ลายเซ็นอิเล็กทรอนิกส์ (ต่อไปนี้จะเรียกว่า ES) ตามกฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซียฉบับที่ 63-FZ ลงวันที่ 25 มีนาคม 2554 "บนลายเซ็นอิเล็กทรอนิกส์" ถูกกำหนดให้เป็นข้อมูลในรูปแบบอิเล็กทรอนิกส์ซึ่งแนบมากับข้อมูลอื่น ๆ ใน แบบฟอร์มอิเล็กทรอนิกส์ (ข้อมูลที่ลงนาม) หรืออื่น ๆ ที่เกี่ยวข้องกับข้อมูลดังกล่าวและใช้เพื่อระบุผู้ลงนามในข้อมูล พระราชบัญญัติกฎเกณฑ์ที่ระบุแทนที่กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซียฉบับที่ 1-FZ ลงวันที่ 10 มกราคม 2545 "ในลายเซ็นดิจิทัลอิเล็กทรอนิกส์" ซึ่งสูญเสียกำลังทางกฎหมายไปเมื่อวันที่ 1 กรกฎาคม 2013
กฎหมายของวันที่ 25 มีนาคม 2011 แยกความแตกต่างระหว่างลายเซ็นอิเล็กทรอนิกส์สองประเภท: แบบธรรมดาและแบบปรับปรุง หลังสามารถมีคุณสมบัติหรือไม่ชำนาญ หาก ES ธรรมดายืนยันได้ว่าข้อความอิเล็กทรอนิกส์ที่กำหนดถูกส่งโดยบุคคลใดบุคคลหนึ่ง ES ที่ไม่ผ่านการรับรองที่เสริมความแข็งแกร่งจะไม่เพียงแต่ระบุผู้ส่งได้อย่างชัดเจนเท่านั้น แต่ยังยืนยันว่าไม่มีใครเปลี่ยนแปลงข้อความตั้งแต่มีการลงนามในเอกสาร ต่อไปเราจะพูดถึงการเสริม ES ที่ไม่มีเงื่อนไข ข้อความที่มีลายเซ็นอิเล็กทรอนิกส์ที่ไม่เหมาะสมสามารถเทียบเท่ากับเอกสารกระดาษที่ลงนามด้วยมือของตนเอง หากคู่สัญญาได้ตกลงล่วงหน้าในเรื่องนี้ รวมทั้งในกรณีที่กฎหมายกำหนดไว้เป็นพิเศษ
ในอีกด้านหนึ่ง ES ใช้เพื่อยืนยันการประพันธ์เอกสาร - นี่คือความหมายสำหรับผู้ส่งเอกสาร ในทางกลับกัน ลายเซ็นอิเล็กทรอนิกส์ หากได้รับการยอมรับว่ามีนัยสำคัญทางกฎหมาย รับรองว่าผู้เขียนจะไม่ปฏิเสธเอกสารที่ลงนาม ซึ่งในทางกลับกันก็มีความสำคัญสำหรับผู้รับเอกสาร ในกรณีที่มีสถานการณ์ที่ขัดแย้งกัน การวิเคราะห์ความขัดแย้งสามารถทำได้เสมอ ซึ่งจะกำหนดผู้เขียนเอกสารที่ลงนามอย่างไม่น่าสงสัยและทำให้เขาต้องรับผิดชอบในเอกสารที่ลงนาม
การวิเคราะห์ข้อขัดแย้งที่เกี่ยวข้องกับลายเซ็นอิเล็กทรอนิกส์
ปัญหาหลักในการวิเคราะห์ความขัดแย้งในสถานการณ์กีฬาตามเอกสารที่ลงนามโดยลายเซ็นอิเล็กทรอนิกส์คือการพิสูจน์ว่า "ข้อมูลในรูปแบบอิเล็กทรอนิกส์ซึ่งแนบกับข้อมูลอื่น ๆ ในรูปแบบอิเล็กทรอนิกส์ (ข้อมูลที่ลงนาม)" มีความสำคัญทางกฎหมาย ลายเซ็นอิเล็กทรอนิกส์ของบุคคลใดบุคคลหนึ่งภายใต้เอกสารเฉพาะ
การใช้วิธีการเข้ารหัสช่วยให้เราสามารถแก้ปัญหานี้ได้ หากบุคคลได้รับคีย์อิเล็กทรอนิกส์ที่ไม่ซ้ำใคร จากนั้นจึงทำการแปลงแบบพิเศษโดยใช้คีย์อิเล็กทรอนิกส์นี้และเอกสารอิเล็กทรอนิกส์ ผลลัพธ์ของการเปลี่ยนแปลงเหล่านี้ (และนี่คือลายเซ็นอิเล็กทรอนิกส์) จะไม่ซ้ำกันสำหรับคู่นี้ (เอกสารคีย์) ดังนั้นงานในขั้นตอนแรกในการวิเคราะห์ข้อขัดแย้ง - เพื่อเปิดเผยว่าลายเซ็นที่กำหนดถูกสร้างขึ้นโดยใช้คีย์อิเล็กทรอนิกส์ที่กำหนดหรือไม่ - ได้รับการแก้ไขโดยวิธีการเข้ารหัส
ขั้นตอนที่สองในการวิเคราะห์ความขัดแย้งคือการพิสูจน์ว่ากุญแจอิเล็กทรอนิกส์นี้เป็นทรัพย์สินของบุคคลใดบุคคลหนึ่ง หลักฐานนี้ให้ความหมายทางกฎหมายกับ ES เพื่อแก้ปัญหาองค์กรนี้ - การบัญชีสำหรับคีย์ที่ออก - ใช้ PKI (Public Key Infrastructure)
ให้คุณค่าทางกฎหมายกับ ES โดยใช้ PKI
กฎหมาย "ในลายเซ็นอิเล็กทรอนิกส์" แยกความแตกต่างระหว่างคีย์ ES และคีย์การตรวจสอบ ES คีย์ลายเซ็นอิเล็กทรอนิกส์คือลำดับอักขระที่ไม่ซ้ำกันซึ่งใช้ในการสร้างลายเซ็นอิเล็กทรอนิกส์ คีย์การตรวจสอบลายเซ็นอิเล็กทรอนิกส์คือลำดับอักขระที่ไม่ซ้ำกันซึ่งเชื่อมโยงกับคีย์ลายเซ็นอิเล็กทรอนิกส์โดยเฉพาะ และใช้เพื่อตรวจสอบความถูกต้องของลายเซ็นอิเล็กทรอนิกส์ คีย์ ES ได้มาจากคีย์ ES แต่การดำเนินการย้อนกลับเป็นไปไม่ได้ ดังนั้นจึงมีการติดต่อกันแบบหนึ่งต่อหนึ่งระหว่างคีย์ ES และคีย์การตรวจสอบ ES ลูกค้าต้องสร้างคีย์ ES เองและเก็บเป็นความลับ เป็นคีย์นี้ที่ใช้ในการลงนามในเอกสารด้วยลายเซ็นอิเล็กทรอนิกส์ คีย์การตรวจสอบ ES ใช้เพื่อยืนยัน ES และแจกจ่ายให้กับทุกคนที่ต้องการตรวจสอบลายเซ็น
องค์ประกอบหลักของ PKI คือผู้ออกใบรับรอง ศูนย์การรับรองจะเก็บรักษาบันทึกการติดต่อระหว่างกุญแจกับบุคคลที่เป็นเจ้าของกุญแจเหล่านี้ ในการลงทะเบียนคีย์ ลูกค้าจะนำส่วนสาธารณะของคีย์ไปที่ CA พร้อมกับข้อมูลระบุตัวตน และรับใบรับรองความสอดคล้องเพื่อยืนยันความเป็นเจ้าของคีย์เฉพาะนี้ ใบรับรองความสอดคล้องประกอบด้วยคีย์การตรวจสอบ ES และข้อมูลการระบุตัวตนของลูกค้า และลงนามโดย ES ของผู้ออกใบรับรอง ดังนั้น CA รับรองว่าลูกค้าได้รับการตรวจสอบแล้วและเป็นผู้ที่อ้างว่าเป็นใคร เมื่อได้รับใบรับรอง ในทางกลับกัน ลูกค้าจะลงนามในเอกสารพิเศษเกี่ยวกับความถูกต้องของใบรับรองที่ออกให้พร้อมลายเซ็นด้วยมือของเขา เอกสารเหล่านี้เป็นลิงค์หลักระหว่างบุคคลเฉพาะกับ "ชุดสัญลักษณ์อิเล็กทรอนิกส์" ซึ่งเป็นลายเซ็นอิเล็กทรอนิกส์ของเขา
ดังนั้น ใบรับรองของผู้ลงนามก็เพียงพอที่จะตรวจสอบลายเซ็นและระบุตัวผู้ลงนามได้ กล่าวคือ ผู้ลงนามลงนามในเอกสารด้วยรหัส ES ของเขา จากนั้นจึงส่งเอกสารที่ลงนามนี้และใบรับรองที่มีรหัสการตรวจสอบ ES ให้กับผู้รับ ดังนั้น ผู้รับจะสามารถตรวจสอบได้ว่าลายเซ็นนั้นถูกสร้างขึ้นจริงด้วยรหัส ES ของผู้ลงนาม และจะได้รับข้อมูลการระบุตัวตนของผู้ลงนามจากใบรับรอง ลูกค้าต้องปกป้องคีย์ ES ของเขาจากการประนีประนอม เพื่อจุดประสงค์นี้จะมีการสร้างที่เก็บคีย์ฮาร์ดแวร์ต่างๆ ที่มีระดับการป้องกันที่เพิ่มขึ้น ตัวอย่างเช่น อุปกรณ์ ruToken USB
มาตรฐานรัสเซีย EP
มาตรฐาน EDS เป็นแบบสองชั้น ในระดับแรก ลายเซ็นอิเล็กทรอนิกส์ตั้งอยู่โดยตรงจากเอกสาร ระดับที่สองประกอบด้วย ES และเอกสารทั้งหมดที่จำเป็นในการให้ความสำคัญทางกฎหมายกับ ES: ใบรับรองของผู้ลงนามหรือสายใบรับรอง เวลาในการสร้างลายเซ็น ฯลฯ
มาตรฐานรัสเซียสำหรับรหัสอิเล็กทรอนิกส์ระดับแรกคือ GOST 34-10.2012 มาตรฐานรัสเซียสำหรับ ES ระดับที่สองคือ PKCS # 7 พร้อมความสามารถในการเพิ่มการประทับเวลา TSA
ขอบเขตการใช้งาน EP
- ธนาคารทางอินเทอร์เน็ต
- ตลาดอิเล็กทรอนิกส์
- ระบบการจัดการเอกสารองค์กร
- อีเมล
- การส่งรายงานไปยังบริการของรัฐบาลกลางต่างๆ
- ลิขสิทธิ์
เว็บไซต์ที่มีลายเซ็นอิเล็กทรอนิกส์
การกำหนดปัญหา
สมมติว่าองค์กรของคุณตัดสินใจเปลี่ยนไปใช้ระบบจัดการเอกสารอิเล็กทรอนิกส์บนเว็บ ในเวลาเดียวกัน สถานที่หลักที่จำเป็นต้องมี ES คือ:
- ไฟล์ ES ของรูปแบบที่กำหนดเองเมื่อผู้ใช้อัพโหลดไปยังเว็บไซต์ผ่านแบบฟอร์มอินพุต
- ES ของข้อมูลข้อความที่ผู้ใช้ป้อนลงในแบบฟอร์มป้อนข้อมูลบนเว็บไซต์
- ลายเซ็นอิเล็กทรอนิกส์ของเอกสารที่โพสต์บนเว็บไซต์โดยผู้ใช้หลายคน
- การป้องกันการเข้ารหัสของการส่งข้อมูลระหว่างสถานที่ทำงานของผู้ใช้กับเว็บไซต์
- การตรวจสอบผู้ใช้โดยใช้ใบรับรองดิจิทัลเพื่อเข้าถึงบัญชีส่วนตัวของเขา
- การป้องกันการเข้ารหัสของข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์
รูปแบบการแก้ปัญหา
การสร้างศูนย์รับรอง
เลือกเซิร์ฟเวอร์ที่จะปรับใช้ผู้ออกใบรับรอง คุณสามารถเลือกใช้บริการประทับเวลาและการตรวจสอบสถานะใบรับรองออนไลน์ได้ เพื่อประหยัดเงิน CA และบริการที่ระบุสามารถใช้เซิร์ฟเวอร์เดียวได้ ซึ่งต้องพร้อมใช้งานออนไลน์ เราจะหารือถึงความเป็นไปได้ของบริการเหล่านี้ด้านล่าง
ติดตั้งผลิตภัณฑ์ MagPro CryptoPacket บนเซิร์ฟเวอร์
สร้างคีย์ CA และแอปพลิเคชันสำหรับใบรับรองรูทของ CA โดยใช้ยูทิลิตี้ mkkey จาก MagPro CryptoPacket คีย์สามารถสร้างได้ในอุปกรณ์ที่ปลอดภัย เช่น บน ruToken หลังจากสร้างคีย์ CA แล้ว จะต้องรักษาความปลอดภัยด้วยวิธีการขององค์กร ตัวเลือกที่ปลอดภัยที่สุดคือการจัดเก็บคีย์บนอุปกรณ์ ruToken และเชื่อมต่อกับเซิร์ฟเวอร์เมื่อออกใบรับรองเท่านั้น ใบรับรอง CA เป็นไฟล์ ไฟล์นี้จะออกให้ไคลเอ็นต์ CA ทั้งหมดในเวลาต่อมาเมื่อพวกเขาได้รับใบรับรอง
สร้างใบรับรองรูท CA โดยใช้ยูทิลิตี้ openssl จาก MagPro CryptoPacket
สร้างโครงสร้างไดเร็กทอรีในระบบไฟล์ซึ่งใบรับรองผู้ใช้ที่ออก ใบรับรองเซิร์ฟเวอร์ที่ออก และแอปพลิเคชันใบรับรองจะถูกจัดเก็บในรูปแบบของไฟล์ วิธีการขององค์กร (เช่นการใช้ ACL) ควรให้สิทธิ์ที่ถูกต้องสำหรับไดเรกทอรีเหล่านี้ ใบรับรองจะออกเป็นไฟล์ PEM โปรดทราบว่าชื่อไฟล์ใบรับรองควรชัดเจนเพื่อให้ค้นหาใบรับรองได้ง่ายขึ้นในภายหลัง
PKCS # 10 การสร้างและการลงทะเบียนคีย์ใบรับรอง
ในการขอรับใบรับรองโดยผู้ใช้ CA คุณสามารถใช้สองแผนงาน: ส่วนกลางและระยะไกล ด้วยโครงร่างแบบรวมศูนย์ ผู้ใช้มาที่ CA และเขาจะได้รับไฟล์ที่มีคีย์และใบรับรอง จากนั้นเขาก็เพิ่มไฟล์นี้ลงในแฟลชไดรฟ์ USB รูปแบบนี้เรียบง่ายและสะดวกสบาย แต่ไม่ปลอดภัย เนื่องจากช่วยให้พนักงาน CA สามารถค้นหารหัสผู้ใช้ได้ แต่ในบางกรณีการใช้โครงการนี้ก็สมเหตุสมผล
มีการแจกจ่ายโครงร่างที่ปลอดภัยที่สุดสำหรับการรับใบรับรอง ผู้ใช้สร้างคีย์ สร้างคำขอใบรับรอง PKCS # 10 ซึ่งมีคีย์การตรวจสอบ ES และข้อมูลการระบุตัวตน ผู้ใช้ลงนามในแอปพลิเคชันนี้ด้วยคีย์ ES และนำไปที่ CA CA จะตรวจสอบลายเซ็นบนใบสมัคร ตรวจสอบข้อมูลประจำตัวของผู้ใช้ เช่น ข้อมูลหนังสือเดินทาง และออกใบรับรอง จากนั้นใบรับรองจะถูกพิมพ์ออกมาและผู้ใช้ลงนามในเอกสารด้วยตนเองเพื่อยืนยันการปฏิบัติตามใบรับรองที่ออกให้
เป็นส่วนหนึ่งของการแก้ปัญหาภายใต้การสนทนา คีย์จะถูกสร้างขึ้นและคำสั่งจะถูกสร้างขึ้นโดยใช้โปรแกรมพิเศษจาก MagPro CryptoPacket โปรแกรมนี้รวมอยู่ในชุดผู้ใช้ CryptoTunnel
โปรแกรมนี้มีระบบการกำหนดค่าที่ยืดหยุ่น ซึ่งคุณสามารถสร้างแอปพลิเคชันสำหรับใบรับรองประเภทต่างๆ ได้อย่างสมบูรณ์ ขยายชุดข้อมูลการระบุตัวตนมาตรฐาน เพิ่มบทบาทและสิทธิ์ของผู้ใช้ในใบรับรอง เช่น เพื่อกำหนดขอบเขตการเข้าถึงทรัพยากรบนเว็บ เพิ่มคุณสมบัติต่าง ๆ ให้กับแอปพลิเคชัน
หลังจากสร้างคีย์แล้ว ผู้ใช้ต้องแน่ใจว่าได้จัดเก็บคีย์ไว้อย่างปลอดภัย
ประเภทของใบรับรองลายเซ็นอิเล็กทรอนิกส์บนเว็บไซต์
พอร์ทัลของเราจะใช้ใบรับรองหลายประเภท:
ใบรับรองรูท CA
ใบรับรองนี้ใช้เพื่อตรวจสอบใบรับรองอื่น ๆ ทั้งหมดสำหรับสมาชิกของเว็บพอร์ทัล
ใบรับรองการตรวจสอบสิทธิ์เซิร์ฟเวอร์ TLS
ใบรับรองนี้ใช้เพื่อยืนยันเซิร์ฟเวอร์โดยไคลเอนต์เมื่อสร้างการเชื่อมต่อ TLS ที่ปลอดภัยเมื่อโอนเอกสารที่ลงนามไปยังเว็บไซต์
ใบรับรองการตรวจสอบสิทธิ์ไคลเอ็นต์ TLS
ใบรับรองนี้ใช้เพื่อยืนยันไคลเอนต์โดยเซิร์ฟเวอร์และเพื่อให้ไคลเอนต์เข้าถึงบัญชีส่วนตัวของเขาเมื่อสร้างการเชื่อมต่อ TLS ที่ปลอดภัยเมื่อโอนเอกสารที่ลงนามไปยังเว็บไซต์
ใบรับรอง ES ของลูกค้า
ลูกค้าเพิ่มใบรับรองนี้ในลายเซ็นอิเล็กทรอนิกส์ ดังนั้นฝ่ายตรวจสอบจึงสามารถตรวจสอบลายเซ็นและระบุผู้ลงนามได้
ใบรับรองการลงนามเซิร์ฟเวอร์ OCSP
ด้วยใบรับรองนี้ เซิร์ฟเวอร์ OCSP จะเพิ่มการตอบกลับที่ลงนามเพื่อยืนยัน
ใบรับรองการลงนามเซิร์ฟเวอร์ TSA
ด้วยวิธีนี้ เซิร์ฟเวอร์ TSA จะเพิ่มใบรับรองในการตอบกลับที่ลงนามเพื่อยืนยันและให้ความสำคัญทางกฎหมาย
ใบรับรองทุกประเภทเหล่านี้สามารถสร้างได้โดยใช้ยูทิลิตี้จาก MagPro CryptoPacket และ CA ตาม MagPro CryptoPacket
การรับใบรับรองที่CA
เมื่อได้รับใบสมัครจากผู้ใช้ ผู้ดูแลระบบ CA จะสร้างสำเนาสำรองของแอปพลิเคชันของเขา จากนั้นจะตรวจสอบแอปพลิเคชัน และใช้ยูทิลิตี openssl สร้างใบรับรองผู้ใช้ ลงนามในคีย์ CA และทำการสำรองข้อมูลด้วย นอกจากนี้ เพื่อให้มั่นใจถึงความสำคัญทางกฎหมาย ผู้ดูแลระบบจะพิมพ์ข้อมูลจากใบรับรอง (ข้อมูลนี้ได้รับโดยใช้ยูทิลิตี้ openssl.exe) และรับลายเซ็นผู้ใช้ด้วยตนเองภายใต้งานพิมพ์นี้ จากนั้นจะออกใบรับรองให้กับผู้ใช้ในไฟล์
ดังนั้น ในขณะนี้ เราสามารถปรับใช้ CA และเรียนรู้วิธีสร้างคีย์ผู้ใช้ ยอมรับแอปพลิเคชันสำหรับใบรับรองจากพวกเขา และออกใบรับรองเมื่อได้รับแอปพลิเคชัน ผู้ใช้ยืนยันการรับและการปฏิบัติตามใบรับรองด้วยลายเซ็นด้วยตนเอง ดังนั้นจึงสามารถโต้แย้งได้ว่าเราได้ปรับใช้ PKI ซึ่งรับรองความสำคัญทางกฎหมายของลายเซ็นอิเล็กทรอนิกส์ของผู้ใช้
งานต่อไปคือการใช้ PKI ที่ปรับใช้ในการแก้ปัญหาที่ใช้ - จัดการการถ่ายโอนเอกสารอิเล็กทรอนิกส์ที่ลงนามไปยังเว็บไซต์อย่างปลอดภัยโดยใช้เบราว์เซอร์และรับสำหรับการประมวลผลบนเว็บไซต์
การตรวจสอบลายเซ็นอิเล็กทรอนิกส์และโมดูลการจัดเก็บ (เซิร์ฟเวอร์)
โดยปกติ เว็บไซต์จะถูกปรับใช้บนเว็บเซิร์ฟเวอร์บางประเภท (Apache, IIS, nginx เป็นต้น) ไซต์นี้มีบัญชีส่วนตัวสำหรับผู้ใช้แต่ละคนที่ลงทะเบียนในไซต์ ในการเข้าถึงบัญชีส่วนบุคคล ผู้ใช้ต้องทำตามขั้นตอนการรับรองความถูกต้อง โดยทั่วไป การรับรองความถูกต้องประกอบด้วยการเข้าสู่ระบบและรหัสผ่านที่ตกลงกันไว้ระหว่างการลงทะเบียนผู้ใช้
นอกจากนี้ แบบฟอร์มป้อนข้อมูลทางเว็บยังใช้เพื่ออัปโหลดเอกสารอิเล็กทรอนิกส์ไปยังเซิร์ฟเวอร์
เพื่อ "ผูก" การตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของเอกสารที่อัปโหลดไปยังไซต์ไปยังระบบนี้ เพื่อให้แน่ใจว่ามีการป้องกันการเชื่อมต่อระหว่างเบราว์เซอร์ของผู้ใช้และไซต์ ตลอดจนรับรองความถูกต้องของการเข้ารหัสที่เข้มงวดของผู้ใช้สำหรับการเข้าถึง บัญชีส่วนตัว ผลิตภัณฑ์ MagPro CryptoServer ควรติดตั้งบนเซิร์ฟเวอร์
โซลูชันทางสถาปัตยกรรมจะมีลักษณะดังนี้:
CryptoServer ได้รับการติดตั้งไว้ด้านหน้าเว็บเซิร์ฟเวอร์ที่มีการป้องกัน ในกรณีนี้ เว็บเซิร์ฟเวอร์ได้รับการกำหนดค่าเพื่อให้ยอมรับการเชื่อมต่อขาเข้าจาก CryptoServer เท่านั้น (ดูคำแนะนำในการตั้งค่า) CryptoServer ยอมรับการเชื่อมต่อ HTTS ขาเข้า ถอดรหัสและส่งต่อไปยังเว็บเซิร์ฟเวอร์ นอกจากนี้ CryptoServer ยังเพิ่มส่วนหัว X509-Cert ให้กับคำขอ HTTP ซึ่งจะส่งใบรับรองดิจิทัลของไคลเอ็นต์ที่ผ่านขั้นตอนการตรวจสอบสิทธิ์แล้ว จากนั้นใบรับรองนี้จะใช้เพื่อเข้าถึงลูกค้าไปยังบัญชีส่วนตัวของเขา ในการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ภายใต้เอกสารที่โอน CryptoServer มียูทิลิตี้ openssl ซึ่งช่วยให้คุณตรวจสอบลายเซ็นประเภทต่างๆ รับใบรับรองผู้ลงนามหรือใบรับรองห่วงโซ่จากซอง PKCS # 7 เป็นต้น ในการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ หน้าเว็บสำหรับรับเอกสารจะต้องเรียกยูทิลิตี้นี้
โมดูลการสร้างลายเซ็นอิเล็กทรอนิกส์ (ไคลเอนต์)
งานหลักของผู้ใช้เมื่อเข้าถึงเว็บไซต์คือการอัปโหลดเอกสารอิเล็กทรอนิกส์และข้อมูลข้อความไปยังเว็บไซต์ ตลอดจนดาวน์โหลดเอกสารอิเล็กทรอนิกส์จากเว็บไซต์ เพื่อรักษาความปลอดภัยการเชื่อมต่อเว็บกับเว็บไซต์โดยใช้โปรโตคอล SSL / TLS และสำหรับการลงนามออนไลน์ของข้อมูลที่ส่งไปยังเว็บไซต์ ควรใช้ CryptoTunnel ที่เวิร์กสเตชันของลูกค้า
ข้อได้เปรียบหลักของ CryptoTunnel:
- ให้การป้องกันการเชื่อมต่อเว็บระหว่างเบราว์เซอร์และเว็บไซต์โดยใช้โปรโตคอล SSL / TLS พร้อมรองรับอัลกอริทึมการเข้ารหัสลับของรัสเซีย
- อนุญาตให้คุณตรวจสอบผู้ใช้โดยใช้ใบรับรองดิจิทัลเพื่อเข้าถึงบัญชีส่วนตัวของผู้ใช้
- อนุญาตให้คุณลงนามในเอกสารออนไลน์เมื่ออัปโหลดไปยังไซต์โดยไม่ต้องใช้ CSP และ Active X
- รองรับตัวตรวจสอบสถานะใบรับรองออนไลน์ (OCSP)
- รองรับการรับประทับเวลาที่เชื่อถือได้ภายใต้ลายเซ็นดิจิทัล (TimeStamp)
- รองรับโทเค็น USB และสมาร์ทการ์ดต่างๆ สำหรับจัดเก็บคีย์
- ไม่ต้องติดตั้งบนตำแหน่งที่กำหนดเอง แจกจ่ายโดยการคัดลอก
- สามารถเก็บไว้ในแฟลชไดรฟ์ปกติและเรียกใช้ได้
- ไม่ต้องการสิทธิ์ผู้ดูแลระบบในการทำงาน
- รองรับการทำงานกับเว็บเบราว์เซอร์ใดก็ได้ (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Apple Safari เป็นต้น)
- ไม่มี "การผูกมัด" กับคอมพิวเตอร์เครื่องหนึ่ง - ผู้ใช้สามารถใช้ชุดเดียวสำหรับใช้ในสำนักงานและที่บ้าน - ประหยัดเงิน
- มีส่วนต่อประสานผู้ใช้ที่เรียบง่ายและตรงไปตรงมาซึ่งไม่จำเป็นต้องมีการฝึกอบรมผู้ใช้
- ช่วยให้คุณลดต้นทุนการสนับสนุนทางเทคนิคสำหรับผู้ใช้
- สามารถทำงานบนระบบปฏิบัติการได้หลากหลาย (โซลูชั่นข้ามแพลตฟอร์ม)
นี่คือการดำเนินการทั้งหมดที่ต้องทำเพื่อให้ CryptoTunnel เริ่มลงนามข้อมูลและไฟล์ที่ส่งผ่านแบบฟอร์มบนเว็บ ไม่จำเป็นต้องเขียนสคริปต์เพิ่มเติม เรียกใช้ Active X ฯลฯ
การจัดระเบียบลายเซ็นอิเล็กทรอนิกส์หลายรายการ
จำเป็นต้องมี ES หลายฉบับหากเอกสารต้องลงนามโดยบุคคลหลายคน ในกรณีนี้ เอกสารมักจะถูกโพสต์บนไซต์ในลักษณะที่มีให้เฉพาะผู้ใช้ที่ต้องการลายเซ็นอิเล็กทรอนิกส์เท่านั้น การแบ่งปันการเข้าถึงนี้ทำให้มั่นใจได้โดยการตรวจสอบสิทธิ์ผู้ใช้ด้วยใบรับรองดิจิทัล
เมื่อใช้ CryptoTunnel ผู้ใช้ไม่จำเป็นต้องดาวน์โหลดเอกสาร จากนั้นลงชื่อและอัปโหลดเอกสารไปยังเซิร์ฟเวอร์อีกครั้ง - CryptoTunnel จะดำเนินการทั้งหมดเหล่านี้โดยอัตโนมัติเมื่อเขาคลิกที่ปุ่มบนหน้าเว็บ
บริการ OCSP
มักเกิดขึ้นที่ CA เพิกถอนใบรับรองของผู้ใช้ (เช่น หากคีย์ของผู้ใช้ถูกขโมยโดยผู้บุกรุก) ในเวลาเดียวกัน ผู้ใช้รายอื่นควรได้รับแจ้งเกี่ยวกับการเพิกถอนใบรับรองนี้ เพื่อที่พวกเขาจะได้หยุดเชื่อถือ มีหลายวิธีในการแจ้งให้ผู้ใช้ทราบถึงรีวิว
วิธีที่ง่ายที่สุดคือการแจกจ่ายรายการเพิกถอน (CRL) นั่นคือ CA จะสร้างและอัปเดตไฟล์พิเศษเป็นระยะที่ผู้ใช้ดาวน์โหลดเป็นระยะด้วย
อีกวิธีหนึ่งคือการใช้บริการตรวจสอบสถานะใบรับรองออนไลน์ บริการ OCSP ในการตรวจสอบสถานะของใบรับรองใด ๆ CryptoTunnel และ CryptoServer จะสร้างคำขอ OCSP โดยอัตโนมัติ ส่งคำขอนี้ไปยังบริการผ่านเครือข่าย บริการตรวจสอบใบรับรอง ลงนามผลการตรวจสอบกับ ES และส่งคืนการตอบกลับไปยังไคลเอนต์ ลูกค้าดูคำตอบ ตรวจสอบลายเซ็นด้านล่าง และตัดสินใจว่าจะเชื่อถือใบรับรองนี้หรือไม่
สามารถสร้างบริการ OCSP ได้โดยใช้ยูทิลิตี้ openssl จาก MagPro CryptoPacket โปรดทราบว่าทางเลือกระหว่าง CRL และ OCSP นั้นขึ้นอยู่กับดุลยพินิจของผู้สร้างไซต์เสมอ CRL ถูกกว่าเล็กน้อย OCSP ปลอดภัยกว่าเล็กน้อย
ควรทิ้งว่า CryptoTunnel และ CryptoServer รองรับทั้ง OCSP และ CRL
บริการประทับเวลา TSA
วัตถุประสงค์หลักของบริการประทับเวลาคือเพื่อยืนยันข้อเท็จจริงว่าเอกสารได้รับการลงนามด้วยลายเซ็นอิเล็กทรอนิกส์ไม่ช้ากว่าเวลาที่ระบุในการประทับเวลา
ในการสร้างการประทับเวลา CryptoTunnel จะสร้างคำขอ TSA ซึ่งจะแนบแฮชจากลายเซ็นดิจิทัล ส่งคำขอนี้ไปยังบริการ TSA บริการ TSA จะเพิ่มเวลาปัจจุบันให้กับแฮชนี้และลงนามในผลลัพธ์ด้วย ES สิ่งนี้จะสร้างการประทับเวลาที่เชื่อถือได้
หากต้องการสร้างบริการออนไลน์ของการประทับเวลาที่เชื่อถือได้ ให้ใช้ผลิตภัณฑ์ MagPro TSA ในกรณีนี้ URL ของบริการประทับเวลาจะถูกระบุโดยหน้าเว็บที่มีแบบฟอร์มลายเซ็นเว็บ
ฝั่งไคลเอ็นต์ TSA ถูกสร้างขึ้นใน CryptoTunnel เมื่อได้รับการประทับเวลาบนลายเซ็นอิเล็กทรอนิกส์แล้ว การดำเนินการทั้งหมดจะดำเนินการโดยอัตโนมัติ โดยไม่เกี่ยวข้องกับผู้ใช้
อนุญาโตตุลาการ
ผู้ตัดสินเป็นโปรแกรมพิเศษที่ใช้ในการวิเคราะห์ข้อขัดแย้งด้วยลายเซ็นอิเล็กทรอนิกส์
ผู้ตัดสินอนุญาตให้คุณเห็นภาพตัวตนของใบรับรองที่อยู่ในลายเซ็น PKCS # 7; เห็นภาพห่วงโซ่ของความไว้วางใจและเวลาในการสร้างลายเซ็นดิจิทัล (TimeStamp) ในการวิเคราะห์ความขัดแย้ง อนุญาโตตุลาการจะตรวจสอบลายเซ็นภายใต้เอกสารที่ระบุและค้นหาว่าเจ้าของใบรับรองเป็นผู้จัดทำหรือไม่
ควรสังเกตว่าสำหรับความเป็นไปได้ในการแก้ไขข้อขัดแย้ง เอกสารและลายเซ็นจะต้องเก็บไว้ในที่เก็บถาวรอิเล็กทรอนิกส์เป็นเวลานาน
การปกป้องข้อมูลส่วนบุคคลบนเว็บไซต์
ข้อมูลที่แลกเปลี่ยนระหว่างเบราว์เซอร์ของลูกค้าและไซต์อาจมีข้อมูลส่วนบุคคลและข้อมูลที่เป็นความลับ หากผู้ใช้เว็บไซต์ทุกคนสนใจที่จะปกป้องข้อมูลที่เป็นความลับ การปกป้องข้อมูลส่วนบุคคลนั้นเป็นข้อกำหนดของกฎหมายของรัฐบาลกลาง 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล"
เมื่อใช้ไซต์ ข้อมูลมีความเสี่ยงเมื่อมีการส่งผ่านอินเทอร์เน็ตและเมื่อถูกจัดเก็บบนเซิร์ฟเวอร์ของไซต์
การป้องกันการถ่ายโอนระหว่างไคลเอนต์และเซิร์ฟเวอร์
อินเทอร์เน็ตเป็นช่องทางการส่งสัญญาณที่ไม่ปลอดภัย ภัยคุกคามหลักเมื่อส่งข้อมูลทางอินเทอร์เน็ตคือการโจมตี "คนตรงกลาง" นั่นคือผู้โจมตีเชื่อมต่อกับเส้นแบ่งระหว่างไคลเอนต์และเซิร์ฟเวอร์และแทนที่ข้อมูลที่ส่ง วิธีเดียวที่จะปกป้องข้อมูลบนอินเทอร์เน็ตคือการเข้ารหัสข้อมูลนั้น เนื่องจากการเข้ารหัสเป็นวิธีการเข้ารหัสในการปกป้องข้อมูล จึงเป็นไปตามข้อกำหนดของ FSB สำหรับวิธีการป้องกันข้อมูลด้วยการเข้ารหัส - การมีใบรับรอง FSB
SSL / TLS ใช้เพื่อเข้ารหัสการสื่อสารระหว่างเบราว์เซอร์ของผู้ใช้กับเว็บไซต์ (การเชื่อมต่อเว็บ) CryptoTunnel ให้การปกป้องข้อมูลสำหรับโปรโตคอลนี้ซึ่งเป็นไปตามข้อกำหนดของ FSB อย่างสมบูรณ์ ดังนั้น "CryptoTunnel" จึงเป็นโซลูชันที่ผ่านการรับรองซึ่งตรงตามข้อกำหนดสำหรับวิธีการทางเทคนิคในการปกป้องข้อมูลส่วนบุคคลอย่างเต็มที่
การป้องกันการจัดเก็บ
เมื่อจัดเก็บข้อมูลในไฟล์เก็บถาวรทางอิเล็กทรอนิกส์ของไซต์ ข้อมูลเหล่านี้ต้องจัดเก็บในรูปแบบที่เข้ารหัส การสร้างไฟล์เก็บถาวรอิเล็กทรอนิกส์ที่ปลอดภัยเป็นหัวข้อสำหรับบทความแยกต่างหาก
1. ขั้นตอนการลงนามในเอกสาร อัลกอริทึมการตรวจสอบลายเซ็นอิเล็กทรอนิกส์
ขั้นตอนการเซ็นเอกสารมีดังนี้ ในขั้นตอนแรก ฟังก์ชันพิเศษ (ฟังก์ชันแฮช) จะถูกสร้างขึ้นซึ่งคล้ายกับเช็คซัม ซึ่งจะระบุเนื้อหาของเอกสาร (สร้าง "ไดเจสต์" ของเอกสาร) ในขั้นตอนที่สอง ผู้เขียนเอกสารจะเข้ารหัสเนื้อหาของฟังก์ชันแฮชด้วยคีย์ส่วนตัวของเขา ฟังก์ชันแฮชที่เข้ารหัสจะอยู่ในข้อความเดียวกับตัวเอกสาร ลายเซ็นดิจิทัลเป็นอนุพันธ์ของ "ไดเจสต์" และไพรเวตคีย์ ซึ่งรับประกันความเป็นเอกลักษณ์อย่างแท้จริง (ดูรูปที่ 14.1)
ข้าว. 14.1 - อัลกอริธึมสำหรับการสร้าง EDS
ฟังก์ชันแฮชที่ใช้ในอัลกอริทึมต้องเป็นไปตามข้อกำหนดหลายประการ กล่าวคือ:
ข้อความที่มีความยาวเท่าใดก็ได้จะต้องแปลงเป็นลำดับไบนารี
ความยาวคงที่;
ข้อความเวอร์ชันที่แฮชที่ได้จะต้องขึ้นอยู่กับแต่ละบิตของข้อความต้นฉบับและตามลำดับ
ไม่สามารถกู้คืนข้อความเวอร์ชันที่แฮชได้ไม่ว่าด้วยวิธีใดๆ
ข้อความ.
อัลกอริทึมการตรวจสอบลายเซ็นอิเล็กทรอนิกส์
อัลกอริทึมสำหรับตรวจสอบลายเซ็นอิเล็กทรอนิกส์มีดังนี้ ในขั้นตอนแรก ผู้รับข้อความจะสร้างเวอร์ชันของฟังก์ชันแฮชของเอกสารที่ลงนาม
ในขั้นตอนที่สอง ฟังก์ชันแฮชที่อยู่ในข้อความจะถูกถอดรหัสโดยใช้กุญแจสาธารณะของผู้ส่ง ขั้นตอนที่สามคือการเปรียบเทียบฟังก์ชันแฮชทั้งสอง ความบังเอิญของพวกเขารับประกันทั้งความถูกต้องของเนื้อหาของเอกสารและการประพันธ์ (ดูรูปที่ 14.2)
ข้าว. 14.2 - การตรวจสอบ EDS
ลายเซ็นดิจิทัลอิเล็กทรอนิกส์ เช่นเดียวกับข้อมูลอื่น ๆ สามารถโอนไปพร้อมกับ
ลงนามนั่นคือข้อมูลที่ได้รับการคุ้มครองโดยมัน นอกจากนี้ ลายเซ็นดิจิทัลยังช่วยให้คุณมั่นใจได้ว่าข้อมูลจะไม่ถูกเปลี่ยนแปลง (โดยบังเอิญหรือโดยเจตนา) ในระหว่างการส่งไปยังผู้รับ
สามารถใช้การเข้ารหัสและลายเซ็นอิเล็กทรอนิกส์ร่วมกันได้สำเร็จ ขั้นแรก คุณสามารถเซ็นเอกสารด้วยไพรเวตคีย์ของคุณ แล้วเข้ารหัสด้วยคีย์สาธารณะของผู้รับ ลายเซ็นพิสูจน์ตัวตน การเข้ารหัสปกป้องจดหมายจากการสอดรู้สอดเห็น
2. การตรวจสอบสิทธิ์
การเข้ารหัสคีย์สาธารณะให้บริการที่เชื่อถือได้สำหรับการระบุตัวตน การพิสูจน์ตัวตน และการอนุญาตแบบกระจาย ปัญหาประเภทนี้เกิดขึ้นในกรณีที่มีการเข้าถึงข้อมูล (ผู้ใช้ระบบ) ในเรื่องใด ๆ โดยเฉพาะเมื่อไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์ในช่องทางเปิด (อินเทอร์เน็ต) ข้อมูลประจำตัวของไคลเอ็นต์และเซิร์ฟเวอร์มีอยู่ในใบรับรองคีย์สาธารณะที่เกี่ยวข้องซึ่งออกโดยหน่วยงานออกใบรับรองเดียว หรือผู้ออกใบรับรองจากลำดับชั้นเดียวกัน ดังนั้น เมื่อไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์ สามารถระบุตัวตนร่วมกันได้
การตรวจสอบ - ตรวจสอบว่าไคลเอนต์หรือเซิร์ฟเวอร์เป็นเจ้าของตัวระบุที่แสดง - สามารถนำไปใช้บนพื้นฐานของ PKI และใบรับรองคีย์สาธารณะที่เกี่ยวข้อง
การตรวจสอบสิทธิ์สามารถทำได้หลายวิธี
1. เซิร์ฟเวอร์ส่งคำขอตรวจสอบสิทธิ์ที่เข้ารหัสด้วยรหัสสาธารณะของไคลเอ็นต์ที่ได้รับจากใบรับรองคีย์สาธารณะของไคลเอ็นต์ไปยังไคลเอ็นต์ ไคลเอนต์ถอดรหัสคำขอด้วยไพรเวตคีย์และส่งกลับไปยังเซิร์ฟเวอร์ ยืนยันในลักษณะที่เป็นเจ้าของไพรเวตคีย์ที่เกี่ยวข้อง และด้วยเหตุนี้ ข้อมูลประจำตัวในใบรับรองจึงเป็นกรรมสิทธิ์
2. เซิร์ฟเวอร์ส่งคำขอตรวจสอบสิทธิ์แบบข้อความธรรมดา ลูกค้าตอบสนองต่อคำขอโดยลงนามด้วยลายเซ็นดิจิทัลอิเล็กทรอนิกส์ของตนเอง
เซิร์ฟเวอร์ตรวจสอบ EDS ของไคลเอ็นต์โดยใช้คีย์สาธารณะที่ได้รับจากใบรับรองคีย์สาธารณะของไคลเอ็นต์ และตรวจสอบว่าไคลเอ็นต์มีคีย์ส่วนตัวที่เกี่ยวข้องจริงๆ
รูปแบบที่อธิบายนี้เรียกว่าโปรโตคอลการพิสูจน์การครอบครอง เนื่องจากผู้ส่งพิสูจน์ให้เห็นว่าเขาเป็นเจ้าของคีย์ส่วนตัวที่จำเป็นสำหรับการถอดรหัสและสร้างลายเซ็นดิจิทัลอิเล็กทรอนิกส์
3. การเจรจาต่อรองคีย์ลับของเซสชันการเข้ารหัสคีย์สาธารณะยังช่วยให้ทั้งสองฝ่ายตกลงเกี่ยวกับคีย์เซสชันลับที่ใช้ร่วมกันเมื่อแลกเปลี่ยนข้อมูลผ่านช่องทางการสื่อสารที่ไม่ปลอดภัย
โครงร่างสำหรับสร้างคีย์เซสชันที่ใช้ร่วมกันมีดังนี้ ขั้นแรก ไคลเอนต์และเซิร์ฟเวอร์สร้างหมายเลขสุ่มหนึ่งหมายเลข ซึ่งใช้เป็นครึ่งหนึ่งของเซสชันคีย์ลับที่ใช้ร่วมกันของพวกเขา จากนั้นไคลเอ็นต์จะส่งคีย์ส่วนตัวครึ่งหนึ่งไปยังเซิร์ฟเวอร์ โดยเข้ารหัสด้วยคีย์สาธารณะที่ได้รับจากใบรับรองคีย์สาธารณะของเซิร์ฟเวอร์ เซิร์ฟเวอร์ส่งครึ่งหนึ่งไปยังไคลเอ็นต์ โดยเข้ารหัสด้วยกุญแจสาธารณะที่ได้รับจากใบรับรองคีย์สาธารณะของไคลเอ็นต์ แต่ละฝ่ายถอดรหัสข้อความที่ได้รับด้วยคีย์ลับที่หายไปครึ่งหนึ่ง และสร้างความลับที่ใช้ร่วมกันจากสองส่วนนี้ โดยการดำเนินการตามโปรโตคอลดังกล่าว ทั้งสองฝ่ายสามารถใช้คีย์ลับที่ใช้ร่วมกันเพื่อเข้ารหัสข้อความที่ตามมาได้
4. การเข้ารหัสโดยไม่ต้องแลกเปลี่ยนคีย์ลับสมมาตรก่อนเทคโนโลยีการเข้ารหัสคีย์สาธารณะสามารถเข้ารหัสข้อมูลจำนวนมากได้หากฝ่ายที่แลกเปลี่ยนข้อมูลไม่มีคีย์ที่ใช้ร่วมกัน อัลกอริธึมการเข้ารหัสคีย์สาธารณะที่มีอยู่ต้องใช้ทรัพยากรในการคำนวณมากกว่าอัลกอริธึมแบบสมมาตรอย่างมาก จึงไม่สะดวกในการเข้ารหัสข้อมูลจำนวนมาก อย่างไรก็ตาม เป็นไปได้ที่จะใช้วิธีการแบบผสมผสานโดยใช้ทั้งการเข้ารหัสแบบสมมาตรและการเข้ารหัสคีย์สาธารณะ
ขั้นแรก เลือกอัลกอริธึมการเข้ารหัสที่มีคีย์ลับ (GOST 28147-89, DES เป็นต้น) จากนั้นสร้างคีย์เซสชันแบบสุ่ม ซึ่งจะใช้ในการเข้ารหัสข้อมูล จากนั้นผู้ส่งจะเข้ารหัสคีย์เซสชันนี้โดยใช้คีย์สาธารณะของผู้รับ จากนั้นจะส่งคีย์ที่เข้ารหัสและข้อมูลที่เข้ารหัสไปยังผู้รับ ผู้รับถอดรหัสคีย์เซสชันด้วยคีย์ส่วนตัวและใช้เพื่อถอดรหัสข้อมูล
การยืนยันความเชื่อถือ EDS
เมื่อได้รับข้อความที่ลงนามกับ EDS คำถามเกี่ยวกับการเชื่อถือลายเซ็นนี้ก็เกิดขึ้น (EDS นี้เป็นของผู้ส่งข้อความจริงๆ หรือไม่) สามารถตรวจสอบความสมบูรณ์ของลายเซ็นได้โดยใช้คีย์สาธารณะและอัลกอริธึมการเข้ารหัสที่รู้จักของผู้ส่ง อย่างไรก็ตาม จำเป็นต้องตรวจสอบให้แน่ใจว่ากุญแจสาธารณะที่ใช้สำหรับการตรวจสอบนั้นเป็นของหัวเรื่องที่มีการลงชื่อในข้อความจริงๆ
หากสามารถค้นหาใบรับรองคีย์สาธารณะของผู้ส่งที่ออกโดย CA ที่น่าเชื่อถือได้
ยืนยันว่ากุญแจสาธารณะของผู้ส่งเป็นของผู้ส่งจริงๆ ดังนั้น จึงเป็นไปได้ที่จะตรวจสอบให้แน่ใจว่ากุญแจสาธารณะนั้นเป็นของผู้ส่งรายนี้ หากพบว่าใบรับรอง: · มีลายเซ็นที่ถูกต้องในการเข้ารหัสของผู้เผยแพร่;
ยืนยันความสัมพันธ์ระหว่างชื่อผู้ส่งและกุญแจสาธารณะของผู้ส่ง
ออกโดยหน่วยงานรับรองที่เชื่อถือได้
หากพบใบรับรองคีย์สาธารณะของผู้ส่งดังกล่าว จะสามารถตรวจสอบความถูกต้องของใบรับรองนี้ได้โดยใช้คีย์สาธารณะของผู้ออกใบรับรอง
อย่างไรก็ตาม คำถามเกิดขึ้นจากการตรวจสอบความเป็นเจ้าของคีย์สาธารณะของผู้ออกใบรับรองนี้ คุณต้องค้นหาใบรับรองที่ยืนยันความถูกต้องของผู้ออกใบรับรองนี้ ดังนั้น ในกระบวนการตรวจสอบใบรับรอง ความคืบหน้าในเส้นทางการรับรองจึงเกิดขึ้น ที่ส่วนท้ายของสายใบรับรองที่นำจากใบรับรองคีย์สาธารณะของผู้ส่งผ่าน CA จำนวนหนึ่ง มีใบรับรองที่ออกโดย CA ที่มีความน่าเชื่อถือเต็มที่ ใบรับรองดังกล่าวเรียกว่าใบรับรองหลักที่เชื่อถือได้ เพราะมันสร้างรูท (โหนดบนสุด) ในลำดับชั้นของรหัสสาธารณะที่เชื่อว่าเชื่อถือได้
หากมีการเชื่อถืออย่างชัดเจนในใบรับรองหลักที่เชื่อถือได้ แสดงว่ามีการเชื่อถือโดยนัยในใบรับรองทั้งหมดที่ออกโดยใบรับรองหลักที่เชื่อถือได้และ CA ทั้งหมดที่ได้รับการรับรอง
ชุดของใบรับรองหลักที่เชื่อถือได้ซึ่งได้รับความไว้วางใจอย่างชัดแจ้งเป็นข้อมูลเดียวที่ต้องได้รับในลักษณะที่เชื่อถือได้ ชุดใบรับรองนี้เป็นพื้นฐานของระบบทรัสต์และเหตุผลสำหรับความน่าเชื่อถือของโครงสร้างพื้นฐานคีย์สาธารณะ
โดยทั่วไป เมื่อตรวจสอบใบรับรอง จำเป็นต้องตรวจสอบฟิลด์ใบรับรองต่อไปนี้:
ประเภทใบรับรอง - ใบรับรองได้รับอนุญาตให้ใช้ในโหมดนี้.
· ความถูกต้อง - ใบรับรองถูกต้องในขณะนี้
ความซื่อสัตย์ - ลายเซ็นดิจิทัลของ CA ที่ออกใบรับรองนั้นถูกต้อง
ความถูกต้องตามกฎหมาย - ใบรับรองยังไม่ถูกเพิกถอน
· ความมั่นใจ - ใบรับรอง root CA มีอยู่ใน "trusted
รูท CAs "
ข้อห้าม - CTL ไม่ได้ห้ามการใช้ใบรับรองสำหรับงานนี้
แนวคิดพื้นฐาน
KSKPEP
– ใบรับรองที่ผ่านการรับรองของคีย์การตรวจสอบลายเซ็นอิเล็กทรอนิกส์
CEP- ลายเซ็นอิเล็กทรอนิกส์ที่ผ่านการรับรอง
ผู้ให้บริการ Crypto – หมายถึงการป้องกันการเข้ารหัสข้อมูลโปรแกรมที่มีส่วนปิดของลายเซ็นอิเล็กทรอนิกส์ถูกสร้างขึ้นและช่วยให้คุณสามารถทำงานกับลายเซ็นอิเล็กทรอนิกส์ ช่องทำเครื่องหมายนี้ถูกตั้งค่าโดยอัตโนมัติ
คีย์ที่ส่งออก – ความสามารถในการคัดลอกลายเซ็นอิเล็กทรอนิกส์ไปยังสื่ออื่น หากไม่มีเครื่องหมายถูก จะไม่สามารถคัดลอกลายเซ็นอิเล็กทรอนิกส์ได้
งานสี- ปุ่มเมาส์ซ้าย
PKM- ปุ่มเมาส์ขวา
ซีอาร์เอ็ม-ตัวแทน- แอปพลิเคชันที่พัฒนาโดยผู้เชี่ยวชาญของ CA เพื่อลดความซับซ้อนของขั้นตอนในการสร้างคู่คีย์ การสร้างคำขอ และการเขียนใบรับรอง
หลังจากเยี่ยมชมศูนย์การรับรองและทำตามขั้นตอนการยืนยันตัวตนแล้ว CA ได้ส่งจดหมายไปยังอีเมลที่คุณระบุไว้ในใบสมัครซึ่งมีลิงก์สำหรับการสร้าง หากคุณไม่ได้รับจดหมาย โปรดติดต่อผู้จัดการของคุณหรือฝ่ายสนับสนุนด้านเทคนิคของ CA โดยใช้หมายเลขติดต่อจากคู่มือนี้
เปิดลิงก์เพื่อสร้างจากอีเมลในหนึ่งในเบราว์เซอร์ที่แนะนำ:Google Chrome, Mozilla Firefox, Yandex Browser... หากคุณอยู่ในเบราว์เซอร์ใดเบราว์เซอร์หนึ่งข้างต้นแล้ว ให้คลิกที่ลิงก์ งานสีหรือ PKM> "เปิดลิงก์ในแท็บใหม่" หน้าการสร้าง (รูปที่ 1) จะเปิดขึ้นในหน้าต่างใหม่
เมื่อคุณเปิดลิงก์ คำเตือนเริ่มต้นจะปรากฏขึ้น ตรวจสอบว่าคุณใช้ผู้ให้บริการเพื่อจัดเก็บ CEP หรือไม่จาการ์ต้า LT ... เรียนรู้เพิ่มเติมเกี่ยวกับสื่อในด้านล่าง. หากคุณกำลังใช้สื่ออื่น ให้คลิกปุ่ม "ปิด".
รูปที่ 1 - หน้าการสร้าง
คลิ๊กที่ลิงค์"ดาวน์โหลดใบสมัคร" เพื่อเริ่มดาวน์โหลด หากไม่มีอะไรเกิดขึ้นหลังจากคลิก ให้คลิกที่ลิงก์ PKM > "เปิดลิงก์ในแท็บใหม่"... หลังจากดาวน์โหลดแอปพลิเคชันแล้ว ให้เริ่มการติดตั้ง
ขอแนะนำให้ปิดการใช้งานซอฟต์แวร์ป้องกันไวรัสก่อนดาวน์โหลดโปรแกรม !
ระหว่างขั้นตอนการติดตั้ง « crm - ตัวแทน » ข้อความขอการเข้าถึงจะปรากฏขึ้น (รูปที่ 2)
รูปที่ 2 - คำขอเข้าถึง
คลิกที่ปุ่ม "ใช่".
หลังจากติดตั้งแอปพลิเคชันเสร็จแล้ว ให้กลับไปที่หน้าพร้อมกับรุ่น ข้อความเกี่ยวกับ "การให้สิทธิ์การเข้าถึง" จะปรากฏขึ้น (รูปที่ 3)
รูปที่ 3 - การเข้าถึงที่เก็บใบรับรอง
คลิกที่ "ดำเนินการต่อ"และในหน้าต่างที่ปรากฏขึ้น "ให้สิทธิ์การเข้าถึง"(รูปที่ 4).
รูปที่ 4 - การเข้าถึงที่เก็บใบรับรอง2
หากปุ่มไม่ปรากฏขึ้น "ดำเนินการต่อ"
หากหลังจากติดตั้งแอพพลิเคชั่น « crm - ตัวแทน » , ลิงค์โหลดแอพไม่หาย สาเหตุอาจเป็นเพราะระบบรักษาความปลอดภัยของคุณปิดกั้นการเชื่อมต่อ
เพื่อขจัดสถานการณ์ คุณต้อง:
ปิดใช้งานโปรแกรมป้องกันไวรัสที่ติดตั้งบนคอมพิวเตอร์ของคุณ
เปิดแท็บใหม่ในเบราว์เซอร์
ป้อนที่อยู่โดยไม่ต้องเว้นวรรคในแถบที่อยู่ของเบราว์เซอร์ - 127.0.0.1:90 - และไป (กดเข้า บนแป้นพิมพ์);
เมื่อข้อความเบราว์เซอร์ปรากฏขึ้น "การเชื่อมต่อของคุณไม่ปลอดภัย"เพิ่มหน้าไปยังข้อยกเว้นของเบราว์เซอร์ ตัวอย่างเช่นโครเมียม: "เพิ่มเติม" - "ไปที่ไซต์ต่อไป"... สำหรับเบราว์เซอร์อื่นๆ ให้ใช้คำแนะนำสำหรับนักพัฒนาที่เกี่ยวข้อง
หลังจากข้อความแสดงข้อผิดพลาดปรากฏขึ้น ให้กลับไปที่หน้าด้วยการสร้างและทำซ้ำ จุดที่ 2ของคู่มือนี้
หากคุณไม่มีผู้ให้บริการเข้ารหัสที่ติดตั้งไว้ล่วงหน้า หลังจากขั้นตอนการอนุญาต ลิงก์สำหรับดาวน์โหลด CryptoPRO จะปรากฏขึ้น (รูปที่ 5)
มันเป็นสิ่งสำคัญ: ภาคผนวก « crm - ตัวแทน » ตรวจพบผู้ให้บริการเข้ารหัสใด ๆ บนคอมพิวเตอร์และหากคุณได้ติดตั้งตัวอื่น CryptoPRO CSP โปรแกรม (เช่นVipNET CSP ) ติดต่อผู้เชี่ยวชาญด้านการสนับสนุนทางเทคนิคของ CA เพื่อขอคำปรึกษา
คลิ๊กที่ลิงค์ "CryptoPRO 4.0"ในหน้าการสร้างหรือลิงก์ที่คล้ายกันด้านล่างเพื่อดาวน์โหลดไฟล์การติดตั้ง CryptoPRO ลงในคอมพิวเตอร์ของคุณ
CryptoPro CSP 4.0 - เวอร์ชันสำหรับ OS Win 7/8/10
หลังจากดาวน์โหลดเสร็จ ให้เปิดzip- เก็บถาวรโดยใช้โปรแกรมเก็บถาวรที่เหมาะสม (เช่นชนะ - RAR ). ข้างในจะมีไฟล์การติดตั้ง CryptoPRO เอง เรียกใช้และติดตั้งด้วยพารามิเตอร์เริ่มต้น ในระหว่างขั้นตอนการติดตั้ง หน้าต่างต่อไปนี้อาจปรากฏขึ้น:
รูปที่ 5 - การติดตั้ง CryptoPRO
ข้ามหน้าต่างโดยคลิก "ไกลออกไป"... การติดตั้ง CryptoPRO เสร็จสมบูรณ์
การติดตั้งไดรเวอร์สำหรับโทเค็น
ลายเซ็นสามารถเก็บไว้ในรีจิสทรีของคอมพิวเตอร์ในแฟลชไดรฟ์ธรรมดาและพิเศษยูเอสบี-โทเค็น รายการโทเค็น รหัสพิน และลิงก์ไปยังซอฟต์แวร์แสดงอยู่ในตารางด้านล่าง (ตารางที่ 1)
ตารางที่ 1 - ไดรเวอร์สำหรับสื่อที่ปลอดภัย
|
ประเภทสื่อ USB |
ลักษณะของสื่อ USB |
ลิงค์ดาวน์โหลดไดรเวอร์ |
เข็มหมุด |
|
ruToken |
 |