ЭЦП и электронные документы. Хотим сделать, но есть вопросы.
Хотим создать на сайте закрытую область, где будут содержаться электронные документы, которые нужно подписывать клиентам.
Необходимо что бы, когда клиент кликал по кнопке "Подписать", документ сохранялся у нас на сервере как подписанный именно клиентом, а не сторонним лицом. Насколько я понимаю с помощью ЭЦП этого можно достигнуть. Но честно говоря не совсем понимаю как это можно реализовать технически.
Какие компоненты должны быть у Нас, а какие у клиента, что бы происходила такая операция?
комментариев: 1515 документов: 44 редакций: 5786
2. Насчёт технически.... вопрос сложный :) Для круга профессионалов я бы сделал так: каждый скачивает к себе документ, подписывает его своим закрытым ключом и отправляет его обратно по шифрованному каналу. С другой стороны, нужно понимать, что никто ЗА клиента не будет и не должен беспокоиться за сохранность ЕГО, клиентского, закрытого ключа, харнящегося где-то на его личной машине.
комментариев: 11558 документов: 1036 редакций: 4118
Помимо этого, необходимы ещё два элемента. Первый — это непосредственно генерация (создание) закрытых ключей Ваших клиентов. Второй элемент — это сертификация ключей (это никак не связано с гос. сертификацией), что означает, что Вы должны иметь возможность определения, кому принадлежит тот или иной ключ, которым был электронно подписан тот или иной документ.
К сожалению, Вы не отметили, в каких целях должна быть реализована описанная система. Если предполагается использовать её для юридически значимого безбумажного документооборота, тогда, кроме прочего, необходимо, чтобы в рамках заключаемых договорных отношений Вы и Ваши клиенты признавали ЭЦП эквивалентом собственноручных подписей и печатей, а также должны предусмотреть порядок разрешения спорных ситуаций (в случае отречения одной из сторон от электронной подписи, например).
Что-то более конкретное без дополнительной от Вас информации сказать не могу.
комментариев: 11558 документов: 1036 редакций: 4118
1) Сделать закрытую область на сайте конечно несложно, но найти web-программиста, который сможет "прикрутить" к сайту СКЗИ довольно проблематично, кстати, если кто-то ищет работу в этом направлении – пишите ЛС, поговорим.
2) Меня настораживает разброс предложений по ЭЦП.
Одни компании предлагают СКЗИ бесплатно, но просят за каждую ЭЦП и сертификацию ключа отдельные деньги.
Вторые предлагают СКЗИ за большие деньги, но генерация и сертификация ЭЦП – почти бесплатны.
А третьи системы, как PGP, насколько я понимаю, вообще полностью бесплатны. Т.е. и СКЗИ и генерацию ЭЦП можно наладить бесплатно, но и без посторонней помощи, что требует большого опыта от программиста. И отсутствует сертификация таких систем в РФ что может привести к юридическим проблемам.
Поскольку предоставление ЭЦП планируется более-менее массовым, хочется найти компанию, где будут предлагать вменяемые условия сотрудничества. Или в случае бесплатного СКЗИ – сертифицированную в России систему.
To SATtva
Систему предполагается использовать именно для юридически значимого безбумажного документооборота. Эта часть в договорах уже прописана. Но меня смущает наше законодательство.
Непонятно, нужно ли получать лицензию на предоставление ЭЦП для клиентов?
И сертификацию условий хранения подписанных c помощью ЭЦП документов?
Клиент нажимает на кнопку "подпись" после чего появляется окошко для диалога, где он вводит имя и пароль, после чего PGP-подписаный документ отправляется серверу. Есть возможность подписания как готового документа, так и заполненного бланка.
Реализовано все это при помощи java-апплетов. Скрытый ключ развертывается прямо из имени и пароли.
Все ПО свободное, бесплатное (можете скачать с SourceForge, проэкт epoint, пакет ePointPGP). С вопросами обращайтесь ко мне (тоже бесплатно :) ). Содействие в установлении данного сервиса (или полное установление на вашем или моем сервере) платное, но не дорогое. Демо-сайт, по просьбе, составлю бесплатно. :)
Пока реализованы алгоритмы RSA и DSA, но можно реализовать и другие (например ГОСТ-34.*). Также, вместо PGP-подписи можно использовать S/MIME. Это пока не реализовано, и заниматься этим я готов опять же, только за соответсвующаю компенсацию.
комментариев: 11558 документов: 1036 редакций: 4118
От этой затеи можете отказаться сразу: сертификация СКЗИ — слишком дорогое удовольствие, чтобы потом предоставлять ПО на бесплатной основе. Короче, нет таких программ и вряд ли когда-нибудь будут.
Лучше Дане Надю за его программой обращайтесь.
Операторы WebMoney голову себе такой ерундой не морочат, а реализуют свою систему в рамках одного только ГК. И Вам советую в епархию закона "Об ЭЦП" не соваться.
В общем, если Вы не планируете создавать универсальный публичный сервис, вся эта головная боль Вам ни к чему. Некоторые [хозяйствующие субъекты] уже десять лет работают с цифровыми подписями и горя не знают, а начинали ещё когда о государственном регулировании в этой сфере никто даже не помышлял.
Меня заинтересовало Ваше предложение. Как я могу с вами связаться и обсудить детали сотрудничества?
Меня заинтересовало Ваше предложение. Как я могу с вами связаться и обсудить детали сотрудничества?
]>
Послав приватное сообщения в форуме, по электронной почте (предпочтительно по адресу nagydani@epointsystem.org или nagy.da@gmail.com), по телефону (+36 30 215-8843) по Skype (epointsystem). Можно, также, по обычной почте:
Nagy Dániel
Rákospatak park 2, V/15
Budapest, H-1142
Венгрия