Пожалуйста, подскажите:

1) Кто продает
Комплект КриптоТРИ ПРОФ ФСТЭК (СКЗИ КриптоПро CSP, СКЗИ КриптоАРМ, КриптоПро TSP Client, КриптоПро OCSP Client, Рутокен S 32 Кб, единый дистрибутив на CD-диске) Включающий в себя:
http://www.trusted.ru/products/cryptoarm/

со скидкой для одного экземпляра для физического лица?

2) Можно ли использовать его для создания меток времени своих файлов - результатов интеллектуальной деятельности (написанных мной программ)?
Можно ли с помощью таких меток отстаивать свои права в судах РФ наравне с депонированием материалов нотариусу, ФИПС и т.п.?

3) Что еще нужно приобрести кроме криптотри проф фстэк? Наверно, сертификат подписи?
В каком УЦ и какой недорогой сертификат вы бы посоветовали для создания квалифицированной ЭЦП для таких целей?

4) Как избежать правовых коллизий при создании таких подписей на файлах с исходным кодом программ вместо юридически значимых документов?
Существует ли специальный OID для указания того, что подпись создается только для метки времени, а содержимое документа не является юридически значимой распиской и т.п.?

5) Какая версия КриптоАРМ включена в поставку КриптоТРИ ПРОФ ФСТЭК?

Хотел уточнить по поводу возможных коллизий пункта 4)

Каждый файл обычно будет содержать заголовок с информацией об авторе и авторских правах.

Но далее по тексту исходника, могут быть фрагменты, по смыслу похожие на какой-либо юридический текст, где якобы присутствуют какие либо обещания, гарантии, обязательства и т.п.
Например, может быть название объекта WarrantConsistency (ГарантироватьЦелостность), ProvisionSomething, ProvideSomething, GrantSomething и т.п., что подразумевает осуществление неких проверок в программе и каких-либо логических гарантий лишь от одного участка кода другому, но НЕ лицензиарам, НЕ лицам сделки и т.п.

Такой текст, при наличии юридически значимого аналога собственноручной подписи (например, квалицированной ЭЦП), ушлый юрист может попытаться “притянуть за уши” к какому-нибудь выгодному юридическому раскладу в свою пользу, хотя никаких юридических гарантий такой исходный код не подразумевал. Т.е. такая подпись могла бы создать дополнительные ненужные риски автору от неправильной трактовки содержимого исходного кода, смысл большей части которого кроме copyright заголовка предназначен только для компилятора, а не для юриста - арбитра.

В идеале хотелось бы создавать только метки времени файла, без юридической подписи его содержимого автором.
Такие метки можно создавать, например, в сервисе:
http://www.copytrust.ru/
Но это неудобно, КриптоАРМ можно полностью автоматизировать через ActiveX интерфейс, а API copytrust.ru слишком дорогой для физ. лица.
Метка времени уже подразумевает создание электронной подписи УЦ для хэша файла и точного времени создания метки, причем с правильным OID, скорее всего как раз подобным тому OID, о котором я упоминал в его поисках.

kdvserious_studentКаждый файл обычно будет содержать заголовок с информацией об авторе и авторских правах.
что значит "каждый файл"?

планируется защищать авторское право на каждый файл и исходным кодом

kdvserious_studentНо далее по тексту исходника, могут быть фрагменты, по смыслу похожие на какой-либо юридический текст, где якобы присутствуют какие либо обещания, гарантии, обязательства и т.п.
каким образом вдруг зашла речь об исходниках? Вы что распространять собрались - исходники, или исполняемые файлы? Почему в исходниках у вас "юридический текст", и зачем это нужно?

в заголовке - copyright - фрагмент, который как раз и важен с юридической точки зрения, хотя бы дата его создания с учетом целостности файла
а далее по тексту исходника, наоборот, хотелось бы признать его максимально неюридическим текстом, чтобы ни у кого не возникло желания трактовать подпись относительно смысла кода с юридической точки зрения, если такое можно вообразить
Отсюда и коллизия

kdvserious_studentподразумевает осуществление неких проверок в программе и каких-либо логических гарантий лишь от одного участка кода другому, но НЕ лицензиарам, НЕ лицам сделки и т.п.
похоже на бессмысленный набор слов. У программы есть ПОЛЬЗОВАТЕЛЬ. программа не может знать, какой юридический статус у ее пользователя.

Вы навертели все в кучу, спутали данные, программы, подписи, временные метки, сертификаты...
из-за возможной коллизии и навертели, хотелось бы отвертеть ...

kdvserious_studentпланируется защищать авторское право на каждый файл и исходным кодом
"с исходным кодом"? Или ... ?
зачем защищать "каждый файл"? Как, например, вы собираетесь "подписывать" изменяемые файлы? Например, файл БД, если таковой поставляется с вашей программой, и модифицируется ею.
Файл readme.txt тоже будете подписывать? Каким образом, и зачем?

Защищать хотелось бы только право на файлы исходных кодов, в основном .cs/.vb

kdvserious_studentв заголовке - copyright - фрагмент, который как раз и важен с юридической точки зрения, хотя бы дата его создания с учетом целостности файла
ну, копирайт - да. Кто, что, когда. "С учетом целостности файла" - не понял. Исходники программы регистрируются другим образом, для этого ЭЦП не нужна. А если и использовать ЭЦП, то содержимое файла вторично.

Давайте рассмотрим суть защиты исходников в ФИПС, у нотариуса или отправкой заказного письма самому себе. Все эти способы имеют общие свойства:
1) Исходные тексты распечатаны на листах и прошиты или объединены конвертом в целостную пачку
2) У этой пачки есть временная метка ее отправления или хотя бы депонирования другому субъекту в его реестре

Далее время депонирования может использоваться для доказательства авторства в том смысле, что ранее такого объекта еще никто никуда не депонировал, для опровержения другое лицо должно предоставить аналогичный материал с более ранней "меткой времени" - печатью на конверте, записью в реестре ФИПС, в журнале нотариуса и т.п.

kdvserious_studentа далее по тексту исходника, наоборот, хотелось бы признать его максимально неюридическим текстом, чтобы ни у кого не возникло желания трактовать подпись относительно смысла кода с юридической точки зрения, если такое можно вообразить
не улавливаю смысл, который вы вложили в эту фразу. У исходника есть автор, или авторы. Есть авторское право, и исключительное право. Нет больше ничего.
ЭЦП, как уже было сказано, можно использовать для подписи файла, при этом содержимое файла никого не интересует. Это лишь констатация того, что содержимое файла было таким-то на момент подписи, и подпись принадлежит такому-то лицу. Все.

хотелось бы по максимуму избавиться от юридических последствий подписи и оставить только юридические последствия создания временной метки существования файла в таком виде.

kdvserious_studentиз-за возможной коллизии и навертели, хотелось бы отвертеть ...
какие коллизии вы себе представляете? О каком ПО идет речь, например?
ну вот представьте, например в исходнике написаны коментарии к процедуре, что-нибудь про работу с обещаниями, обязательствами в том или ином виде, речь об алгоритме процедуры, а ушлый юрист может попытаться притянуть за уши к выгодному себе правовому контексту, и потребовать исполнения подписанных обязательств, хоть они и не имеют отношения к какой-либо сделки, а имеют отношение только к алгоритму решаемой задачи.

serious_studentне имеют отношения к какой-либо сделки
сделкЕ

kdvserious_studentДавайте рассмотрим суть защиты исходников в ФИПС
прекрасно, и почему вы не хотите воспользоваться этой схемой,

Воспользовался депонированием в ФИПС для более ранней версии,
а все последующие хочу автоматически "депонировать" на свой винт (помечать меткой времени) еженедельно или с другой периодичностью, что создаст наиболее полную доказательную базу моего авторства
все версии с метками можно хранить в комитах GIT или снэпшотах ZFS
это проще и быстрее, чем каждый раз слать стопку маккулатуры в ФИПС,
посмотрите как работает американский ECO или copytrust.ru, моя идея станет понятнее.

kdvи прицепляете сюда ЭЦП, которой исходники свои вы защитить никак не можете?

квалифицированную ЭЦП со штампом времени (метками времени)
сама подпись не защищает исходники, а ее метка времени с моей точки зрения защищает

kdvserious_studentхотелось бы по максимуму избавиться от юридических последствий подписи и оставить только юридические последствия создания временной метки существования файла в таком виде.
что такое "юридические последствия подписи"? Вы же хотите как-то подписать исходник, что он ваш. Какие тут еще могут быть юридические последствия, кроме случая, если вы написали вредоносное ПО?
уже упоминал про возможные коллизии, и что специалисты не рекомендуют подписывать, что попало ибо это может теоретически создать некоторые обязательства

по словам профильных специалистов при создании ЭЦП в поле коментария к ЭЦП можно указать произвольным текстом способ применения ЭЦП, например, "только для защиты авторских прав с помощью штампа времени"
тоже самое, наверно, надо вписать в заголовок защищаемого файла рядом с copyright notice

kdvserious_studentнапример, в исходнике написаны коментарии к процедуре, что-нибудь про работу с обещаниями, обязательствами в том или ином виде, речь об алгоритме процедуры, а ушлый юрист может попытаться притянуть за уши к выгодному себе правовому контексту, и потребовать исполнения подписанных обязательств
это бред. Исходный код программы - это код программы, а лицензионный договор или соглашение - это другой документ. Не могут они быть одним документом. И никакой юрист из кода программы вытаскивать лицензионный договор не будет.
Прочитайте 4ю часть ГК РФ (если вы в России). Статья 1235 пункт 2.
согласен, что походит на бред, но это не я придумал, мне профильный специалист на такую особенность указал.
речь о том, что подписывая файл с исходником подписант ставит подпись не только на его заголовке с краткими условиями лицензирования, но и на файле в целом, а что там дальше по тексту исходника в коментариях - проверять каждый раз?

maxkarserious_student,
Я скажу, что это вы у меня код украли и подписали задним числом.
Депонирование дает свидетеля, который может подтвердить дату события.
[/quot]
вы смеетесь чтоли?! у меня почти в каждом сообщении упоминается метка/штамп времени

cryptostandart.ruДля чего нужны штампы времени

Фиксация времени создания электронного документа. Применение штампа времени позволяет зафиксировать время создания электронного документа. Для этого после создания документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство факта существования электронного документа на момент времени, указанный в штампе.


подробнее:
http://www.cryptostandart.ru/showtopic/?id=ucservices

kdvserious_studentа все последующие хочу автоматически "депонировать" на свой винт (помечать меткой времени) еженедельно или с другой периодичностью, что создаст наиболее полную доказательную базу моего авторства
как уже сказал Garya, не даст. Надо чтобы ваши "помеченные" исходники (или проще - подписанный архив) проходили через что-то, позволяющее подтвердить вашу ЭЦП.
В качестве какой-то альтернативы я бы предложил отправлять такие архивы (разумного размера) на специальный (ваш) аккаунт gmail.

Это особенности законодательства РФ или что-то еще?

Посмотрите западные сервисы:
https://www.digistamp.com/
http://www.proofofexistence.com/

Обратите внимание, файл пользователя при их использовании не покидает компьютер пользователя, хэш файла рассчитывается локально. На digistamp упоминается о юридической значимости по их законам. По международным соглашениям РФ должна признавать права авторов во всем мире, в т.ч. признанных на территориях, где защита digistamp достаточна.

serious_studentэто не я придумал, мне профильный специалист на такую особенность указал.
странный специалист. неужели есть такой язык программирования, текст программы на котором ничем не отличим, скажем, от литературного произведения?
[/quot]
Про отличимость других языков не знаю, щас этих языков - вагон и маленькая тележка, наверно, не одна сотня.
Но меня интересует только C#/VB.net, понятно они отличимы, но речь о комментариях, написанных натуральным языком.

kdvВы учитывайте, что как уже было сказано, ЭЦП прилепленная к файлу говорит только о том, что вы в некий момент времени взяли некий файл, и прилепили к нему ЭЦП. И что с тех пор файл не менялся. Ни о чем другом наличие ЭЦП не говорит.

И чем это отличается от депонирования в ФИПС, нотариусу, письмом самому себе?
Кроме очевидных удобств КриптоАрм, в т.ч. возможности его автоматизации через ActiveX.

kdv Даже когда вы сдаете якобы свои исходники в ФИПС, никто не может гарантировать, что эти исходники - ваши.
Гарантировать ФИПС не может, но формально помогает по закону ,
только вот дополнительная история всех изменений исходников еженедельно, отмеченная штампом времени, скорее всего, сможет значительно усилить вашу позицию в суде и расширить доказательную базу.

Garyaserious_student2) Можно ли использовать его для создания меток времени своих файлов - результатов интеллектуальной деятельности (написанных мной программ)?
Можно подписать ЭЦП файл и даже сохранить отпечаток ЭЦП где-то в самом исполняемом файле или рядом с ним.
Поскольку отпечаток ЭЦП не содержит в явном виде закрытый ключ (не является "контейнером"), изменить исполнимый файл (либо какой-то другой, подписанный этой ЭЦП) таким образом, чтобы ЭЦП осталась с ним в согласованном состоянии, не получится.

Это понятно, но мне это не нужно, речь о защите прав на результат интеллектуальной деятельности, выраженный в первую очередь в виде исходных текстов, бинарники - отдельная история, хоть и тоже результат.
Но бинарники в ФИПС скорее всего никто не отправляет?

GaryaОднако, отпечаток ЭЦП - это аналог простой подписи. А подпись, это всего лишь подпись, не более того. Она удостоверяет, что тот, кто подписал, сделал это осознанно, и, по идее, должен был ознакомиться предварительно с некой информацией, которую он удостоверяет этой подписью. Если, к примеру, я поставлю свою подпись на каком-нибудь продукте Microsoft (или на коробке с этим продуктом), то это еще не значит, что именно я являюсь производителем этого продукта. :)

Это понятно, я уже упоминал, что подпись при таком использовании является нежелательным побочным эффектом, главное штамп времени, кстати, может быть, КриптоАрм может генерировать только штамп времени (подпись сервера времени УЦ на хэше моего файла) без подписи файла?

Garyaпропущено...

Можно подписать ЭЦП файл и даже сохранить отпечаток ЭЦП где-то в самом исполняемом файле или рядом с ним.
Поскольку отпечаток ЭЦП не содержит в явном виде закрытый ключ (не является "контейнером"), изменить исполнимый файл (либо какой-то другой, подписанный этой ЭЦП) таким образом, чтобы ЭЦП осталась с ним в согласованном состоянии, не получится.

Это понятно, но мне это не нужно, речь о защите прав на результат интеллектуальной деятельности, выраженный в первую очередь в виде исходных текстов, бинарники - отдельная история, хоть и тоже результат.
Но бинарники в ФИПС скорее всего никто не отправляет?

GaryaОднако, отпечаток ЭЦП - это аналог простой подписи. А подпись, это всего лишь подпись, не более того. Она удостоверяет, что тот, кто подписал, сделал это осознанно, и, по идее, должен был ознакомиться предварительно с некой информацией, которую он удостоверяет этой подписью. Если, к примеру, я поставлю свою подпись на каком-нибудь продукте Microsoft (или на коробке с этим продуктом), то это еще не значит, что именно я являюсь производителем этого продукта. :)

Это понятно, я уже упоминал, что подпись при таком использовании является нежелательным побочным эффектом, главное штамп времени, кстати, может быть, КриптоАрм может генерировать только штамп времени (подпись сервера времени УЦ на хэше моего файла) без подписи файла?

Garyaserious_studentМожно ли с помощью таких меток отстаивать свои права в судах РФ наравне с депонированием материалов нотариусу, ФИПС и т.п.?Ну, для начала, нужно заметить, что все аспекты, которые оговариваются законом 63-ФЗ "Об электронной подписи" нацелены на подтверждение информационного обмена между некими участниками хозяйственной деятельности.

Как это понимать? Что значит нацелены? Где в законах указано требование обмена?
По понятным причинам никто не хочет никуда отправлять свои исходники, до тех пор пока этого не потребует суд для доказательства авторства.

GaryaЕсли Вы зарегистрируетесь в системе электронного документооборота на какой-либо электронной площадке (а их великое множество), вся информация, которую Вы получаете либо отправляете через эту площадку, фиксируется не просто и не только электронной подписью того, кто отправил информацию, но и неким "независимым лицом" - этой самой электронной площадкой. Она подтверждает, что подпись действительно того кого надо, что информация действительно была отправлена и/или получена, и что это произошло тогда-то.

А УЦ со штампом времени не является независимым лицом и не фиксирует гарантированно, что информация существовала на определенный момент времени (ТОГДА ТО)?

Garya В случае возникновения спорных вопросов между обменивающимися информацией сторонами электронная площадка выступает в роли арбитра - она может подтвердить и технически

В роли эксперта скорее всего, от силы в качестве третейского судьи? арбитром то суд РФ является?

Garyaи это будет иметь юридическую силу, что такая-то информация была отправлена и/или получена от отправителя А или получателем Б именно тогда-то.

Зачем мне что-либо куда-либо отправлять и получать по этому поводу доказательства от площадки?

GaryaДля того, чтобы что-либо подтверждать, нужно, чтобы и А, и Б заключили договор с электронной площадкой - сами и добровольно. Несмотря на наличие ЭЦП на каком-либо файле, если отправка информации произошла без использования соответствующей процедуры, то есть, без использования посредника-площадки, имеющей соответствующую лицензию ФСТЭК,

Походит на рекламу площадок

serious_studentналичие ЭЦП ничего не доказывает.

Квалифицированная ЭЦП со штампом времени не доказывает факта существования файла на определенный момент, в заголовке которого указан copyright, вы шутите?!

GaryaПоэтому, если Вы хотите иметь юридически значимые факты, Вы должны заключить договор с провайдером ЭДО и кому-то что-то отправить либо получить. Юридически доказуемым фактом будет при этом то, что такая-то информация была тогда-то отправлена либо получена. И более ничего.

Опять походит на рекламу площадок в целом, уж не обижайтесь, пожалуйста.

GaryaСможете ли Вы увязать факт отправки/получения той или иной информации с правообладанием на ПО или БД - это отдельный вопрос. Может, сможете. А может быть, и нет.

ФИПС, нотариат, отправка письма самому себе, copytrust.ru являются помошниками при доказательстве, с моей точки зрения штамп времени - аналогично.

Garyaserious_student3) Что еще нужно приобрести кроме криптотри проф фстэк? Наверно, сертификат подписи?
В каком УЦ и какой недорогой сертификат вы бы посоветовали для создания квалифицированной ЭЦП для таких целей?

В любом УЦ, которые включены в федеральный реестр УЦ .
Есть нюанс. Многие электронные площадки (провайдеры ЭДО) одновременно являются удостоверяющими центрами. И они увязывают стоимость предоставления набора услуг, связанного с обменом информацией, с некой совокупностью пакетов услуг по обмену информации, привязанной к разновидностям сертификатов, хотя, чисто технологически это не совсем корректно - ЭЦП, подтвержденная УЦ, в свою очередь имеющий сертификат УЦ, это просто "подтверждение", и всё. Однако же, многие УЦ разграничивают сертификаты таким образом, чтобы для тех, кто хочет использовать один и тот же сертификат для более широкого спектра информационных обменов, платил бы за услуги не только в плане объема, но и за саму потенциальную возможность использовать более или менее широкий спектр. Например, сертификаты, выдаваемые ЕЭТП , могут использоваться либо только для обмена информацией по системе госзакупок, либо по системе госзакупок и коммерческих закупок тоже. Ранее они выдавали в разных "пакетах" сертификаты для 5, 60 и 200 коммерческих площадок, сейчас хотя бы такое разделение убрали. По сути, оно искусственное. Удостоверяющему центру должно быть "по барабану", для кого и что он удостоверяет, лишь бы была соблюдена процедура. Тем не менее, "обвеска" этой процедуры загадочными пакетами услуг является общепринятой практикой.
Вот еще пример - Такском - поразбивали-расструктурировали предоставление сертификатов ЭП по комплектам и подкомплектам так, что мозг можно вывихнуть. На самом деле один и тот же сертификат можно использовать и для отправки бухгалтерской отчетности в ИФНС, и для работы в системе госзакупок, и для работы на коммерческих площадках. Технологически суть ЭЦП работает одинаково во всех этих случаях. Однако, Вам всенепременно попытаются заморочить голову, чтобы Вы купили что-нибудь подороже с большой услуговой "обвеской" вроде обучающих видеокурсов, поставляющихся в комплекте справочно-правовых систем, простеньких OCR для упаковки отсканированных документов в сверхужатый PDF, и т.д. и т.п. :)


Полностью с вами согласен, в УЦ как и везде работают в т.ч. мракетологи для более лучшего зарабатывания денег организацией. Суть моего вопроса в том, что, пожалуйста, помогите найти пару УЦ, в которых есть приемлемые по соотношению цена/качество сертификат, позволяющий осуществлять юридически значимую переписку и штамповать свои файлы меткой времени. Некоторые считают, что на OID в суде вообще никто не смотрит, т.е. просто берем любой самый дешевый сертификат для квалифицированной подписи - и вперед, только надо учитывать и качество работы сервером штампов времени и отзыва сертификата.
Если ключ потеряется, а сервер отзыва лежит, мне к кому бежать отменять свой ключ, чтобы им не наподписывали разных обязательств?

GaryaСамый забавный вопрос - кому вы и что будете отправлять и с какого перепугу. :)
Можно, конечно же, и в налоговую отправить какой-нибудь подписанный EXE-шник. Налоговая, конечно же, ответит "чур-чур-чур, что за фигню вы прислали и по какому поводу?", однако же в системе ЭДО провайдера сам факт отправки и ЭЦП будут железобетонно зафиксированы.

В том то и дело, что я не хочу никуда ничего отправлять, это вы придумали про отправку.

GaryaИ этот факт может быть доказательством в суде того, что некий файл уже был и именно у Вас по состоянию на такую дату.

А штамп времени на файле без его отправления не будет, шутите?

GaryaСможет ли он этот факт каким-то образом быть преобразован в доказательство Вашего правообладания на него, это отдельный вопрос.

Это понятно, упоминалось уже, что лишь для расширения доказательной базы.

Garyaserious_student4) Как избежать правовых коллизий при создании таких подписей на файлах с исходным кодом программ вместо юридически значимых документов?Любой файл - это последовательность байтов. Последовательность байтов может быть зашифрована закрытым ключом и расшифрована открытым ключом - это суть несимметричного шифрования. Если ее удалось расшифровать тем ключом, который был предназначен для закрытого, это является доказательством, что закрытый ключ был именно тот, которым был этот файл зашифрован. Если закрытый ключ был выдан УЦ некоему лицу, и УЦ это подтверждает, это является доказательством, что файл был зашифрован именно этим лицом. По сути, электронная подпись - это процедура ассимитричного шифрования-дешифрования. Что именно при этом шифруется - PDF-файл, либо исполнимый файл, либо база данных, либо случайный набор байт, значения не имеет.

Да причем тут шифрование, не надо мне никакого шифрования, речь о юридически значимой ПОДПИСИ, представьте, распечатали исходник на бумажке и подписали от руки, где тут шифрование?

Garyaserious_studentВ каком УЦ и какой недорогой сертификат вы бы посоветовали для создания квалифицированной ЭЦП для таких целей?В любом. :)
Вы сначала определитесь с тем, КОМУ вы будете отправлять исполнимые файлы. Отправлять "самим себе" я как-то не пробовал, подозреваю, что ЭДО может это просто не дать сделать. Если Вы собираетесь делать именно это - отправлять самому себе, то Вам сначала нужно найти ЭДО, в которой не возникнет проблем с такой отправкой - можете связаться с провайдером ЭДО и на всякий случай уточнить этот нюанс. Если собираетесь отправлять, например, партнеру, то вообще по барабану. :) А точнее, вопрос личных предпочтений. Кому-то больше нравится работать в одной системе ЭДО, кому-то в другой, но, по сути, базовый функционал у них примерно одинаковый. Есть всякий дополнительная обвеска для тех процедур, которые Вас, как я понимаю, не интересуют. К примеру, у Такском имеются встроенные модули проверки отчетности перед отправкой их в фискальные органы. Можно узнать, что в отчетности содержатся какие-то нестыковки или ошибки, исправить их, а уже потом отправлять. Но ведь это не про то, не так ли?

Файлы отправлять никуда не хочу, хочу генерировать штампы времени для них и только.

Garyaserious_studentСуществует ли специальный OID для указания того, что подпись создается только для метки времени, а содержимое документа не является юридически значимой распиской и т.п.?Подписывается всегда файл целиком как некая совокупность байтов.

Не только совокупность байтов, но еще и как юридически значимый подписанный документ при определенных значениях OID, разве нет?

Garyaserious_student5) Какая версия КриптоАРМ включена в поставку КриптоТРИ ПРОФ ФСТЭК?Может быть, наоборот? Какая КриптоТРИ включена в КриптоАРМ? :)
https://cryptostore.ru/catalog/kriptotri-prof
Там подробно указано, что во что входит и выходит, только версия КриптоАрм почему-то засекречена.

serious_studentквалифицированную ЭЦП со штампом времени (метками времени)

Квалифицированная ЭЦП со штампом времени подтверждает подписание указанного объекта в конкретный момент времени, хотя и не подтверждает непосредственно факта авторства, естественно. Но ТС предполагает использовать метку времени в качестве факта при подтверждении авторства в суде, например.[/quot]

подпись с меткой времени подтвердит, что аналогично депонированию в ФИПС объект уже существовал на определенный момент, а первая строчка объекта содержит текст (она включена в файл, целостность которого гарантирует подпись):
(c) Copyright Пупкин Василий, 20XX г.
далее строки кода

если кто-то сможет продемонстрировать доказательства более раннего депонирования аналогичного материала от другого имени, то могут возникнуть вопросы, а иначе без депонирования такого очевидного доказательства сущестования материала у кого-либо ранее, чем у Василия Пупкина, наверно, нет?

Fantomnyserious_studentЗащищать хотелось бы только право на файлы исходных кодов, в основном .cs/.vb
Защищать от кого и как?

От заинтересованных лиц, если они попытаются присвоить себе мои права

FantomnyС чем будете сравнивать свои исходники (пираты думаете будут предоставлять свои ?).

Этож суд решает, кому чего предоставлять

FantomnyВы слишком озабочены доказать "исходник ваш" , но цель то в чем?
Чтобы не появилось нового правообладателя

FantomnyКто потенциальный нарушитель и как его ловить будете.

Ловить автор никого не собирается, проще техническую защиту в софт встроить, чтобы самому никого не ловить,
а вот, чтобы меня ловить не начали - нужна юридическая защита

Garyaserious_studentпропущено...

вы смеетесь чтоли?! у меня почти в каждом сообщении упоминается метка/штамп времени

пропущено...


подробнее:
http://www.cryptostandart.ru/showtopic/?id=ucservices Всё верно, но в системе ЭДО метки времени формируете не вы, а посредник, удостоверяющий их корректность. На своем компьютере Вы можете, к примеру, выставить некорректную дату и время при формировании метки времени.

Здравствуйте, штамп времени генерируется на сервере УЦ, гарантирующем время, например, cryptopro

причем тут мой компьютер?! вы вообще хоть примерно представляете как работает протокол TSP?
учите матчасть:
https://ru.wikipedia.org/wiki/Time_Stamp_Protocol

Прошу прощения, предыдущее собщение неправильно отправилось

Garyaпропущено...
Тут требуется уточнить. Закон об электронной подписи позволяет применять ЭЦП и без посредника, но только в том случае, если между участниками информационного обмена заключено специальное соглашение о том, что они согласны признавать ЭЦП друг друга. То есть, грубо говоря, когда действие ЭЦП распространяется на взаимоотношения типа точка-точа. По такой схеме работает, например, система банк-клиент. Клиент всегда точно знает, с каким банком ему придется иметь дело, а банк всегда точно знает, с каким клиентом он будет иметь дело. Поэтому им не нужен посредник.
Вы же говорите о правоотношениях, которые возникают не между двумя конкретными участниками хозяйственной деятельности, а в отношениях с неопределенным кругом лиц. Вы ведь не можете заранее точно знать, кто именно может позариться на Ваше авторство, не так ли?


Вы не понимаете то, о чем я выше писал уже много раз, что квалифицированная ЭЦП используется ради штампа времени, а не ради подписи. Для доказательства времени создания документа (не позднее чем), квалифицированной ЭЦП со штампом достаточно, а правоотношения устанавливает закон ГК часть 4. Содержимое файла к правам и обязанностям никакого отношения не имеет, кроме copyright заголовка, который по закону подписывать НЕ нужно, достаточно просто написать (c) - учите четвертую часть ГК. Закон об ЭЦП здесь вообще НЕ нужен применительно к смыслу текста защищаемого файла, я уже устал об этом твердить, что пытаюсь избавиться от возникновения возможных правоотношений из исходника, по вашим словам без доп. соглашения об этом теперь можно не беспокоиться, никаких коллизий не будет без доп. соглашения - прекрасно, что своими коментариями вы родили такую замечательную идею.

Garyaserious_studentпропущено...
Зачем мне что-либо куда-либо отправлять и получать по этому поводу доказательства от площадки?Ну, как минимум, Вы должны отправить информацию в УЦ, чтобы он мог подтвердить наличие этой информации у Вас на момент ее отправки. В противном случае он ничего подтвердить не сможет, кроме того, что да, выдал Вам ЭЦП с таким-то отпечатком. А вот когда именно Вы ею воспользовались, ему будет неизвестно. Даже если в документе/файле будет проставлена дата, она может оказаться проставленной задним числом.


Под определенный хэш (штамп времени) создать подходящий текст после создания штампа не получится задним числом без огромного суперкомпьютера, про хэш функцию и в законе об ЭЦП упоминается.

Garyaserious_studentпропущено...
А штамп времени на файле без его отправления не будет, шутите?Именно так. Без отправления информации в УЦ вы не сможете подтвердить дату/время. Метку времени должны фиксировать НЕ ВЫ . Вы - лицо заинтересованное.

метка времени генерируется на сервере УЦ вообще то, он является гарантом точности времени если что

Garyaserious_studentпропущено...
В том то и дело, что я не хочу никуда ничего отправлять, это вы придумали про отправку.В таком случае, заранее найдите всех потенциальных нарушителей вашего авторского права и заключите с ними соглашение о том, что они будут признавать вашу ЭЦП, даже если Вы никуда ничего не отправляли, и согласны верить Вам на слово, что дату на своем компьютере Вы не откручивали, прежде чем подписать ЭЦП какой-либо файл. :)

вы совсем не понимаете цель защиты, я защищаю себя от атак на права и отжим их, а не преследую других нарушителей, их преследовать гораздо проще средствами защиты от копирования

GaryaПрочитайте внимательно текст на той странице, на которую Вы приводите ссылку (выделено мной):
цитатаКриптоТри — это комплексное решение для организации рабочих мест защищенного документооборота
...
Модуль TSP (Time Stamping Protocol) используется в электронном документообороте для доказательства факта существования электронного документа на определенный момент времени. Кроме подписи документов электронной подписью можно удостоверять точное время их создания. Это позволяет предотвращать возможные конфликты при обмене документами между партнерами, коллегами, филиалами и пр.

Вы пытаетесь частное распространить на общее, хотя использование TSP при обмене документов - это всего лишь частный случай, он не является необходимым условием использования TSP.

Специалист из КриптоПро подтвердил, что есть лица, использующие квалицицированную ЭЦП и TSP аналогично моей идее для защиты авторских прав

Garyaserious_student,

Ок, возможно я что-то не знаю в матчасти. Но я знаю, что у большинства УЦ нет никакого ПО, которое бы позволяло работать по принципу "тихо сам с собою я веду беседу", не в системе ЭДО (электронного документооборота) между несколькими участниками. Дайте знать, если такого найдете, мне тоже любопытно. :)

КриптоПро

GaryaКстати, почитал матчасть, и выяснил, что есть-таки некое стороннее лицо, с которым происходит информационный обмен, вот оно:
цитатаЦентр штампов времени (Time Stamping Authority — TSA) — доверенный субъект PKI, обладающий точным и надёжным источником времени, и оказывающий услуги по созданию штампов времени.

ну так, еще бы, а вы думали, знаете как охраняют такие сервера штампом точного времени? вашим площадкам такое и не снилось

Garyaserious_student,

Я в свою очередь прошу прощения за то, что не очень глубоко вник. Вопрос в такой постановке прежде мне решать не приходилось. Однако, CopyTrust предоставляет услугу центра штампа времени, это стало понятно отсюда . Вы же недооцениваете роль ЭЦП в этом процессе:
http://www.copytrust.ru/m_help.php?c1=intro_target Для получения цифровых штампов и удостоверения времени мы работаем с Удостоверяющими центрами, имеющими государственную лицензию ФСБ и ФСТЭК России и действующими в соответствии с федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

Иными словами, Вам потребуется работать с УЦ, который выступает посредником между TSA и Вами.

данный закон применяется к содержимому хэша, а не смыслу текста исходника, семантика для OID подписи генерируемой штампом сервера предполагает только подписание хэшей, а не юридических документов

штамп времени - это подпись сервера КриптоПро (или их ответственного лица, а не моя) поверх хэша моего файла + точного времени

т.е. при квалифицированной подписи файла создается как минимум ДВЕ ЭЦП:
1) моя поверх файла
2) КриптоПро (или другого УЦ) поверх записи стандартного формата, включающей в себя как минимум точное время сервера УЦ, хэш моего файла, возможно что-то еще, курите RFC, если интересны подробности

для доказательства авторства нужна вторая подпись для доказательства времени (не позже чем) создания первой подписи

Garyaserious_studentпропущено...


КриптоПроЯ хорошо знаю Крипто-Про, постоянно с ней работаю. Это система для управления сертификатами, шифрования и дешифрования, содержит базовые функции и библиотеки, которые встраиваются в конкретные приложения. В Крипто-Про отсутствует в явном виде функционал для работы конкретно с метками времени.

ну так а зачем мне по вашему КриптоАрм, который может работать с метками времени?

serious_studentGaryaserious_student,

Ок, возможно я что-то не знаю в матчасти. Но я знаю, что у большинства УЦ нет никакого ПО, которое бы позволяло работать по принципу "тихо сам с собою я веду беседу", не в системе ЭДО (электронного документооборота) между несколькими участниками. Дайте знать, если такого найдете, мне тоже любопытно. :)

КриптоПро

я про их УЦ и сервер точного времени TSP, а не про клиентский криптопровайдер, если что

Учите матчасть уже, и не вводите людей в заблуждение относительно штампов времени

у буржуинов примерно так все это функционирует:
https://www.digistamp.com/technical/how-a-digital-time-stamp-works/
https://www.digistamp.com/technical/how-a-digital-time-stamp-works/rfc-3161-tsa-data-flow-and-security-diagram

У нас похоже с местной спецификой

Аналогичные диаграммы можно найти для КриптоАрм, раньше где-то видел их

GaryaОк. Крипто-про продается сам по себе, собственно Крипто-Про, на который я привел ссылку. Но собственно сам по себе он приобретается, преимущественно, разработчиками ПО, использующего библиотеки шифрования в его составе. Конечным пользователям обычно поставляется конкретный продукт (в Вашем случае, это КрипоАРМ) совместно с библиотеками Крипт-Про. Стоимость Крипто Про обычно изначально включена в стоимость ПО, который предоставляется конечному пользователю, отдельно не оплачивается. Совместно с конечным продуктом разработчик КриптоАРМ вам должен предоставить сублицензионный договор на Крипто Про, отдельно платить Вам, скорее всего, не придется. В сублицензионном договоре указан номер вашей лицензии, чаще всего ее в таком виде предоставляют на год. При установке Крипто Про нужно будет указать индивидуальный номер лицензии.
На сайте Крипто Про, а также у многочисленных партнеров можно совершенно свободно скачать Крипто Про и установить на свой компьютер совершенно бесплатно. В таком режиме она проработает ограниченное время (по памяти, месяц). Скачать дистрибутив Крипто Про можно, например, здесь после регистрации. По идее, разработчик КриптоАрм должен предоставлять и сам такой дистрибутив.

Был бы очень признателен, если бы вы подсказали качественный УЦ с хорошей командой (с нормальными зарплатами, не болото)
с недорогими, но не дешевыми сертификатами квалифицированной подписи
не хочется переплачивать, но и вляпаться в дешевку тоже не хочется

GaryaОк, поучил матчасть у буржуинов. увидел стрелки в обе стороны. В том числе стрелку от "data" в сторону TSA. Однако, Вы ничего передавать не собираетесь. Может быть, это Вам поучить матчасть? :)


теперь читайте, что такое хэш, и подумайте, насколько это для меня критично передать от большого исходника его отпечаток длиной в несколько десятков байтов, по которому исходник никогда не восстановить, но легко проверить его соответствие повторным вычислением хеша и сравнением результата

вы меня растролить хотите на стеб или знаете криптософт только по закладкам популярного софта со своей работы и криптопровайдера без понимания основ из википедии?

GaryaЕсли Вы подпишете файл не сегодняшним, а завтрашним днем, при этом ведь наврядли что-то случится непоправимое, не так ли?

еще хотелось бы тем же сертификатом получить возможность вести юридически значимую переписку, пусть хоть и по предварительному соглашению сторон

и если я потеряю свой закрытый ключ, то мне критично как можно скорее внести его в черный список, чтобы сервер УЦ не лежал в этот момент, и желательно, чтобы по телефону поддержки не футболировали более 1 раза

Garyaserious_studentеще хотелось бы тем же сертификатом получить возможность вести юридически значимую переписку, пусть хоть и по предварительному соглашению сторонСистема ЭДО у всех имеет примерно одинаковый функционал. Я предпочитаю WEB-интерфейс и иметь токен в кармане, чтобы можно было в случае чего отправить информацию из любого места и с любого компьютера (правда, на нем должна быть предварительно установлена библиотека шифрования, к примеру, Крипто Про).

serious_studentи если я потеряю свой закрытый ключ, то мне критично как можно скорее внести его в черный списокСтандартный функционал в WEB-интерфейсе большинства систем ЭДО. Для того, чтобы им воспользоваться, необходимо помимо входа в систему по ЭЦП предусмотреть вход по логину и паролю, который Вы сами настраиваете. Возможность отозвать сертификат определяется правами, которые Вы сами настраиваете, в большинстве систем. Однако, в некоторых системах вход с квалифицированной ЭЦП считается более приоритетным по правам, и поэтому любым логин-паролям отзыв ЭЦП может быть запрещен. Я вообще не заморачиваюсь над отзывом сертификата. Как правило, они выпускаются на короткий срок - обычно не более года. Помимо токена нужно знать логин и пароль, чтобы им воспользоваться. Уверяю Вас, года обычно хватает, чтобы все варианты не успели перебрать. :)

serious_studentи желательно, чтобы по телефону поддержки не футболировали более 1 разаЕсли речь идет об отзыве сертификата по телефону поддержки, то отфутболить просто обязаны. Иначе Ваши недоброжелатели смогут отозвать Ваш сертификат без Вашего на то ведома. :)

предпочитаю обычные почтовые e-mail программы, по ним можно отсылать PDF, подписанный квалифицированной ЭЦП

GaryaНадеюсь, Вам удастся найти УЦ, ПО которого отвечает Вашим предпочтениям
достаточно поддержки сертификатов квалифицированной подписи (,подразумевающей штамп времени)

Garya, которое автоматом разгребает почту, отделяя пришедший спам от не-спама

еще никто не научился разгребать лучше http://sourceforge.net/projects/assp/ + SpamAssasin

Garya, находит в ней хеши, фиксирует у себя в реестре/БД присланный хеш, отправителя, дату и время, подписывает ответ и отправляет обратно, и делает это не по протоколам POP3, SMTP, IMAP или MAPI, а по протоколу TSP. Удачи.

остальное - работа КриптоАрм с плагинами TSP и OCSP

Fantomnyserious_student,
Чтобы не появилось нового правообладателя
Правообладатель появляется не у кода, а у продукта.

Вообще-то по закону РФ у РИД - результата интеллектуальной деятельности (,а не у продукта).
В ФИПС почему-то исходники отправляют, странно - не находите? А можно ведь было бы отправить им и продуктов, особенно с учетом роста цен на продукты в последнее время импортозамещения

FantomnyПредоставление исходников по решению суда - вообще есть ли такие прецеденты в РФ ?. Ибо суд сам в сравнении исходников некомпетентен, надо назначать экспертизу.
Передать же экспертам 2 комплекта исходников, с риском их утекания... не все готовы.

Вы предпочтете проигрыш в суде предоставлению исходников? кроме того все исходники предоставлять обычно не обязательно.
Cчитается, что правоохранители могут пресечь любые нарушения в этой области при наличии доказательств и ресурсов на свою работу (время, оплата если детективам, юристам и т.п.). Вспомните, насколько было популярно в 90-ые ставить продукты от Microsoft без их покупки у правообладателя, которые были почти без защиты, а потом вспомните, при Медведеве Д.А., как пользователи штурмовали склады с мелкомягкими коробками.


Fantomnyа вот, чтобы меня ловить не начали - нужна юридическая защита
Юридическая,а не защита исходников. На мой взляд вам более чем достаточно защиты готового продукта

И как вы себе представляете защиту продукта? об этом в 4-ой части ГК что-нибудь сказано? Почему-то я про продукты там ничего не припомню. Не каждый РИД - продукт, но каждый софт продукт - РИД. Не надо пытаться притянуть общее к частному.

результатом интеллектуальной деятельности применительно к софту как ни странно является исходный код или файл проекта другого инструмента, обычно со всеми своими производными (exe, dll, генерируемые аудио визуальные образы и т.п.)

Fantomnyserious_student,

Вот сколько дел по пиратству не читал ( в свое врем немного занимался "защитой" со стороны нападения) нигде от правообладателя исходников суд не требовал.
В районный суд ни майкрософт ни автодекс ни российские конторы исходники не передают.
Это если про пиратство.

Если вы про пиратство конечных пользователей, то НЕТ конечно, совсем не для этого

Еще бы американские компании стали отправлять свои исходники в ФИПС РФ,
они если и отправляют исходники, то в библиотеку конгресса США или имеют собственную инфраструктуру для записи/фиксации процесса создания софта и простановки штампов времени на всем, на чем их только можно проштамповать.

FantomnyЕсли вы делаете "клон" популярной программы с немного измененным интерфейсом .... то тоже суд будет смотреть не исходники.

Клоны делать в РФ в отличии от США разрешено и запретить маловероятно по текущему законодательству,
да и там запрещено только для запатентованных оригиналов.

FantomnyПосмотрел судебную практику. Исходники смотрятся в одном случае - если вы ушли из компании разработчика и делаете программу на ту же тему. Тут есть прецеденты анализа исходников. http://geektimes.ru/post/182848/

А если кто-то спер исходники или у него даже их нет, но но все равно пытается представить себя правообладателем без соответствующих договоров с автором? как такие случаи разруливать?

serious_studentштамп времени - это подпись сервера КриптоПро (или их ответственного лица, а не моя) поверх хэша моего файла + точного времени

т.е. при квалифицированной подписи файла создается как минимум ДВЕ ЭЦП:
1) моя поверх файла
2) КриптоПро (или другого УЦ) поверх записи стандартного формата, включающей в себя как минимум точное время сервера УЦ, хэш моего файла, возможно что-то еще, курите RFC, если интересны подробности

для доказательства авторства нужна вторая подпись для доказательства времени (не позже чем) создания первой подписи

http://www.cryptopro.ru/products/cades/