DDOS-GUARD

Продолжая использовать сайт, вы даете согласие на сбор и обработку указанной информации (Статья 6 Федерального закона от 27. 2006 № 152-ФЗ “Закон о персональных данных”).

С чего всё началось

На дворе был конец августа 2018 года. Предприятие, в котором я работал, переживало не лучшие времена, инвестор с Москвы выхода из этой ситуации не находил и я принял решение покинуть компанию. К сожалению, в родном селе не огромный выбор рабочих мест, но так удачно совпало, что в отделе образования администрации района освободилось место главного специалиста по информационным технологиям. Собеседование, сбор документов и “с понедельника можно работать”. Когда я узнал причину, почему уволился другой специалист, то не принял всерьез данный факт. И зря. На меня свалился груз под названием ЕГИССО.

Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно получить не совсем приятные последствия.

Заключение договоров — дело привычное. Их заключают в банках, в больницах, при покупке мебели, оплате обучения. Прочитать договор, проверить реквизиты юридического лица, с которым заключается договор, убедиться в наличии печати и подписи — стандартная процедура, которая уменьшает риск обмана. Однако приобретённые навыки работы с бумажными договорами не могут просто так перейти в цифровой мир в силу специфики электронных документов.

В этой статье хочется рассказать о своем опыте знакомства с российскими электронными подписями (ЭП), которые используются для подписания договоров с физическими лицами в том числе и страховыми компаниями, а также подводных камнях, на которые наткнулся при этом. Для меня эта история началась при заключении договора со страховой компанией ООО СК “Сбербанк страхование”. После оформления мне показались подозрительными некоторые факты (небольшой спойлер: всё оказалось хорошо) и я стал разбираться, как же мне проверить, что полученный документ действительно выдан страховой компанией, а не некими третьими лицами.

Что же меня насторожило?

После расчёта суммы в калькуляторе на сайте и заполнения формы с паспортными и контактными данными мне на электронную почту пришло письмо, в котором кроме общей информации, полезных ссылок и контактов было 3 вложения: памятка, правила страхования и сам полис. Я ознакомился с документами, оплатил страховку и стал ждать подписанную версию полиса.

Через полчаса ожидания я стал волноваться, быстрый поиск показал, что у страховой компании есть аж 3 разных активных домена: www. sberbank-insurance. ru, www. sberins. ru и sberbankins. ru, что не добавляло мне уверенности в компании.

Звонок в контакт центр принёс информацию о том, что присланный полис и является финальным документом с ЭП страховой компании. Мне показалось странным, что компания отдаёт уже подписанный документ еще до факта оплаты клиентом и я стал проверять полученный pdf файл.

Сообщений 151 страница 180 из 835

• Участник
• Провел на форуме:4 часа 17 минут

А рецептиком не поделитесь?

Поделиться1522018-01-31 20

• Барсенька
• Новичок
• Женский
• Провел на форуме:1 час 50 минут

Доброго времени суток. Господа, каким образом вам удалось попасть на pd. egisso. ru? Меня браузер упорно не пускает, стабильно выдаёт ошибку о неподдерживаемом протоколе.

Win7, IE 11, ViPNet CSP 4. 2, сертификат ЕГИССО установлен, узлы добавлены в надёжные, поддержка SSL/TLS включена. Пробовала с разных ПК, но результат один. Кто-нибудь сталкивался с подобной бедой?

Поделиться1532018-02-01 06

• Kirill_
• Активный участник
• Провел на форуме:9 часов 4 минуты

Утро доброе!Не могу загрузить реестры МСЗ. Пишет “Ошибка загрузки файлов: Ошибка обработки: Ошибка отправки архива в ПВВС” Сталкивался кто?

Отредактировано Kirill_ (2018-02-01 06:16:42)

Поделиться1542018-02-01 06

• Александр915
• Активный участник
• Провел на форуме:3 дня 1 час

Отредактировано Kirill_ (Сегодня 08:16:42)

такая же проблема, написал в тех. поддержку, пока молчат, еще даже не рассматривали

Поделиться1552018-02-01 07

• Новичок
• Провел на форуме:45 минут

Поробуйте сбросить настройки IE, тоже долго разбирались, только это помогло, НО не делайте этого на машине, на которой настроены закупки. Ничего в исключения IE не добавляли, работает и так. Получилось и заполнить МСЗ и загрузить подписанные файлы.

Отредактировано Al (2018-02-01 07:45:29)

Поделиться1562018-02-01 08

• Alexander
• Активный участник
• Провел на форуме:5 часов 23 минуты

У меня в кабинете не видны кнопки действий: редактировать, просмотр. У кого-то было так?В настройках браузера для этой зоны разрешила все, что есть.

Собственно статус пакета стоял “Обработан”, но там есть кнопки просмотра протокола, где видно что сохранено с ошибками. Поэтому наверно записи не видны в кабинете.

))) у меня периодически и при нажатии выбивает ошибку

Поделиться1572018-02-01 08

Отредактировано Kirill_ (Сегодня 03:16:42)

до сих пор сталкиваюсь с этим

Поделиться1582018-02-01 08

• GeniiEvgenevich
• Новичок
• Провел на форуме:1 час 13 минут

Доброго времени суток! Ещё один способ.

Может поможет кому,  не факт что для этого случая.

Отредактировано GeniiEvgenevich (2018-02-01 08:21:25)

Поделиться1592018-02-01 08

люди у кого есть полная цепочка всех удостоверяющих сертификатов для подписи документов?

Поделиться1612018-02-01 08

То есть еще ни у кого не получилось загрузить реестры МСЗ?

Поделиться1622018-02-01 08

Отредактировано Kirill_ (Сегодня 06:16:42)

Доброе время суток!

Поделиться1632018-02-01 08

а чем подписывали? какой программой и каким сертификатом?

Поделиться1642018-02-01 08

Напишите, пожалуйста,куда писать в техподдержку.

Поделиться1652018-02-01 09

нюанс, без соблюдения которого просто игнорируют:Согласно Регламента Межрегионального информационного центра ПФР для регистрации заявки в СТП в обращении в теле электронного письма должны быть обязательно указаны следующие сведения:Адрес места нахождения (субъект РФ – край, область, АО, республика)Номер контактного телефонаФИО заявителяЦель обращения (регистрация, ошибка, консультация и т. )Файл с информацией

Поделиться1672018-02-01 09

у меня сертификат от контур экстерн, с помощью этого установщика цепочка сертификатов выстроилась сразу вся

Поделиться1682018-02-01 09

• Участник
• Провел на форуме:8 часов 39 минут

Загрузили и реестр МСЗ и реестр фактов назначения МСЗ

Поделиться1692018-02-01 10

разложите по полочкам как вы загрузили всёё плзот сертификатов, программ используемых и загрузки.

Поделиться1702018-02-01 10

а на кого выдан сертификат?

Поделиться1712018-02-01 10

а файл реестра назначенных МСЗП формировали в АССИСТЕНТЕ? или в CSV файле напрямую ?

Поделиться1722018-02-01 11

на администрацию района

Поделиться1732018-02-01 11

• sasha_86
• Новичок
• Провел на форуме:1 час 38 минут

AlexanderДобрый день!Я сделал все как вы написали,у меня при загрузки файлов пишет то же сообщение. Сможете ли вы подробнее описать,что вы делали?

Поделиться1742018-02-01 12

Реестр МСЗ загружал через региональный ПФР, файл xml формировал самостоятельно. Реестр фактов назначения МСЗ загружал через КПИ, файл xml формировал с помощью Ассистента ЕГИССО. В Ассистент данные импортировал из xls файла. Файлы xml, которые формирует Ассистент не загружались из за большого объема. Разбивал один файл на два, подписывал подписью органа исполнительной власти через Cripto+ DE. Все настройки для доступа в КПИ и по установке Cripto+ DE делал согласно инструкциям.

Поделиться1752018-02-01 12

• Сисадмин из Карелии
• Активный участник
• Провел на форуме:2 дня 13 часов

Можете меня поздравить я победил ошибку “Ошибка загрузки файлов: Ошибка обработки: Ошибка отправки архива в ПВВС”. Техподдержка регионального ОПФР прислала сообщение, где разложила по полочкам как надо подписывать подгружаемые в ЛК ЕГИССО файлы. Основное на компьютере  должно стоять КриптоПро 4. 0 и Crypto+DE. Там не должно стоять  VipiNet CSP. Как только я снес VipiNet, правда пришлось переустановить  КриптоПро. Crypto+DE ожило перестало ругаться на “ошибку инициализации сессии”. и стало подписывать файлы. Причем если подписывать сертификатом выданным ФК, то выдается сообщение о невозможности шифрования. Но файл подписывается и загружается в ЛК ЕГИССО. Если использовать сертификат другого УЦ, то подписывается и загружается без сообщений.

Поделиться1782018-02-01 12

Сисадмин из Карелии написал(а):

Все делаю именно так но в кабинет не загружается.

Поделиться1792018-02-01 12

Сисадмин из Карелии написал(а):Можете меня поздравить я победил ошибку “Ошибка загрузки файлов: Ошибка обработки: Ошибка отправки архива в ПВВС”. Техподдержка регионального ОПФР прислала сообщение, где разложила по полочкам как надо подписывать подгружаемые в ЛК ЕГИССО файлы. Основное на компьютере  должно стоять КриптоПро 4. 0 и Crypto+DE. Там не должно стоять  VipiNet CSP. Как только я снес VipiNet, правда пришлось переустановить  КриптоПро. Crypto+DE ожило перестало ругаться на “ошибку инициализации сессии”. и стало подписывать файлы. Причем если подписывать сертификатом выданным ФК, то выдается сообщение о невозможности шифрования. Но файл подписывается и загружается в ЛК ЕГИССО. Если использовать сертификат другого УЦ, то подписывается и загружается без сообщений. Все делаю именно так но в кабинет не загружается.

А какую ошибку выдает?

Поделиться1802018-02-01 13

поддерживаю, ошибка никуда не делась  “Ошибка загрузки файлов: Ошибка обработки: Ошибка отправки архива в ПВВС”. крипто-де и крипто про 4,0 установлены на отдельном компьютере, подпись проходит без ошибочно. випнет даже не уставливал на этот комьютер. отправляю уже с друго пк, на котором как раз випнет

Что же это такое?

ЕГИССО является информационной системой, позволяющей получать гражданам и органам власти актуальную информацию о мерах социальной поддержки, оказываемых из бюджетов всех уровней.

На примере бывшего отдела – ваш ребенок пошёл в садик и вы хотите получить выплату компенсации части родительской платы за содержание ребенка в детском саду. Пришли в отдел, оплатили, сделали заявление на начисление компенсации: сумму компенсации, личные данные ребенка и родителя, получившего компенсацию, вы можете посмотреть у себя в личном кабинете на сайте. Так же различные компенсации за детское питание в школах, путёвки в пришкольные летние лагеря, учет выплат для сирот и так далее.

Вот пример компенсации моего больничного после второй прививки от Covid.

Горькая реальность

Настал тот момент, когда пришлось прикоснуться к этому сервису. В отделе “так исторически сложилось”, что этим занимался предыдущий специалист, поэтому ты будешь продолжать это дело. На все мои возражения, что этого нет в должностной инструкции (доступ к сайту я настрою и ПО установлю нужное, но наполнять информацией базу – не ко мне), на доступ к персональным данным не обучен и в целом вы не по адресу, был только один ответ – нужно кому-то делать.

До этого проект ЕГИССО уже начал тестироваться в нескольких областях (ссылки на новости: раз, два, три, четыре). Я об этом сервисе вообще не имел представления, пока не начал работать на данной работе (поэтому поводу опрос ниже).

В нашей (Амурской) области тоже начиналось активное внедрение и к концу года надо было показать “активность”. Мы должны были предоставить в областное отделение ПФР цифры “уникальных пользователей”, которых мы добавим в данную систему. Сам себе задачу поставь, выполни и если данную цифру не выполнишь, то глава района (и дальше по наклонной) получит по шапке за неисполнение.

Ну что ж, сажусь считать, сколько у нас школ, сколько детей в них обучается с 1 по 4 класс (питание детей), к этим цифрам прибавляю детсадовцев, сирот – вот и получил цифру. Почему должен считать я, а не бухгалтеры – другой вопрос. Окей, посылаем письмо с данными и начинаем эти данные собирать.

А со сбором первоначальных данных две проблемы.

Первая проблема – законность. Из-за того, что данные нужны прямо и сейчас, то ни о каких бумажках с целью “разрешаю использовать персональные данные” никем не подписывались и не заполнялись. На вебинарах (я был на двух), которые проводились правительством области (соц защита) совместно с представителями ПФР, кроме “угроз”, что за невыполнение плана всем будем плохо, был и ответ на данный вопрос в стиле – “ну сейчас так, потом все уладим”. Хотел задать вопрос на этих вебинарах, почему IT специалист должен делать эту работу, но не дали.

Вторая проблема – люди. Вот серьезно. В нашем селе находится военная часть, где очень много военных, которые водят своих детей в садики. Месяц они ребенка водили, потом их переводят в другую часть и ребенок не ходит, но компенсацию он же получил за тот месяц. Где взять данные СНИЛС отца или матери – да нигде уже. Либо сначала компенсацию получала мать, данные которой у нас есть, а после стал получать отец, который номер СНИЛС не дал. Данные по компенсациям я забивал с мая 2018 года, поэтому таких “ходунов” накапливалось человек по 20 на район и что с ними нужно было делать – не понятно. “Ищите, ищите и ещё раз ищите”.

Немного про взаимоотношения с ПФР. Я, как человек, пришедший со стороны, в душе не знаю, что/куда/зачем и как в этой АИС делать. Пытаюсь им звонить, чтобы уточнить информацию и по сути каждый диалог начинался с того, что “предыдущий специалист, который начинал дело уволился” и объяснения, что оно мне всё это вообще не сдалось, никого не интересовали. Но что знали, то подсказывали и на этом спасибо – по шапке получить никто не хотел, да и пошла по районам текучка кадров из-за этой темы. Это я привел только пример с образованием, а ещё есть медицина, ветераны и т.

Техническая часть

А теперь перейдем к тому, к чему возникло ещё больше вопросов – как со всем этим работать.

Примерный план работы заключался в следующем:

• бухгалтер из 1С отправляет на печать сводку по каждой школе/садику с перечнем детей и родителей, получившим компенсацию
• эти данные через сайт заносятся, подписываются электронной подписью и забываются.

Проще некуда кажется с первого взгляда. Начнем с настройки рабочего места.

Так как это государственная АИС, то понятное дело работать оно будет только через что? Правильно – Internet Explorer. И не абы какой, а именно 11 версии. Из-за того, что на Windows 8 (не 8. 1) рабочего ноутбука 11ая версия ну никак не ставилась, пришлось на VHD диск поставить Windows 8. 1 и делать настройки там (а дома я развернул в Hyper-V на базе Windows 7 виртуальную машину и заливал данные на сайт уже через неё).

Так же нам нужно будет установить:

• КриптоПро CSP 4.0.9944.
• Crypto+DE 4.1.126. Эта программа у меня не работала корректно, поэтому готовые xml файлы я подписывал другой программой.
• Плагин Крипто Про ЭЦП Browser-plugin и Плагин для авторизации через портал Госуслуги IFCPlugin-x64.
• Корневые сертификаты ЕГИССО.

Заходим в качестве поставщика информации опять же под личным аккаунтом Госуслуг, который предварительно добавили в группу ответственных (без этого дальше на сайт просто не пустит). Если IE настроили верно, все сертификаты установили куда надо, то нам откроется кабинет поставщика информации.

Минимализм во всей красе (фото 2018 года)

Давно на самом сайте ЕГИССО и ПФР были хорошие инструкции по описанию этого сайта, но они куда-то делись и я нашел единственную ссылку, где всё это добро сохранилось. Я всё прочитал, но всё равно пришлось идти к бухгалтерам – что такое КБК, как оно формируется, что за цифры от меня хотят – вопросов было больше, чем ответов.

Картинка из руководства пользователя

Итак, у нас уже есть доступ к сайту, добавлены локальные МСЗ с их КБК и прочими непонятными мне числами. И мы уже готовы добавлять пользователей. Технически да, но кто в здравом уме будет добавлять по одному ребенку через сайт, если у меня их тысячи и нужно делать это не за один месяц. Если бы мне выделили только время под это дело, то так и можно было делать.

Какое видение было у правительства насчёт. этого метода заполнения сайта. Приходит условный Вася Петров производить оплату за месяц хождения в детский садик сына Сережи. Он берет деньги, свой СНИЛС и СНИЛС ребенка, платит в кассу, при нем же вычисляют компенсацию, эту компенсацию при нем же вбивают на сайте, выгружают, подписывают ЭП, загружают уже подписанные файлы обратно, дают на руки деньги – он радостный забирает их и идёт счастливый домой. Приходит домой, заходит на сайт и видит в личном кабинете, что уже рассчитали компенсацию. Идеально. В мечтах конечно же.

И так каждого получателя.

Когда тебе надо добавить максимум 15 ветеранов каждый месяц с их пенсиями – это нормально. Но когда у тебя тысячи детей/больных и других – это просто колоссальная трата времени работников. Но слава богу были альтернативы для занесения фактов МСЗ не через сайт.

Ассистент ЕГИССО

На моей работе использовали именно её, потому что ПФР по региону всем выдавало эту программу. Из плюсов – теперь пользователи и МСЗ хранятся централизованно, но каждый раз щелкать ребенка/родителя, писать сумму и вообще делать много щелчков мышью – не мой вариант да и от сайта почти толком не отличается. Но разработчикам приложениям выражаю благодарность – упростили своим приложением жизнь многим людям и поддерживали очень долго.

Почему выходило несколько версий программы. Правильно – потому что ПФР любил поменять формат XSD для файлов, из-за чего рушил логику генерирования и приходилось выпускать новый билд программы. А тем временем мои 1000 детей и взрослых ждали, когда их добавят на сайт.

Конвертор CSV

Я стал искать решение, как бы мне дело автоматизировать. В целом, можно было разобраться в XSD схемах, набросать какое-нибудь приложение, но когда это всё делать, ведь нужно показывать цифры прироста, да и другие дела тоже есть.

Пока время терпело потихоньку работал через Ассистент, но там, где детей было немного – в районе 30. Делал формально один садик, забивал “шаблончик” в программу, менял даты и суммы, выгружал полученные файлы из программы, подписывал их и выкладывал на сайт. Динамика шла, но до заветной цифры ещё было далеко.

И тут я наткнулся на чудесный форум (выражаю всем заинтересованным лицам моё уважение – ваш энтузиазм помог многим и мне в том числе) – Партизанский форум про ЕГИССО. В одной из тем я нашел то, что и искал. Опять видимо разработчики из уже другой области сделали конвертор из csv файла в xml нужного формата (ссылка на свежий пост).

Теперь я мог создавать шаблоны для каждой школы/садика, где основной набор в целом плюс/минус один и тот же, менять только даты выдачи компенсаций, их сумму – и всё это делая в Excel. Я сделал одну небольшую школу – это было очень просто, потому что стал просить приносить бухгалтеров выгрузки из 1С не в виде напечатанных листков, а в виде файлов excel. Сформировал небольшие excel’ные списки детей/родителей по каждой школе, чтобы методом ctrl+c/ctrl+v заполнять нужный шаблон. Да, приходилось ещё работать руками, но это было намного быстрее, чем тыкать каждый раз мышкой в программе или вносить каждую запись на сайте.

Дело пошло у меня в гору, до нормы по количеству уникальных пользователей за пару недель я довёл – к Новому году я успел и дело своё доделал. А в январе 2019 года я был уже на другом месте работы и в другом регионе страны, но это уже совсем другая история.

Корневые и промежуточные сертификаты уполномоченных Удостоверяющих Центров России

Как и многие другие страны, Россия для официального электронного документооборота использует x509 сертификаты, выпускаемые уполномоченными Российскими Удостоверяющими Центрами (УЦ). И в отличие от многих других стран, использует свои собственные шифры.

Я давно хотел автоматизировать проверку подписей ответов органов власти (я много переписываюсь) и проверку «выгрузок» Роскомнадзора на подлинность (по роду общественной деятельности). Самой большой проблемой было достать промежуточные сертификаты из цепочки. Потому что существовал невнятный Excel-файл корневых УЦ на сайте Минсвязи и всё. А промежуточные надо было искать по сайтам соответствующих УЦ. Жизнь — боль.

Внезапно (я не знаю точно когда) и незаметно на сайте Госуслуг появилась вот такая ссылочка:
e-trust. gosuslugi. ru/CA

Я наскоро написал программку, которая превращает XML-файл со списком УЦ и сертификатами с этого сайта в привычный PEM формат.

Затем я автоматизировал её и получил постоянно поддерживаемый репозиторий сертификатов в привычном для *NIX мира виде.

Шифрование ГОСТ

Шифрование ГОСТ поддерживается в LibreSSL не помню с какой версии. Но в Alpine Linux от 3. 5 уже поддерживается. С OpenSSL всё сложнее. Шифрование ГОСТ идёт с OpenSSL от версии 1. 0 до версии 1. 2 включительно. Но например в CentOS шифрования ГОСТ нет. Пользователи CentOS должны страдать. Для Debian, Mint, Ubuntu с OpenSSL версии 1. 0 и выше требуется установка пакета libengine-gost-openssl1. 1, поддерживаемого криптоэнтузиастом Вартаном Хачатуровым (кстати, можно ему помочь).

Ну и в 2018 году у нас есть Docker, а в Alpine Linux, как я уже упоминал, всё работает.

Как это использовать

Короткие примеры для проверки «выгрузки» Роскомнадзора с открепленной подписью. Файл «выгрузки» — dump. xml, открепленной подписи — dump. xml. sig. Даже я проверял их раньше только на целостность подписи, но не на соответствие источнику.

И, конечно, можно применить утилиту c_rehash в папке certs, а затем использовать опцию -CAdir вместо -CAfile.

И с этого момента можно не пользоваться сайтом Госуслуг, Контура и странными программами вроде КриптоПро для простой задачи проверки подписи. А главное, что теперь можно и автоматизировать.

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5. 0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

В Adobe Acrobat Reader DC проверка тоже не успешна:

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

• Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
• Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
• Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

• Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
• Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34. 2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34. 2001, другой для ГОСТ Р 34. 2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34. 2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

• аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
• добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
• оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.

UPD 1: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 70 пользователей. Воздержались 28 пользователей.

А что в итоге?

Совсем недавно как раз прошла новость – Упрощенный документооборот: регионы получили доступ к Единой госсистеме соцобеспечения. Исходя из текста новости – всё у нас прекрасно, эффективно, “модно, стильно, молодёжно”. Хотелось бы уточнить у СМИшников, да и у государства тоже, про покрытие высокоскоростным интернетом отдаленных регионов нашей страны и наличию хотя бы одного компьютера в семьях, что эти меры социальной поддержки получают (а многие из них как раз неблагополучные), но думаю вы и сами всё понимаете.

Судя по форуму и отзывам бывших сотрудников из бюджетной сферы (данные верны на 2019 год), смею предположить, что новых инструментов для работы так и не разработали. Всё это мне напомнило какой-то плохой стартап: идею придумали, бюджет выделили, а инструменты для конечных пользователей системы так и не довели до ума – пусть сами придумают (что в целом и сделали частные конторы со своими модулями для 1С). Не так я себе представлял Big Data и автоматизацию процессов. Если таким же образом и на сайт Госуслуг попадают данные, то мне становится страшно за государственные АИС. И получается, что “спасение утопающих – дело рук самих утопающих”.

Надеюсь, что своей заметкой я дал повод многим задуматься, как и какими жертвами проводится информатизация страны.

А вы знали о существовании данного сервиса?

Проголосовали 169 пользователей. Воздержались 7 пользователей.

Стоит ли продолжить тему про АИС в образовании?

67%
Довольно таки интересно
110

33%
Не заинтересовало
10

Проголосовали 120 пользователей. Воздержались 22 пользователя.