id: Гость   вход   регистрация
текущее время 02:58 29/03/2024
Автор темы: Тузов Артем, тема открыта 14/09/2006 16:59 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ЭЦПИЭлектронныеДокументыХотимСделатьНоЕстьВопросы
создать
просмотр
ссылки

ЭЦП и электронные документы. Хотим сделать, но есть вопросы.


Хотим создать на сайте закрытую область, где будут содержаться электронные документы, которые нужно подписывать клиентам.


Необходимо что бы, когда клиент кликал по кнопке "Подписать", документ сохранялся у нас на сервере как подписанный именно клиентом, а не сторонним лицом. Насколько я понимаю с помощью ЭЦП этого можно достигнуть. Но честно говоря не совсем понимаю как это можно реализовать технически.
Какие компоненты должны быть у Нас, а какие у клиента, что бы происходила такая операция?


 
Комментарии
— spinore (14/09/2006 23:30)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
1. Закрытость области где что-либо хранится делается стандартными средствами программирования веб, насколько я понимаю...

2. Насчёт технически.... вопрос сложный :) Для круга профессионалов я бы сделал так: каждый скачивает к себе документ, подписывает его своим закрытым ключом и отправляет его обратно по шифрованному каналу. С другой стороны, нужно понимать, что никто ЗА клиента не будет и не должен беспокоиться за сохранность ЕГО, клиентского, закрытого ключа, харнящегося где-то на его личной машине.
— SATtva (14/09/2006 23:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Клиент должен располагать, во-первых, известным только ему секретом (закрытым ключом) и, во-вторых, программным обеспечением для выработки ЭЦП. Программа может быть представлена как любым известным СКЗИ (вроде GnuPG), либо, что в случае клиент-серверных приложений более удачно, java-апплетом, исполняемым на стороне клиента.

Помимо этого, необходимы ещё два элемента. Первый — это непосредственно генерация (создание) закрытых ключей Ваших клиентов. Второй элемент — это сертификация ключей (это никак не связано с гос. сертификацией), что означает, что Вы должны иметь возможность определения, кому принадлежит тот или иной ключ, которым был электронно подписан тот или иной документ.

К сожалению, Вы не отметили, в каких целях должна быть реализована описанная система. Если предполагается использовать её для юридически значимого безбумажного документооборота, тогда, кроме прочего, необходимо, чтобы в рамках заключаемых договорных отношений Вы и Ваши клиенты признавали ЭЦП эквивалентом собственноручных подписей и печатей, а также должны предусмотреть порядок разрешения спорных ситуаций (в случае отречения одной из сторон от электронной подписи, например).

Что-то более конкретное без дополнительной от Вас информации сказать не могу.
— SATtva (14/09/2006 23:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, если не хочется связываться с криптографией, просто сделайте на сайте регистрацию для клиентов (как надо, с логином и паролем). Если залогиненный клиент нажимает кнопку "Подписать", документ в базе данных просто помечается, как подписанный данным клиентом. Конечно, как юридическое действие подобную "подпись" нельзя рассматривать ни при каких обстоятельствах.
— Тузов Артем (15/09/2006 13:24)   <#>
spinore, SATtva Спасибо большое за ответы.

1) Сделать закрытую область на сайте конечно несложно, но найти web-программиста, который сможет "прикрутить" к сайту СКЗИ довольно проблематично, кстати, если кто-то ищет работу в этом направлении – пишите ЛС, поговорим.

2) Меня настораживает разброс предложений по ЭЦП.
Одни компании предлагают СКЗИ бесплатно, но просят за каждую ЭЦП и сертификацию ключа отдельные деньги.
Вторые предлагают СКЗИ за большие деньги, но генерация и сертификация ЭЦП – почти бесплатны.
А третьи системы, как PGP, насколько я понимаю, вообще полностью бесплатны. Т.е. и СКЗИ и генерацию ЭЦП можно наладить бесплатно, но и без посторонней помощи, что требует большого опыта от программиста. И отсутствует сертификация таких систем в РФ что может привести к юридическим проблемам.

Поскольку предоставление ЭЦП планируется более-менее массовым, хочется найти компанию, где будут предлагать вменяемые условия сотрудничества. Или в случае бесплатного СКЗИ – сертифицированную в России систему.

To SATtva
Систему предполагается использовать именно для юридически значимого безбумажного документооборота. Эта часть в договорах уже прописана. Но меня смущает наше законодательство.
Непонятно, нужно ли получать лицензию на предоставление ЭЦП для клиентов?
И сертификацию условий хранения подписанных c помощью ЭЦП документов?
— Гость (15/09/2006 15:32)   <#>
У меня уже реализовано следующее решение:
Клиент нажимает на кнопку "подпись" после чего появляется окошко для диалога, где он вводит имя и пароль, после чего PGP-подписаный документ отправляется серверу. Есть возможность подписания как готового документа, так и заполненного бланка.
Реализовано все это при помощи java-апплетов. Скрытый ключ развертывается прямо из имени и пароли.

Все ПО свободное, бесплатное (можете скачать с SourceForge, проэкт epoint, пакет ePointPGP). С вопросами обращайтесь ко мне (тоже бесплатно :) ). Содействие в установлении данного сервиса (или полное установление на вашем или моем сервере) платное, но не дорогое. Демо-сайт, по просьбе, составлю бесплатно. :)

Пока реализованы алгоритмы RSA и DSA, но можно реализовать и другие (например ГОСТ-34.*). Также, вместо PGP-подписи можно использовать S/MIME. Это пока не реализовано, и заниматься этим я готов опять же, только за соответсвующаю компенсацию.
— Гость (15/09/2006 16:15)   <#>
Другая возможность, это использование mailto: надеясь на то, что у клиента установлена эцп в почтовом клиенте.
— SATtva (15/09/2006 22:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Или в случае бесплатного СКЗИ – сертифицированную в России систему.

От этой затеи можете отказаться сразу: сертификация СКЗИ — слишком дорогое удовольствие, чтобы потом предоставлять ПО на бесплатной основе. Короче, нет таких программ и вряд ли когда-нибудь будут.

Лучше Дане Надю за его программой обращайтесь.

Непонятно, нужно ли получать лицензию на предоставление ЭЦП для клиентов?
И сертификацию условий хранения подписанных c помощью ЭЦП документов?

Операторы WebMoney голову себе такой ерундой не морочат, а реализуют свою систему в рамках одного только ГК. И Вам советую в епархию закона "Об ЭЦП" не соваться.

В общем, если Вы не планируете создавать универсальный публичный сервис, вся эта головная боль Вам ни к чему. Некоторые [хозяйствующие субъекты] уже десять лет работают с цифровыми подписями и горя не знают, а начинали ещё когда о государственном регулировании в этой сфере никто даже не помышлял.
— Тузов Артем (19/09/2006 15:16)   <#>
To Д. Надь
Меня заинтересовало Ваше предложение. Как я могу с вами связаться и обсудить детали сотрудничества?
— Гость (22/09/2006 13:47)   <#>
[quote:c28553da8d="Тузов Артем"]To Д. Надь
Меня заинтересовало Ваше предложение. Как я могу с вами связаться и обсудить детали сотрудничества?
]>
Послав приватное сообщения в форуме, по электронной почте (предпочтительно по адресу nagydani@epointsystem.org или nagy.da@gmail.com), по телефону (+36 30 215-8843) по Skype (epointsystem). Можно, также, по обычной почте:
Nagy Dániel
Rákospatak park 2, V/15
Budapest, H-1142
Венгрия
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3