Objavljeno 4. avgusta 2016 10:55 Vyacheslav Abisalov
Objavljeno 19. januara 2016, 04:51 Vyacheslav Abisalov
Objavljeno 18. januara. 2016, 08:22 Vyacheslav Abisalov
Poslano 8. decembra. 2015, 11:24 Vyacheslav Abisalov
Poslano 6. decembra. 2015, 13:49 Vyacheslav Abisalov
U početku me je potaknula da napišem ovaj članak rasprava u komentarima na. Kao što sam primijetio, pitanja licenciranja razvoja koji koriste kriptografske transformacije su dovoljno daleko za većinu 1C programera. Ipak, ova pitanja su vrlo važna, ili još bolje, vitalna, ako se u jednom lijepom trenutku programer ne želi probuditi kao prekršilac federalnog zakona.
Malo "odricanje od odgovornosti" - ovaj članak je isključivo moje mišljenje i namijenjen je samo da skrene pažnju programera na postojeći problem.
Prvo da opišem ko sam:
- Ja sam primarni autor veoma poznatog programa "CryptoArm" (www.trusted.ru). Razvio ovaj program 2003-2004, sam, od nule do verzije 2.5 uključujući. Od sredine 2004. nemam ništa s tim;
- Autor sam članka "Korišćenje Crypto API-ja" (http://rsdn.ru/article/crypto/usingcryptoapi.xml), koji je napisan 2004. godine. Toplo preporučujem da pročitate ovaj članak prije nego što pročitate sav sljedeći materijal.;
- Ja sam autor članka "ASN.1 jednostavnim riječima" (http://habrahabr.ru/post/150757/);
- Od 2005. godine sam aktivan učesnik najpopularnijeg foruma o upotrebi kriptografije - Crypto-PRO foruma (http://www.cryptopro.ru/forum2/);
- Profesionalnu karijeru započeo je kao 1C programer. Iskustvo - više od 5 godina, sertifikati za sve komponente 1C 7.7 dobijeni u januaru-februaru 2000;
Dakle, prijeđimo na poentu ovog članka. U posljednje vrijeme tema korištenja enkripcije i digitalnog potpisa (EDS) postala je vrlo popularna. Mogućnosti pogodne upotrebe kriptografskih transformacija također su ugrađene u 1C. Međutim, dosta ljudi propušta jednu važnu stvar - gotovo sva aplikativna rješenja koja koriste kriptografiju moraju se izvoditi isključivo uz FSB licencu. Pređimo sada na pravnu osnovu ovog pitanja.
Glavni dokument koji reguliše delatnost u opisanoj oblasti je Savezni zakon "O licenciranju određenih vrsta delatnosti". Evo izvoda iz ovog zakona:
Član 12. Spisak djelatnosti za koje su potrebne dozvole
1. U skladu sa ovim saveznim zakonom, sljedeće vrste djelatnosti podliježu licenciranju:
1) razvoj, proizvodnja, distribucija enkripcijskih (kriptografskih) sredstava, informacionih sistema i telekomunikacionih sistema zaštićenih enkripcijskim (kriptografskim) sredstvima, obavljanje poslova, pružanje usluga u oblasti šifriranja informacija, održavanje šifrirnih (kriptografskih) sredstava, informacije sistemi i telekomunikacioni sistemi zaštićeni enkripcijskim (kriptografskim) sredstvima (osim u slučaju kada se održavanje enkripcionih (kriptografskih) sredstava, informacionih sistema i telekomunikacionih sistema zaštićenih enkripcijskim (kriptografskim) sredstvima obavlja radi zadovoljavanja sopstvenih potreba pravnog lica ili individualni preduzetnik) ;
Kao detaljnije informacije o tome šta se zapravo podrazumijeva pod ovim licenciranim vrstama djelatnosti, treba koristiti Uredbu Vlade Ruske Federacije „O ODOBRAVANJU PRAVILNIKA O LICENCIRANJU DJELATNOSTI U RAZVOJU, PROIZVODNJI, DISTRIBUCIJI KRIPTOGRAFSKIH SREDSTAVA ". Ispod je izvod iz ove odredbe:
2. Enkripcijska (kriptografska) sredstva (sredstva kriptografske zaštite informacija), uključujući dokumentaciju za ova sredstva, uključuju:
a) sredstva za šifrovanje - hardverska, softverska i hardversko-softverska enkripciona (kriptografska) sredstva koja implementiraju algoritme za kriptografsku transformaciju informacija radi ograničavanja pristupa njima, uključujući i tokom njihovog skladištenja, obrade i prenosa;
b) sredstva imitacije zaštite - hardverska, softverska i hardversko-softverska enkripciona (kriptografska) sredstva (sa izuzetkom sredstava za šifrovanje) koja implementiraju algoritme za kriptografsku transformaciju informacija kako bi ih zaštitili od nametanja lažnih informacija, uključujući zaštitu od modifikacije, da obezbedi njegovu pouzdanost i neispravljivost, kao i da obezbedi mogućnost otkrivanja promena, imitacije, falsifikovanja ili modifikacije informacija;
c) sredstva elektronskog potpisa;
d) sredstva za kodiranje - sredstva enkripcije, u kojima se dio kriptografskih transformacija informacija obavlja ručnim operacijama ili korištenjem automatiziranih alata dizajniranih za obavljanje takvih operacija;
e) sredstva za izradu ključnih dokumenata - hardverska, softverska, softverska i hardverska enkripciona (kriptografska) sredstva koja omogućavaju izradu ključnih dokumenata za enkripciona (kriptografska) sredstva koja nisu deo ovih enkripcionih (kriptografskih) sredstava;
f) ključni dokumenti - elektronski dokumenti na bilo kom mediju, kao i papirni dokumenti koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korišćenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripciona (kriptografska) sredstva;
g) hardverska enkripcija (kriptografska) znači - uređaji i njihove komponente, uključujući one koje sadrže ključne informacije, koje pružaju mogućnost konverzije informacija u skladu sa algoritmima za kriptografsku konverziju informacija bez upotrebe programa za elektronske računare;
h) softverska enkripciona (kriptografska) sredstva - programi za elektronske računare i njihove delove, uključujući i one koji sadrže ključne informacije, koji pružaju mogućnost konverzije informacija u skladu sa algoritmima za kriptografsku transformaciju informacija u softverska i hardverska enkripciona (kriptografska) sredstva, informacioni sistemi i telekomunikacioni sistemi zaštićeni enkripcijskim (kriptografskim) sredstvima;
i) softverska i hardverska enkripcija (kriptografska) sredstva - uređaji i njihove komponente (osim informacionih sistema i telekomunikacionih sistema), uključujući i one koji sadrže ključne informacije, koji pružaju mogućnost konverzije informacija u skladu sa algoritmima za kriptografsku konverziju informacija korišćenjem programi za elektronske računare, namenjeni za sprovođenje ovih transformacija informacija ili njihovog dela.
Pa, sada ću vam reći šta ovdje može prekršiti jednostavan 1C programer. Prvo, prilikom kreiranja konfiguracija koje koriste kreiranje elektronskog digitalnog potpisa direktno se krši tačka „c)“ gornje odredbe. Osim toga, tačka "d) je prekršena prilikom kreiranja konfiguracija korištenjem enkripcije, iako je to manje očigledno. Hajde da se zadržimo na ovoj tački detaljnije.
Za početak, umjesto definicije "sredstva šifriranja", potpuno tumačenje ovog koncepta zamijenit ćemo paragrafom "a)". Kao rezultat, dobijamo sljedeći tekst paragrafa "d)":
sredstva za kodiranje - hardverska, softverska i hardversko-softverska enkripcija (kriptografska) znači koja implementiraju algoritme za kriptografsku transformaciju informacija, u kojima se dio kriptografske transformacije informacija provodi ručnim operacijama ili korištenjem automatiziranih alata dizajniranih za izvođenje takvih operacija.
Slažem se, ima puno slova, pa hajde da pojednostavimo ovu rečenicu i uklonimo višak za nas:
Kodiranje znači - softverski alati koji implementiraju algoritme za kriptografsku transformaciju informacija, u kojima se dio kriptografskih transformacija izvodi pomoću automatiziranih alata dizajniranih za izvođenje takvih operacija.
Odnosno, ako program ima šifriranu datoteku kao svoj "izlaz", onda bi se njegova proizvodnja trebala provoditi samo ako postoji licenca Federalne službe sigurnosti Ruske Federacije za razvoj enkripcijskih i kriptografskih alata.
Hajde sada da razmotrimo moguće primedbe na moju izjavu:
- "Pa ja šifrujem preko 1C, a kakve veze ima licenca s tim?"
- Jao, vi pravite "softver" koji izvodi "kriptografske transformacije" koristeći "automatske alate dizajnirane za izvođenje takvih operacija." To je, naravno, koristite komponente treće strane (provajder kriptografije), kao i alat treće strane za kreiranje softverskih alata (1C), ali to ne mijenja suštinu - zakon zahtijeva licenciranje procesa kreiranja "sferni program u vakuumu" koji izvodi "sferne kriptografske transformacije u vakuumu";
- Opet, nažalost, ovo je greška. Razvoj kripto provajdera je također licencirana aktivnost, ali samo ona prolazi kroz tačku "a)". Ali svi programi koji koriste funkcije kriptografskog dobavljača moraju biti licencirani već prema stavu "d)";
U zaključku ću dati linkove na pitanja vezana za licenciranje i postavljena na Crypto-PRO forumu. Među odgovorima je i korisnik "Jurij Maslov", koji je komercijalni direktor same kompanije Crypto-PRO. Ova osoba licencira kriptografske proizvode više od 13 godina i jedan je od najcjenjenijih stručnjaka u ovoj oblasti:
A sada malo upozorenje: u stvari, licenciranje je potrebno samo ako prodajete softverski alat, odnosno bavite se poduzetničkom djelatnošću. Ako pravite ovaj softverski alat za sebe i svoje preduzeće, onda je to izvan okvira Federalnog zakona "O licenciranju određenih vrsta djelatnosti" (zbog nepostojanja aktivnosti kao takve).
Zato napravite softver za kriptografsku konverziju kako vam je drago, ali budite oprezni.
Takav zadatak može se pojaviti, na primjer, u sljedećem slučaju: stručnjak za plaće je generirao odgovarajuće obrasce u programu na svom računalu, a sada ih treba poslati regulatornim tijelima. U ovom članku 1C metodolozi će pokazati kako prenijeti elektronički potpis i uslugu izvještavanja, na primjer, sa računara glavnog računovođe na računar na kojem se pripremaju izvještaji koji zahtijevaju slanje regulatornim tijelima.
Izvještaj pripremljen. Šta učiniti ako ga trebate poslati regulatornim tijelima s računara na kojem nije instalirana usluga 1C-Reporting
Takav zadatak se javlja, na primjer, za korisnike koji rade s programima putem Interneta - uostalom, izbor takvog načina rada često je posljedica želje ili potrebe za radom s 1C programima s različitih računala. Stoga se, iz objektivnih razloga, takvi korisnici mogu susresti sa situacijom koja zahtijeva brz prijenos elektronskog potpisa i podešavanja za slanje izvještaja sa jednog računara na drugi.
Podsjetimo da je 1C uradio dosta posla na razvoju tehnološke platforme 1C:Enterprise 8, zbog čega ista konfiguracija može raditi i kao običan proizvod na lokalnom računalu korisnika i kao usluga u oblaku. Zahvaljujući ovom tehnološkom dostignuću, postavke o kojima se govori u nastavku ne zavise od načina korišćenja programa.
U ovom članku će biti opisana postavka za računare koji se koriste za rad s programom 1C: Accounting 8 putem Interneta. Podešavanje se vrši identično za računare na kojima je ovaj program instaliran *.
* Za više informacija o postavljanju 1C: Reporting, koji vam omogućava slanje generiranih izvještaja iz 1C: Enterprise 8, pogledajte broj 10 (oktobar) BUKH.1C za 2012. godinu, stranica 25.
Za sljedeći opis koristit ćemo notaciju:
- Računar 1- računar na kojem je konfigurisana usluga 1C-Reporting
- Računar 2- računar na koji je potrebno prenijeti "1C-Reporting" i sa kojeg je potrebno slati izvještaje regulatornim tijelima.
Sekvenciranje
Za početak izvještavanja Računar 2 potrebno (vidi sliku 1):
1. Transfer do Računar 2 od Računar 1 ili eksterni medijski kontejner ključa za elektronski potpis.
2. Instalirajte na Računar 2 kriptografski provajder (poseban sistem zaštite kriptografskih podataka - na primer, CryptoPro ili VipNet).
3. Trčite dalje Računar 2 procedura za automatsku konfiguraciju parametara toka posla
Rice. jedan
Pogledajmo svaki korak detaljno.
Prenos ključa elektronskog potpisa na računar 2
Nastavljamo s prvim korakom - prijenosom na Računar 2 kontejner ključeva za elektronski potpis. Redoslijed radnji ovisit će o tome gdje je ovaj kontejner pohranjen - na Računar 1 ili na nekom vanjskom mediju (na primjer, na USB disku).
Kontejner privatnog ključa se generira na Računar 1 u trenutku slanja prijave specijalnom operateru za povezivanje na elektronsko upravljanje dokumentima (usluga 1C-Očestnost). Korisnik sam bira gdje će pohraniti ovaj kontejner - na prenosivom mediju, u skrivenoj sistemskoj mapi na tvrdom disku ili u Windows registru. Potonje je moguće u slučaju korištenja CryptoPro kripto provajdera.
Ako je ključ na vanjskom mediju
Ako je spremnik ključeva pohranjen na vanjskom mediju, tada se na njemu nalaze svi potrebni fajlovi, a za instalaciju samo trebate povezati ovaj uređaj na Računar 2.
Ako je ključ sačuvan u skrivenoj sistemskoj fascikli na računaru 1
U ovom slučaju, da navedete lokaciju skladištenja kontejnera privatnog ključa i prenesete potreban skup datoteka u Računar 2 uradi sljedeće:
1. Idite na uređivanje organizacije u ime koje se podnosi izvještaj i otvorite karticu Tok dokumenata.
3. Dvaput kliknite na željenu aplikaciju levim tasterom miša i na karticu Servisne informacije pronađite polje Put do spremnika privatnog ključa.
4. Idite na fasciklu za skladištenje kontejnera, izaberite željeni kontejner i prenesite ga u bilo koju fasciklu na Računar 2, ili sačuvajte na vanjski prijenosni medij.
U slučaju da u navedenom folderu ne postoji jedna, već nekoliko datoteka, toplo se preporučuje da, kako biste izbjegli greške, odaberete i prenesete u Računar 2 upravo onaj fajl koji je nosilac privatnog ključa i sertifikata dobijenog od posebnog operatera. Da biste odabrali željeni fajl, samo uporedite njegovo ime sa imenom navedenim u polju Put do spremnika privatnog ključa(kao što je prikazano na slici 2).
Rice. 2
Pažnja!
Da biste prenijeli kontejner, morat ćete navesti lozinku za privatni ključ koji je odabran prilikom njegove registracije. Ako zaboravite ovu lozinku (na primjer, korištenjem opcije zapamti lozinku), nećete moći prenijeti elektronski potpis na drugi računar. Morat ćete kontaktirati specijalnog operatera i ponovo izdati elektronski potpis!
U slučaju da ne možete pronaći datoteku sa spremnikom ključeva na navedenoj lokaciji (to se može dogoditi, na primjer, ako prenosite elektronski potpis sa Računar 2 na Računar 3), da biste ga potražili, trebate kontaktirati program dobavljača kriptografskih usluga. Potrebna putanja do korištenog spremnika ključeva mora biti navedena u postavkama kriptoprovajdera (pogledajte dolje). Ovdje je potrebno uzeti u obzir da se u postavkama kriptografskog provajdera može registrirati nekoliko spremnika ključeva (na primjer, ako koristite istog kriptoprovajdera kada radite u drugim programima). Zatim ćete morati odabrati željeni kontejner, koji se može identificirati po prisutnosti u njemu certifikata izdatog od strane sertifikacionog tijela na ime odgovorne osobe organizacije (vidi dolje).
Instaliranje kripto provajdera na računar 2
Prije prijenosa postavki elektronskog potpisa na Računar 2 potrebno je instalirati eksternu kriptografsku komponentu (ona će se automatski instalirati kada počnete raditi sa 1C-Reporting) i program kriptografskog provajdera.
Ovi procesi preuzimanja i instalacije (za besplatnog kriptografskog provajdera ViPNet CSP) su detaljno opisani u Vodiču za korišćenje usluge 1C: Reporting u 1C: Računovodstvu 8 u informacionom sistemu 1C: ITS (pogledajte http://its.1c. ru/db/elreps#content:26:1).
Konfigurisanje ViPNet CSP-a na računaru 2
Nakon instaliranja programa kriptografskog dobavljača na Računar 2 potrebno je registrovati ključ elektronskog potpisa i sertifikate dobijene od posebnog operatera. Razmotrite odgovarajući slijed radnji na primjeru ViPNet CSP kriptografskog provajdera:
1. Pokrenite ViPNet CSP program.
2. Tab Kontejneri koristeći dugme Dodati započeti registraciju ključeva za elektronski potpis.
3. Odredite putanju do fascikle na Računar 2 ili na prenosivom mediju koji sadrži datoteku s ključem.
4. U otvorenom dijaloškom okviru Inicijalizacija ključnog kontejnera provjerite u padajućem izborniku Naziv kontejnera prisutan je samo jedan element (fajl kopiran iz Računar 1).
5. Pritisnite dugme uredu.
6. Ako program traži lozinku za pristup spremniku ključeva (onom koji ste naveli prilikom kreiranja spremnika na Računar 1), a zatim ga unesite u polje Lozinka.
7. Kao rezultat, izabrani kontejner ključeva će biti inicijalizovan i pojaviće se na listi kontejnera u ViPNet CSP programu.
8. Odaberite instalirani kontejner i kliknite na dugme Svojstva.
Imajte na umu da kada prvi put prenesete kontejner na ovaj računar, instalacija sertifikata će početi automatski, u ovom slučaju treba preskočiti korak ručne instalacije.
9. Pritisnite dugme Certifikat.
10. U prozoru certifikata koji se otvori kliknite na dugme Instalirajte certifikat.
11. Korištenje otvorene Čarobnjak za instalaciju certifikata, instalirajte certifikat u spremište certifikata Lični.
12. Na stranici Spreman za instalaciju potvrdni okvir za potvrdu Odredite kontejner sa privatnim ključem a zatim na zahtjev programa unesite lozinku vašeg privatnog ključa EDS (koji ste naveli prilikom registracije na Računar 1).
13. Završen posao Masters, zatvorite program za postavljanje kripto provajdera.
Nakon završetka ove procedure, kriptografski provajder se uključuje Računar 2 spreman za rad.
Automatsko podešavanje izvještavanja na računaru 2
Prije nego što nastavite sa izvještavanjem regulatornih tijela sa Računar 2 potrebni sertifikati će se preuzeti na ovaj računar u automatskom režimu, u procesu razmene podataka sa serverom specijalnog operatera. U procesu njihovog dobijanja, moraćete da potvrdite nameru da instalirate svaki sertifikat.
Navedena instalacija certifikata može se izvršiti na Računar 2 i ručno, za šta treba da uradite sledeće:
1. Idite na uređivanje podataka organizacije za koju postavljate 1C-Izvještavanje i otvorite karticu Tok dokumenata.
3. U dijalogu koji se otvori, kliknite na dugme za uređivanje (sa lupom) desno od polja Račun toka posla.
4. Pritisnite dugme Postavite automatski sada(Sl. 3). Aplikacija će započeti razmjenu podataka sa serverom operatera specijalnih komunikacija, pri čemu će se sa nje preuzeti potrebni certifikati.
Rice. 3
5. Potvrdite svoju namjeru da instalirate svaki od certifikata u dijaloškim okvirima koji će se pojaviti prilikom preuzimanja.
6. Zatvorite dijaloške okvire i organizacioni obrazac.
Računar 2 Spremni za izvještavanje!
Slanje izvještaja pri radu u dva programa
Što ako trebate slati izvještaje iz programa 1C: Payroll i HR 8 u Penzioni fond ili Federalnu poreznu službu, dok se ostatak izvještaja generira u programu 1C: Accounting 8 i šalje direktno odatle?
S obzirom na to da se veza na uslugu 1C-Reporting vrši za organizaciju kao cjelinu, sa stanovišta plaćanja nije bitno da li se ova organizacija obračunava u jednom programu ili u dva. Ako su programi istovremeno instalirani na različitim računarima, morate slijediti gore navedene korake. Ali bez obzira na to da li su programi sistema 1C:Enterprise 8 instalirani na jednom računaru ili na različitim, potrebno je napraviti dodatnu vezu.
Da biste to učinili, morate poslati aplikaciju koja naznačuje TIN, KPP, naziv organizacije za koju već postoji veza, naziv konfiguracije koji se razlikuje od one koja je već u bazi podataka.
Imajte na umu da se Federalna porezna služba, FSS i Rosstat u svom toku rada rukovode računom, tako da ih može biti nekoliko i možete slati različite izvještaje u isto vrijeme koristeći različite račune. FIU vodi evidenciju povezujući registarski broj ###-###-###### i sertifikat. Dakle, u odnosu na FOJ potrebno je ostaviti samo jedan račun.
Sumirajući, preporučujemo upotrebu dva programa - za izdavanje računa za radni tok sa Federalnom poreskom službom, FSS-om i Rosstatom u "1C: Računovodstvo 8", i za tok rada sa Penzionim fondom, Federalnom poreskom službom i FSS-om u programu "1C: Plaća i upravljanje osobljem 8".
Dvije riječi, šta je EDS uopšte. Za potpisivanje i rad sa datotekama koriste se dva ključa: privatni i javni. Privatni ključ je pohranjen na vašem tokenu i koristi se za potpisivanje ili šifriranje dokumenata. Javni ključ mora biti distribuiran svim korisnicima koji trebaju raditi sa dokumentom koji ste potpisali. Ovo se obično dešava automatski kada je datoteka potpisana. Zatim, postoji fajl koji treba da potpišemo. Uz pomoć posebnog softvera, od sadržaja datoteke i vašeg privatnog ključa kreira se jedinstveni niz znakova, nešto poput kontrolne sume. Ova sekvenca je digitalni potpis. EDS je uvijek jedinstven za datog korisnika i dati dokument. Potpis sadrži informacije o datumu kada je dokument potpisan, potpisniku, kontrolnoj sumi za potpisani dokument i vezu ili samu datoteku javnog ključa. Potpis se može dodati u potpisanu datoteku ili sačuvati kao zaseban fajl. Naravno, zanima nas prva opcija.
Kao i uvijek, rješavanje problema počelo je proučavanjem onoga što već postoji. Postojalo je nekoliko modula kriptografije i EDS-a za 1C. Ali nisu se uklapali. U pravilu mogu potpisati ili XML datoteke, ili pohraniti potpis i javni ključ u posebnu datoteku. A na izlazu smo trebali dobiti potpisani PDF dokument koji se može lako i zgodno pregledati koristeći isti Adobe Acrobat Reader.
Druga odluka je bila traženje takozvanih PDF štampača - programa koji mogu da sačuvaju bilo koji dokument kao PDF fajl. Najpogodnije rešenje je bio BullZip PDF Printer (http://www.bullzip.com/products/pdf/download.php), koji u plaćenoj verziji ima funkciju potpisivanja generisanih dokumenata. Rješenje je, u principu, došlo, ali je bilo ozbiljnih birokratskih problema oko kupovine, odobravanja i instaliranja novog softvera na teritoriji preduzeća. Prilikom usaglašavanja odluke obratio sam pažnju na softverski paket CRYPTO-PRO, koji se po pravilu isporučuje i radi zajedno sa EDS ključem.
Prvo rješenje, poluručno
Velika većina EDS ključeva se izdaje u obliku eToken ili Rutoken USB modula. U mom slučaju to je bio eToken. Ko ne zna, glavna razlika je u tome što eToken ima ugrađen hardverski kriptografski koprocesor. To znači da kada su podaci šifrirani, privatni ključ ne napušta token. U našem slučaju ova razlika nije bitna.Neću razmišljati o instaliranju drajvera za USB ključ. Obično ih isporučuje certifikacijsko tijelo koje ih izdaje zajedno sa samim tokenima i instalacija ne uzrokuje probleme. Također, tokeni obično dolaze s licencom za CRYPTO-PRO i CryptoPro CSP uslužni program. Koristio sam najnoviju verziju 3.9 koja je trenutno dostupna.
Onda je sve jednostavno. Pokrećemo CryptoPro CSP. Kartica Servis, dugme Pregledajte sertifikate u kontejneru, kliknite Pregledaj da izaberete token sa kripto pohranom i izaberite skladište koje nam je potrebno. Obično postoji jedno skladište po tokenu.
Kliknite na Sljedeće i otvorite prozor s informacijama o certifikatu kojem je ključ vezan. Čekamo dugme Instaliraj i instaliramo sertifikat u Privatnu prodavnicu za lokalnog korisnika. Obično se, zajedno sa CryptoPro CSP uslužnim programom, u Start meniju instalira prečica za dodatak Certifikati. Pokrećemo snap-in, uvjerimo se da je sve urađeno kako treba i da je certifikat zaista instaliran u ličnom dijelu za trenutnog korisnika. 
Zatim kliknite desnim tasterom miša na instalirani sertifikat, Svi zadaci, Izvoz. Obavezno odbijte izvoz privatnog ključa i sačuvajte certifikat negdje na lokalnom računaru, na primjer, na radnoj površini, u formatu datoteke X.509 (.CER) kodiranom DER. Spremljeni certifikat će nam trebati dalje da završimo potpis.
Posljednje što nam preostaje je preuzimanje CryptoPro PDF uslužnog programa sa stranice www.cryptopro.ru/downloads, uz pomoć kojeg ćemo potpisati PDF datoteke.
Rad uslužnog programa je izuzetno jednostavan. Odabiremo mapu u kojoj se nalaze PDF datoteke, odabiremo mapu u kojoj će biti sačuvane datoteke sa potpisom (ako je to isti folder, u naprednim postavkama potrebno je označiti okvir "Prepiši datoteke s istim imenima ") odaberite certifikat iz kontejnera koji ćemo koristiti za potpise, unesite pin sa ključa i, ako je sve ispravno, za nekoliko sekundi potpisane PDF datoteke će se pojaviti u folderu za primanje. Da bi digitalni potpis bio pravno priznat, po zakonu mora biti postavljena i vremenska oznaka, ali mi to nije trebalo za zadatak.
Uglavnom, sve! Ako imate malu organizaciju i nekoliko desetina partnera, onda ne možete učiniti ništa drugo i ostaviti sve u ručnom načinu rada. Osim toga, još nam uopće nije potreban 1C, PDF dokumenti se mogu kreirati na mnogo načina, uključujući i iz Microsoft Officea.
Dugo nisam mogao da shvatim zašto potpis ne prolazi i daje grešku. Ispostavilo se da je za uspješan rad CryptoPro PDF uslužnog programa potreban Adobe Acrobat Pro (ne Reader, važno je!). Uz njegovu pomoć uslužni program modificira PDF datoteke i dodaje im potpis.
Primjer potpisanog fajla na slici. Izgleda kao običan PDF, samo su se podaci potpisnika pojavili na kartici Potpisi. Od bitnog je naznačeno ko je potpisao dokumente (obično je to pun naziv i naziv organizacije) i da se dokument nije mijenjao od potpisivanja. Informacija da certifikat nije pouzdan može se zanemariti. To samo kaže da Adobe i njegov proizvod Acrobat Reader ne znaju ništa o vašem certifikatu. 
Rešenje dva, automatski
Kao što sam gore napisao, u mom slučaju ručno rješenje nije odgovaralo. Postoje mnoge druge ugovorne strane, za svaku od njih se kreira nekoliko desetina dokumenata mjesečno. Sve ih je potrebno sačuvati u PDF-u, potpisati, poslati jednim pismom. Kako bi riješili problem, došli su na ideju da modificiraju i koriste standard obrade za mnoge konfiguracije „Grupna obrada direktorija i dokumenata“. Za najpopularnije konfiguracije, ova obrada je ili uključena u samu konfiguraciju ili se može naći kao eksterna na ITS disku.Processing već zna kako da štampa odabrane dokumente. U najnovijim verzijama platforme pojavio se redovni mehanizam za spremanje ispisanih obrazaca kao PDF datoteka. Ostaje spojiti ova dva mehanizma i spremiti dokumente koje je korisnik odabrao u mapu na lokalnom računalu, a zatim pokrenuti komandnu liniju i pokrenuti CryptoPro PDF uslužni program za izvršenje potpisa.
Interfejs je malo poboljšan. Rad sa direktorijumima je uklonjen iz obrade. Ostavljeno je u interfejsu 4 vrste dokumenata koje je potrebno poslati. Promijenjen sistem selekcije. Kreiran novi registar informacija EDS postavki. Za svakog korisnika pohranjuje informacije o putanji CryptoPro PDF-a na lokalnom računalu, foldere za privremeno skladištenje datoteka i certifikat koji će se koristiti za potpisivanje. Tražili su i da sačuvaju iglu od ključa, ali to nismo učinili iz sigurnosnih razloga.
Da bi automatizacija bila potpuno potpuna, morao sam oživjeti modul e-pošte u 1C. Onda je sve jednostavno. Operater jednom mjesečno bira listu ugovornih strana i vrste dokumenata za slanje, provjerava rezultat odabira, klikne na dugme Pokreni, unosi pin kod sa ključa i čeka... U mom slučaju formiranje paket dokumenata može potrajati nekoliko sati.
Obrada grupira odabrane dokumente prema ugovornim stranama, zatim kruži kroz svaku drugu stranu, bira sve njene dokumente, sprema kao PDF datoteke na disk, pokreće CryptoPro PDF uslužni program iz komandne linije, potpisuje sačuvane dokumente, kreira dokument e-pošte s kontaktom detalje iz imenika ugovornih strana, prilaže potpisane dokumente iz fascikle na disku kao prilog, mijenja pismo u status za slanje i prelazi na sljedeću drugu stranu. Pisma se šalju planiranim zadatkom svakih 10 minuta. Obrada se može ostaviti preko noći. Nastali problemi će biti korektno obrađeni, a ujutru korisnik će vidjeti dnevnik grešaka i log poslanih pisama.
Radi praktičnosti, dat ću dio koda koji obavlja samu proceduru potpisivanja. Svi parametri se preuzimaju iz kreiranog informacionog registra.
Inbox Array = FindFiles(InboxCatalog, "*.pdf", False); NumberFilesIncoming = ArrayIncoming.Number(); Notify("Pronađeno " + Broj dolaznih datoteka + " fajlova za potpisivanje."); CommandLine = CryptoPro Ime datoteke + " znak" + " --in-dir=""" + Inbox + """" + " --out-dir=""" + Outbox + """" + " --report- dir =""" + LogDirectory + """" + " --err-dir=""" + ErrorDirectory + """" + " --certificate=""" + CertificateFileName + """" + " -- pin =""" + PinCode + """" + " --overwrite-files"; RunApplication(CommandLine, "", true); ArrayOutbox = FindFiles(OutboxDirectory, "*.pdf", False); NumberFilesOutbox = ArrayOutbox.Number(); Obavijesti("Potpisano " + Broj odlaznih datoteka + " datoteke.");
Zdravo Giktimes, danas ćemo govoriti o nekim, a zapravo - jednom velikom problemu elektronskog izvještavanja u GNU/Linux sistemu.
Pitanje podnošenja elektronskih izvještaja iz Linux OS-a dugo se raspravljalo kako na Habré/Giktimesu, tako i na tematskim forumima - Mista, Ubuntu, LORA, CryptoPro i 1C: ITS forum tehničke podrške. Ukratko, u ovom trenutku postoje dva rješenja - ili koristiti CEP baziran na oblaku i slati izvještaje preko pretraživača, ili koristiti namjensku / virtuelnu mašinu sa instaliranim Windowsom (čak i probnu verziju) za izveštavanje. Mogućnost podnošenja izvještaja korištenjem specijaliziranih uslužnih programa koje pružaju vlasti (FTS, PFR, FSS, Rosstat, FSRAR) moguća je samo kada se koristi [email protected], što je zapravo i štaka (jer su nam potrebne DVIJE licence za CryptoPro CIPF - za Windows i Linux).
Nije tajna da nema toliko programa za GNU / Linux OS za knjigovodstvo: Ananas (koji sada počiva u miru), ukrajinski Debit + (čiji modul podrške za rusko zakonodavstvo još nije ažuriran, Ctulu zna koliko) i 1C računovodstvo . Mislim na izvorne aplikacije. Od svega navedenog, samo 1C u trenutku pisanja ovog teksta uključen je u državni registar domaćeg softvera i sadrži mehanizme za pripremu i podnošenje izvještaja u elektronskom obliku putem posebnih operatera za upravljanje elektronskim dokumentima. Inače, nema mnogo operatera koje podržava 1C računovodstvo: CJSC Kaluga-Astral (programer podsistema 1C-Reporting), Taxcom LLC, Forus NPF LLC i mitski "Operator upravljanja drugim dokumentima".
Nažalost, izvještavanje iz 1C je prepuno brojnih poteškoća na koje može naići običan (i iskusni) administrator sistema. Naravno, detaljno ćemo razmotriti ove probleme i načine za njihovo rješavanje.
Prvi problem sa kojim se suočavamo je CIPF. Ne, ne njihovo odsustvo, oni jesu. Za Linux postoji nekoliko sertifikovanih CIPF-ova (sa GOST podrškom) dostupnih za instalaciju i koji se koriste u različitim podsistemima. U vrijeme pisanja, ovo su sljedeći alati za zaštitu kriptografskih informacija, ispravite me ako sam nešto propustio:
- vipnet
Još jedan certificirani CIPF, čija je podrška u početku prisutna u 1C. Postoji kao beta verzija za i686 i amd64 arhitekture. Nažalost, osim samog CIPF-a, nemaju drugih proizvoda za Linux, a punopravan rad na portalima i platformama za trgovanje s njim je nemoguć.
CryptoCom
Ovaj CIPF je dostupan za platforme i686 i amd64, uglavnom se koristi u sistemima internet bankarstva, posebno iBank sistemu (koji koriste mnoge banke, kao što su GazpromBank, UBRIR, Alfa, itd.).
Lissy CSP
Jedan od postojećih CIPF-a, pored samog CIPF-a, nudi verzije pretraživača Mozilla Firefox i Mozilla Thunderbird mail klijenta sa podrškom za algoritme šifriranja i elektronski digitalni potpis GOST porodice. Nažalost, podržava samo i686 platformu, nije bilo moguće provjeriti CIPF kompatibilnost sa ruToken drajverom, iako proizvođač to tvrdi. Međutim, proširenje za Mozilla proizvode redovno vidi certifikate i omogućava vam potpisivanje, šifriranje i HTTPS dvosmjernu autentifikaciju pomoću GOST algoritama. Kompatibilnost sa 1C nisam testirao.
Ipak, proizvod je sasvim vrijedan ako koristite 32-bitnu verziju sistema. Vrijedi zapamtiti da u ovom slučaju nijedna aplikacija neće moći dodijeliti više od 3 GB memorije po procesu. Neke aplikacije, kao što je DBMS, mogu se snaći sa shmem trikom i koristiti do 64 GB memorije dodjeljivanjem jednog procesa po sesiji, ali 1C Accounting ne koristi takvu tehnologiju i ne bih preporučio instaliranje servera na 32- bit arhitektura sa ovim CIPF-om.
CryptoPro CSP
Zapravo, trenutno jedino sveobuhvatno rješenje za Linux za rad s elektronskim potpisom i enkripcijom. Dostupno za i686, amd64, armhf (uključujući android), PowerPC platforme. Da ne spominjemo da imaju verzije za Solaris (i686, amd64, sparc), AIX, FreeBSD, OSX i iOS. Čudno (sarkazam), mnoge vladine vlasti službeno preporučuju CryptoPro za interakciju i elektronsko upravljanje dokumentima. Licence za CryptoPro često dolaze kao dio EDS ključa i kao dio sveobuhvatnog ugovora o usluzi za izvještavanje. Moj izbor je bio nedvosmislen u korist ovog CIPF-a. Nedostaci uključuju relativnu složenost instalacije na sistemima koji nisu RHEL/SLES i nedostatke u sklapanju softverskih paketa (nije dozvoljen uvoz simbola i izvezene funkcije sa prekinutim zavisnostima). U većini slučajeva ovi nedostaci nisu vidljivi korisniku, jer. ove funkcije su namijenjene za rad različitih biblioteka u CryptoPro-u i automatski se rješavaju kada ih prvi put pozove jezgro OS (potrebne biblioteke su već učitane u adresnom prostoru aplikacije). Drugi nedostatak je nedostatak email klijenta, ako je CryptoFox pretraživač prisutan, ali je Thunderbird podrška u CryptoPro-u napuštena. Moramo odati priznanje činjenici da su aktivni pokušaji sa njihove strane da unesu izmjene u radnu verziju NSS-a kako bi podržali GOST, ali stvari su još uvijek tu. Ako bi promjene bile prihvaćene, GOST podrška bi se pojavila u svim pretraživačima i aplikacijama koje koriste NSS, kao što su Open/LibreOffice, Mozilla proizvodi, Nautilus/Nemo, Thunar, XCA i drugi programi.
Iz očiglednih razloga, izabran je CIPF CryptoPro, i hajde da se zadržimo na njemu detaljnije.
Prvo, za Linux platformu ne postoji CryptoARM aplikacija, poznata mnogima, za potpisivanje dokumenata. Međutim, možete koristiti pomoćne programe komandne linije za kreiranje priloženog i odvojenog potpisa. Za kreiranje i verifikaciju odvojenog digitalnog potpisa, kreirao sam dvije skripte - potpisivanje i provjeru, respektivno. Tekst skripti je dat u nastavku, slažem se da su donekle štake, ali je napisan na brzinu, a u to vrijeme beta verzija CryptoPro 4.0 se ponašala čudno kada je direktno prosljeđivala putanje do potpisanih i izlaznih datoteka.
sign
#!/bin/sh DIR=`dirname $1` /opt/cprocsp/bin/amd64/cryptcp -signf $2 $3 -cert -der -norev "$1" mv "$1.sgn" "$1.p7s"
verify
#!/bin/sh DIR=`dirname $1` cp "$1.p7s" "$1.sgn" /opt/cprocsp/bin/amd64/cryptcp -vsignf -der -norev "$1" rm "$1.sgn"
Drugo, i to je veoma važno, imamo sledeću sliku. u 1C računovodstvu, standardne postavke za rad sa CryptoPro CIPF date su za verziju 3.6. Stara verzija CryptoFoxa radi sa verzijom 3.6. Tu prestaju prednosti i počinje glavobolja. Stara verzija CryptoFoxa ne prikazuje nijednu modernu stranicu, čak i portal porezne inspekcije negdje puzi. Prilikom pokušaja instaliranja ~svježe~ trenutne verzije CryptoFoxa 31, ona se ruši (greška segmentacije) pri ulasku na bilo koju stranicu koja zahtijeva HTTPS sa GOST algoritmom. Ponekad se ruši čak i kada je CryptoPro Browser Plugin pokrenut. Usput, također vrlo stara verzija koja podržava samo potpisivanje, ali ne i enkripciju, i radi samo sa NPAPI.
Sa verzijom 3.9 situacija je još zabavnija - 1C to više ne vidi, ali CryptoFox i dalje pada, i sa starim i sa novim.
Verzija 4.0, naprotiv, ne vidi 1C, ali se s njim pokreće CryptoPro Browser Plugin 2.0, radi ulaz na državne stranice sa CryptoFoxa (o njima se vodi poseban razgovor, a ako analizirate rad iz GNU / Linux OS-a uz njih ima dovoljno materijala za još jedan članak) . Problem je prisiliti 1Sku da vidi instalirani CIPF. Problem, generalno, nije toliko ozbiljan, rješava se bukvalno za petnaestak sekundi, ali je bila potrebna cijela sedmica komunikacije sa CryptoPro tehničkom podrškom da se pronađe samo rješenje (i udari me 1C podrškom na uputama u ITS-u). Na kraju je problem riješen sam od sebe, a rješenje je na kraju objavljeno na CryptoPro forumu. Metodologija za rješavanje problema za budućnost:
- Da bismo dobili ime kripto provajdera i njegov tip, potrebno je da se pozovemo na uslužni program CryptoPro. Najlakši način da dođete do ovih podataka je navođenjem instaliranih certifikata:
U 1C računovodstvu moguće je dodati proizvoljnog kriptografskog provajdera. Upotrijebimo ovaj mehanizam, dodajmo novog kripto provajdera i nazovimo ga, recimo "CryptoPro CSP 4.0".
- Navedite sljedeće podatke:
- Spremamo kriptografskog provajdera i navodimo putanju do biblioteke: /opt/cprocsp/lib/amd64/libcapi20.so
Gotovo, 1C sada vidi instaliranog kripto provajdera. Čini se da sve, možete iskoračiti do dodavanja certifikata i postavljanja izvještavanja, ali toga nije bilo. Mala bijela sibirska lisica nam se prikrala odakle nismo očekivali - od samih 1C programera. Istorijski se dogodilo da podsistem za upravljanje elektronskim dokumentima, 1C-izvještavanje, 1C jezgro i konfiguracije pišu različiti ljudi, pa čak i različite kompanije. Prilikom kreiranja konfiguracija sa funkcijom 1C-Reporting za 1C 8.3, na primjer, "Enterprise Accounting 3.0", programeri su, bez oklijevanja, prenijeli cijeli EDKO podsistem "kako jest", bez promjena, zbog čega dobijamo paradoks . Samo 1C računovodstvo vidi kriptografski sistem zaštite informacija, vidi certifikate, dozvoljava im da se instaliraju, potpišu i šifriraju bilo koji dokumenti, ali u isto vrijeme, elektronski sistem za upravljanje dokumentima (stara verzija) ne vidi niti jedan instalirani certifikat bez ikakve sumnje , te prema tome ne može čak ni primiti početnu konfiguraciju od operatera za upravljanje dokumentima - jednostavno ne postoji način da se to dešifruje. Ili bolje rečeno, ima više od dešifriranja, ali EDKO podsistem koristi vlastiti mehanizam za rad sa zaštitom kriptografskih informacija, koristeći eksternu komponentu (samo za Windows) i ne zna ništa o postojanju ugrađenih mehanizama za rad sa kriptografska zaštita informacija, koju sam 1C koristi kao dio konfiguracije.
Ipak, EDI podsistem (ne treba ga brkati sa EDKO) vidi sve relevantne sertifikate sa drugim stranama i omogućava vam da se povežete na sistem za elektronsko upravljanje dokumentima. Ali ne izvještavanje.
Za Linux postoji ograničenje direktnog rada konfiguracije Client-EDO s vanjskom konfiguracijskom bazom, a to zahtijeva radni 1C server. Budući da osnovne verzije konfiguracija ne dozvoljavaju korištenje klijent-server verzije 1C implementacije, integracija Client-EDO-a i računovodstva u Linuxu nije moguća za takve konfiguracije, radit će samo za one s puno mogućnosti. U većini konfiguracija možete omogućiti razmjenu sa drugim stranama i ona će raditi, uprkos nefunkcionalnom 1C-izvještavanju.
Ako otvorimo konfigurator i uključimo mod za otklanjanje grešaka, vidjet ćemo sljedeću sliku:
1C-Obrasci za izvještavanje koriste General->GeneralModules->CryptographyEDKOClient, koji se zauzvrat oslanja na rad vanjske komponente Addin.EDONative.CryptS.
Ista funkcionalnost rada sa elektronskim digitalnim potpisom i enkripcijom (bez funkcionalnosti razmjene transportnih kontejnera putem elektronskih komunikacijskih kanala) implementirana je u General->General Modules->ElectronicSignatureClient, koji uzima u obzir rad u Linux familiji OS i ispravno učitava i eksternu komponentu za rad sa XMLDSig, kao i modul kriptoprovajdera. Ova biblioteka ispravno vidi sve certifikate, omogućava vam potpisivanje i šifriranje dokumenata, sadrži funkcije za rad kako sa objektima u memoriji tako i sa datotekama na vašem tvrdom disku. Ova biblioteka se koristi u svim standardnim mehanizmima za rad sa EDS unutar 1C, osim u 1C-Reporting podsistemu (EDKO).
Odnosno, za implementaciju rada podsistema 1C EDKO, dovoljno je prepisati ili obrasce 1C-izvještavanja da koriste ugrađene mehanizme, ili preopteretiti Cryptography EDKOClient, da ne koristi eksternu komponentu, već preusmjerava pozive na rad sa certifikate, EDS i enkripciju do ugrađenog klijenta koji radi sa CIPF-om.
Komunikacija sa tehničkom podrškom 1C samo je dala odgovor da su svjesni ovog problema, ali premalo je klijenata koji koriste GNU/Linux OS (potreba nije velika), ali je njihov zadatak "snimljen".
UPD:
Taki je uspio započeti rad čarobnjaka nakon detaljnog proučavanja izvora. Do sada sam zapeo na dešifriranju kontejnera od Taxcoma, ali certifikati su već vidljivi. Radi samo na najnovijoj verziji CryptoPro 4. Počnite kao što je navedeno u nastavku. Ime reprezentacije ne igra ulogu, ali "unutar" 1C-EDKO je upravo ovako:
Polja su obavezna za validaciju Naziv programa I Vrsta programa. Naziv programa se odnosi na režim kompatibilnosti sa kriptografskim provajderom verzije 2.0, u beta verziji 4.0 naziv je nedostajao.
Glavni problem se krije ovdje: General->Common Modules->CryptographyEDCOServiceClient.GetCryptoProviders
IncomingParameters = ParametersToArray(1, OnlySupported);
Za Linux, uklonite jedan. Ili dodajte ček za CryptoPro verziju 3.9 i noviju:
Općenito->Opći moduli->KriptografijaEDKOClientServer.GetCryptoproviders.CryptoProviderCryptoPro
ime: Crypto-Pro GOST R 34.10-2001 KC1 CSP
za klijenta, ili
ime: Crypto-Pro GOST R 34.10-2001 KC2 CSP
za server.
Samo registrovani korisnici mogu učestvovati u anketi. Uđite, molim vas.
