Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 30
×

Библиотека с реализацией ЭЦП по ДСТУ

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Всем привет!

Два вопроса, может кто подскажет:

1) Кто знает нормальную платную/бесплатную библиотеку (Java, .NET, С++ на худой конец) с реализацией цифровой подписи по ДСТУ и желательно чтением/записью ключей во всех возможных форматах типа Key-6.dat, jks, p12 etc?

2) Должна ли быть библиотека сертифицированной чтобы сделанные с ее помощью подписи признавались в судах и т.п.?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Просто на заметку, совковый хэш из ГОСТ 34.311 умирает 1 января 2022 года. С 1 января 2021 должна использоваться Купына хэш — ДСТУ 7564:2014.

Сейчас 27.12.2021, налоговая говорит, что ничего не поменяется.

Берете с сайта ДФС софт Користувач-ЦСК с библиотекой ИИТ и пользуясь законом об авторском праве пишите обертку библиотеки на С++ под себя. Но, под веб ее не прикрутить, так как библиотека должна загрузить в себя закрытый ключ, и некоторые вещи она делает через свой виндовый интерфейс. На гитхабе поишите EUSignDFS.

github.com/dstucrypt/gost89
модуль для ноды

github.com/...​digital-signature-service
сервер в сборе.

сам прикручивал недавно фискализацию для своей учетной системы.
Пытался найти кто переложит на PHP или хотябы браузерный явасскрипт чтобы не держать ноду для подписей — пока не нашел за приемлемую цену.

iit.com.ua

ця компанія на такому спеціалізується.

Всі бібліотеки для роботи з ЕЦП сертіфікуються, якщо вони використовуються для роботи у відповідності до законодавства. Колись сертифікація бібліотеки коштувала ~10КБ. Всі сертифіковані бібліотеки (ким, коли, термін дійсності) можете пошукати на сайті www.dsszzi.gov.ua.
П.С. Дивина по-нашенькому. ДССЗЗІ — інституція, що займається захистом інформації, навіть не використовує https

библиотеки не сертифицируются — вы присылаете документ с ЦП как вы его подписали ваше дело если ключ действительный. а ключи выдает ФСУ

Раньше был

п. 8 Положения о порядке осуществления криптографической защиты информации в Украине, утвержденного Указом Президента Украины от 22.05.98 г. № 505/98 (далее — Указ № 505/98), для криптографической защиты конфиденциальной информации используются криптосистемы и средства криптографической защиты, которые имеют сертификат соответствия.

его сейчас отменили?

библиотеки не сертифицируются

Можно ссылку на постановление кабмина или закон?

а где тут нарушается порядок? речь о плдписи а не генерации ключей и стандартах шифрования.?

Как вы отличите какой библиотекой подписан документ? либо ЭЦП действительна либо нет.

Я выше привел опенсорс библиотеки которые сам использую в одной сети аптек для отправки чеков в ФСУ. Ключи естественно выданы ихним сертификационным центром а подписывай чем хочешь.

Я выше привел опенсорс библиотеки которые сам использую в одной сети аптек для отправки чеков в ФСУ.

И что?

ч. 1 ст. 164 КоАП осуществление видов хозяйственной деятельности, которые подлежат лицензированию в соответствии с Законом (ответственность в виде наложения штрафа в размере от трех до пяти необлагаемых минимумов доходов граждан с конфискацией изготовленной продукции, средств производства и сырья, либо без таковой).

а подписывай чем хочешь.

Ты сам придумал это?

не я придумал. Сеть аптек в Одессе уже так работает второй месяц отправляет чеки вместо кассового апарата в ФСУ. Програму которая там автоматом принимает чеки в xml с ЭЦП мало волнует как это подписано.
Где конкретно сказано что библиотека для эцп должна быть лицензирована? Зачем ее лицензировать? там математический алгоритм — либо подписалось либо нет.

И еще раз — как можно отличить какой библиотекой я подписал?

Якщо софт підтримує українську реалізацію крипти, то ви можете щозавгодно робити з документами і парою ключів, які видани АЦСК, яку в свою чергу підтримує держ. установа (людський бюрократични фактор ще ніхто не відміняв)

Если алгоритм реализации неверный то бот из ФСУ просто отфутболит с сообщением что неправильная ЭЦП или неправильный формат данных..
ТЕХНИЧЕСКИ не может быть по другому

Чем тебе поможет факт того, что 95% ЭЦП будет приниматься, а 5% риджектиться? Например, почти все opensource реализации функции хеширования по ГОСТу содержат ошибку, которая приводит на определённых данных к неверному расчёту хеша.

ну то что я упомянул пока работает.
будут ошибки придется искать другое ПО или ждать пока майнтайнер исправит.
или самому разбиратся и исправлять — там в основном открытые стандарты.
хотя по уму сама ФСУ должна была бы предоставить библиотеки на на рзных языках и обновлять их.

или самому разбиратся и исправлять — там в основном открытые стандарты.

Если ты будешь реализовывать гостовский хеш по методичке, то тебя ждёт много чудных открытий.

Где конкретно сказано что библиотека для эцп должна быть лицензирована?

zakon.rada.gov.ua/laws/show/1452-2004-п

2. Установа застосовує електронний цифровий підпис лише за
умови використання надійних засобів електронного цифрового
підпису, що повинне бути підтверджено сертифікатом відповідності
або позитивним експертним висновком за результатами державної
експертизи у сфері криптографічного захисту інформації
, отриманим
на ці засоби від Адміністрації Держспецзв’язку, та наявності
посилених сертифікатів відкритих ключів у своїх працівників —
підписувачів.

И еще раз — как можно отличить какой библиотекой я подписал?

1) Ты только что сам сказал. Ожидайте гостей.
2) При продаже сертифицированной библиотеки или софта компания отправляет данные покупателя в ДССЗИ. Если компания подаёт отчёты в электронном виде с ЭЦП, но софта не покупали — жди гостей.

что то мне подсказывает что человек написавший эти опенсорс проекты и детально разобравшийся в алгоритмах стандартах и требованиях в курсе надо сертификация или нет

Гости могут быть — найти повод потрясти бизнес это дело святое. Для того и существуют придворные прогграмисты при налоговой чтобы впаривать только свое ПО. Бенин клоун там ща целый кагал таких привел.

Но никакой закон не требует никакй сертификации библиотек. сертифицируются центры, выдающие пары ключей. в данном случае ключи выдает сама ФСУ
Сертифицировыать програму подписи нет смысла неправильный алгоритм не пройдет проверку открытым ключем а правильный только один
описаный кстати здесь
www.dsszzi.gov.ua/...​art_id=90096&cat_id=38837

это как сертифицировать дважды два четыре

что то мне подсказывает что человек написавший эти опенсорс проекты и детально разобравшийся в алгоритмах стандартах и требованиях в курсе надо сертификация или нет

Абсолютно нет. Я, кстати, именно такой же человек.

Но никакой закон не требует никакй сертификации библиотек.

Я же тебе процитировал вверху и закон и текст!!!

Я же тебе процитировал вверху и закон и текст!!!

неправильно процитував, но то таке.

застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями
державної форми власності
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Сертифікація потрібна якщо ви плануєте надавати послуги пов"язані з використанням крипти. Тоді ви сертифікуєте ліби/дівайси і т.д. Якщо це виключно для внутрішнього використання або для взаємодії з іншими інфраструктурами, де виконуються вимоги законодавства — то звичано, що непотрібно. В останньому випадку вам лише потрібно відповідати вимогам/протоколам конкретної установи, а не закону, і ви є користувач, а не надавач послуги

Якщо це виключно для внутрішнього використання або для взаємодії з іншими інфраструктурами, де виконуються вимоги законодавства — то звичано, що непотрібно.

Можно ссылку на постановление или закон, что не нужно?

А який закон потрібен для регуляції корпоративних процесів? Якщо ви використовуєте виключно ЕЦП для внутрішнього корпоративно документообігу, а не для взяємодії з комерційними або держ. установами.
Ви можете за бажанням створити крипто лібу, сертифікувати її і використовувати для своїх власних корпоративних потреб у власному ЦСК. Бібліотека або пристрій сертифікований — це ще не привід говорити про щось велике. ЦСК сертифікується окремо і у складі його вже буде теж сертифікована бібліотека чи пристрій

Цитата 1

Якщо ви використовуєте виключно ЕЦП для внутрішнього корпоративно документообігу, а не для взяємодії з комерційними або держ. установами.

Цитата 2

Якщо це виключно для внутрішнього використання або для взаємодії з іншими інфраструктурами, де виконуються вимоги законодавства — то звичано, що непотрібно.

Чем отличаются взаємодія з комерційними установами от взаємодії з іншими інфраструктурами?

ЕЦП носить юридичну силу і закріплюється відповідними угодами. Тож де буде простіше використовувати ЕПЦ: у внутрішніх операція, між комерційними структурами чи у взаємодії з державою? З цього витікає і необхідність у сертифікації і т.д.

Звіти можна взагалі посилати електроною поштою на адресу робота податкової.
Наприклад, ті мільони українців, що використовують opz.org.ua, так і роблять.

Узнати, яку саме програму, бібліотеку чи сервіс ти використовував для підпису документу, неможливо.

Несертифікований продукт спокійно можна використовувати для своїх внутрішніх нужд.

Сертифікація потрібна, якщо хочеться надавати публічні послуги підпису документів.

Несертифікований продукт спокійно можна використовувати для своїх внутрішніх нужд.

Сертифікація потрібна, якщо хочеться надавати публічні послуги підпису документів.

Ты ведь даже не понял о чём речь. Причёт тут сертификация и внутренние нужды, если речь идёт о том, что подписанные фискальные отчёты идут в налоговую. И требование в законе использовать сертифицированные криптографические продукты для этого, при этом требования сертификации и экспертизы к твоей поделке не определены.

Я як раз зрозумів. Я розумію, що якщо зловлять на використанні несертифікованого софту підпису, то це — порушення закону. Але ж в випадку, коли свій софт використовують для підпису документів, які генеруються всередині компанії, які ризики, що зловлять?

1. Компанія використовує свою внутрішню реалізацію підпису звітів (сумісную із ДСТУ).
2. Поряд у компанії стоїть на випадок тупих перевіряючих дистрибут OPZ.
3. Бінго. Якщо прийдуть перевіряючі — дістаєш їм OPZ й кажеш, що підписуєш звіти цим комплексом. Все.

Але ж в випадку, коли свій софт використовують для підпису документів, які генеруються всередині компанії, які ризики, що зловлять?

Да они ж в налоговую контрольную ленту отправляют! Где ж здесь середина?

1. Хто такі вони?
2. Що таке «контрольна лента» в ваших термінах?

1. Хто такі вони?

Это тот тред, в который ты влез, даже не читав его:
dou.ua/...​rums/topic/30227/#1827522

2. Що таке «контрольна лента» в ваших термінах?

zakon.rada.gov.ua/...​m/13303/sp?sp=:side:max25

А, тред дуже довгий, я думав, ми все ще про підпис декларацій :)

Про контрольні стрічкі РРО (КСЕФ) — це взагалі окрема пісня.

Там не тільки алгоритм повинен бути сертифікований, там весь пристрій повинен бути сертифікований.
zakon.rada.gov.ua/laws/show/z1743-12
І в кожному РРО — МБ SAM теж сертифікований НСМЕП-ом :)

Я не заздрю власнику тієї мережі аптек. Коли викриють, що вони використовують несертифіковані РРО — це буде боляче.

Мы как банк отправляем в налогову счета. Пакет — матрешка архивов, подписанное и ключи. Максимум по идентификации там было — байт идентификатор, через какой софт. И то, ставь какой понравится, когда собираешь матрешку. Труднее всего разобратся в правилах матрешки. Под рукой был не залоченный софт, посмотрел, стало понятно что описывали по бумагам.

1. Не Закон, а всього лише постанова кабінету міністрів.
2. Вона стосується тільки державних органів та підприємств.

ПОРЯДОК застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування,
підприємствами, установами та організаціями державної форми власності
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Установа застосовує електронний цифровий підпис лише за
умови використання надійних засобів електронного цифрового
підпису, що повинне бути підтверджено сертифікатом відповідності
або позитивним експертним висновком за результатами державної
експертизи у сфері криптографічного захисту інформації, отриманим
на ці засоби від Адміністрації Держспецзв’язку, та наявності
посилених сертифікатів відкритих ключів у своїх працівників —
підписувачів.

Чому люди читають законодавство як хочуть, а не як написано? Там же прям над цим абзацем написане таке:

застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності

що абсолютно логічно, але тут же йшлось про якісь там аптеки, причому там держ форма власності?

Поздний коментарий, но все же -
Майк, ведь эта постанова относится только к держ. огранам.
Есть ли подобній закон/постанова про підприємства не держ. форми власності?

Заголовок: Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності

ЛІцензія на вид діяльності != Сертифікації.
Електроний підпис документів — це ліцензована діяльність? Покажете документ, де це регламентується?

Електроний підпис документів — це ліцензована діяльність? Покажете документ, де це регламентується?

Цифровая подпись всегда была там, не так давно её исключили из лицензируемой деятельности, но закон об ЭЦП все равно требует использование сертифицированного КЗИ — своего или покупного — без разницы.

Ще раз, покажіть посилання на першоджерело, що НАКЛАДАННЯ ЕЦП — це ліцензійний вид діяльнсті. Не емісія ЕЦП, а саме накладання ЕЦП на документи.

Ще раз, покажіть посилання на першоджерело, що НАКЛАДАННЯ ЕЦП — це ліцензійний вид діяльнсті.

Я же сказал, что исключили недавно. Просто чтобы ты понимал — ЭЦП не накладывается на документы, а накладывается на хэш, хэш использует блочный сайфер, блочный сайфер использует или дефолтные, либо секьюрные таблицы подстановки (S-box). Одно малейшее движение и ты вываливаешься из «накладання ЕЦП на документи» в лицензируемый вид деятельности.

Не подкидывайте власти идею обязать все ФОПы создать КСЗИ на рабочие мета, где они подписывают отчеты.

В законе про ЕЦП нет никаких требований про сертификацию, я читал полностью: zakon.rada.gov.ua/laws/show/851-15#Text

Возможно эти требования есть в подзаконных актах. Если таковые есть — поделитесь.

питання було про держ. установи, а не лише про ФСУ. Ключі видають АЦСК

Підписатись на коментарі