|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Victor Wagner 2:5020/400 28 Nov 2006 15:12:23
To : Aleksey Barabanov
Subject : Ликбез по ЭЦП (Re: ip-телефония)
--------------------------------------------------------------------------------
Aleksey Barabanov <abb@wessen.ru> wrote:
AB> Maxim Timofeyev wrote:
AB> Ой какая наивность. Т.е. ты предполагаешь, что где-то в
AB> мире есть иначе? Т.е. где-то в мире получая строку из
AB> непонятным образом составленных символов сразу понимают,
AB> что это цифровая подпись Максима Тимофеева?
Читай соответствующие RFC до просветления:
rfc3280 Internet X.509 Public Key Infrastructure Certificate and
Certificate Revocation List (CRL) Profile
rfc3852 Cryptographic Message Syntax
rfc3851 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version
3.1 Message Specification
Можно также еще http://www.w3.org/Signature/ и далее по ссылкам,
так как это имеет непосредственное отношение к подписи офисных документов
в OpenDocument.
Сейчас существует явным образом сформулированная политика - при наличии
международных стандартов в некоей области, принимать в качестве
российских стандартов именно их, а не изобретать велосипеды.
Поэтому указанные RFC (а также расширяющие их на использование
российских алгоритмов RFC 4490 и RFC4491) имеют прямое отношение к
российской практике.
В двух словах - к электронной подписи обычно прилагается сертификат
открытого ключа отправителя. Если он не прилагается, значит существует
способ его получить по каким-то другим каналам. (тут уж действительно
нужен договор, оговаривающий эти каналы и то, какие из них считать доверенными)
А в этом сертификате есть Subject. В котором есть поля
Common Name, Organization, Organization Unit, Location, в которых
простым человеческим языком (обычно в виде ASN.1 UTF8String или
BMPString) написано как зовут подписавшего, сотрудником какой организации
он является etc.
Рядом - поле issuer, в котором в то же формате описано, кто выпустил
этот сертификат, т.е. своей электронной подписью удостоверил, что
информация, что вышеуказанный открытый ключ принадлежит указанному
товарищу.
Обычно рядом ещё имеется (в X509v3 расширениях) URL-ка, по которой можно
проверить, не был ли данный сертификат отозван (например, в связи с
утратой секретного ключа, который у товарища сперли вместе с ноутбуком).
Соответственно, для того чтобы проверить электронную достаточно иметь
сертификаты удостоверяющих центров, выпускающих сертификаты.
Чтобы электронная подпись была признана судом, достаточно, чтобы
выполнялось одно из двух условий:
1. Сертификат должен быть выдан удостоверяющим центром, имеющим
государственную лицензию в соответствии с федеральным законом об ЭЦП.
2. Между сторонам должен существовать договор, в котором они признают
подлинность сертификатов, выданных каким-то не имеющим таковой лицензии
УЦ. В случае если не используется сертифицированное ПО для выработки
электронной подписи, использующее стандартные (ГОСТ) алгоритмы,
требуется чтобы в договоре также стороны соглашались признать подписи
выработанные с помощью этого ПО.
То что в данный момент сертификаты, выданные в соотвествии с пунктом 1.
можно пересчитать по пальцам, ещё не значит, что их не бывает.
Я такой сертификат своими глазами видел, и подпись под ним openssl-ем
проверял, и dumpasn1 на него напускал.
--
--- ifmail v.2.15dev5.3
* Origin: Free Net of Leninsky,45 (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Ликбез по ЭЦП (Re: ip-телефония) 