Прошу прощения, предыдущее собщение неправильно отправилось

Garyaпропущено...
Тут требуется уточнить. Закон об электронной подписи позволяет применять ЭЦП и без посредника, но только в том случае, если между участниками информационного обмена заключено специальное соглашение о том, что они согласны признавать ЭЦП друг друга. То есть, грубо говоря, когда действие ЭЦП распространяется на взаимоотношения типа точка-точа. По такой схеме работает, например, система банк-клиент. Клиент всегда точно знает, с каким банком ему придется иметь дело, а банк всегда точно знает, с каким клиентом он будет иметь дело. Поэтому им не нужен посредник.
Вы же говорите о правоотношениях, которые возникают не между двумя конкретными участниками хозяйственной деятельности, а в отношениях с неопределенным кругом лиц. Вы ведь не можете заранее точно знать, кто именно может позариться на Ваше авторство, не так ли?


Вы не понимаете то, о чем я выше писал уже много раз, что квалифицированная ЭЦП используется ради штампа времени, а не ради подписи. Для доказательства времени создания документа (не позднее чем), квалифицированной ЭЦП со штампом достаточно, а правоотношения устанавливает закон ГК часть 4. Содержимое файла к правам и обязанностям никакого отношения не имеет, кроме copyright заголовка, который по закону подписывать НЕ нужно, достаточно просто написать (c) - учите четвертую часть ГК. Закон об ЭЦП здесь вообще НЕ нужен применительно к смыслу текста защищаемого файла, я уже устал об этом твердить, что пытаюсь избавиться от возникновения возможных правоотношений из исходника, по вашим словам без доп. соглашения об этом теперь можно не беспокоиться, никаких коллизий не будет без доп. соглашения - прекрасно, что своими коментариями вы родили такую замечательную идею.

Garyaserious_studentпропущено...
Зачем мне что-либо куда-либо отправлять и получать по этому поводу доказательства от площадки?Ну, как минимум, Вы должны отправить информацию в УЦ, чтобы он мог подтвердить наличие этой информации у Вас на момент ее отправки. В противном случае он ничего подтвердить не сможет, кроме того, что да, выдал Вам ЭЦП с таким-то отпечатком. А вот когда именно Вы ею воспользовались, ему будет неизвестно. Даже если в документе/файле будет проставлена дата, она может оказаться проставленной задним числом.


Под определенный хэш (штамп времени) создать подходящий текст после создания штампа не получится задним числом без огромного суперкомпьютера, про хэш функцию и в законе об ЭЦП упоминается.

Garyaserious_studentпропущено...
А штамп времени на файле без его отправления не будет, шутите?Именно так. Без отправления информации в УЦ вы не сможете подтвердить дату/время. Метку времени должны фиксировать НЕ ВЫ . Вы - лицо заинтересованное.

метка времени генерируется на сервере УЦ вообще то, он является гарантом точности времени если что

Garyaserious_studentпропущено...
В том то и дело, что я не хочу никуда ничего отправлять, это вы придумали про отправку.В таком случае, заранее найдите всех потенциальных нарушителей вашего авторского права и заключите с ними соглашение о том, что они будут признавать вашу ЭЦП, даже если Вы никуда ничего не отправляли, и согласны верить Вам на слово, что дату на своем компьютере Вы не откручивали, прежде чем подписать ЭЦП какой-либо файл. :)

вы совсем не понимаете цель защиты, я защищаю себя от атак на права и отжим их, а не преследую других нарушителей, их преследовать гораздо проще средствами защиты от копирования

GaryaПрочитайте внимательно текст на той странице, на которую Вы приводите ссылку (выделено мной):
цитатаКриптоТри — это комплексное решение для организации рабочих мест защищенного документооборота
...
Модуль TSP (Time Stamping Protocol) используется в электронном документообороте для доказательства факта существования электронного документа на определенный момент времени. Кроме подписи документов электронной подписью можно удостоверять точное время их создания. Это позволяет предотвращать возможные конфликты при обмене документами между партнерами, коллегами, филиалами и пр.

Вы пытаетесь частное распространить на общее, хотя использование TSP при обмене документов - это всего лишь частный случай, он не является необходимым условием использования TSP.

Специалист из КриптоПро подтвердил, что есть лица, использующие квалицицированную ЭЦП и TSP аналогично моей идее для защиты авторских прав

Garyaserious_student,

Ок, возможно я что-то не знаю в матчасти. Но я знаю, что у большинства УЦ нет никакого ПО, которое бы позволяло работать по принципу "тихо сам с собою я веду беседу", не в системе ЭДО (электронного документооборота) между несколькими участниками. Дайте знать, если такого найдете, мне тоже любопытно. :)

КриптоПро

GaryaКстати, почитал матчасть, и выяснил, что есть-таки некое стороннее лицо, с которым происходит информационный обмен, вот оно:
цитатаЦентр штампов времени (Time Stamping Authority — TSA) — доверенный субъект PKI, обладающий точным и надёжным источником времени, и оказывающий услуги по созданию штампов времени.

ну так, еще бы, а вы думали, знаете как охраняют такие сервера штампом точного времени? вашим площадкам такое и не снилось

Garyaserious_student,

Я в свою очередь прошу прощения за то, что не очень глубоко вник. Вопрос в такой постановке прежде мне решать не приходилось. Однако, CopyTrust предоставляет услугу центра штампа времени, это стало понятно отсюда . Вы же недооцениваете роль ЭЦП в этом процессе:
http://www.copytrust.ru/m_help.php?c1=intro_target Для получения цифровых штампов и удостоверения времени мы работаем с Удостоверяющими центрами, имеющими государственную лицензию ФСБ и ФСТЭК России и действующими в соответствии с федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

Иными словами, Вам потребуется работать с УЦ, который выступает посредником между TSA и Вами.

данный закон применяется к содержимому хэша, а не смыслу текста исходника, семантика для OID подписи генерируемой штампом сервера предполагает только подписание хэшей, а не юридических документов

штамп времени - это подпись сервера КриптоПро (или их ответственного лица, а не моя) поверх хэша моего файла + точного времени

т.е. при квалифицированной подписи файла создается как минимум ДВЕ ЭЦП:
1) моя поверх файла
2) КриптоПро (или другого УЦ) поверх записи стандартного формата, включающей в себя как минимум точное время сервера УЦ, хэш моего файла, возможно что-то еще, курите RFC, если интересны подробности

для доказательства авторства нужна вторая подпись для доказательства времени (не позже чем) создания первой подписи

Garyaserious_studentпропущено...


КриптоПроЯ хорошо знаю Крипто-Про, постоянно с ней работаю. Это система для управления сертификатами, шифрования и дешифрования, содержит базовые функции и библиотеки, которые встраиваются в конкретные приложения. В Крипто-Про отсутствует в явном виде функционал для работы конкретно с метками времени.

ну так а зачем мне по вашему КриптоАрм, который может работать с метками времени?

serious_studentGaryaserious_student,

Ок, возможно я что-то не знаю в матчасти. Но я знаю, что у большинства УЦ нет никакого ПО, которое бы позволяло работать по принципу "тихо сам с собою я веду беседу", не в системе ЭДО (электронного документооборота) между несколькими участниками. Дайте знать, если такого найдете, мне тоже любопытно. :)

КриптоПро

я про их УЦ и сервер точного времени TSP, а не про клиентский криптопровайдер, если что

Учите матчасть уже, и не вводите людей в заблуждение относительно штампов времени

у буржуинов примерно так все это функционирует:
https://www.digistamp.com/technical/how-a-digital-time-stamp-works/
https://www.digistamp.com/technical/how-a-digital-time-stamp-works/rfc-3161-tsa-data-flow-and-security-diagram

У нас похоже с местной спецификой

Аналогичные диаграммы можно найти для КриптоАрм, раньше где-то видел их

GaryaОк. Крипто-про продается сам по себе, собственно Крипто-Про, на который я привел ссылку. Но собственно сам по себе он приобретается, преимущественно, разработчиками ПО, использующего библиотеки шифрования в его составе. Конечным пользователям обычно поставляется конкретный продукт (в Вашем случае, это КрипоАРМ) совместно с библиотеками Крипт-Про. Стоимость Крипто Про обычно изначально включена в стоимость ПО, который предоставляется конечному пользователю, отдельно не оплачивается. Совместно с конечным продуктом разработчик КриптоАРМ вам должен предоставить сублицензионный договор на Крипто Про, отдельно платить Вам, скорее всего, не придется. В сублицензионном договоре указан номер вашей лицензии, чаще всего ее в таком виде предоставляют на год. При установке Крипто Про нужно будет указать индивидуальный номер лицензии.
На сайте Крипто Про, а также у многочисленных партнеров можно совершенно свободно скачать Крипто Про и установить на свой компьютер совершенно бесплатно. В таком режиме она проработает ограниченное время (по памяти, месяц). Скачать дистрибутив Крипто Про можно, например, здесь после регистрации. По идее, разработчик КриптоАрм должен предоставлять и сам такой дистрибутив.

Был бы очень признателен, если бы вы подсказали качественный УЦ с хорошей командой (с нормальными зарплатами, не болото)
с недорогими, но не дешевыми сертификатами квалифицированной подписи
не хочется переплачивать, но и вляпаться в дешевку тоже не хочется

GaryaОк, поучил матчасть у буржуинов. увидел стрелки в обе стороны. В том числе стрелку от "data" в сторону TSA. Однако, Вы ничего передавать не собираетесь. Может быть, это Вам поучить матчасть? :)


теперь читайте, что такое хэш, и подумайте, насколько это для меня критично передать от большого исходника его отпечаток длиной в несколько десятков байтов, по которому исходник никогда не восстановить, но легко проверить его соответствие повторным вычислением хеша и сравнением результата

вы меня растролить хотите на стеб или знаете криптософт только по закладкам популярного софта со своей работы и криптопровайдера без понимания основ из википедии?

GaryaЕсли Вы подпишете файл не сегодняшним, а завтрашним днем, при этом ведь наврядли что-то случится непоправимое, не так ли?

еще хотелось бы тем же сертификатом получить возможность вести юридически значимую переписку, пусть хоть и по предварительному соглашению сторон

и если я потеряю свой закрытый ключ, то мне критично как можно скорее внести его в черный список, чтобы сервер УЦ не лежал в этот момент, и желательно, чтобы по телефону поддержки не футболировали более 1 раза

Garyaserious_studentеще хотелось бы тем же сертификатом получить возможность вести юридически значимую переписку, пусть хоть и по предварительному соглашению сторонСистема ЭДО у всех имеет примерно одинаковый функционал. Я предпочитаю WEB-интерфейс и иметь токен в кармане, чтобы можно было в случае чего отправить информацию из любого места и с любого компьютера (правда, на нем должна быть предварительно установлена библиотека шифрования, к примеру, Крипто Про).

serious_studentи если я потеряю свой закрытый ключ, то мне критично как можно скорее внести его в черный списокСтандартный функционал в WEB-интерфейсе большинства систем ЭДО. Для того, чтобы им воспользоваться, необходимо помимо входа в систему по ЭЦП предусмотреть вход по логину и паролю, который Вы сами настраиваете. Возможность отозвать сертификат определяется правами, которые Вы сами настраиваете, в большинстве систем. Однако, в некоторых системах вход с квалифицированной ЭЦП считается более приоритетным по правам, и поэтому любым логин-паролям отзыв ЭЦП может быть запрещен. Я вообще не заморачиваюсь над отзывом сертификата. Как правило, они выпускаются на короткий срок - обычно не более года. Помимо токена нужно знать логин и пароль, чтобы им воспользоваться. Уверяю Вас, года обычно хватает, чтобы все варианты не успели перебрать. :)

serious_studentи желательно, чтобы по телефону поддержки не футболировали более 1 разаЕсли речь идет об отзыве сертификата по телефону поддержки, то отфутболить просто обязаны. Иначе Ваши недоброжелатели смогут отозвать Ваш сертификат без Вашего на то ведома. :)

предпочитаю обычные почтовые e-mail программы, по ним можно отсылать PDF, подписанный квалифицированной ЭЦП

GaryaНадеюсь, Вам удастся найти УЦ, ПО которого отвечает Вашим предпочтениям
достаточно поддержки сертификатов квалифицированной подписи (,подразумевающей штамп времени)

Garya, которое автоматом разгребает почту, отделяя пришедший спам от не-спама

еще никто не научился разгребать лучше http://sourceforge.net/projects/assp/ + SpamAssasin

Garya, находит в ней хеши, фиксирует у себя в реестре/БД присланный хеш, отправителя, дату и время, подписывает ответ и отправляет обратно, и делает это не по протоколам POP3, SMTP, IMAP или MAPI, а по протоколу TSP. Удачи.

остальное - работа КриптоАрм с плагинами TSP и OCSP