Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

О цифровых подписях в Office 2010

  4 комментариев Добавить в закладки

Читаю блог Microsoft Office 2010 Engineering, в котором 8 декабря появилось сообщение Shelley Gu Digital Signatures in Office 2010. Запись показалась интересной, а потому, позволю себе привести некоторые моменты.

Как вы помните в предыдущей версии продукта - Office 2007, Microsoft перешла на xml-based формат документов. В связи с этим поменялся и способ хранения цифровой подписи - в качестве такового был выбран стандарт XML Signature (XML-DSig, http://www.w3.org/Signature). К сожалению, базовый вариант этого алгоритма предполагает использование только простой подписи, которая, в частности, не рассчитана на длительное хранение документов.

В версии Office 2010 было принято решение о переходе к расширению XML-DSig, стандарту XAdES (XML Advanced Electronic Signatures, http://www.w3.org/TR/XAdES/). Сделано это было, в том числе, для соответствия European Union Advanced Electronic Signature Criteria.

Сам стандарт XAdES интерес тем, что имеет несколько уровней реализации, каждый из которых является расширением предыдущего:  

Уровень подписи

Описание
XML-DSig Простая цифровая подпись, которая становится не валидной при истечении срока действия сертификата. Содержит только саму подпись
XAdES-BES/EPES (Base) К предыдущему уровню добавляется информация о подписывавшем сертификате. Т.е. пользователь уже не сможет воспользоваться аналогичным сертификатом, в который просто добавлены ключи из текущего
XAdES-T (Timestamp) К предыдущему уровню добавляется штамп времени установки подписи
XAdES-C (Complete) Добавляет информацию о цепочках сертификатов (т.е. сертификатах всех вышележащих узлов центров сертификатов) и ссылки на информации об отозванных сертификатах
XAdES-X (Extended) На данном уровне с помощью штампа времени защищается не только сам документ, но и данные добавленные на предыдущих уровнях (на T и C).
XAdES-X-L (Extended Long-Term) Предыдущий уровень дополняется сертификатами из цепочки сертификатов, а также информацией (т.е. уже не ссылкой) о статусе отзывов сертификатов. Это позволяет работать с подписью, даже если прекратит существование центр сертификатов.
 

В настоящее время (Beta-версия) поддерживается только уровень XAdES-T, но к релизу обещают сделать поддержку всех уровней.

Кроме того, в блоге приводится подборка ключей реестра, которые позволяют управлять режимами подписания.

Для задания настроек уровня подписи используются ключи XAdESLevel и MinXAdESLevel

XAdESLevel

Положение

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Signatures
Описание Указывает запрашиваемый уровень подписи
Тип REG_DWORD
Значения

0 – XAdES не используется (только XML-DSig)

1 – Создается XAdES-BES/EPES подпись (по умолчанию)

2 – Создается XAdES-T подпись

3 – Создается XAdES-C подпись

4 – Создается XAdES-X подпись

5 – Создается XAdES-X-L подпись

MinXAdESLevel

Положение

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Signatures
Описание Минимально допустимый уровень XAdES
Тип REG_DWORD
Значения

0 – минимальный уровень не задан (по умолчанию)

1 – Требуется XAdES-BES/EPES подпись

2 – Требуется XAdES-T подпись

3 – Требуется XAdES-C подпись

4 – Требуется XAdES-X подпись

5 – Требуется XAdES-X-L подпись

 

Office пытается создать подпись требуемого уровня, если это не возможно (не доступна какая-то информация, например, об отзывах сертификатов или не доступен сервер штампов времени), то офис последовательно перебирает все остальные уровни вплоть до минимально допустимого и пытается их реализовать.

Для указания сервера штампов времени используется другой ключ TSALocation

TSALocation

Положение

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Signatures
Описание URL сервера штампов времени
Тип REG_SZ
Значения Адрес HTTP-сервера штампов, который работает в соответствии с RFC 3161

 

К сожалению открытым остаются вопросы о возможности использования национальных криптографических алгоритмов. В предыдущих версиях Office, на сколько мне известно, это было можно сделать лишь средствами сторонних дополнений.

Ещё материалы автора
Похожие записи
Комментарии (4)
Максим Коллегин 29 марта 2010 г. 16:11  
Насчет поддержки национальных криптографических стандартов: КриптоПро CSP начиная с 3.0, да и некоторые другие российские CSP  поддерживают подпись в Office 2003/2007. Ситуация с поддержкой Office 2010 - пока туманна.
Михаил Романов 29 марта 2010 г. 18:58  
Ситуация с поддержкой Office 2010 - пока туманна.

А если не секрет, то в чем загвоздка? Какие-то технические сложности или просто общеорганизационные (например, пока просто нецелесообразно эаниматься, в связи с нераспространенностью Office 2010)?
Максим Коллегин 17 сентября 2010 г. 16:03  

MS больше не использует MSXML5, через который происходило встраивание.

Сейчас обсуждают
Исхаков Роберт 23 января 2017 г. 23:43  
Роберт, разумеется!

Вадим.  Пощупать и посмотреть УКЭП можно только в рамках системы с использованием средств ЭП. Я ровно тоже могу сказать и о простой электронной подписи). Простая электронная подпись работает в рамках системы, в которой мы договорились, что она может использоваться. Вопрос применения простой ЭП -  это не технологический вопрос, по-моему, это методологический вопрос. (Не знаю, смог ли я правильно сформулировать по-русски))) И простая электронная подпись в СЭД уже давно используется) Например, в "канцелярских сэд" уже давно можно нажимать на кнопочку "Согласовано" при работе с проектом документа. И при надобности можно получить информацию: кто, когда, с какого места нажимал эту кнопочку, и пользователю при запросе можно выдавать в удобном окошечке эту информацию) И привязать нажатие на кнопочку к ЭД в СЭД тоже можно. Но повторюсь, эта ПЭП будет работать в рамках конкретной СЭД, где средством ПЭП будут выступать компоненты СЭД. А вопрос про то, что кем-то вдруг в БД может быть записано про "Васю Пупкина" взамен Пети Уткина я отнесу к организации "доверенной среды". Я нечто подобное могу спросить и про систему где УКЭП используется.

Могут ли жить системы, где используется ПЭП? А почему нет? Вот пример аналогия. У нас в России более 100 млн жителей и у подавляющего большинства из них стоят дверные замки, которые вскрываются за минуты)))  И это -"вскрываются за минуты" совсем не мешает существовать этой системе). И еще пример. Да, действительно, мы иногда пользуемся услугами нотариуса, но в подавляющем большинстве случаев мы используем свою бесплатную рукописную подпись)

Вадим Майшев 23 января 2017 г. 14:31  
Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Т.е. если в таком поле БД будет написано "ПЭП=С приветом Вася", то ответственность "за все" будет нести Вася?

А если Вася против того, что в некотором поле БД некто напишет его логин? Он будет правовыми способами доказывать свою непричастность к ЭД. В конечном счете, в суд будете предъявлять запись поля БД? Как докажете связь содержимого поля БД с авторством Васи (для оценки доказательств используется почерковедческая экспертиза традиционных документов и экспертиза действительности электронной подписи для электронных документов)?

Не надо путать аутентификацию в информационных системах и обеспечение юридической силы электронных документов с применением электронной подписи...

Иван Чурбаков 23 января 2017 г. 12:24  
любая электронная подпись - это, прежде всего, "информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию"

Под это определение вполне подпадает поле в базе данных о том, под каким логином заходил пользователь, создавший информацию (например, история в СЭД). Информация в нем получается без использования хэш-функции, но вполне "присоединена" к документу. Неизменность документа при этом не обеспечивает, конечно.

Больше комментариев