Приветствую всех!
Кто имел дело с ЭЦП, подскажите пожалуйста. Ситуация такая:
имею документ, в котором перечисляются, например, наименование товара, количество, получатель (фио, должность). В базе, естественно, эти данные связываются по идентификаторам. Вопрос такой:
могу ли я использовать идентификаторы сущностей (товар, получатель и т.д.) для расчета хеша документа с целью формирования цифровой подписи документа или же нужно подписывать именно то, что "пропечатано" в документе (название товара, фамилия и должность получателя)?
Идентификатор не изменяется со временем, но вот названия могут меняться. И в системе можно по id получить названия сущностей на момент времени где-то в прошлом (например на момент формирования ЭЦП).
В документах по ЭЦП как то не нашел таких четких правил.
Sergueiмогу ли я
Вы можете всё, что угодно. Вопрос в том, какую задачу нужно решить.
Ваш вопрос примерно аналогичен вопросу "могу ли я застраховать не сам автомобиль, а техпаспорт на него?" Да, можете. Только когда разобьёте машину и придёте за страховкой, неловко получится.
Leonid KudryavtsevМне как-то кажется, что стандартные ЭЦП подписывают хэш от бинарного потока.
Никто, правда, не может запретить Вам изобрести Ваш персональный стандарт ЭЦП.
IMHO & AFAIK
ой нечаянно нажал
Настоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее по тексту — цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.
Т.е. можно подписывать не только бинарники, но и "данные".
Из Википедии: ЭЦП - реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий установить отсутствие искажения информации в электронном документе с момента формирования подписи и проверить принадлежность подписи владельцу сертификата ключа подписи.
То есть если вы подпишете идентификаторы , то вы сможете определить что владелец ЭЦП подписал именно эти ID.
Если данные, стоящие за ID, поменяются, то ЭЦП все равно будет верным. Вам нужно понять устраивает ли вас такая ситуация. Т.к. если какой-то ID это, предположим ФИО, то может оказаться так, что некто имярек подписал вчера ЭЦП документ, в документе был указан Иван Петров, а завтра в этом же документе будет Петров Иван. А ЭЦП верна, т.е. информация неискажена. Согласятся ли с этим пользователи - большой вопрос.
SergueiНастоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее по тексту — цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.
Т.е. можно подписывать не только бинарники, но и "данные".
Я не очень понимаю, чем "бинарники" отличаются от "данных".
Подписывается ДОКУМЕНТ. Дальше, вопрос, что считать документом. Если в сообщении/документе (можно в xml или txt) указаны идентификаторы - Вы, разумеется, подпишите идентификаторы. Если в сообщении/документе указано что-то другое - Вы подпишите это что-то другое.
Никто не мешает внутрь сообщения вложить ID'шники. Или, послать два сообщения/документа одновременно.
В общем, не очень понятно о чем Вы говорите.
могу ли я использовать идентификаторы сущностей (товар, получатель и т.д.) для расчета хеша документа
Зачем такое странное желание?
"хеш документа" он и есть хеш документа , для его расчета самого документа достаточно
Идентификатор не изменяется со временем, но вот названия могут меняться. И в системе можно по id получить названия сущностей на момент времени где-то в прошлом (например на момент формирования ЭЦП).
И... в чем проблема?
Зачем в системе получать по Id название сущностей на момент времени, если в самом документе уже вся актуальная информация на этот момент времени присутствует. В чем смысл лишних шагов и дополнительных обращений к информационной системе?
Leonid KudryavtsevКак такое может быть, не понятно.
Вы просто не поняли пример, видимо.
Представьте, что нет никакого ЭЦП и компьютеров, только перо и бумага.
Я пишу на бумаге "Обязуюсь передать "Leonid Kudryavtsev" N килограммов золота к Новому году". Подписываюсь и даже ставлю дату (таймстэмп).
На момент подписания мы с вами договорились и записали на другом листке, что N это 1 кг. Этот листок лежит у вас в ящике стола и он не подписан никем.
Так вот, если вы второй листок поменяете на другой, где N станет равно 10 кг, то подписанный первый листок все еще верен.
То есть N (ID в терминах топикстартера) в подписанном документе не изменился. Только изменилось значение данных, на которые этот ID указывает (листов в ящике стола).
Честно говоря, я вообще плохо понял, что хочет топик-стартер.
Тот же ГИС ГМП в СМЭВ, спокойно идентифицирует людей по их СНИЛСУ. Т.е. по ID. И, наверное, особой проблемы в этом нет (особенно с учетом, что вся эта ГИС нифига не работает). Для обмена между информационными системами ID'ников вполне может быть достаточно.
Какую задачу решает автор, не очень понятно. Мне кажется, всегда можно передавать/подписывать и данные и ID. Больше не меньше. IMHO & AFAIK
Sergueiимею документ, в котором перечисляются, например, наименование товара, количество, получатель (фио, должность). В базе, естественно, эти данные связываются по идентификаторам. Вопрос такой:
могу ли я использовать идентификаторы сущностей (товар, получатель и т.д.) для расчета хеша документа с целью формирования цифровой подписи документа или же нужно подписывать именно то, что "пропечатано" в документе (название товара, фамилия и должность получателя)?
Идентификатор не изменяется со временем, но вот названия могут меняться. И в системе можно по id получить названия сущностей на момент времени где-то в прошлом (например на момент формирования ЭЦП).
В документах по ЭЦП как то не нашел таких четких правил.
Подписью можно подписать любую последовательность байтов.
это может быть все что угодно.
например, это может быть файл екселя, в котором часть колонок (с идентификаторами) скрыта
