Objavljeno 4. kolovoza. 2016, 10:55 od korisnika Vyacheslav Abisalov
Objavljeno 19. siječnja. 2016. u 04:51 od korisnika Vyacheslav Abisalov
Objavljeno 18. siječnja. 2016. u 08:22 od korisnika Vyacheslav Abisalov
Objavljeno 8. prosinca. 2015., 11:24 od korisnika Vyacheslav Abisalov
Objavljeno 6. prosinca. 2015., 13:49 od korisnika Vyacheslav Abisalov
U početku me na pisanje ovog članka potaknula rasprava u komentarima na. Kao što sam primijetio, pitanja razvoja licenciranja pomoću kriptografskih transformacija dovoljno su daleko za većinu 1C programera. Ipak, ova pitanja su vrlo važna, ili bolje drugačije - vitalna, ako se u jednom trenutku programer ne želi probuditi kao prekršilac saveznog zakona.
Mala "odricanje od odgovornosti" - ovaj članak je isključivo moje mišljenje i namijenjen je samo da skrene pozornost programera na postojeći problem.
Prvo da opišem tko sam:
- Primarni sam autor vrlo poznatog programa "CryptoArm" (www.trusted.ru). Razvio sam ovaj program 2003-2004, sam, od nule do verzije 2.5 uključujući. Od sredine 2004. nemam ništa s njom;
- Autor sam članka "Korištenje Crypto API-ja" (http://rsdn.ru/article/crypto/usingcryptoapi.xml), koji je napisan 2004. godine. Toplo preporučam da pročitate ovaj članak prije nego što pročitate sav sljedeći materijal.;
- Ja sam autor članka "ASN.1 jednostavnim riječima" (http://habrahabr.ru/post/150757/);
- Od 2005. godine aktivan sam sudionik najpopularnijeg foruma o korištenju kriptografije - Crypto-PRO foruma (http://www.cryptopro.ru/forum2/);
- Profesionalnu karijeru započeo je kao 1C programer. Radno iskustvo - više od 5 godina, certifikati za sve komponente 1C 7.7 stečeni su u razdoblju siječanj-veljača 2000.;
Dakle, prijeđimo sada na bit ovog članka. U posljednje vrijeme vrlo je popularna tema korištenja enkripcije i digitalnih potpisa (EDS). Mogućnosti za praktično korištenje kriptografskih transformacija ugrađene su u 1C. Međutim, dosta ljudi propušta jednu važnu točku - gotovo sva primijenjena rješenja koja koriste kriptografiju moraju se izvršavati isključivo uz FSB licencu. Prijeđimo sada na pravnu osnovu ovog pitanja.
Glavni dokument koji regulira djelatnosti u opisanom području je Savezni zakon "O licenciranju određenih vrsta djelatnosti". Evo izvoda iz ovog zakona:
Članak 12. Popis vrsta djelatnosti za koje su potrebne dozvole
1. U skladu s ovim Saveznim zakonom, sljedeće vrste djelatnosti podliježu licenciranju:
1) razvoj, proizvodnja, distribucija enkripcijskih (kriptografskih) sredstava, informacijskih sustava i telekomunikacijskih sustava, zaštićenih enkripcijskim (kriptografskim) sredstvima, obavljanje poslova, pružanje usluga u području šifriranja informacija, održavanje enkripcijskih (kriptografskih) sredstava, informacijski sustavi i telekomunikacijski sustavi zaštićeni enkripcijskim (kriptografskim) sredstvima (osim ako se održavanje enkripcijskih (kriptografskih) sredstava, informacijskih sustava i telekomunikacijskih sustava, zaštićenih enkripcijskim (kriptografskim) sredstvima, provodi radi zadovoljavanja vlastitih potreba pravne osobe ili individualni poduzetnik) ;
Kao detaljnije informacije o tome što se zapravo podrazumijeva pod ovim licenciranim vrstama djelatnosti, trebali biste upotrijebiti Uredbu Vlade Ruske Federacije "O ODOBRAVANJU PRAVILNIKA O LICENCIRNIM DJELATNOSTIMA ZA RAZVOJ, PROIZVODNJU, DISTRIBUCIJU KRIPTOGRAFSKIH (KRIPTOGRAFSKIH)" MEDIJI." Ispod je izvod iz ove izjave:
2. Enkripcijska (kriptografska) sredstva (sredstvo kriptografske zaštite informacija), uključujući dokumentaciju za ta sredstva, uključuju:
a) sredstva za šifriranje - hardverska, softverska i softverska i hardverska enkripcijska (kriptografska) sredstva koja implementiraju algoritme za kriptografsku transformaciju informacija kako bi im se ograničio pristup, uključujući tijekom pohrane, obrade i prijenosa;
b) sredstva za zaštitu od imitacije - hardverska, softverska i softverska i hardverska enkripcijska (kriptografska) sredstva (osim alata za šifriranje) koja implementiraju algoritme za kriptografsku transformaciju informacija kako bi ih zaštitili od nametanja lažnih informacija, uključujući zaštitu od izmjene, kako bi se osiguralo njegovu pouzdanost i nepopravljivost, kao i pružanje mogućnosti prepoznavanja promjena, oponašanja, krivotvorenja ili modifikacije informacija;
c) sredstva elektroničkog potpisa;
d) alati za kodiranje - alati za šifriranje u kojima se dio kriptografskih transformacija informacija provodi ručnim operacijama ili pomoću automatiziranih alata namijenjenih izvođenju takvih operacija;
e) sredstva za izradu ključnih dokumenata - hardverska, softverska, softverska i hardverska enkripcijska (kriptografska) sredstva koja daju mogućnost izrade ključnih dokumenata za šifriranje (kriptografska) sredstva koja nisu dio tih enkripcijskih (kriptografskih) sredstava;
f) ključni dokumenti - elektronički dokumenti na bilo kojem informacijskom mediju, kao i papirnati dokumenti koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korištenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripcijska (kriptografska) sredstva;
g) hardverska enkripcijska (kriptografska) sredstva - uređaji i njihove komponente, uključujući one koje sadrže ključne informacije, koje pružaju mogućnost transformacije informacija u skladu s algoritmima za transformaciju kriptografskih informacija bez korištenja programa za elektronička računala;
h) softverska enkripcijska (kriptografska) sredstva - programi za elektronička računala i njihove dijelove, uključujući one koji sadrže ključne informacije, koji pružaju mogućnost transformacije informacija u skladu s algoritmima za kriptografsku transformaciju informacija u softverska i hardverska enkripcijska (kriptografska) sredstva, informacijski sustavi i telekomunikacijski sustavi zaštićeni enkripcijskim (kriptografskim) sredstvima;
i) hardverska i softverska enkripcijska (kriptografska) sredstva - uređaji i njihove komponente (osim informacijskih sustava i telekomunikacijskih sustava), uključujući one koji sadrže ključne informacije, koji pružaju mogućnost transformacije informacija u skladu s algoritmima za kriptografsku transformaciju informacija korištenjem programa za elektronička računala, namijenjena za provedbu ovih transformacija informacija ili njihovog dijela.
Pa, sada ću vam reći što ovdje može prekršiti jednostavan 1C programer. Prvo, pri izradi konfiguracija koje koriste izradu elektroničkog digitalnog potpisa izravno se krši stavak "c)" gornje odredbe. Osim toga, prilikom kreiranja konfiguracija korištenjem enkripcije, krši se točka "d)", iako je to manje očito. Zaustavimo se na ovoj točki detaljnije.
Za početak, zamijenimo potpunu dešifriranje ovog koncepta iz točke "a)" umjesto definicije "sredstva šifriranja". Kao rezultat, dobivamo sljedeći tekst stavka "d)":
sredstva za kodiranje - hardverska, softverska i softverska i hardverska enkripcija (kriptografska) znači koja implementiraju algoritme za kriptografsku transformaciju informacija, u kojima se dio kriptografskih transformacija informacija provodi ručnim operacijama ili pomoću automatiziranih alata dizajniranih za izvođenje takvih operacija
Slažem se, ima puno slova, pa hajde da pojednostavimo ovu rečenicu i uklonimo nepotrebne stvari za nas:
Alati za kodiranje su softverski alati koji implementiraju algoritme za kriptografsku transformaciju informacija, u kojima se dio kriptografskih transformacija provodi pomoću automatiziranih alata dizajniranih za izvođenje takvih operacija.
To jest, ako program ima šifriranu datoteku kao svoj "izlaz", tada se njegova proizvodnja treba provoditi samo uz licencu FSB-a Ruske Federacije za razvoj šifriranja i kriptografskih sredstava.
Razmotrimo sada moguće prigovore na izjavu koju sam dao:
- "Pa, šifriram putem 1C, a kakve veze ima licenca s tim?"
- Jao, vi izrađujete "softverski alat" koji izvodi "kriptografske transformacije" koristeći "automatizirane alate dizajnirane za izvođenje takvih operacija". To je, naravno, koristite komponente treće strane (kriptografski pružatelj), kao i alat za kreiranje softvera treće strane (1C), ali to ne mijenja bit - zakon zahtijeva licenciranje procesa stvaranja "sfernog program u vakuumu" koji izvodi "sferne kriptografske transformacije u vakuumu";
- Opet, nažalost, ovo je greška. Razvoj kriptografskih pružatelja također je licencirana vrsta djelatnosti, ali samo ona spada pod točku "a)". Ali svi programi koji koriste funkcije kriptografskog davatelja moraju biti licencirani već pod točkom "d)";
Zaključno, dat ću poveznice na pitanja vezana uz licenciranje i postavljena na Crypto-PRO forumu. Među odgovorima je i korisnik "Yuri Maslov", koji je komercijalni direktor same tvrtke Crypto-PRO. Ova osoba licencira kriptografske proizvode više od 13 godina i jedan je od najautoritativnijih stručnjaka u ovom području:
A sada malo upozorenje: u stvarnosti, licenciranje je potrebno samo ako prodajete softver, odnosno poslujete. Ako napravite ovaj softverski alat za sebe i svoje poduzeće, onda to nadilazi Savezni zakon "O licenciranju određenih vrsta djelatnosti" (zbog nedostatka aktivnosti kao takvih).
Stoga napravite softver za kriptografsku konverziju koliko vam srce želi, ali budite oprezni.
Takav zadatak može se pojaviti, na primjer, u ovom slučaju: stručnjak za plaće formirao je odgovarajuće obrasce u programu na svom računalu, a sada ih treba poslati regulatornim tijelima. U ovom članku 1C metodolozi će pokazati kako prenijeti elektronički potpis i uslugu za podnošenje izvješća, na primjer, s računala glavnog računovođe na računalo na kojem se pripremaju izvješća koja zahtijevaju slanje regulatornim tijelima.
Izvještaj je pripremljen. Što učiniti ako ga trebate poslati regulatornim tijelima s računala na kojem nije instalirana usluga 1C-Reporting
Takav zadatak nastaje, na primjer, među korisnicima koji rade s programima putem Interneta - uostalom, izbor takvog načina rada često je diktiran željom ili potrebom za radom s 1C programima s različitih računala. Stoga, iz objektivnih razloga, takvi korisnici mogu imati situaciju koja zahtijeva brz prijenos elektroničkog potpisa i postavki za slanje izvješća s jednog računala na drugo.
Podsjetimo, 1C je napravio dosta posla na razvoju tehnološke platforme 1C: Enterprise 8, zbog čega ista konfiguracija može raditi i kao običan proizvod na korisničkom lokalnom računalu i koristiti kao usluga u oblaku. Zahvaljujući ovom tehnološkom napretku, postavke o kojima se govori u nastavku su neovisne o načinu korištenja programa.
U ovom članku bit će opisana postavka za računala koja se koriste za rad s programom "1C: Računovodstvo 8" putem Interneta. Konfiguracija za računala na kojima je ovaj program instaliran * potpuno je identična.
* Za više detalja o postavljanju 1C: Reporting, koji vam omogućuje slanje generiranih izvješća iz 1C: Enterprise 8, pogledajte broj 10 (listopad) "BUKH.1C" za 2012., str. 25.
Za sljedeći opis koristit ćemo notaciju:
- Računalo 1- računalo na kojem je konfigurirana usluga 1C-Reporting
- Računalo 2- računalo na koje je potrebno prenijeti "1C-Izvještavanje" i s kojeg je potrebno slati izvješća regulatornim tijelima.
Sekvenciranje
Za početak slanja izvješća sa Računalo 2 potrebno je (vidi sliku 1):
1. Prijenos na Računalo 2 S Računalo 1 ili vanjski medijski spremnik ključa za elektronički potpis.
2. Instalirajte na Računalo 2 kriptografski pružatelj (poseban sustav zaštite kriptografskih podataka - na primjer, CryptoPro ili VipNet).
3. Trčite dalje Računalo 2 postupak za automatsku konfiguraciju parametara tijeka rada
Riža. jedan
Sada pogledajmo pobliže svaki korak.
Prijenos ključa elektroničkog potpisa na računalo 2
Prelazimo na prvi korak - prijenos na Računalo 2 spremnik ključa za elektronički potpis. Redoslijed radnji ovisit će o tome gdje je ovaj spremnik pohranjen - na Računalo 1 ili na nekom vanjskom mediju (kao što je USB pogon).
Spremnik privatnog ključa generira se na Računalo 1 u trenutku slanja zahtjeva posebnom operateru za povezivanje s elektroničkim upravljanjem dokumentima (usluga 1C-Accountability). Korisnik bira gdje će pohraniti ovaj spremnik - na prijenosni medij, u skrivenu mapu sustava na tvrdom disku ili u registru sustava Windows. Potonje je moguće u slučaju korištenja davatelja šifriranja CryptoPro.
Ako je ključ na vanjskom mediju
Ako je spremnik ključeva spremljen na vanjski medij, tada se na njemu nalaze sve potrebne datoteke, a za instalaciju samo trebate spojiti ovaj uređaj na Računalo 2.
Ako je ključ spremljen u skrivenu mapu sustava na računalu 1
U tom slučaju, da se razjasni mjesto pohrane spremnika privatnog ključa i prenese potreban skup datoteka Računalo 2 učini sljedeće:
1. Idite na uređivanje organizacije u ime koje se podnosi izvješće i otvorite karticu Tijek dokumenata.
3. Dvaput kliknite lijevu tipku miša na željenu aplikaciju i na karticu Servisne informacije pronađite polje Put spremnika privatnog ključa.
4. Idite na mapu za pohranu spremnika, odaberite željeni spremnik i premjestite ga u bilo koju mapu Računalo 2, ili ga spremite na vanjski prijenosni medij.
U slučaju da u navedenoj mapi ne postoji jedna, već nekoliko datoteka, preporuča se odabrati i prenijeti u Računalo 2 upravo onu datoteku koja je nositelj privatnog ključa i certifikata dobivenog od posebnog operatera. Da biste odabrali željenu datoteku, samo usporedite njezin naziv s imenom navedenim u polju Put spremnika privatnog ključa(kao što je prikazano na slici 2).
Riža. 2
Pažnja!
Za prijenos spremnika, morat ćete navesti lozinku privatnog ključa koja je odabrana tijekom njegove registracije. Ako zaboravite ovu lozinku (na primjer, pomoću opcije zapamti lozinku), prijenos elektroničkog potpisa na drugo računalo bit će nemoguć. Morat ćete kontaktirati posebnog operatera i ponovno izdati elektronički potpis!
U slučaju da ne možete pronaći datoteku sa spremnikom ključeva na navedenom mjestu (to se može dogoditi, na primjer, ako prenesete elektronički potpis iz Računalo 2 na Računalo 3), da biste ga pronašli, trebate kontaktirati pružatelja šifriranja. Traženi put do korištenog spremnika ključeva mora biti naveden u postavkama davatelja šifriranja (vidi dolje). Ovdje treba imati na umu da se u postavkama pružatelja šifriranja može registrirati nekoliko spremnika ključeva (na primjer, ako koristite istog davatelja šifriranja kada radite u drugim programima). Tada će biti potrebno odabrati traženi spremnik, koji se može identificirati po prisutnosti certifikata u njemu koji je izdao certifikacijski centar na ime odgovorne osobe organizacije (vidi dolje).
Instaliranje pružatelja kriptografskih usluga na računalo 2
Prije prijenosa postavki elektroničkog potpisa na Računalo 2 potrebno je instalirati vanjsku kriptografsku komponentu (instalirat će se automatski kada počnete raditi s 1C-Reporting) i program kriptografskog provajdera.
Ovi procesi preuzimanja i instalacije (za besplatnog pružatelja šifriranja ViPNet CSP) detaljno su opisani u korisničkom priručniku 1C: Reporting Service u 1C: Računovodstvu 8 u informacijskom sustavu 1C: ITS (pogledajte http://its.1c.ru/ db / elreps # sadržaj: 26: 1).
Konfiguriranje ViPNet CSP kriptografskog davatelja na računalu 2
Nakon instaliranja softvera za šifriranje na Računalo 2 potrebno je registrirati ključ za elektronički potpis i potvrde dobivene od posebnog operatera. Razmotrimo odgovarajući slijed radnji na primjeru pružatelja šifriranja ViPNet CSP:
1. Pokrenite ViPNet CSP program.
2. Na kartici Kontejneri pomoću gumba Dodati početi registrirati ključeve elektroničkog potpisa.
3. Odredite put do mape na Računalo 2 ili na prijenosnom mediju koji sadrži datoteku sa spremnikom ključeva.
4. U otvorenom dijaloškom okviru Inicijalizacija ključnog spremnika provjerite u padajućem izborniku Naziv spremnika postoji samo jedan element (datoteka koja je kopirana iz Računalo 1).
5. Pritisnite tipku u redu.
6. Ako program traži lozinku za pristup spremniku ključeva (onom koji ste naveli prilikom kreiranja spremnika na Računalo 1), a zatim ga unesite u polje Zaporka.
7. Kao rezultat toga, odabrani spremnik ključeva bit će inicijaliziran i pojavit će se na popisu spremnika ViPNet CSP programa.
8. Odaberite instalirani spremnik i kliknite na Svojstva.
Imajte na umu da će se prilikom prvog prijenosa spremnika na ovo računalo instalacija certifikata pokrenuti automatski; u tom slučaju trebate preskočiti korak ručne instalacije.
9. Pritisnite tipku Potvrda.
10. U prozoru certifikata koji se otvori kliknite na Instalirajte certifikat.
11. Korištenje otvorenih Čarobnjak za instalaciju certifikata, instalirajte certifikat u spremište certifikata Osobno.
12. Na stranici Spreman za instalaciju potvrdni okvir za potvrdu Navedite spremnik s privatnim ključem a zatim, na zahtjev programa, unesite lozinku za svoj privatni EDS ključ (koju ste naveli prilikom registracije za Računalo 1).
13. Po završetku rada Gospodari, zatvorite konfiguracijski program davatelja šifriranja.
Nakon dovršetka ovog postupka, pružatelj kriptovaluta se uključuje Računalo 2 spreman za rad.
Automatska konfiguracija predaje izvješća na Računalu 2
Prije nego počnete slati izvješća regulatornim tijelima sa Računalo 2 potrebni certifikati bit će učitani na ovo računalo u automatskom načinu rada tijekom razmjene podataka s poslužiteljem posebnog operatera. U postupku njihovog dobivanja morat ćete potvrditi namjeru instaliranja svakog certifikata.
Navedena instalacija certifikata može se izvesti na Računalo 2 i ručno, za što biste trebali učiniti sljedeće:
1. Idite na uređivanje podataka organizacije za koju postavljate "1C-Izvještavanje" i otvorite karticu Tijek dokumenata.
3. U dijaloškom okviru koji se otvori kliknite gumb za uređivanje (s povećalom) desno od polja Račun tijeka rada.
4. Pritisnite tipku Konfiguriraj sada automatski(sl. 3). Aplikacija će započeti razmjenu podataka s poslužiteljem komunikacijskog operatera, pri čemu će se s nje preuzeti potrebni certifikati.
Riža. 3
5. Potvrdite svoju namjeru da instalirate svaki od certifikata u dijaloškim okvirima koji će se pojaviti tijekom preuzimanja.
6. Zatvorite dijaloške okvire i organizacijski obrazac.
Računalo 2 spremni za podnošenje izvještaja!
Slanje izvještaja pri radu u dva programa
Što ako trebate poslati izvješća iz programa "1C: Plaća i ljudski potencijali 8" Penzionom fondu Rusije ili Federalnom poreznom inspektoratu, dok se ostatak izvješća generira u programu "1C: Računovodstvo 8" i poslano izravno odande?
Budući da se veza na uslugu 1C-Reporting ostvaruje za organizaciju kao cjelinu, s stajališta plaćanja nije bitno hoće li se ova organizacija držati u jednom programu ili u dva. Ako su programi instalirani na različitim računalima, morate slijediti gore navedene korake. No, bez obzira na to jesu li programi sustava 1C: Enterprise 8 instalirani na istom računalu ili na različitim računalima, potrebno je napraviti dodatnu vezu.
Da biste to učinili, morate poslati aplikaciju s naznakom TIN-a, KPP-a, naziva organizacije za koju već postoji veza, naziva konfiguracije koja se razlikuje od one koja je već u bazi podataka.
Napominjemo da su Federalna porezna služba, FSS i Rosstat u tijeku dokumenata orijentirani na račune, tako da ih može biti nekoliko i možete slati različita izvješća u isto vrijeme koristeći različite račune. FIU, s druge strane, vodi evidenciju o registracijskom broju povezivanja ### - ### - ###### i certifikatu. Stoga je u odnosu na FIU potrebno ostaviti samo jedan račun.
Ukratko, preporučamo kada koristite dva programa - izdavanje računa za protok dokumenata s Federalnom poreznom službom, FSS-om i Rosstatom u "1C: Računovodstvo 8", te za tijek dokumenata s mirovinskim fondom Ruske Federacije, Federalnom poreznom službom i FSS u programu "1C: Plaća i upravljanje osobljem 8".
Dvije riječi, što je uopće EDS. Za potpisivanje i rad s datotekama koriste se dva ključa: privatni i javni. Privatni ključ je pohranjen na vašem tokenu i koristi se za potpisivanje ili šifriranje dokumenata. Javni ključ mora biti distribuiran svim korisnicima koji trebaju raditi s dokumentom koji ste potpisali. To se obično događa automatski kada je datoteka potpisana. Zatim, postoji datoteka koju moramo potpisati. Uz pomoć posebnog softvera, iz sadržaja datoteke i vašeg privatnog ključa stvara se jedinstveni niz znakova, nešto poput kontrolnog zbroja. Ova sekvenca je digitalni potpis. EDS je uvijek jedinstven za određenog korisnika i ovaj dokument. Potpis sadrži podatke o datumu potpisivanja dokumenta, potpisniku, kontrolnom zbroju za potpisani dokument i poveznicu ili samu datoteku javnog ključa. Potpis se može dodati u potpisanu datoteku ili spremiti kao zasebnu datoteku. Nas, naravno, zanima prva opcija.
Kao i uvijek, počeo sam rješavati problem proučavajući ono što je već bilo tamo. Postojalo je nekoliko modula kriptografije i digitalnog potpisa za 1C. Ali nisu se uklapali. U pravilu znaju potpisati ili XML datoteke, ili spremiti potpis i javni ključ u zasebnu datoteku. A na izlazu smo trebali dobiti potpisani PDF dokument koji se može jednostavno i zgodno pregledavati pomoću istog Adobe Acrobat Readera.
Drugo rješenje bilo je potražiti takozvane PDF pisače - programe koji mogu spremati bilo koji dokument kao PDF datoteku. Najprikladnijim rješenjem se pokazao BullZip PDF Printer (http://www.bullzip.com/products/pdf/download.php), koji u plaćenoj verziji ima funkciju potpisivanja generiranih dokumenata. Rješenje se, u principu, pojavilo, ali su se pojavili ozbiljni birokratski problemi s kupnjom, odobrenjem i instalacijom novog softvera na teritoriju poduzeća. Dok se dogovarala odluka, skrenuo sam pozornost na programski paket CRYPTO-PRO koji se u pravilu isporučuje i radi zajedno s EDS ključem.
Rješenje prvo, poluručno
Velika većina EDS ključeva se izdaje u obliku eToken ili Rutoken USB-modula. U mom slučaju, to je bio eToken. Tko ne zna, glavna razlika je u tome što eToken ima ugrađen hardverski kriptografski koprocesor. To znači da prilikom šifriranja podataka privatni ključ ne napušta token. U našem slučaju ta razlika nije bitna.Neću razmišljati o instaliranju upravljačkih programa za USB ključ. Obično ih isporučuje tijelo za izdavanje certifikata zajedno sa samim tokenima i instalacija ne uzrokuje probleme. Također, uz tokene, obično se isporučuju licenca za CRYPTO-PRO i CryptoPro CSP uslužni program. Koristio sam najnoviju verziju 3.9 koja je trenutno dostupna.
Tada je sve jednostavno. Pokrećemo CryptoPro CSP. Kartica Usluga, gumb Pregledajte certifikate u spremniku, kliknite Browse da odaberete token s kripto pohranom i odaberite pohranu koja nam je potrebna. Obično jedan token sadrži jednu pohranu.
Kliknite Dalje i otvorite prozor s informacijama o certifikatu kojem je ključ priložen. Čekamo gumb Instaliraj i instaliramo certifikat u Personal store za lokalnog korisnika. Obično je, zajedno s uslužnim programom CryptoPro CSP, u izborniku Start instaliran prečac za dodatak Certifikati. Pokrećemo snap-in, uvjeravamo se da je sve ispravno napravljeno i da je certifikat doista instaliran u odjeljku Osobno za trenutnog korisnika. 
Zatim desnom tipkom miša kliknite instalirani certifikat, Svi zadaci, Izvoz. Definitivno odbijamo izvoz privatnog ključa i spremanje certifikata negdje na lokalno računalo, na primjer, na desktop, u formatu datoteke X.509 (.CER) kodiranom u DER. Dodatno će nam trebati spremljeni certifikat da dovršimo potpis.
Posljednje što nam preostaje je preuzimanje CryptoPro PDF uslužnog programa s www.cryptopro.ru/downloads, kojim ćemo potpisivati PDF datoteke.
Rad uslužnog programa iznimno je jednostavan. Odaberite mapu u kojoj se nalaze PDF datoteke, odaberite mapu u koju će potpisane datoteke biti spremljene (ako je to ista mapa, u dodatnim postavkama morate označiti okvir "Prepiši datoteke s istim nazivima") odaberite certifikat iz kontejnera koji ćemo koristiti za potpise, unesite pin s ključa i, ako je sve ispravno, za nekoliko sekundi potpisane PDF datoteke će se pojaviti u odredišnoj mapi. Da bi EDS bio pravno priznat, po zakonu mora biti postavljen i vremenski žig, ali to mi nije bilo potrebno za zadatak.
Uglavnom, to je to! Ako imate malu organizaciju i nekoliko desetaka izvođača, onda ne možete učiniti ništa drugo i ostaviti sve u ručnom načinu rada. Osim toga, 1C nam uopće nije trebao, dokumenti u PDF formatu mogu se kreirati na mnogo načina, uključujući i iz Microsoft Officea.
Dugo nisam mogao shvatiti zašto potpis ne radi i daje grešku. Pokazalo se da za uspješno funkcioniranje uslužnog programa CryptoPro PDF, Adobe Acrobat Pro (ne Reader, to je važno!). Uz njegovu pomoć uslužni program mijenja PDF datoteke i dodaje im potpis.
Primjer potpisane datoteke na slici. Izgleda kao običan PDF, samo kartica Potpisi sadrži informacije o potpisniku. Od bitnih je naznačeno tko je potpisao dokumente (obično je to puni naziv i naziv organizacije) te da se dokument nije mijenjao od trenutka potpisivanja. Informacije da certifikat nije pouzdan mogu se zanemariti. To samo znači da Adobe i njegov Acrobat Reader proizvod ne znaju ništa o vašem certifikatu. 
Rješenje drugo, automatsko
Kao što sam gore napisao, u mom slučaju ručno rješenje nije radilo. Postoji mnogo kontrastranaka, za svaku od njih mjesečno se stvara nekoliko desetaka dokumenata. Sve ih je potrebno spremiti u PDF, potpisati, poslati jednim pismom. Kako bismo riješili problem, odlučili smo modificirati i koristiti obradu “Batch obrada referentnih knjiga i dokumenata”, koja je standardna za mnoge konfiguracije. Za najpopularnije konfiguracije, ova obrada je ili uključena u samu konfiguraciju, ili se može naći kao vanjska na ITS disku.Obrada već zna ispisati odabrane dokumente. U najnovijim verzijama platforme pojavio se standardni mehanizam za spremanje ispisanih obrazaca kao PDF datoteka. Ostaje spojiti ova dva mehanizma i spremiti dokumente koje je korisnik odabrao u mapu na lokalnom računalu, a zatim pokrenuti naredbeni redak i pokrenuti CryptoPro PDF uslužni program za izvršenje potpisa.
Dio sučelja je malo poboljšan. Rad s priručnicima uklonjen je iz obrade. U sučelju smo ostavili 4 vrste dokumenata koje je potrebno poslati. Promijenjen sustav odabira. Izrađen novi registar podataka o postavkama EDS-a. Za svakog korisnika pohranjuje informacije o putu duž kojeg se CryptoPro PDF nalazi na lokalnom računalu, mape za privremenu pohranu datoteka te certifikat koji će se koristiti za potpisivanje. Tražili su i spremanje PIN-a s ključa, ali to nismo učinili iz sigurnosnih razloga.
Da bi automatizacija bila potpuno potpuna, morao sam oživjeti modul e-pošte u 1C. Tada je sve jednostavno. Operater jednom mjesečno odabire popis izvođača i vrste dokumenata za slanje, provjerava rezultat odabira, klikne gumb Izvrši, unese PIN kod s ključa i čeka... U mom slučaju formiranje paket dokumenata može potrajati nekoliko sati.
Obrada grupira odabrane dokumente prema ugovornim stranama, zatim petlja kroz svaku drugu stranu, odabire sve njene dokumente, sprema ih kao PDF datoteke na disk, pokreće CryptoPro PDF uslužni program iz naredbenog retka, potpisuje spremljene dokumente, stvara dokument e-pošte s podacima za kontakt iz imenika ugovornih strana , kao privitak, prilaže potpisane dokumente iz mape na disku, pretvara pismo u status za slanje i ide sljedećoj drugoj ugovornoj strani. Pisma se šalju planiranim zadatkom svakih 10 minuta. Tretman se može ostaviti preko noći. Nastali problemi će biti korektno obrađeni, a u jutarnjim satima korisnik će vidjeti dnevnik grešaka i zapisnik poslanih mailova.
Radi praktičnosti, dat ću dio koda koji izvodi samu proceduru potpisivanja. Svi parametri se preuzimaju iz kreiranog informacijskog registra.
ArrayInbox = FindFiles (DirectoryInbox, "* .pdf", False); NumberFilesInbox = NizInbox.Broj (); Izvješće ("Pronađeno" + Broj dolaznih datoteka + "datoteke za potpisivanje."); Naredbeni red = FileNameCryptoPro + "znak" + "--in-dir =" "" + DirectoryIncoming + "" "" + "--out-dir =" "" + DirectoryOutgoing + "" "" + "--report- dir = "" "+ DirectoryLogs +" "" "+" --err-dir = "" "+ DirectoryErrors +" "" "+" --certificate = "" "+ CertificateFileName +" "" "+" -- pin = "" "+ Pincode +" "" "+" --overwrite-files "; RunApplication (naredbeni redak, "", istina); Odlazni niz = FindFiles (Odlazni imenik, "* .pdf", False); NumberFilesOutbox = ArrayOutbox.Broj (); Izvješće ("Potpisano" + Broj odlaznih datoteka + "datoteke.");
Pozdrav Giktimes, danas ćemo govoriti o nekim, ali zapravo jednom velikom problemu podnošenja elektroničkog izvješćivanja u GNU/Linux sustavu.
Pitanje podnošenja elektroničkog izvješćivanja iz Linux OS-a dugo se raspravlja i na Habré / Giktimeu, i na tematskim forumima - Mista, Ubuntu, LOR, CryptoPro i forum tehničke podrške 1C: ITS. Ukratko, u ovom trenutku postoje dva rješenja - ili koristiti CEP u oblaku i slati izvješća putem preglednika ili koristiti namjenski / virtualni stroj s instaliranim Windowsom (čak i probnu verziju) za podnošenje izvješća. Mogućnost podnošenja izvješća pomoću specijaliziranih komunalnih usluga koje pružaju vlasti (FTS, mirovinski fond, FSS, Rosstat, FSRAR) moguća je samo kada se koristi [e-mail zaštićen], što je, zapravo, i štaka (jer su nam potrebne DVIJE licence za CryptoPro alate za kriptografsku zaštitu informacija – za Windows i Linux).
Nije tajna da nema toliko programa za GNU / Linux OS za računovodstvo: Ananas (koji sada počiva u miru), ukrajinski Debit + (za koji modul podrške za rusko zakonodavstvo već nije ažuriran, Ktulu zna kako mnogo) i 1C računovodstvo ... To se odnosi na izvorne aplikacije. Od svega navedenog, samo je 1C u trenutku pisanja ovog teksta uključen u državni registar domaćeg softvera i sadrži mehanizme za pripremu i podnošenje izvješća u elektroničkom obliku putem posebnih operatera za upravljanje elektroničkim dokumentima. Usput, nema mnogo operatera koje podržava 1C računovodstvo: ZAO Kaluga-Astral (programer podsustava 1C-Izvještavanje), OOO Taxcom, OOO NPF Forus i mitski "Operator drugog toka dokumenata".
Nažalost, podnošenje izvješća iz 1C prepuna je brojnih poteškoća s kojima se običan (pa čak i iskusni) administrator sustava može suočiti. Naravno, pobliže ćemo se osvrnuti na te probleme i kako ih riješiti.
Prvi problem s kojim se susrećemo je zaštita kriptografskih informacija. Ne, ne njihova odsutnost, oni jesu. Za Linux postoji nekoliko certificiranih alata za zaštitu kriptografskih podataka (s GOST podrškom) dostupnih za instalaciju i koji se koriste u različitim podsustavima. U trenutku pisanja ovog teksta, ovo su sljedeći SKZI, ispravite me ako nešto propuštam:
- VipNet
Još jedan certificirani alat za zaštitu kriptografskih informacija, čija je podrška u početku prisutna u 1C. Dostupno u beta verziji za i686 i amd64 arhitekture. Nažalost, osim samog sustava kriptografske zaštite informacija, nemaju druge proizvode za Linux, a s njim je nemoguć punopravni rad na portalima i platformama za trgovanje.
CryptoCom
Ovaj CIPF je dostupan za platforme i686 i amd64, koristi se uglavnom u sustavima internetskog bankarstva, posebno u sustavu iBank (koji koriste mnoge banke kao što su Gazprombank, UBRIR, Alfa, itd.).
Lissi CSP
Jedan od postojećih alata za zaštitu kriptografskih informacija, koji osim samog alata za zaštitu kriptografskih informacija, nudi verzije preglednika Mozilla Firefox i klijenta pošte Mozilla Thunderbird s podrškom za algoritme šifriranja i elektroničke digitalne potpise obitelji GOST. Nažalost, podržava samo i686 platformu, SKZI kompatibilnost s ruToken drajverom nije se mogla provjeriti, iako to tvrdi proizvođač. Međutim, proširenje za Mozilla proizvode redovito vidi certifikate i omogućuje potpisivanje, šifriranje i dvosmjernu HTTPS provjeru autentičnosti pomoću GOST algoritama. Nisam testirao kompatibilnost s 1C.
Ipak, proizvod je sasvim pristojan ako koristite 32-bitnu verziju sustava. Vrijedno je zapamtiti da u ovom slučaju nijedna aplikacija neće moći dodijeliti više od 3 GB memorije po procesu. Neke aplikacije, kao što je DBMS, mogu se snaći sa shmem trikom i koristiti do 64 GB memorije dodjeljivanjem jednog procesa za svaku sesiju, ali 1C računovodstvo ne koristi ovu tehnologiju i ne bih preporučio instaliranje poslužitelja na 32 -bit arhitektura s ovim kriptografskim sustavom zaštite informacija.
CryptoPro CSP
Zapravo, dosad jedino end-to-end rješenje za Linux za rad s elektroničkim potpisom i enkripcijom. Dostupno za i686, amd64, armhf (uključujući android), PowerPC platforme. Da ne spominjemo da imaju verzije za Solaris (i686, amd64, sparc), AIX, FreeBSD, OSX i iOS. Začudo (sarkazam), mnoga državna tijela službeno preporučuju upravo CryptoPro za interakciju i elektroničko upravljanje dokumentima. Licence za CryptoPro često su uključene kao dio EDS ključa i kao dio sveobuhvatnog ugovora o usluzi za podnošenje izvješća. Moj izbor je bio nedvosmislen u korist ovog CIPF-a. Nedostaci uključuju relativnu složenost instalacije na sustavima koji nisu RHEL / SLES i greške koje se susreću pri sklapanju softverskih paketa (nije dopušteno uvezeni simboli i izvezene funkcije s prekinutim ovisnostima). U većini slučajeva ovi nedostaci korisniku nisu vidljivi, jer ove su funkcije namijenjene za rad različitih knjižnica unutar CryptoPro-a i automatski se rješavaju kada ih prvi put pozove jezgra OS-a (potrebne knjižnice su već učitane u adresnom prostoru aplikacije). Drugi nedostatak je nedostatak klijenta e-pošte ako je predstavljen CryptoFox preglednik, ali je CryptoPro odbio podržati Thunderbird. Moramo odati priznanje što su s njihove strane aktivno pokušavali unijeti izmjene u radnu verziju NSS-a kako bi podržali GOST, ali stvari još uvijek postoje. Ako bi promjene bile prihvaćene, GOST podrška bi se pojavila u svim preglednicima i aplikacijama koje koriste NSS, kao što su Open/LibreOffice, Mozilla proizvodi, Nautilus/Nemo, Thunar, XCA i drugi programi.
Iz očitih razloga odabrana je kriptografska zaštita CryptoPro, na kojoj ćemo se detaljnije zadržati.
Prvo, za Linux platformu ne postoji CryptoARM aplikacija, poznata mnogima, za potpisivanje dokumenata. Međutim, možete koristiti uslužne programe naredbenog retka za stvaranje priloženog i odvojenog potpisa. Za izradu i provjeru odvojenog digitalnog potpisa, kreirao sam dvije skripte - potpišite i potvrdite. Tekst skripti je dat u nastavku, slažem se da su pomalo hrskave, ali napisan je u žurbi, a u to vrijeme beta verzija CryptoPro 4.0 se ponašala čudno, kada izravno prenosi putove do potpisanih i izlaznih datoteka.
znak
#! / bin / sh DIR = `dirname $ 1` / opt / cprocsp / bin / amd64 / cryptcp -signf $ 2 $ 3 -cert -der -norev" $ 1 "mv" $ 1.sgn "" $ 1. p7s "
provjeriti
#! / bin / sh DIR = `dirname $ 1` cp" $ 1.p7s "" $ 1.sgn "/ opt / cprocsp / bin / amd64 / cryptcp -vsignf -der -norev" $ 1 "rm" 1 $ .sgn "
Drugo, i to je vrlo važno, imamo sljedeću sliku. u 1C računovodstvu, standardne postavke za rad s kriptografskim alatima za zaštitu informacija CryptoPro dane su za verziju 3.6. Stara verzija CryptoFoxa radi s verzijom 3.6. Tu prestaju prednosti i počinje glavobolja. Stara verzija CryptoFoxa ne prikazuje niti jednu modernu web stranicu, čak se negdje šulja i portal porezne uprave. Prilikom pokušaja instaliranja ~ svježe ~ trenutne verzije CryptoFoxa 31, ona pada u koru (greška segmentacije) pri ulasku na bilo koju stranicu koja zahtijeva HTTPS s GOST algoritmom. Ponekad se ruši čak i kada je uključen CryptoPro Browser Plugin. Inače, to je također vrlo stara verzija, koja podržava samo potpis, ali ne i enkripciju i radi samo s NPAPI.
S verzijom 3.9 situacija je još zabavnija - 1C to više ne vidi, ali CryptoFox i dalje pada, i sa starim i sa novim.
Verzija 4.0, naprotiv, ne vidi 1C, ali se s njim pokreće CryptoPro Browser Plugin 2.0, radi ulaz na državna web-mjesta s CryptoFoxa (oni su zasebna tema, a ako rastavite rad iz GNU / Linux OS-a s njima će biti dovoljno materijala za još jedan članak) ... Problem je prisiliti instalirani CIPF da vidi 1Sku. Općenito, problem nije toliko ozbiljan, može se riješiti u doslovno petnaestak sekundi, ali je trebalo cijeli tjedan da se samo rješenje pronađe uz tehničku podršku CryptoPro (i vrati me 1C podrškom za upute u ITS-u). Na kraju je problem riješen sam od sebe, a rješenje je na kraju objavljeno na CryptoPro forumu. Metodologija rješavanja problema za budućnost:
- Da bismo dobili naziv kriptografskog davatelja i njegovu vrstu, moramo se pozvati na uslužni program CryptoPro. Najlakši način da dobijete ove informacije je navođenjem instaliranih certifikata:
U 1C računovodstvu moguće je dodati proizvoljnog davatelja šifriranja. Upotrijebimo ovaj mehanizam, dodajmo novog davatelja enkripcije i nazovimo ga, recimo "CryptoPro CSP 4.0".
- Navodimo sljedeće podatke:
- Spremite pružatelja kriptovaluta i navedite put do biblioteke: /opt/cprocsp/lib/amd64/libcapi20.so
Gotovo, 1C sada vidi instaliranog pružatelja kriptovaluta. Čini se - sve, možete pokazati kroz dodavanje certifikata i postavljanje izvješćivanja, ali to nije bio slučaj. Mala bijela sibirska lisička došuljala nam se odakle nismo očekivali - od samih 1C programera. Povijesno se dogodilo da podsustav za elektroničko upravljanje dokumentima, 1C-izvještavanje, 1C jezgru i konfiguracije pišu različiti ljudi, pa čak i različite tvrtke. Prilikom izrade konfiguracija s funkcijom 1C-Reporting za 1C 8.3, na primjer "Enterprise Accounting 3.0", programeri su, bez oklijevanja, premjestili cijeli EDCO podsustav "kako jest", bez promjena, zbog čega dobivamo paradoks. Sam računovodstveni odjel 1C vidi CIPF, vidi certifikate, dopušta njihovu instalaciju, potpisivanje i šifriranje bilo kojih dokumenata, ali u isto vrijeme sustav za elektroničko upravljanje dokumentima (stara verzija) ne vidi niti jedan instalirani certifikat, te stoga ne može čak ni primiti početnu konfiguraciju od operatera tijeka dokumenata - jednostavno je nema što dešifrirati. Umjesto dešifriranja postoji, ali podsustav EDCO koristi vlastiti mehanizam za rad s alatima za zaštitu kriptografskih podataka, koristeći vanjsku komponentu (samo za Windows) i ne zna ništa o postojanju ugrađenih mehanizama za rad s kriptografskom zaštitom podataka alate, koje koristi sam 1C unutar konfiguracije.
Ipak, EDCO podsustav (ne smije se brkati s EDCO) s drugim stranama vidi sve trenutne certifikate i omogućuje vam povezivanje sa sustavom za elektroničko upravljanje dokumentima. Ali ne podnošenje izvješća.
Za Linux postoji ograničenje izravnog rada konfiguracije Client-EDO, s vanjskom konfiguracijskom bazom, a za to vam je potreban radni 1C poslužitelj. Budući da osnovne verzije konfiguracija ne dopuštaju korištenje opcije klijent-poslužitelj za 1C implementaciju, integracija Client-EDM-a i računovodstva u Linuxu nije moguća za takve konfiguracije, radit će samo za one potpuno funkcionalne. U većini konfiguracija možete omogućiti razmjenu s drugim stranama i to će raditi, unatoč tome što 1C-Izvještavanje ne radi.
Ako otvorimo konfigurator i omogućimo način otklanjanja pogrešaka, vidjet ćemo sljedeću sliku:
1C-Obrasci za izvješćivanje koriste Općenito-> Općenito moduli-> Kriptografija
Ista funkcionalnost za rad s elektroničkim digitalnim potpisom i enkripcijom (bez funkcionalnosti razmjene transportnih kontejnera putem elektroničkih komunikacijskih kanala) implementirana je u Općenito-> GeneralModules-> ElectronicSignatureClient, koji uzima u obzir rad u OS-u obitelji Linux i ispravno učitava vanjsku komponentu za rad s XMLDSigom, dakle i modul pružatelja kriptografskih usluga. Ova knjižnica ispravno vidi sve certifikate, omogućuje potpisivanje i šifriranje dokumenata, sadrži funkcije za rad i s objektima u memoriji i s datotekama na tvrdom disku. Ova knjižnica se koristi u svim standardnim mehanizmima za rad s EDS-om unutar 1C, osim u 1C-Izvještajnom podsustavu (EDCO).
Odnosno, za implementaciju rada podsustava 1C EDCO, dovoljno je prepisati ili obrasce 1C-izvještavanja kako bi se koristili ugrađeni mehanizmi ili preopteretiti kriptografski EDCOClient, da ne koristi vanjsku komponentu, već da preusmjeri poziva na rad s certifikatima, EDS-om i enkripcijom ugrađenom klijentu za rad s kriptografskim alatima za zaštitu podataka.
Komunikacija s tehničkom podrškom 1C dala je samo odgovor da su svjesni ovog problema, ali premalo je klijenata koji koriste GNU/Linux OS (potreba nije rasprostranjena), ali im je zadatak "napisan".
UPD:
Taki je uspio započeti rad čarobnjaka nakon detaljnog proučavanja izvornog koda. Zasad sam zapeo na dešifriranju kontejnera iz Taxcoma, ali certifikati se već vide. Radi samo na najnovijoj verziji CryptoPro 4. Počnite kako je opisano u nastavku. Naziv prezentacije ne igra ulogu, ali "unutar" 1C-EDCO je upravo ovako:
Za provjeru valjanosti potrebna su polja Naziv programa i Vrsta programa... Naziv programa odnosi se na način kompatibilnosti s verzijom davatelja šifriranja 2.0, u beta verziji 4.0 naziv je izostao.
Ovdje se krije glavni problem: Općenito-> Opći moduli-> Kriptografija
IncomingParameters = ParametersInArray (1, samo podržano);
Uklonite 1 za Linux. Ili dodajte ček za CryptoPro 3.9 i novije verzije:
Općenito-> Opći moduli-> KriptografijaEDCOClientServer.GetCryptoProviders.CryptoPro
Ime: Crypto-Pro GOST R 34.10-2001 KC1 CSP
za klijenta, ili
Ime: Crypto-Pro GOST R 34.10-2001 KC2 CSP
za poslužitelj.
U anketi mogu sudjelovati samo registrirani korisnici. Uđi, molim te.
