Inserito il 4 agosto 2016, 10:55 dall'utente Vyacheslav Abisalov
Inserito il 19 gennaio 2016 alle 04:51 dall'utente Vyacheslav Abisalov
Inserito il 18 gennaio 2016 alle 08:22 dall'utente Vyacheslav Abisalov
Inserito l'8 dic. 2015, 11:24 dall'utente Vyacheslav Abisalov
Inserito il 6 dic. 2015, 13:49 dall'utente Vyacheslav Abisalov
Inizialmente, mi è stato chiesto di scrivere questo articolo dalla discussione nei commenti a. Come ho notato, i problemi degli sviluppi di licenza che utilizzano le trasformazioni crittografiche sono abbastanza lontani per la maggior parte degli sviluppatori 1C. Tuttavia, queste domande sono molto importanti, o meglio, vitali, se a un certo punto lo sviluppatore non vuole svegliarsi come un violatore della legge federale.
Piccolo "disclaimer": questo articolo è puramente la mia opinione e ha lo scopo solo di attirare l'attenzione degli sviluppatori sul problema esistente.
Per prima cosa, lascia che ti descriva chi sono:
- Sono l'autore principale del famosissimo programma "CryptoArm" (www.trusted.ru). Ho sviluppato questo programma nel 2003-2004, da solo, da zero alla versione 2.5 inclusa. Dalla metà del 2004 non ho più niente a che fare con lei;
- Sono l'autore dell'articolo "Using the Crypto API" (http://rsdn.ru/article/crypto/usingcryptoapi.xml), scritto nel 2004. Consiglio vivamente di leggere questo articolo prima di leggere tutto il materiale seguente.;
- Sono l'autore dell'articolo "ASN.1 in parole semplici" (http://habrahabr.ru/post/150757/);
- Dal 2005, partecipo attivamente al forum più popolare sull'uso della crittografia: il forum Crypto-PRO (http://www.cryptopro.ru/forum2/);
- Ha iniziato la sua carriera professionale come programmatore 1C. Esperienza lavorativa - più di 5 anni, i certificati per tutti i componenti 1C 7.7 sono stati ottenuti nel gennaio-febbraio 2000;
Quindi, ora passiamo all'essenza di questo articolo. Di recente, l'argomento dell'utilizzo della crittografia e delle firme digitali (EDS) è diventato molto popolare. Le possibilità per un comodo utilizzo delle trasformazioni crittografiche sono integrate in 1C. Tuttavia, molte persone tralasciano un punto importante: quasi tutte le soluzioni applicate che utilizzano la crittografia devono essere eseguite esclusivamente con una licenza FSB. Passiamo ora alla base giuridica di questo problema.
Il documento principale che regola le attività nell'area descritta è la legge federale "Sulla licenza di determinati tipi di attività". Ecco un estratto di questa legge:
Articolo 12. Elenco dei tipi di attività per le quali sono richieste licenze
1. Ai sensi della presente legge federale, sono soggetti a licenza i seguenti tipi di attività:
1) sviluppo, produzione, distribuzione di mezzi di cifratura (crittografici), sistemi informativi e sistemi di telecomunicazione, protetti mediante mezzi di cifratura (crittografici), esecuzione di lavori, fornitura di servizi nel campo della cifratura delle informazioni, manutenzione di mezzi di cifratura (crittografici), sistemi informativi e sistemi di telecomunicazione protetti mediante mezzi di cifratura (crittografici) (a meno che il mantenimento di mezzi di cifratura (crittografici), sistemi di informazione e sistemi di telecomunicazione, protetti mediante mezzi di cifratura (crittografici), sia effettuato per soddisfare le proprie esigenze di una persona giuridica o imprenditore individuale);
Per informazioni più dettagliate su cosa si intende effettivamente per questi tipi di attività autorizzate, è necessario utilizzare il decreto del governo della Federazione Russa "SULL'APPROVAZIONE DEL REGOLAMENTO SULLA LICENZA DELLE ATTIVITÀ PER LO SVILUPPO, LA PRODUZIONE, LA DISTRIBUZIONE DELLA CRITTOGRAFIA (CRIPTOGRAMICA) MEDIA." Di seguito un estratto di questa dichiarazione:
2. I mezzi di crittografia (crittografici) (mezzi di protezione crittografica delle informazioni), compresa la documentazione per questi mezzi, includono:
a) mezzi di crittografia - hardware, software e software e crittografia hardware (crittografica) significa che implementano algoritmi per la trasformazione crittografica delle informazioni per limitarne l'accesso, anche durante la loro memorizzazione, elaborazione e trasmissione;
b) mezzi di protezione dall'imitazione: hardware, software e software e crittografia hardware (crittografica) mezzi (ad eccezione degli strumenti di crittografia) che implementano algoritmi per la trasformazione crittografica delle informazioni per proteggerle dall'imposizione di informazioni false, compresa la protezione dalla modifica, per garantire la sua affidabilità e incorreggibilità, oltre a fornire la capacità di identificare cambiamenti, imitazioni, falsificazioni o modifiche delle informazioni;
c) mezzi di firma elettronica;
d) strumenti di codifica - strumenti di cifratura in cui parte delle trasformazioni crittografiche delle informazioni è effettuata mediante operazioni manuali o mediante strumenti automatizzati atti a compiere tali operazioni;
e) mezzi per la produzione di documenti chiave - mezzi di crittografia hardware, software, software e hardware (crittografici) che forniscono la capacità di produrre documenti chiave per mezzi di crittografia (crittografici) che non fanno parte di tali mezzi di crittografia (crittografici);
f) documenti chiave - documenti elettronici su qualsiasi supporto informatico, nonché documenti cartacei contenenti informazioni chiave di accesso limitato per la trasformazione crittografica delle informazioni utilizzando algoritmi per la trasformazione crittografica delle informazioni (chiave crittografica) in mezzi crittografici (crittografici);
g) mezzi di crittografia hardware (crittografici) - dispositivi e loro componenti, compresi quelli contenenti informazioni chiave, che forniscono la capacità di trasformare le informazioni secondo algoritmi per la trasformazione delle informazioni crittografiche senza utilizzare programmi per computer elettronici;
h) mezzi di crittografia software (crittografici): programmi per computer elettronici e loro parti, compresi quelli contenenti informazioni chiave, che forniscono la capacità di trasformare informazioni in conformità con algoritmi per la trasformazione crittografica di informazioni in mezzi di crittografia (crittografici) software e hardware, sistemi informativi e sistemi di telecomunicazione protetti mediante mezzi di cifratura (crittografici);
i) mezzi di crittografia hardware e software (crittografici) - dispositivi e loro componenti (ad eccezione dei sistemi informativi e dei sistemi di telecomunicazione), compresi quelli contenenti informazioni chiave, che forniscono la capacità di trasformare le informazioni secondo algoritmi per la trasformazione delle informazioni crittografiche utilizzando programmi per elaboratori elettronici, destinati all'attuazione di tali trasformazioni di informazioni o di parte di esse.
Bene, ora ti dirò cosa può essere violato qui da un semplice programmatore 1C. In primo luogo, quando si creano configurazioni che prevedono la creazione di una firma digitale elettronica, il paragrafo "c)" della disposizione di cui sopra è direttamente violato. Inoltre, quando si creano configurazioni utilizzando la crittografia, viene violato il punto "d)", sebbene ciò sia meno ovvio. Soffermiamoci su questo punto in modo più dettagliato.
Per cominciare, sostituiamo la decrittazione completa di questo concetto dal punto "a)" invece della definizione di "mezzi di crittografia". Di conseguenza, otteniamo il seguente testo del paragrafo "d)":
mezzi di codifica - hardware, software e software e crittografia hardware (crittografica) significa che implementano algoritmi per la trasformazione crittografica delle informazioni, in cui parte delle trasformazioni crittografiche delle informazioni viene eseguita utilizzando operazioni manuali o utilizzando strumenti automatizzati progettati per eseguire tali operazioni
Sono d'accordo, ci sono molte lettere, quindi semplifichiamo questa frase e rimuoviamo le cose non necessarie per noi:
Gli strumenti di codifica sono strumenti software che implementano algoritmi per la trasformazione crittografica delle informazioni, in cui parte delle trasformazioni crittografiche viene eseguita utilizzando strumenti automatizzati progettati per eseguire tali operazioni.
Cioè, se il programma ha un file crittografato come "output", la sua produzione dovrebbe essere effettuata solo con una licenza dell'FSB della Federazione Russa per lo sviluppo di crittografia e mezzi crittografici.
Ora discutiamo le possibili obiezioni alla dichiarazione che ho fatto:
- "Beh, io critto con 1C, e cosa c'entra la licenza?"
- Ahimè, stai realizzando uno "strumento software" che esegue "trasformazioni crittografiche" utilizzando "strumenti automatizzati progettati per eseguire tali operazioni". Cioè, ovviamente, utilizzi componenti di terze parti (provider crittografico), nonché uno strumento di creazione di software di terze parti (1C), ma ciò non cambia l'essenza: la legge richiede la licenza del processo di creazione di un "sferico programma nel vuoto" che esegue "trasformazioni crittografiche sferiche nel vuoto";
- Di nuovo, ahimè, questo è un errore. Anche lo sviluppo di provider crittografici è un tipo di attività su licenza, ma rientra solo nella voce "a)". Ma tutti i programmi che utilizzano le funzioni di un provider crittografico devono essere già concessi in licenza al punto "d)";
In conclusione, fornirò collegamenti a domande relative alla licenza e poste sul forum Crypto-PRO. Le risposte includono l'utente "Yuri Maslov", che è il direttore commerciale della stessa società Crypto-PRO. Questa persona concede in licenza prodotti crittografici da oltre 13 anni ed è uno dei più autorevoli esperti in questo settore:
E ora un piccolo avvertimento: in realtà, la licenza è necessaria solo se vendi software, cioè fai affari. Se crei questo strumento software per te e la tua azienda, questo va oltre la legge federale "Sulla concessione di licenze per determinati tipi di attività" (a causa della mancanza di attività in quanto tali).
Quindi crea un software di conversione crittografica tanto quanto il tuo cuore desidera, ma per favore fai attenzione.
Tale compito può sorgere, ad esempio, in questo caso: uno specialista degli stipendi ha formato i moduli appropriati nel programma sul suo computer e ora devono essere inviati alle autorità di regolamentazione. In questo articolo, i metodologi 1C mostreranno come trasferire una firma elettronica e un servizio per l'invio di rapporti, ad esempio, dal computer del capo contabile a un computer su cui vengono preparati i rapporti che richiedono l'invio alle autorità di regolamentazione.
La relazione è stata preparata. Cosa fare se è necessario inviarlo alle autorità di regolamentazione da un computer su cui non è installato il servizio 1C-Reporting
Tale compito sorge, ad esempio, tra gli utenti che lavorano con programmi via Internet - dopotutto, la scelta di tale modalità è spesso dettata dal desiderio o dalla necessità di lavorare con programmi 1C da computer diversi. Pertanto, per ragioni oggettive, tali utenti potrebbero trovarsi in una situazione che richiede il tempestivo trasferimento della firma elettronica e delle impostazioni per l'invio di report da un computer all'altro.
Ricordiamo che 1C ha lavorato molto sullo sviluppo della piattaforma tecnologica 1C: Enterprise 8, per cui la stessa configurazione può funzionare sia come un normale prodotto sul computer locale dell'utente sia come servizio cloud. Grazie a questo progresso tecnologico, le impostazioni discusse di seguito sono indipendenti dalla modalità di utilizzo del programma.
In questo articolo verrà descritta l'impostazione per i computer utilizzati per lavorare con il programma "1C: Accounting 8" tramite Internet. La configurazione per i computer su cui è installato questo programma * è completamente identica.
* Per maggiori dettagli sulla configurazione di 1C: Reporting, che consente di inviare report generati da 1C: Enterprise 8, leggere nel numero 10 (ottobre) "BUKH.1C" per il 2012, pagina 25.
Per la seguente descrizione utilizzeremo la notazione:
- Computer 1- il computer su cui è configurato il servizio 1C-Reporting
- Computer 2- un computer a cui è necessario trasferire "1C-Reporting" e dal quale è necessario inviare segnalazioni alle autorità di regolamentazione.
Sequenziamento
Per iniziare a inviare segnalazioni con Computer 2è necessario (vedi fig. 1):
1. Trasferimento a Computer 2 Con Computer 1 o contenitore multimediale esterno della chiave di firma elettronica.
2. Installa su Computer 2 un provider crittografico (un sistema speciale di protezione dei dati crittografici, ad esempio CryptoPro o VipNet).
3. Corri su Computer 2 procedura per la configurazione automatica dei parametri del flusso di lavoro
Riso. uno
Ora diamo un'occhiata più da vicino a ogni passaggio.
Trasferimento della chiave di firma elettronica al Computer 2
Passiamo al primo passo: trasferisci a Computer 2 contenitore della chiave di firma elettronica. La sequenza delle azioni dipenderà da dove è archiviato questo contenitore - su Computer 1 o su qualche tipo di supporto esterno (come un'unità USB).
Il contenitore della chiave privata viene generato il Computer 1 al momento dell'invio della domanda all'operatore speciale per il collegamento alla gestione elettronica documentale (servizio 1C-Accountability). L'utente sceglie dove archiviare questo contenitore: su un supporto rimovibile, in una cartella di sistema nascosta sul disco rigido o nel registro di Windows. Quest'ultimo è possibile nel caso di utilizzo del provider di crittografia CryptoPro.
Se la chiave è su un supporto esterno
Se il contenitore delle chiavi viene salvato su un supporto esterno, tutti i file necessari sono su di esso e per l'installazione è sufficiente collegare questo dispositivo a Computer 2.
Se la chiave viene salvata in una cartella di sistema nascosta sul Computer 1
In questo caso, per chiarire la posizione di archiviazione del contenitore della chiave privata e trasferire il set di file richiesto a Computer 2 Fai quanto segue:
1. Vai alla modifica dell'organizzazione per conto della quale viene inviata la segnalazione e apri la scheda Flusso di documenti.
3. Fare doppio clic con il tasto sinistro del mouse sull'applicazione richiesta e sulla scheda Informazioni di servizio trova il campo Percorso del contenitore della chiave privata.
4. Vai alla cartella di archiviazione del contenitore, seleziona il contenitore richiesto e spostalo in qualsiasi cartella su Computer 2 o salvarlo su un supporto rimovibile esterno.
Nel caso in cui nella cartella specificata non ci sia uno, ma più file, si consiglia vivamente di selezionarli e trasferirli in Computer 2 esattamente il file che è il vettore della chiave privata e il certificato ricevuto dall'operatore speciale. Per selezionare il file desiderato, basta confrontare il suo nome con il nome dato nel campo Percorso del contenitore della chiave privata(come mostrato in Figura 2).
Riso. 2
Attenzione!
Per trasferire il contenitore, sarà necessario specificare la password della chiave privata che è stata selezionata durante la sua registrazione. Se si dimentica questa password (ad esempio, utilizzando l'opzione di memorizzazione della password), il trasferimento della firma elettronica su un altro computer sarà impossibile. Dovrai contattare l'operatore speciale e riemettere la firma elettronica!
Nel caso in cui non riuscissi a trovare il file con il contenitore delle chiavi nella posizione specificata (questo può accadere, ad esempio, se trasferisci una firma elettronica da Computer 2 sul Computer 3), per trovarlo, dovresti contattare il provider di crittografia. Il percorso richiesto per il contenitore di chiavi utilizzato deve essere specificato nelle impostazioni del provider di crittografia (vedi sotto). Va tenuto presente che è possibile registrare più contenitori di chiavi nelle impostazioni del provider di crittografia (ad esempio, se si utilizza lo stesso provider di crittografia quando si lavora in altri programmi). Quindi sarà necessario selezionare il contenitore richiesto, che può essere identificato dalla presenza di un certificato in esso rilasciato dal centro di certificazione a nome del responsabile dell'organizzazione (vedi sotto).
Installazione di un provider crittografico sul computer 2
Prima di trasferire le impostazioni della firma elettronica a Computer 2è necessario installare un componente di crittografia esterno (verrà installato automaticamente quando inizi a lavorare con 1C-Reporting) e un programma provider di crittografia.
Questi processi di download e installazione (per il provider di crittografia CSP ViPNet gratuito) sono descritti in dettaglio in 1C: Reporting Service User Guide in 1C: Accounting 8 in 1C: ITS information system (vedi http://its.1c.ru/ db / elreps # contenuto: 26: 1).
Configurazione del provider crittografico ViPNet CSP sul computer 2
Dopo aver installato il software di crittografia su Computer 2è necessario registrare la chiave di firma elettronica ei certificati ricevuti dall'operatore speciale. Consideriamo la sequenza di azioni corrispondente utilizzando l'esempio del provider di crittografia ViPNet CSP:
1. Avviare il programma ViPNet CSP.
2. Sulla scheda Contenitori usando il pulsante Aggiungere avviare la registrazione delle chiavi di firma elettronica.
3. Specificare il percorso della cartella su Computer 2 o su un supporto rimovibile contenente il file con il contenitore delle chiavi.
4. Nella finestra di dialogo aperta Inizializzazione del contenitore di chiavi assicurati nel menu a discesa Nome del contenitore c'è un solo elemento (il file da cui è stato copiato Computer 1).
5. Premere il pulsante ok.
6. Se il programma richiede una password per accedere al contenitore delle chiavi (quella che hai specificato durante la creazione del contenitore su Computer 1), quindi inseriscilo nel campo Parola d'ordine.
7. Di conseguenza, il key container selezionato verrà inizializzato e comparirà nell'elenco dei container del programma ViPNet CSP.
8. Selezionare il contenitore installato e fare clic su Proprietà.
Tieni presente che la prima volta che trasferisci il contenitore su questo computer, l'installazione del certificato verrà avviata automaticamente; in questo caso, dovresti saltare il passaggio dell'installazione manuale.
9. Premere il pulsante Certificato.
10. Nella finestra del certificato che si apre, fare clic su Installa certificato.
11. Utilizzo dell'open Installazione guidata certificato, installa il certificato nell'archivio certificati Personale.
12. Sulla pagina Pronto a installare casella di controllo del certificato Specifica il contenitore con la chiave privata e poi, su richiesta del programma, inserisci la password per la tua chiave EDS privata (che hai specificato al momento della registrazione per Computer 1).
13. Al termine dei lavori I maestri, chiudere il programma di configurazione del provider di crittografia.
Dopo aver completato questa procedura, il provider di crittografia su Computer 2 pronto per il lavoro.
Configurazione automatica invio report su Computer 2
Prima di iniziare a inviare segnalazioni alle autorità di regolamentazione con Computer 2 i certificati necessari verranno caricati su questo computer in modalità automatica durante lo scambio di dati con il server dell'operatore speciale. Nel processo di ottenerli, sarà necessario confermare l'intenzione di installare ciascun certificato.
L'installazione dei certificati specificata può essere eseguita su Computer 2 e manualmente, per cui dovresti fare quanto segue:
1. Vai alla modifica dei dati dell'organizzazione per la quale stai configurando "1C-Reporting" e apri la scheda Flusso di documenti.
3. Nella finestra di dialogo che si apre, fai clic sul pulsante modifica (con una lente di ingrandimento) a destra del campo Conto flusso di lavoro.
4. Premere il pulsante Configura automaticamente ora(fig.3). L'applicazione inizierà a scambiare dati con il server dell'operatore di comunicazione, durante il quale verranno scaricati i certificati necessari.
Riso. 3
5. Conferma la tua intenzione di installare ciascuno dei certificati nelle finestre di dialogo che appariranno durante il download.
6. Chiudere le finestre di dialogo e il modulo dell'organizzazione.
Computer 2 pronto a inviare segnalazioni!
Invio di rapporti quando si lavora in due programmi
Cosa fare se è necessario inviare report dal programma "1C: Salary and Human Resource Management 8" alla Cassa pensione o all'Ispettorato del servizio fiscale federale, mentre il resto dei report viene generato nel programma "1C: Accounting 8" e spedito direttamente da li?
Poiché il collegamento al servizio 1C-Reporting viene effettuato per l'organizzazione nel suo insieme, dal punto di vista del pagamento non importa se questa organizzazione è tenuta in un programma o in due. Se i programmi sono installati su computer diversi, è necessario seguire i passaggi sopra indicati. Ma indipendentemente dal fatto che i programmi del sistema 1C: Enterprise 8 siano installati sullo stesso computer o su computer diversi, è necessario effettuare una connessione aggiuntiva.
Per fare ciò, è necessario inviare una domanda indicando il TIN, KPP, il nome dell'organizzazione per la quale esiste già una connessione, il nome della configurazione diverso da quello già presente nel database.
Tieni presente che il Servizio fiscale federale, FSS e Rosstat sono orientati al conto nel flusso di documenti, quindi possono essercene diversi e puoi inviare rapporti diversi contemporaneamente utilizzando conti diversi. La FIU, invece, tiene traccia del numero di registrazione di collegamento ### - ### - ###### e di un certificato. Pertanto, è in relazione alla FIU che è necessario lasciare un solo conto.
Riassumendo, si consiglia quando si utilizzano due programmi: per emettere conti per il flusso di documenti con il Servizio fiscale federale, FSS e Rosstat in "1C: Contabilità 8" e per il flusso di documenti con la Cassa pensione della Federazione Russa, Servizio fiscale federale e FSS nel programma "1C: Salary and Personnel Management 8".
Due parole, cos'è un EDS in generale. Per firmare e lavorare con i file vengono utilizzate due chiavi: privata e pubblica. La chiave privata è memorizzata sul tuo token e viene utilizzata per firmare o crittografare i documenti. La chiave pubblica deve essere distribuita a tutti gli utenti che devono lavorare con il documento firmato. Questo di solito accade automaticamente quando il file viene firmato. Successivamente, c'è un file che dobbiamo firmare. Con l'aiuto di un software speciale, viene creata una sequenza di caratteri univoca dal contenuto del file e dalla tua chiave privata, qualcosa come un checksum. Questa sequenza è la firma digitale. EDS è sempre univoco per un determinato utente e questo documento. La firma contiene informazioni sulla data di firma del documento, il firmatario, il checksum per il documento firmato e un collegamento o il file della chiave pubblica stesso. La firma può essere aggiunta al file firmato o salvata come file separato. Siamo, ovviamente, interessati alla prima opzione.
Come sempre, ho iniziato a risolvere il problema studiando ciò che già c'era. C'erano diversi moduli di crittografia e firma digitale per 1C. Ma non si adattavano. Di norma, sanno come firmare i file XML o come salvare la firma e la chiave pubblica in un file separato. E avevamo bisogno di ottenere un documento PDF firmato in uscita, che potesse essere visualizzato in modo semplice e conveniente utilizzando lo stesso Adobe Acrobat Reader.
La seconda soluzione era cercare le cosiddette stampanti PDF, programmi in grado di salvare qualsiasi documento come file PDF. La soluzione più adatta si è rivelata BullZip PDF Printer (http://www.bullzip.com/products/pdf/download.php), che nella versione a pagamento ha la funzione di firmare i documenti generati. La soluzione, in linea di principio, è arrivata, ma sono sorti seri problemi burocratici con l'acquisto, l'approvazione e l'installazione di nuovo software sul territorio dell'impresa. Durante la negoziazione della decisione, ho attirato l'attenzione sul pacchetto software CRYPTO-PRO, che, di norma, viene fornito e funziona insieme a una chiave EDS.
Soluzione uno, semi-manuale
La stragrande maggioranza delle chiavi EDS viene rilasciata sotto forma di moduli USB eToken o Rutoken. Nel mio caso, era eToken. Chi non lo sa, la differenza principale è che l'eToken ha un coprocessore crittografico hardware integrato. Ciò significa che durante la crittografia dei dati, la chiave privata non lascia il token. Nel nostro caso, questa differenza non ha importanza.Non prenderò in considerazione l'installazione di driver per chiavetta USB. Di solito vengono forniti dall'autorità di certificazione emittente insieme ai token stessi e l'installazione non causa problemi. Inoltre, con i token, vengono generalmente fornite una licenza per CRYPTO-PRO e l'utility CryptoPro CSP. Ho usato l'ultima versione 3.9 attualmente disponibile.
Allora tutto è semplice. Lanciamo CryptoPro CSP. La scheda Servizio, il pulsante Visualizza certificati nel contenitore, fare clic su Sfoglia per selezionare un token con un archivio crittografico e selezionare l'archivio di cui abbiamo bisogno. Di solito un token contiene uno spazio di archiviazione.
Fare clic su Avanti e ottenere una finestra con le informazioni sul certificato a cui è allegata la chiave. Aspettiamo il pulsante Installa e installiamo il certificato nell'archivio personale per l'utente locale. Di solito, insieme all'utilità CryptoPro CSP, viene installato un collegamento per lo snap-in Certificati nel menu Start. Lanciamo lo snap-in, ci assicuriamo che tutto sia fatto correttamente e che il certificato sia effettivamente installato nella sezione Personale per l'utente corrente. 
Quindi, fare clic con il pulsante destro del mouse sul certificato installato, Tutte le attività, Esporta. Ci rifiutiamo decisamente di esportare la chiave privata e di salvare il certificato da qualche parte sul computer locale, ad esempio sul desktop, nel formato file X.509 (.CER) codificato in DER. Avremo bisogno del certificato salvato ulteriormente per completare la firma.
L'ultima cosa che ci rimane è scaricare l'utility CryptoPro PDF da www.cryptopro.ru/downloads, con la quale firmeremo i file PDF.
Il funzionamento dell'utility è estremamente semplice. Selezionare la cartella in cui si trovano i file PDF, selezionare la cartella in cui verranno salvati i file firmati (se questa è la stessa cartella, nelle impostazioni aggiuntive è necessario selezionare la casella "Sovrascrivi file con gli stessi nomi") selezionare il certificato dal contenitore che utilizzeremo per le firme, inserire il pin dalla chiave e, se tutto è corretto, in pochi secondi appariranno i file PDF firmati nella cartella di destinazione. Affinché l'EDS sia legalmente riconosciuto, secondo la legge, deve essere impostata anche una marca temporale, ma questa non era richiesta per me per l'attività.
Fondamentalmente, è così! Se hai una piccola organizzazione e un paio di dozzine di appaltatori, non puoi fare altro e lasciare tutto in modalità manuale. Inoltre, non avevamo affatto bisogno di 1C, i documenti in formato PDF possono essere creati in molti modi, anche da Microsoft Office.
Per molto tempo non sono riuscito a capire perché la firma non funziona e dà un errore. Si è scoperto che affinché l'utility CryptoPro PDF funzioni correttamente, Adobe Acrobat Pro (non Reader, è importante!). È con il suo aiuto che l'utilità modifica i file PDF e aggiunge loro una firma.
Un esempio di file firmato nella foto. Sembra un normale PDF, solo la scheda Firme contiene informazioni sul firmatario. Tra l'importante, viene indicato chi ha firmato i documenti (di solito questo è il nome completo e il nome dell'organizzazione) e che il documento non è cambiato dal momento della firma. Le informazioni che indicano che il certificato non è attendibile possono essere ignorate. Ciò significa solo che Adobe e il suo prodotto Acrobat Reader non sanno nulla del tuo certificato. 
Soluzione due, automatica
Come ho scritto sopra, nel mio caso la soluzione manuale non ha funzionato. Ci sono molte controparti, per ognuna di esse vengono create diverse dozzine di documenti al mese. Devono essere tutti salvati in PDF, firmati, inviati in una lettera. Per risolvere il problema, abbiamo deciso di modificare e utilizzare l'elaborazione "Elaborazione batch di libri e documenti di riferimento", che è standard per molte configurazioni. Per le configurazioni più diffuse, questa elaborazione è inclusa nella configurazione stessa o può essere trovata come esterna sul disco ITS.L'elaborazione sa già come stampare i documenti selezionati. Nelle ultime versioni della piattaforma è apparso un meccanismo standard per salvare i moduli stampati come file PDF. Resta da combinare questi due meccanismi e salvare i documenti selezionati dall'utente in una cartella sul computer locale, quindi avviare la riga di comando e avviare l'utilità CryptoPro PDF per eseguire la firma.
La parte dell'interfaccia è stata leggermente migliorata. Il lavoro con i libri di riferimento è stato rimosso dall'elaborazione. Abbiamo lasciato nell'interfaccia 4 tipi di documenti che devono essere inviati. Modificato il sistema di selezione. Creato un nuovo registro delle impostazioni EDS delle informazioni. Per ogni utente, memorizza le informazioni sul percorso lungo il quale si trova CryptoPro PDF sul computer locale, le cartelle per l'archiviazione temporanea dei file e un certificato che verrà utilizzato per la firma. Hanno anche chiesto di salvare il PIN della chiave, ma non l'abbiamo fatto per motivi di sicurezza.
Per completare completamente l'automazione, ho dovuto ripristinare il modulo di posta elettronica in 1C. Allora tutto è semplice. Una volta al mese, l'operatore seleziona l'elenco degli appaltatori e le tipologie di documenti da inviare, verifica l'esito della selezione, fa clic sul pulsante Esegui, inserisce il codice PIN dalla chiave e attende... Nel mio caso, la formazione di un pacchetto di documenti può richiedere diverse ore.
L'elaborazione raggruppa i documenti selezionati in base alle controparti, quindi scorre ogni controparte, seleziona tutti i suoi documenti, li salva come file PDF su disco, avvia l'utility CryptoPro PDF dalla riga di comando, firma i documenti salvati, crea un documento e-mail con le informazioni di contatto dalla directory delle controparti, in allegato, allega i documenti firmati da una cartella su disco, converte la lettera nello stato per l'invio e passa alla controparte successiva. Le lettere vengono inviate da un'attività pianificata ogni 10 minuti. Il trattamento può essere lasciato durante la notte. I problemi sorti verranno elaborati correttamente e al mattino l'utente vedrà il registro degli errori e il registro delle e-mail inviate.
Per comodità, fornirò un pezzo di codice che esegue la procedura di firma stessa. Tutti i parametri sono presi dal registro delle informazioni creato.
ArrayInbox = FindFiles (DirectoryInbox, "* .pdf", False); NumberFilesInbox = ArrayInbox.Number (); Report ("Trovato" + Numero di file in arrivo + "file da firmare."); Riga di comando = FileNameCryptoPro + "sign" + "--in-dir =" "" + DirectoryIncoming + "" "" + "--out-dir =" "" + DirectoryOutgoing + "" "" + "--report- dir = "" "+ DirectoryLogs +" "" "+" --err-dir = "" "+ DirectoryErrors +" "" "+" --certificate = "" "+ CertificateFileName +" "" "+" -- pin = "" "+ Pincode +" "" "+" --overwrite-files "; RunApplication (riga di comando, "", true); Array in uscita = FindFiles (Directory in uscita, "* .pdf", False); NumberFilesOutbox = ArrayOutbox.Number (); Report ("Firmato" + Numero di file in uscita + "file.");
Ciao Giktimes, oggi parleremo di alcuni, ma in realtà uno grande, problemi di invio di report elettronici nel sistema GNU/Linux.
La questione dell'invio di report elettronici dal sistema operativo Linux è stata a lungo discussa sia su Habré / Giktime, sia sui forum tematici: Mista, Ubuntu, LOR, CryptoPro e 1C: forum di supporto tecnico ITS. In poche parole, al momento ci sono due soluzioni: o utilizzare un cloud CEP e inviare i report tramite un browser, oppure utilizzare una macchina dedicata/virtuale con Windows installato (anche una versione di prova) per l'invio dei report. L'opzione di inviare segnalazioni utilizzando servizi specializzati forniti dalle autorità (FTS, Fondo pensione, FSS, Rosstat, FSRAR) è possibile solo quando si utilizza [e-mail protetta], che, in effetti, è anche una stampella (perché abbiamo bisogno di DUE licenze per gli strumenti di protezione delle informazioni crittografiche CryptoPro - per Windows e Linux).
Non è un segreto che non ci siano così tanti programmi per il sistema operativo GNU/Linux per la contabilità: Pineapple (che ora riposa in pace), Ucraino Debit + (per il quale il modulo di supporto per la legislazione russa non è stato già aggiornato, Ktulu sa come molto) e contabilità 1C ... Questo si riferisce alle applicazioni native. Di tutto quanto sopra, solo 1C al momento della stesura di questo documento è incluso nel registro statale del software nazionale e contiene meccanismi per la preparazione e l'invio di report in formato elettronico tramite speciali operatori di gestione elettronica dei documenti. A proposito, non ci sono molti operatori supportati dalla contabilità 1C: ZAO Kaluga-Astral (sviluppatore del sottosistema 1C-Reporting), OOO Taxcom, OOO NPF Forus e il mitico "Other document flow operator".
Sfortunatamente, l'invio di rapporti da 1C è irto di una serie di difficoltà che un normale (e anche esperto) amministratore di sistema può incontrare. Naturalmente, daremo un'occhiata più da vicino a questi problemi e a come risolverli.
Il primo problema che dobbiamo affrontare è la protezione delle informazioni crittografiche. No, non la loro assenza, lo sono. Per Linux, sono disponibili per l'installazione diversi strumenti certificati di protezione delle informazioni crittografiche (con supporto GOST) e utilizzati in diversi sottosistemi. Al momento in cui scrivo, questi sono i seguenti SKZI, correggimi se mi sfugge qualcosa:
- VipNet
Un altro strumento di protezione delle informazioni crittografiche certificato, il cui supporto è inizialmente presente in 1C. Disponibile in beta per architetture i686 e amd64. Sfortunatamente, a parte il sistema di protezione delle informazioni crittografiche stesso, non hanno altri prodotti per Linux e il lavoro completo su portali e piattaforme di trading è impossibile con esso.
CryptoCom
Questo CIPF è disponibile per le piattaforme i686 e amd64, viene utilizzato principalmente nei sistemi di Internet banking, in particolare il sistema iBank (utilizzato da molte banche come Gazprombank, UBRIR, Alfa, ecc.).
Lissi CSP
Uno degli strumenti di protezione delle informazioni crittografiche esistenti, che, oltre allo strumento di protezione delle informazioni crittografiche stesso, fornisce alle versioni del browser Mozilla Firefox e del client di posta Mozilla Thunderbird il supporto per algoritmi di crittografia e firme digitali elettroniche della famiglia GOST. Sfortunatamente, supporta solo la piattaforma i686, la compatibilità SKZI con il driver ruToken non è stata verificata, sebbene il produttore lo rivendichi. Tuttavia, l'estensione per i prodotti Mozilla vede regolarmente i certificati e consente la firma, la crittografia e l'autenticazione HTTPS bidirezionale utilizzando algoritmi GOST. Non ho testato la compatibilità con 1C.
Tuttavia, il prodotto è abbastanza decente se si utilizza una versione a 32 bit del sistema. Vale la pena ricordare che in questo caso nessuna applicazione sarà in grado di allocare più di 3 GB di memoria per processo. Alcune applicazioni, come un DBMS, possono cavarsela con il trucco shmem e utilizzare fino a 64 GB di memoria allocando un processo per ogni sessione, ma l'accounting 1C non utilizza questa tecnologia e non consiglierei di installare un server su un 32 -bit con questo sistema di protezione delle informazioni crittografiche.
CryptoPro CSP
In effetti, finora l'unica soluzione end-to-end per Linux per lavorare con la firma elettronica e la crittografia. Disponibile per i686, amd64, armhf (incluso Android), piattaforme PowerPC. Per non parlare delle versioni per Solaris (i686, amd64, sparc), AIX, FreeBSD, OSX e iOS. Stranamente (sarcasmo), è CryptoPro che è ufficialmente raccomandato da molte autorità governative per l'interazione e la gestione dei documenti elettronici. Le licenze per CryptoPro sono spesso incluse come parte di una chiave EDS e come parte di un contratto di servizio completo per l'invio di report. La mia scelta è stata inequivocabile a favore di questo CIPF. Gli svantaggi includono la relativa complessità dell'installazione su sistemi diversi da RHEL/SLES e i bug riscontrati nell'assemblaggio dei pacchetti software (non sono ammessi simboli importati e funzioni esportate con dipendenze interrotte). Nella maggior parte dei casi, queste carenze non sono visibili all'utente, perché queste funzioni sono destinate al funzionamento di varie librerie all'interno di CryptoPro e vengono risolte automaticamente quando vengono chiamate per la prima volta dal kernel del sistema operativo (le librerie necessarie sono già caricate nello spazio degli indirizzi dell'applicazione). Il secondo svantaggio è la mancanza di un client di posta elettronica se viene presentato il browser CryptoFox, ma CryptoPro si è rifiutato di supportare Thunderbird. Dobbiamo rendere omaggio al fatto che da parte loro sono stati fatti tentativi attivi di apportare modifiche alla versione funzionante di NSS per supportare GOST, ma le cose sono ancora lì. Se le modifiche fossero accettate, il supporto GOST verrebbe visualizzato in tutti i browser e le applicazioni che utilizzano NSS, come Open/LibreOffice, prodotti Mozilla, Nautilus/Nemo, Thunar, XCA e altri programmi.
Per ovvie ragioni, è stata scelta la struttura di protezione crittografica CryptoPro, e soffermiamoci su di essa in modo più dettagliato.
Innanzitutto, per la piattaforma Linux, non esiste un'applicazione CryptoARM, familiare a molti, per la firma dei documenti. Tuttavia, è possibile utilizzare le utilità della riga di comando per creare una firma allegata e scollegata. Per creare e verificare una firma digitale separata, ho creato due script: rispettivamente firma e verifica. Il testo degli script è riportato di seguito, sono d'accordo che sono un po' croccanti, ma è stato scritto in fretta, e in quel momento la versione beta di CryptoPro 4.0 si comportava in modo strano, quando trasferiva direttamente i percorsi ai file firmati e di output.
cartello
#! / bin / sh DIR = `dirname $ 1` / opt / cprocsp / bin / amd64 / cryptcp -signf $ 2 $ 3 -cert -der -norev" $ 1 "mv" $ 1.sgn "" $ 1. p7s"
verificare
#! / bin / sh DIR = `dirname $ 1` cp" $ 1.p7s "" $ 1.sgn "/ opt / cprocsp / bin / amd64 / cryptcp -vsignf -der -norev" $ 1 "rm" $ 1 .segno "
In secondo luogo, e questo è molto importante, abbiamo la seguente immagine. nella contabilità 1C, le impostazioni standard per lavorare con gli strumenti di protezione delle informazioni crittografiche di CryptoPro sono fornite per la versione 3.6. La vecchia versione di CryptoFox funziona con la versione 3.6. È qui che finiscono i vantaggi e inizia il mal di testa. La vecchia versione di CryptoFox non mostra alcun sito Web moderno, anche il portale dell'ufficio delle imposte si sta insinuando da qualche parte. Quando si tenta di installare la versione ~ fresca ~ corrente di CryptoFox 31, cade nella crosta (errore di segmentazione) quando si accede a qualsiasi sito che richiede HTTPS con l'algoritmo GOST. A volte si blocca anche quando è in esecuzione il plug-in del browser CryptoPro. A proposito, è anche una versione molto vecchia, che supporta solo la firma, ma non la crittografia e funziona solo con NPAPI.
Con la versione 3.9, la situazione è ancora più divertente: 1C non lo vede più, ma CryptoFox è ancora in calo, sia con il vecchio che con il nuovo.
La versione 4.0, al contrario, non viene vista da 1C, ma con essa si avvia CryptoPro Browser Plugin 2.0, l'ingresso ai siti statali da CryptoFox funziona (sono un argomento a parte, e se si smonta il lavoro da GNU/Linux OS con loro, ci sarà materiale sufficiente per un altro articolo) ... Il problema è forzare il CIPF installato a vedere 1Sku. In generale, il problema non è così serio, può essere risolto letteralmente in quindici secondi, ma ci è voluta un'intera settimana per trovare la soluzione stessa con il supporto tecnico di CryptoPro (e rilassarmi con il supporto 1C per le istruzioni in ITS). Alla fine, il problema è stato risolto da solo e la soluzione è stata infine pubblicata sul forum di CryptoPro. Metodologia per risolvere il problema per il futuro:
- Per ottenere il nome del provider crittografico e il suo tipo, dobbiamo fare riferimento all'utility CryptoPro. Il modo più semplice per ottenere queste informazioni è elencare i certificati installati:
Nella contabilità 1C, è possibile aggiungere un provider di crittografia arbitrario. Usiamo questo meccanismo, aggiungiamo un nuovo provider di crittografia e chiamiamolo, ad esempio "CryptoPro CSP 4.0".
- Indichiamo i seguenti dati:
- Salva il provider di crittografia e specifica il percorso della libreria: /opt/cprocsp/lib/amd64/libcapi20.so
Fatto, 1C ora vede il provider di crittografia installato. Sembrerebbe: tutto, puoi mostrare fino all'aggiunta di certificati e all'impostazione dei rapporti, ma non è stato così. Un piccolo galletto bianco siberiano è arrivato fino a noi da dove non ci aspettavamo - dagli stessi sviluppatori 1C. È accaduto storicamente che il sottosistema di gestione dei documenti elettronici, 1C-Reporting, il core 1C e le configurazioni siano scritti da persone diverse e persino da aziende diverse. Durante la creazione di configurazioni con la funzione 1C-Reporting per 1C 8.3, ad esempio "Enterprise Accounting 3.0", gli sviluppatori, senza esitazione, hanno spostato l'intero sottosistema EDCO "così com'è", senza modifiche, a seguito del quale otteniamo un paradosso. Lo stesso dipartimento di contabilità 1C vede CIPF, vede certificati, consente loro di essere installato, firmato e crittografato qualsiasi documento, ma allo stesso tempo il sistema di gestione elettronica dei documenti (vecchia versione) non vede un singolo certificato installato di punto in bianco, e quindi non può nemmeno ricevere la configurazione iniziale dall'operatore del flusso di documenti: semplicemente non c'è nulla per decifrarla. Piuttosto che decifrare esiste, ma il sottosistema EDCO utilizza il proprio meccanismo per lavorare con strumenti di protezione delle informazioni crittografiche, utilizzando un componente esterno (solo per Windows) e non sa nulla dell'esistenza di meccanismi integrati per lavorare con la protezione dei dati crittografici strumenti, che vengono utilizzati da 1C stesso all'interno della configurazione.
Tuttavia, il sottosistema EDCO (da non confondere con EDCO) con controparti vede tutti i certificati in corso e permette di collegarsi al sistema di gestione elettronica dei documenti. Ma senza inviare segnalazioni.
Per Linux, esiste una restrizione al funzionamento diretto della configurazione Client-EDO, con una base di configurazione esterna, e per questo è necessario un server 1C funzionante. Poiché le versioni base delle configurazioni non consentono l'utilizzo dell'opzione client-server per la distribuzione 1C, l'integrazione di Client-EDM e contabilità in Linux non è possibile per tali configurazioni, funzionerà solo per quelle completamente funzionali. Nella maggior parte delle configurazioni, puoi abilitare lo scambio con le controparti e funzionerà, nonostante non funzioni 1C-Reporting.
Se apriamo il configuratore e abilitiamo la modalità debug, vedremo la seguente immagine:
1C-Moduli di segnalazione usano Generale-> GeneralModules-> Crittografia
La stessa funzionalità per lavorare con la firma digitale elettronica e la crittografia (senza la funzionalità di scambio di contenitori di trasporto tramite canali di comunicazione elettronica) è implementata in General-> GeneralModules-> ElectronicSignatureClient, che tiene conto del lavoro nel sistema operativo della famiglia Linux e correttamente carica il componente esterno per lavorare con XMLDSig, così e un modulo provider crittografico. Questa libreria vede correttamente tutti i certificati, permette di firmare e cifrare i documenti, contiene funzioni per lavorare sia con gli oggetti in memoria che con i file sul disco fisso. Questa libreria è utilizzata in tutti i meccanismi standard per lavorare con EDS all'interno di 1C, ad eccezione del sottosistema 1C-Reporting (EDCO).
Cioè, per implementare il funzionamento del sottosistema 1C EDCO, è sufficiente riscrivere i moduli 1C-Reporting per utilizzare i meccanismi incorporati, oppure sovraccaricare il Cryptography EDCOClient, per utilizzare non un componente esterno, ma per reindirizzare il chiamate per lavorare con certificati, EDS e crittografia al client integrato per lavorare con strumenti di protezione delle informazioni crittografiche.
La comunicazione con il supporto tecnico 1C ha dato solo la risposta che sono a conoscenza di questo problema, ma ci sono troppo pochi client che utilizzano il sistema operativo GNU / Linux (la necessità non è diffusa), ma il loro compito è "scritto".
AGGIORNAMENTO:
Taki è riuscito a iniziare il lavoro del mago dopo uno studio dettagliato del codice sorgente. Finora sono bloccato sulla decrittografia del contenitore da Taxcom, ma i certificati sono già stati visti. Funziona solo sull'ultima versione di CryptoPro 4. Inizia come descritto di seguito. Il nome della presentazione non ha un ruolo, ma "dentro" 1C-EDCO è esattamente così:
Necessari per la convalida sono i campi Nome del programma e Tipo di programma... Il nome del programma si riferisce alla modalità di compatibilità con la versione del provider di crittografia 2.0, nella versione beta 4.0 il nome era assente.
Il problema principale è nascosto qui: Generale-> Moduli generali-> Crittografia
IncomingParameters = ParametersInArray (1, solo supportato);
Rimuovi 1 per Linux. Oppure aggiungi un assegno per CryptoPro 3.9 e versioni successive:
Generale-> Moduli generali-> CrittografiaEDCOClientServer.GetCryptoProviders.CryptoPro
Nome: Crypto-Pro GOST R 34.10-2001 KC1 CSP
per un cliente, o
Nome: Crypto-Pro GOST R 34.10-2001 KC2 CSP
per il server.
Solo gli utenti registrati possono partecipare al sondaggio. Entrare prego.
