрушению электронной подписи. Таким образом решается задача идентичности отображения документа в любой точке мира.


Тогда встречный вопрос. Если документ подписывается только xps (или соответствующий такому же формату), то файл в исходном инструменте не подписывается и его неизменяемость не гарантируется?

Конечное представление имеет значение для подписания? А файл из исходного инструмента с характеристиками для производства, расчеты, атрибутивные параметры (которых нет в xps) и т.д. не имеют права на подпись?

Плюс логика закладки в систему и xps, и исходного документа создает проблемы синхронизации информации между этими файлами одного документа. А здесь еще и вспоминается проблема аутентичных документов....
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

05.05.16, 19:02:38 #34 Последнее редактирование: 05.05.16, 19:14:06 от caduser
Цитата: Danila от 05.05.16, 09:47:53
Имеется в виду вопрос. Данная методология ЭЦП с Лоцман:ПГС в будущем будем применяться и в других системах документооборота АСКОН?

Такой подход применяется в Pilot-ICE, с некоторыми усовершенствованиями. Например, в Pilot-ICE появилась возможность, в случае отсутствия пользователя на которого выдан запрос, поставить подпись его заместителю.

Цитата: Danila от 05.05.16, 09:47:53
Тогда встречный вопрос. Если документ подписывается только xps (или соответствующий такому же формату), то файл в исходном инструменте не подписывается и его неизменяемость не гарантируется?

Выше я уже говорил о том, что гарантировать с помощью ЭП неизменность редактируемого файла весьма проблематично. На всякий случай дублирую:
Цитата: caduser от 04.05.16, 17:02:18
Такие форматы, как правило, ориентированы на лёгкость изменения контента, они легко компрометируются за счет всевозможных ссылок и скриптов. Например, вы можете вставить в документ ссылку на растровый файл, подписать документ, а затем изменить содержимое растрового файла. Отображение документа изменится, но подпись останется действительной -- это недопустимо. Аналогичным образом его можно скомпрометировать с помощью встроенных скриптов и т.п.

Просто нужно учитывать это при рассмотрении вопроса применения ЭП.

Цитата: Danila от 05.05.16, 09:47:53
Конечное представление имеет значение для подписания? А файл из исходного инструмента с характеристиками для производства, расчеты, атрибутивные параметры (которых нет в xps) и т.д. не имеют права на подпись?

Здесь нужно исходить из решаемой задачи. Какую задачу хочется решить с помощью ЭП, подписывая "файл из исходного инструмента с характеристиками для производства"? Почему именно ЭП, может быть она вообще не нужна для данного типа файлов?

Цитата: Danila от 05.05.16, 09:47:53
Плюс логика закладки в систему и xps, и исходного документа создает проблемы синхронизации информации между этими файлами одного документа. А здесь еще и вспоминается проблема аутентичных документов....

Всё зависит от того чему вы можете доверять, и чему могут доверять ваши контрагенты, а также другие участники документооборота. Или исходному файлу, или полученному из него документу фиксированной разметки, или бумажному документу.

Kirilius83

у нас Search, типа электронный архив. как таковой ЭЦП нет, но в архиве у файлов подписи есть, при редактировании подписи слетают и надо заново подписывать. впринципе, в пределах своего предприятия таких подписей достаточно, видно подписан чертеж (ограничений на формат нет совсем, любой файл можно вкинуть в архив и подписать), кем и когда.

Danila

10.05.16, 16:43:11 #36 Последнее редактирование: 10.05.16, 19:35:42 от Danila
Цитата: Kirilius83 от 06.05.16, 09:43:32
у нас Search, типа электронный архив. как таковой ЭЦП нет, но в архиве у файлов подписи есть, при редактировании подписи слетают и надо заново подписывать. впринципе, в пределах своего предприятия таких подписей достаточно, видно подписан чертеж (ограничений на формат нет совсем, любой файл можно вкинуть в архив и подписать), кем и когда.


Как бы и в Лоцмане ограничений на подпись различных видов тоже файлов нет.
Еще и подпись объектов существует. Хотя и с особенностями.

Но в своих альтернативных системах документооборота АСКОН начал использовать другую логику. Которую пока не удается принять. По крайней мере для нашей системы ЭД.

Понятно, что присоединенная подпись - это здорово, особенно при передаче на сторону.. еще б там на стороне был тот же самый удостоверяющий центр для проверки легитимности.

ЭЦП так или иначе существует в организованной системе документооборота с учетом взаимодействующих компонентов. Потому необходим ли вынос ЭЦП в том виде, который предлагается АСКОНОМ - вопрос открытый. Но у нас замкнутая система инженерного документооборота, а не система для проектировщиков.

Если с таким же успехом можно купить систему криптопровайдера и ставить ЭЦП им, то получается такая же присоединенная подпись, но на любые файлы. Но, конечно, если у АСКОН это бесплатно (условно - так как в составе комплекса) - какой-то резон есть, но весьма ограниченный.

Про связность и использование связей - что-то в этом, конечно, есть...
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

13.05.16, 11:13:17 #37 Последнее редактирование: 13.05.16, 14:51:59 от caduser
Цитата: Danila от 10.05.16, 16:43:11
Понятно, что присоединенная подпись - это здорово, особенно при передаче на сторону.. еще б там на стороне был тот же самый удостоверяющий центр для проверки легитимности.

Для проверки легитимности удостоверяющий центр не нужен. Единственное что требуется -- доверенный корневой сертификат и криптопровайдер (CSP). И это никак не зависит от способа хранения ЭП, внутри файла документа, или отдельным файлом. Криптографические алгоритмы от этого абстрагированы.

Цитата: Danila от 10.05.16, 16:43:11
ЭЦП так или иначе существует в организованной системе документооборота с учетом взаимодействующих компонентов.

Уточните, пожалуйста, вашу мысль?

Цитата: Danila от 10.05.16, 16:43:11
Если с таким же успехом можно купить систему криптопровайдера и ставить ЭЦП им, то получается такая же присоединенная подпись, но на любые файлы. Но, конечно, если у АСКОН это бесплатно (условно - так как в составе комплекса) - какой-то резон есть, но весьма ограниченный.

Возможно здесь какая-то путаница. Компания АСКОН не поставляет криптопровадйры, ни отдельно, ни в составе Комплекса. Криптопровайдеры и системы документооборота, хоть и могут работать совместно, но разрабатываются и поставляются независимо друг от друга. Кроме того, есть возможность использовать криптопровайдер, который входит в операционную систему Windows и доступен всем. Иными словами, покупая Windows вы получаете криптопровайдер от Microsoft бесплатно. Аналогичная ситуация с удостоверяющим центром, он входит в базовую поставку серверных редакций Windows (http://blog.pdmonline.ru/?p=366)

Danila

18.05.16, 13:20:03 #38 Последнее редактирование: 18.05.16, 14:35:24 от Danila
Цитировать
Возможно здесь какая-то путаница. Компания АСКОН не поставляет криптопровадйры, ни отдельно, ни в составе Комплекса. Криптопровайдеры и системы документооборота, хоть и могут работать совместно, но разрабатываются и поставляются независимо друг от друга. Кроме того, есть возможность использовать криптопровайдер, который входит в операционную систему Windows и доступен всем. Иными словами, покупая Windows вы получаете криптопровайдер от Microsoft бесплатно. Аналогичная ситуация с удостоверяющим центром, он входит в базовую поставку серверных редакций Windows (http://blog.pdmonline.ru/?p=366)


Я и не говорил о криптопровайдерах, поставляемых АСКОН. Я сообщал о логике и алгоритмах предоставляемых АСКОНОМ как базовых для использования ЭЦП.

В нашей версии Лоцман:PDM используется алгоритм отсоединенной ЭЦП, хранимой в БД. В Pilot-Ice и Лоцман:ПГС вы начали использовать новую логику, присоединенной ЭЦП с ограничения на использование по стандарту ECMA-388.

Криптопровайдер не запрещает подпись любого документа и даже объекта системы. Но использование АСКОНОМ алгоритмов стандарта ECMA-388 вносит свой "шарм"  :) :) :)
ООО НПП ПРИМА, Нижний Новгород
КР АСКОН 2009 sp2: Лоцман v10, Компас V11, Вертикаль v4
КР АСКОН 2014 SP6: Лоцман 2014, Компас v17.1->18.1, Вертикаль 2014

caduser

18.05.16, 18:02:50 #39 Последнее редактирование: 18.05.16, 18:16:27 от caduser
Цитата: Danila от 18.05.16, 13:20:03
Криптопровайдер не запрещает подпись любого документа и даже объекта системы. Но использование АСКОНОМ алгоритмов стандарта ECMA-388 вносит свой "шарм"  :) :) :)

Вы верно говорите, действительно криптопровайдер позволяет подписывать всё что шевелится угодно :) Вопрос в удобстве использования, отчуждаемости и возможности скомпрометировать информацию, которую мы получаем вместе с ЭП. ECMA-388 помогает найти ответы на них. Но если эти вопросы не принципиальны (например потому, что мир ограничили конкретной базой данных, всё замкнуто внутри какой-то системы, или по иным причинам), то стоит подумать -- а нужна-ли вообще ЭП в данном случае? Может целесообразнее найти другое решение? Например: доверять правам доступа, версиям, атрибутам или другим сущностям?