ЭЦП

Электронная (цифровая) подпись (далее ЭЦП) предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой собственноручной подписи. Представляет собой реквизит электронного документа, полученный в результате криптографического преобразования (шифрования) информации с использованием закрытого ключа.

О взаимодействии между компонентами комплекса при работе с ЭП см в разделе справки "Схема работы с ЭП".

Применение машиночитаемой доверенности задается в настройке "Меню Настройки: НАСТРОЙКИ \ Электронная подпись - Использовать машиночитаемую доверенность".

Использование ЭП позволяет :

• осуществить контроль целостности подписанного документа - при любом случайном или преднамеренном изменении документа ЭЦП станет недействительной. Т.о. документ защищён от изменений (подделки) .

• идентифицировать владельца сертификата ключа подписи (автора подписи) - так как создать корректную подпись можно, лишь зная закрытый ключ, а он есть только у владельца ЭП (сертификата).

  При нажатии кнопки "Электронная подпись" на документе, имеющем электронную подпись, SQL сервер обращается к сервису ОД, который проверяет корректность ЭЦП документа (или оправдательного) в соответствии с установленным на сервисе ОД сертификатом открытого ключа (удостоверяющего центра или пользователей) и возвращает результат проверки SQL серверу.

Использование ЭП в ПК "Бюджет-СМАРТ"

Кнопка панели инструментов списка документов "Просмотр/Установка ЭЦП", для работы с ЭП, отображается, если включена настройка "Дерево настроек - НАСТРОЙКИ - Электронно-цифровая подпись - Использовать ЭЦП".

При подписании проверяется срок до окончания действия сертификата согласно настройки "Период напоминания о завершении срока сертификата (дни) ". Если срок подходит к концу, то выводится окно сообщения с предупреждением о скором прекращении действия сертификата. Сообщение не выдается, если в справочнике "Уровни ЭЦП" задан конкретный серийный номер сертификата .

При снятии ЭП делается проверка на доступность операции, и удаляются ЭЦП тех уровней, в которых прописан пользователь, производящий удаление ЭЦП. Условия доступности операции по снятию ЭП включает в себя:

• отсутствие ЭП более старшего уровня,
• удаляемая ЭП не чужая (подписал тот же пользователь, что удаляет),
• для заявок на кассовый расход: не формировалась платежка,
• документ не в закрытом периоде,

• на документе отсутствует аналитический признак запрещающий изменение (при этом пользователь не администратор, подписывать ЭП разрешено и при наличии такого признака).

  Если ЭП снимает администратор комплекса, то независимо от уровня ЭП и наличия аналитических признаков, удаляется один высший уровень при каждой процедуре снятия ЭП.

Очередность наложения ЭП

Последовательность наложения ЭП задается в Автомате ЭЦП .

Важность ЭП определяется её очередностью, очередность в свою очередь задается для уровней ЭЦП. Для упрощения рекомендуем важность ЭЦП коррелировать с её уровнем, т.е. чем выше должность пользователя, тем более высокий уровень ЭЦП ему присваивается. По умолчанию в комплексе 5 уровней, при необходимости количество применяемых уровней можно увеличить (см справочник "Уровни ЭЦП").

Если пользователь включен в несколько уровней ЭЦП, то он может подписать документ несколько раз (по количеству уровней) и все подписи будут разного уровня при подписании одним и тем же сертификатом.

Контроль корректности ЭЦП

При наложении ЭЦП проводится комплекс проверок: актуальность (не отозван ли), просроченность, математическая корректность, наличие в локальном хранилище, соответствие OID и т.п.

При просмотре (по кнопке "ЭЦП") и зачислении в беловики проверяется только математическая корректность (подтверждение что документ не изменялся), прочие проверки: сроки сертификатов, отозванность, наличие в локальном хранилище и т.д. - не проверяется.

Просмотр ЭЦП

В списке документов по кнопке "Электронная подпись": открывается список всех ЭЦП, наложенных на документ с указанием статуса подписи (верна/не верна).

Описание - статус ЭЦП.

Организация - принадлежность подписанта организации. В общем случае это информация из поля "О" сертификата, если в сертификате значение для тега <O> не задано, то берется организация логина по привязке группы, в которую входит логин, к организации согласно дерева групп в меню "Администратор групп".

В списке ЭЦП по кнопке "Расширенная информация ЭЦП": открывается отчет в виде протокола с информацией о статусе ЭЦП (математическая достоверность и результат проверки на отзыв), реквизитах сертифката (сроки, кому, организация, издатель и т.п.).

Передача - формирование файлов:

• ЭП - файл с расширением sig;
• значений реквизитов документа на момент наложения ЭП - подписанные данные, файл с расширением txt;
• значений реквизитов документа на текущий момент - фактические данные, файл с расширением txt.
  Сравнение реквизитного состава документа в двух файлах позволяет выявить измененный реквизит в случае математической недостоверности ЭП.

Выяснение причины неверной ЭЦП

Если при просмотре ЭЦП по кнопке "Электронная подпись" выдается состояние "подпись неверна", то для выяснения причины проделать следующее:

1. в режиме списка ЭЦП по кнопке "Расширенная информация ЭЦП" получить протокол с полной информацией о статусе ЭП и параметрах сертификата. См два параметра:

• Статус проверки математической корректности - проверка на внесение изменений в документ после наложения ЭП.
  • Подпись верна - документ в исходном состоянии.
  • Подпись не верна - документ изменен и не соответствует состоянию, в котором он был в момент налождения ЭП.
• Статус проверки сертификата - проверка действительности сертификата. Если ничего не указано, то сертификат не отозван.

Общий статус ЭП складывается из этих двух компонентов, и при проблемах с любым из них - математическая корректность и проверка сертификата - статус ЭЦП будет "не верна".

2. если проблемы с математической корректностью, то для выяснения причины следует по кнопке "Передача" (там же в списке ЭЦП) получить три файла :

• файл с расширением .SIG - подпись, для проверки сторонними приложениями.
• файл с именем "...._подписано.TXT" - текстовое представление реквизитов документа и их значений на момент наложения ЭП,
• файл с именем "...._формируется.TXT" - текстовое представление реквизитов документа и их значений на текущий момент.

Два последних файла следует сравнить между собой и выявить реквизит, измененный с момента подписания, далее выяснить "кто и зачем".

Файлы выгрузки формируются в кодировке UTF-8 по пути, указанному в настройке "Меню Настройки: ЭЛЕКТРОННЫЙ ОБМЕН ДОКУМЕНТАМИ \ Электронно-цифровая подпись (передача)".

3. cтатус сертификата проверяется при включенной настройке "Меню Настройки: НАСТРОЙКИ \ Электронная подпись \ Проверять сертификаты в списке отозванных сертификатов".
Если сертификат был отозван на момент проверки (хотя был действующим на момент наложения ЭЦП) , или нет доверися к УЦ и т.д., то общий статус ЭП будет "не верна".
Срок действия сертификата учитывается на дату наложения ЭЦП, т.е. просроченный сертификат не влияет на статус сертификата, если на момент наложения ЭЦП он был действительным по срокам.

Требования к ЭЦП при зачислении

Определяется автоматом ЭЦП для беловика документа: на момент зачисления на документе должны присутствовать ЭП всех, указанных в автомате ЭЦП, уровней.

;

3) клиент подписывает файлы (сигнатуры) выбранным пользователем сертификатом через криптопровайдера, установленного на рабочем месте пользователя, и отсылает результат на Сервис ОД;

4) Сервис ОД сохраняет файл ЭП и возвращает клиенту идентификатор файла ЭП;

5) клиент передает на SQL сервер информацию об ЭП, полученную от Сервиса ОД в п.4;

6) SQL сервер обращается в Сервис ОД для проверки ЭП;

7) Сервис ОД проверяет средствами криптопровайдера, установленного на сервисе ОД: достоверность новой ЭП, математическую корректность предыдущих ЭП файла ОД - и возвращает результат SQL серверу;

8) SQL сервер формирует протокол наложения ЭП и отсылает его клиенту.

баг 173551 - усовершенствованная ЭЦП, + детализация ЭЦП ОД.

В панели инструментов документов и ОД добавлены подкнопки у "Подписи":

- Подпись УЭП - подписать усовершенствованной подписью,

- Усовершенствовать - усовершенствовать простую подпись, данные простой перезаписываются.

По умолчанию они выключены (t_Visible=0), для активации скопировать значение из подкнопки "Подписать"

В списке Электронных подписей добавлена колонка "Тип подписи" принимающая два значения: "Простая" и "Усовершенствованная".

В расширенной информации по подписи добавлено:

- в случае документов "Первичный документ" и "Сохраненные отчеты" информация об адресе сервиса первичных документов, пути к подписанному файлу и пути к файлу

подписи,

- информация об усовершенствовании подписи, о датах подписания, штампа и штампа CAdES-C (в рамках использования CryptoModule, html формируется там).

Для усовершенствованной подписи важны следующие настройки:

1) Прокси-сервер при входе в комплекс (для веб задается отдельно в файле конфигурации CryptoModule, для веб требуется доработка)

2) Меню Настройки: НАСТРОЙКИ \ Электронная подпись \ Адрес службы штампов времени (рекомендуется указать, если не указано используется cервис TSP КриптоПро "https://qs.cryptopro.ru/tsp/tsp.srf").

Для структуры таблицы eds. Теперь по полю sigtype можно проанализировать тип подписи.

- 3 бит отвечает за подпись типа CAdES-T (простая подпись со штампом, так же устанавливается в случае усовершенствования подписи),

- 4 бит отвечает за подпись типа CAdES-XLT1 (усовершенствованная).

баг 140358 с версии 20.2 - ЭЦП только через "Автомат ЭЦП", + настройка "Использовать Автомат ЭЦП" невидима.

баг 138407 с версии 20.1.ддд2 - кнопка "Сформировать" в Автомате ЭЦП (генератор автомата ЭЦП).

баг 104251 - Согласно письма Федеральной службы безопасности Российской Федерации от 07.09.2018 №149/7/6-363, возможность использования схемы ЭП, соответствующей ГОСТ Р 34.10-2001, для формирования ЭП, продлевается до 31.12.2019.

баг 104251 - при наложении ТЕКУЩЕЙ подписи проверять сертификат по полной программе (по имеющимся настройкам, в т.ч. и в части доверия, наличие в хранилище и т.п.), а УЖЕ ИМЕЮЩИЕСЯ подписи не анализировать в части сертификата и доверия, считая, что это это уже проверялось в момент подписания. УЖЕ ИМЕЮЩИЕСЯ подписи проверять только на математическую верность, инфу о сертификате давать только к сведению.

баг 48332, Актуальность и Просроченность проверяются всегда.

баг 33334 - запрещено не администратору снимать ЭП, если на документе установлен один из этих аналитических признаков, подписывать ЭП разрешено