Postat pe 4 aug 2016 10:55 de Vyacheslav Abisalov
Postat pe 19 ianuarie 2016, 04:51 de Vyacheslav Abisalov
Postat pe 18 ian. 2016, 08:22 de Vyacheslav Abisalov
Trimis 8 dec. 2015, 11:24 de Vyacheslav Abisalov
Trimis 6 dec. 2015, 13:49 de Vyacheslav Abisalov
Inițial, am fost solicitat să scriu acest articol printr-o discuție în comentarii către. După cum am observat, problemele dezvoltărilor de licențiere folosind transformări criptografice sunt suficient de departe pentru majoritatea dezvoltatorilor 1C. Cu toate acestea, aceste întrebări sunt foarte importante, sau mai bine zis, de o importanță vitală, dacă la un moment dat dezvoltatorul nu dorește să se trezească ca un încălător al Legii Federale.
O mică „declinare a răspunderii” - acest articol este pur și simplu opinia mea și are scopul doar de a atrage atenția dezvoltatorilor asupra unei probleme existente.
Mai întâi, permiteți-mi să vă descriu cine sunt:
- Sunt autorul principal al programului foarte cunoscut „CryptoArm” (www.trusted.ru). Am dezvoltat acest program în 2003-2004, singur, de la zero până la versiunea 2.5 inclusiv. De la mijlocul lui 2004, nu am nimic de-a face cu asta;
- Sunt autorul articolului „Using the Crypto API” (http://rsdn.ru/article/crypto/usingcryptoapi.xml), care a fost scris în 2004. Vă recomand cu tărie să citiți acest articol înainte de a citi toate materialele de mai jos.;
- Sunt autorul articolului „ASN.1 în cuvinte simple” (http://habrahabr.ru/post/150757/);
- Din 2005, am fost un participant activ la cel mai popular forum despre utilizarea criptografiei - forumul Crypto-PRO (http://www.cryptopro.ru/forum2/);
- Și-a început cariera profesională ca programator 1C. Experienta - peste 5 ani, certificate pentru toate componentele 1C 7.7 primite in ianuarie-februarie 2000;
Deci, să trecem la subiectul acestui articol. Recent, subiectul utilizării criptării și semnăturii digitale (EDS) a devenit foarte popular. Posibilitățile de utilizare convenabilă a transformărilor criptografice sunt, de asemenea, încorporate în 1C. Cu toate acestea, destul de mulți oameni scapă un punct important - aproape toate soluțiile aplicate care folosesc criptografie trebuie efectuate exclusiv cu o licență FSB. Acum să trecem la temeiul legal al acestei probleme.
Principalul document care reglementează activitățile din domeniul descris este Legea federală „Cu privire la licențierea anumitor tipuri de activități”. Iată un extras din această lege:
Articolul 12. Lista activităților pentru care sunt necesare licențe
1. În conformitate cu prezenta lege federală, următoarele tipuri de activități sunt supuse licenței:
1) dezvoltarea, producerea, distribuirea mijloacelor de criptare (criptografice), a sistemelor informatice și a sistemelor de telecomunicații protejate prin mijloace de criptare (criptografice), efectuarea muncii, prestarea de servicii în domeniul criptării informațiilor, întreținerea mijloacelor de criptare (criptografice), informații sisteme și sisteme de telecomunicații protejate prin mijloace de criptare (criptografice) (cu excepția cazului în care întreținerea mijloacelor de criptare (criptografice), a sistemelor informatice și a sistemelor de telecomunicații protejate prin mijloace de criptare (criptografice) se realizează pentru a răspunde nevoilor proprii ale unei persoane juridice sau un antreprenor individual);
Ca informații mai detaliate despre ceea ce se înțelege de fapt prin aceste tipuri de activități licențiate, ar trebui să folosiți Decretul Guvernului Federației Ruse „PRIV LA APROBAREA REGULAMENTULUI PRIVIND ACTIVITĂȚILE DE LICENȚARE ÎN DEZVOLTAREA, PRODUCȚIA, DISTRIBUȚIA MIJLOACELOR DE CRIPTARE (CRIPTOGRAFIC) ". Mai jos este un extras din această prevedere:
2. Mijloacele de criptare (criptografice) (mijloace de protecție a informațiilor criptografice), inclusiv documentația pentru aceste mijloace, includ:
a) mijloace de criptare - mijloace de criptare hardware, software și hardware-software (criptografice) care implementează algoritmi de transformare criptografică a informațiilor pentru a restricționa accesul la aceasta, inclusiv în timpul stocării, prelucrării și transmiterii acesteia;
b) mijloace de protecție împotriva imitațiilor - mijloace hardware, software și hardware-software de criptare (criptografice) (cu excepția instrumentelor de criptare) care implementează algoritmi de transformare criptografică a informațiilor pentru a le proteja de impunerea de informații false, inclusiv de protecție împotriva modificării, la asigura fiabilitatea și incorectibilitatea acestuia, precum și asigurarea posibilității de detectare a modificărilor, imitației, falsificării sau modificării informațiilor;
c) mijloace de semnătură electronică;
d) mijloace de codare - mijloc de criptare, în care o parte din transformările criptografice ale informațiilor se realizează cu ajutorul operațiilor manuale sau utilizând instrumente automate destinate efectuării unor astfel de operațiuni;
e) mijloace de producere a documentelor cheie - mijloace hardware, software, software și hardware de criptare (criptografice) care permit producerea de documente cheie pentru mijloace de criptare (criptografice) care nu fac parte din aceste mijloace de criptare (criptografice);
f) documente cheie - documente electronice pe orice suport, precum și documente pe hârtie care conțin informații cheie cu acces limitat pentru transformarea criptografică a informațiilor folosind algoritmi de transformare criptografică a informațiilor (cheie criptografică) în mijloace de criptare (criptografice);
g) mijloace de criptare hardware (criptografice) - dispozitive și componentele acestora, inclusiv cele care conțin informații cheie, care oferă capacitatea de a converti informații în conformitate cu algoritmi de conversie criptografică a informațiilor fără a utiliza programe pentru calculatoare electronice;
h) mijloace de criptare software (criptografică) - programe pentru calculatoare electronice și părți ale acestora, inclusiv cele care conțin informații cheie, care oferă capacitatea de a converti informații în conformitate cu algoritmi de transformare criptografică a informațiilor în mijloace software și hardware de criptare (criptografice), sisteme informatice și sisteme de telecomunicații protejate prin mijloace de criptare (criptografice);
i) mijloace de criptare software și hardware (criptografice) - dispozitive și componentele acestora (cu excepția sistemelor informaționale și a sistemelor de telecomunicații), inclusiv a celor care conțin informații cheie, care oferă capacitatea de a converti informații în conformitate cu algoritmii de conversie criptografică a informațiilor folosind programe pentru calculatoare electronice, destinate implementării acestor transformări ale informațiilor sau ale unor părți din acestea.
Ei bine, acum vă voi spune despre ce poate fi încălcat aici de un simplu programator 1C. În primul rând, la crearea configurațiilor care utilizează crearea unei semnături digitale electronice, punctul „c)” din prevederea de mai sus este direct încălcat. În plus, punctul „d) este încălcat atunci când se creează configurații folosind criptare, deși acest lucru este mai puțin evident. Să ne oprim asupra acestui punct mai detaliat.
Pentru început, în locul definiției „mijloc de criptare”, vom înlocui interpretarea integrală a acestui concept de la paragraful „a)”. Ca rezultat, obținem următorul text al paragrafului „d)”:
mijloace de codare - criptare hardware, software și hardware-software (criptografic) mijloace care implementează algoritmi pentru transformarea criptografică a informațiilor, în care o parte a transformării criptografice a informațiilor se realizează folosind operații manuale sau folosind instrumente automate concepute pentru a efectua astfel de operațiuni
Sunt de acord, există o mulțime de litere, așa că haideți să simplificăm această propoziție și să eliminăm excesul pentru noi:
Mijloace de codare - instrumente software care implementează algoritmi pentru transformarea criptografică a informațiilor, în care o parte din transformările criptografice se realizează folosind instrumente automate concepute pentru a efectua astfel de operațiuni.
Adică, dacă programul are un fișier criptat ca „ieșire”, atunci producția sa ar trebui efectuată numai dacă există o licență de la FSB al Federației Ruse pentru dezvoltarea instrumentelor de criptare și criptografice.
Acum să discutăm posibilele obiecții la declarația mea:
- „Ei bine, criptez prin 1C și ce legătură are licența cu ea?”
- Din păcate, faci „software” care realizează „transformări criptografice” folosind „instrumente automate concepute pentru a efectua astfel de operațiuni”. Adică, desigur, utilizați componente terțe (furnizor criptografic), precum și un instrument de creare de software terță parte (1C), dar acest lucru nu schimbă esența - legea impune licențierea procesului de creare a unui „sferic”. program în vid” care realizează „transformări criptografice sferice în vid”;
- Din nou, vai, aceasta este o greșeală. Dezvoltarea furnizorilor de cripto este și ea o activitate licențiată, dar doar trece prin punctul „a)”. Dar toate programele care folosesc funcțiile unui furnizor criptografic trebuie să fie deja licențiate în conformitate cu paragraful „d)”;
În concluzie, voi oferi link-uri către întrebări legate de licențiere și adresate pe forumul Crypto-PRO. Răspunsurile includ utilizatorul „Yuri Maslov”, care este directorul comercial al companiei Crypto-PRO în sine. Această persoană licențiază produse criptografice de peste 13 ani și este unul dintre cei mai respectați experți în acest domeniu:
Și acum o mică avertizare: de fapt, licențierea este necesară numai dacă vindeți un instrument software, adică sunteți angajat în activitate antreprenorială. Dacă realizați acest instrument software pentru dvs. și întreprinderea dvs., atunci acesta nu intră în domeniul de aplicare al Legii federale „Cu privire la licențierea anumitor tipuri de activități” (din cauza lipsei de activitate ca atare).
Așa că faceți un software de conversie criptografică după cum vă place, dar vă rugăm să fiți atenți.
O astfel de sarcină poate apărea, de exemplu, în următorul caz: un specialist în salarii a generat formularele corespunzătoare în programul de pe computerul său, iar acum acestea trebuie trimise autorităților de reglementare. În acest articol, metodologii 1C vor arăta cum se transferă o semnătură electronică și un serviciu de raportare, de exemplu, de pe computerul contabilului șef pe computerul pe care sunt întocmite rapoarte care necesită trimitere către autoritățile de reglementare.
Raportare pregătită. Ce trebuie să faceți dacă trebuie să îl trimiteți autorităților de reglementare de pe un computer pe care nu este instalat serviciul 1C-Reporting
O astfel de sarcină apare, de exemplu, pentru utilizatorii care lucrează cu programe prin Internet - la urma urmei, alegerea unui astfel de mod se datorează adesea dorinței sau nevoii de a lucra cu programe 1C de pe diferite computere. Prin urmare, din motive obiective, astfel de utilizatori se pot confrunta cu o situație care necesită transferul prompt al semnăturii electronice și setările pentru trimiterea rapoartelor de la un computer la altul.
Reamintim că 1C a depus multă muncă pentru a dezvolta platforma tehnologică 1C:Enterprise 8, drept urmare aceeași configurație poate funcționa atât ca produs obișnuit pe computerul local al utilizatorului, cât și ca serviciu cloud. Datorită acestei realizări tehnologice, setările discutate mai jos nu depind de modul de utilizare a programului.
În acest articol, setarea va fi descrisă pentru computerele care sunt utilizate pentru a lucra cu programul 1C: Accounting 8 prin Internet. Configurarea se realizează identic pentru computerele pe care este instalat acest program *.
* Pentru mai multe informații despre configurarea 1C: Raportare, care vă permite să trimiteți rapoarte generate de la 1C: Enterprise 8, consultați numărul 10 (octombrie) din BUKH.1C pentru 2012, pagina 25.
Pentru următoarea descriere, vom folosi notația:
- Computer 1- un computer pe care este configurat serviciul 1C-Reporting
- Computer 2- un computer pe care este necesar să se transfere „1C-Reporting” și de pe care este necesar să se trimită rapoarte către autoritățile de reglementare.
Secvențierea
Pentru a începe raportarea Computer 2 necesar (vezi fig. 1):
1. Transferați la Computer 2 Cu Computer 1 sau container media extern al cheii de semnătură electronică.
2. Instalați pe Computer 2 furnizor criptografic (un sistem special de protecție a datelor criptografice - de exemplu, CryptoPro sau VipNet).
3. Alerga mai departe Computer 2 procedura de configurare automată a parametrilor fluxului de lucru
Orez. unu
Acum să ne uităm la fiecare pas în detaliu.
Transferul cheii semnăturii electronice pe computer 2
Trecem la primul pas - transferul la Computer 2 container pentru chei de semnătură electronică. Secvența acțiunilor va depinde de locul în care este stocat acest container Computer 1 sau pe unele medii externe (de exemplu, pe o unitate USB).
Containerul cheii private este generat pe Computer 1 la momentul trimiterii cererii către operatorul special pentru conectarea la gestionarea electronică a documentelor (serviciul 1C-Otchestnost). Utilizatorul alege unde să stocheze acest container - pe un suport amovibil, într-un folder de sistem ascuns de pe hard disk sau în registrul Windows. Acesta din urmă este posibil în cazul utilizării furnizorului cripto CryptoPro.
Dacă cheia se află pe un suport extern
Dacă containerul de chei este stocat pe un suport extern, atunci toate fișierele necesare sunt amplasate pe el, iar pentru instalare, trebuie doar să conectați acest dispozitiv la Computer 2.
Dacă cheia este salvată într-un folder de sistem ascuns pe computer 1
În acest caz, pentru a specifica locația de stocare a containerului cheii private și pentru a transfera setul necesar de fișiere în Computer 2 urmează următoarele instrucțiuni:
1. Accesați editarea organizației în numele căreia este trimisă raportarea și deschideți fila Fluxul documentelor.
3. Faceți dublu clic pe aplicația dorită cu butonul stâng al mouse-ului și pe filă Informații de serviciu găsi câmpul Calea către containerul cheii private.
4. Accesați folderul de stocare container, selectați containerul dorit și transferați-l în orice folder activat Computer 2 sau salvați pe un suport extern amovibil.
În cazul în care în folderul specificat nu există unul, ci mai multe fișiere, se recomandă insistent ca, pentru a evita erorile, să selectați și să transferați în Computer 2 exact fișierul care este purtătorul cheii private și al certificatului primit de la operatorul special. Pentru a selecta fișierul dorit, comparați numele acestuia cu numele dat în câmp Calea către containerul cheii private(după cum se arată în figura 2).
Orez. 2
Atenţie!
Pentru a transfera containerul, va trebui să specificați parola pentru cheia privată care a fost aleasă în timpul înregistrării acesteia. Dacă uitați această parolă (de exemplu, utilizând opțiunea de memorare a parolei), nu veți putea transfera semnătura electronică pe alt computer. Va trebui să contactați operatorul special și să reemiteți din nou semnătura electronică!
În cazul în care nu ați putut găsi fișierul cu containerul cheii în locația specificată (acest lucru se poate întâmpla, de exemplu, dacă transferați o semnătură electronică de la Computer 2 pe Computer 3), pentru a-l căuta, trebuie să contactați programul furnizorului de criptografii. Calea necesară către containerul de chei utilizate trebuie specificată în setările furnizorului de cripto-furnizor (vezi mai jos). Aici este necesar să se țină cont de faptul că mai multe containere de chei pot fi înregistrate în setările unui furnizor de criptografie (de exemplu, dacă utilizați același criptoprovider atunci când lucrați în alte programe). Apoi va trebui să selectați containerul dorit, care poate fi identificat prin prezența în el a unui certificat emis de o autoritate de certificare pe numele persoanei responsabile a organizației (vezi mai jos).
Instalarea unui furnizor de criptare pe computer 2
Înainte de a transfera setările semnăturii electronice la Computer 2 trebuie să instalați o componentă criptografică externă (va fi instalată automat când începeți să lucrați cu 1C-Reporting) și un program de furnizor de criptografie.
Aceste procese de descărcare și instalare (pentru furnizorul criptografic gratuit ViPNet CSP) sunt descrise în detaliu în Ghidul de utilizare a serviciului 1C: Raportare în 1C: Contabilitate 8 în sistemul de informații 1C: ITS (a se vedea http://its.1c. ru/ db/elreps#content:26:1).
Configurarea ViPNet CSP pe computer 2
După instalarea programului furnizorului de criptografice pornit Computer 2 este necesar să se înregistreze cheia de semnătură electronică și certificatele primite de la operatorul special. Luați în considerare secvența corespunzătoare de acțiuni pe exemplul furnizorului criptografic ViPNet CSP:
1. Lansați programul ViPNet CSP.
2. Tab Containere folosind butonul Adăugaîncepe înregistrarea cheilor de semnătură electronică.
3. Specificați calea către folderul activat Computer 2 sau pe un suport amovibil care conține un fișier cu un container pentru chei.
4. În caseta de dialog deschisă Inițializarea containerului cheie asigurați-vă că în meniul derulant Numele containerului este prezent un singur element (fișierul copiat din Computer 1).
5. Apăsați butonul O.K.
6. Dacă programul solicită o parolă pentru a accesa containerul de chei (cea pe care ați specificat-o la crearea containerului pe Computer 1), apoi introduceți-l în câmp Parola.
7. Ca urmare, containerul cheie selectat va fi inițializat și va apărea în lista de containere din programul ViPNet CSP.
8. Selectați containerul instalat și faceți clic pe butonul Proprietăți.
Vă rugăm să rețineți că prima dată când transferați containerul pe acest computer, instalarea certificatului va începe automat, în acest caz, pasul de instalare manuală trebuie sărit.
9. Apăsați butonul Certificat.
10. În fereastra de certificat care se deschide, faceți clic pe butonul Instalați certificatul.
11. Folosind deschis Expertul de instalare a certificatului, instalați certificatul în depozitul de certificate Personal.
12. Pe pagină Gata de instalare caseta de selectare a certificatului Specificați containerul cu cheie privată apoi, la cererea programului, introduceți parola cheii private EDS (pe care ați indicat-o la înregistrarea pe Computer 1).
13. Lucrare terminată studii de masterat, închideți programul de configurare a furnizorului de cripto.
După finalizarea acestei proceduri, furnizorul criptografic pornește Computer 2 gata de munca.
Setarea automată a raportării pe computer 2
Înainte de a continua cu raportarea către autoritățile de reglementare cu Computer 2 certificatele necesare vor fi descărcate pe acest computer în regim automat, în procesul de schimb de date cu serverul operatorului special. În procesul de obținere a acestora, va trebui să confirmați intenția de a instala fiecare certificat.
Instalarea specificată a certificatelor poate fi efectuată pe Computer 2și manual, pentru care ar trebui să faceți următoarele:
1. Accesați editarea datelor organizației pentru care configurați 1C-Raporting și deschideți fila Fluxul documentelor.
3. În caseta de dialog care se deschide, faceți clic pe butonul de editare (cu o lupă) din dreapta câmpului cont de flux de lucru.
4. Apăsați butonul Configurați automat acum(Fig. 3). Aplicația va începe să facă schimb de date cu serverul operatorului de comunicații speciale, timp în care vor fi descărcate certificatele necesare de pe acesta.
Orez. 3
5. Confirmați intenția de a instala fiecare dintre certificate în casetele de dialog care vor apărea pe măsură ce descărcați.
6. Închideți casetele de dialog și formularul de organizare.
Computer 2 Gata de raportare!
Trimiterea de rapoarte atunci când lucrați în două programe
Ce se întâmplă dacă trebuie să trimiteți rapoarte din programul 1C: Salarizare și HR 8 către Fondul de pensii sau Serviciul fiscal federal, în timp ce restul raportărilor este generat în programul 1C: Contabilitate 8 și trimis direct de acolo?
Întrucât conectarea la serviciul 1C-Raportare se face pentru organizație în ansamblu, din punct de vedere al plății nu contează dacă această organizație este contabilizată într-un program sau în două. Dacă în același timp programele sunt instalate pe computere diferite, atunci trebuie să urmați pașii indicați mai sus. Dar indiferent dacă programele sistemului 1C:Enterprise 8 sunt instalate pe un computer sau pe altele diferite, trebuie să faceți o conexiune suplimentară.
Pentru a face acest lucru, trebuie să trimiteți o aplicație care indică TIN-ul, KPP, numele organizației pentru care există deja o conexiune, numele configurației care este diferit de cel aflat deja în baza de date.
Vă rugăm să rețineți că Serviciul Fiscal Federal, FSS și Rosstat sunt ghidate de un cont în fluxul lor de lucru, astfel încât pot fi mai multe dintre ele și puteți trimite rapoarte diferite în același timp folosind conturi diferite. FIU ține evidențe prin legătura cu numărul de înregistrare ###-###-###### și un certificat. Prin urmare, în raport cu FIU este necesar să lăsați un singur cont.
În concluzie, vă recomandăm să utilizați două programe - pentru a emite conturi pentru fluxul de lucru cu Serviciul Fiscal Federal, FSS și Rosstat în „1C: Contabilitate 8”, și pentru fluxul de lucru cu Fondul de pensii, Serviciul Fiscal Federal și FSS în program „1C: Salariul și managementul personalului 8”.
Două cuvinte, ce este EDS în general. Două chei sunt utilizate pentru semnarea și lucrul cu fișierele: privată și publică. Cheia privată este stocată pe token și este folosită pentru a semna sau cripta documente. Cheia publică trebuie să fie distribuită tuturor utilizatorilor care trebuie să lucreze cu documentul pe care l-ați semnat. Acest lucru se întâmplă de obicei automat când fișierul este semnat. În continuare, există un fișier pe care trebuie să-l semnăm. Cu ajutorul unui software special, o secvență unică de caractere, ceva ca o sumă de control, este creată din conținutul fișierului și cheia dumneavoastră privată. Această secvență este semnătura digitală. EDS este întotdeauna unic pentru un anumit utilizator și un anumit document. Semnătura conține informații despre data la care a fost semnat documentul, semnatarul, suma de control pentru documentul semnat și un link sau fișierul cheie publică în sine. Semnătura poate fi adăugată la fișierul semnat sau salvată ca fișier separat. Desigur, ne interesează prima variantă.
Ca întotdeauna, soluția problemei a început cu studiul a ceea ce este deja acolo. Au existat mai multe module de criptografie și EDS pentru 1C. Dar nu se potriveau. De regulă, aceștia pot semna fie fișiere XML, fie pot stoca semnătura și cheia publică într-un fișier separat. Și trebuia să obținem un document PDF semnat la ieșire, care poate fi vizualizat ușor și convenabil folosind același Adobe Acrobat Reader.
A doua decizie a fost să caute așa-numitele imprimante PDF - programe care pot salva orice document ca fișier PDF. Cea mai potrivită soluție a fost BullZip PDF Printer (http://www.bullzip.com/products/pdf/download.php), care în versiunea plătită are funcția de a semna documentele generate. Soluția, în principiu, a venit, dar au existat probleme birocratice grave cu achiziționarea, aprobarea și instalarea de software nou pe teritoriul întreprinderii. În timp ce decizia era coordonată, am acordat atenție pachetului software CRYPTO-PRO, care, de regulă, este furnizat și funcționează împreună cu cheia EDS.
Soluția unu, semi-manuală
Marea majoritate a cheilor EDS sunt emise sub formă de module USB eToken sau Rutoken. În cazul meu a fost eToken. Cine nu știe, principala diferență este că eToken are un coprocesor criptografic hardware încorporat. Aceasta înseamnă că atunci când datele sunt criptate, cheia privată nu părăsește simbolul. În cazul nostru, această diferență nu contează.Nu voi lua în considerare instalarea de drivere pentru cheile USB. Ele sunt de obicei furnizate de autoritatea de certificare emitentă împreună cu jetoanele în sine, iar instalarea nu cauzează probleme. De asemenea, jetoanele vin de obicei cu o licență pentru CRYPTO-PRO și utilitarul CryptoPro CSP. Am folosit cea mai recentă versiune 3.9 disponibilă în prezent.
Atunci totul este simplu. Lansăm CryptoPro CSP. Fila Service, butonul Vizualizare certificate în container, faceți clic pe Răsfoire pentru a selecta un token cu stocare criptografică și selectați spațiul de stocare de care avem nevoie. De obicei, există un spațiu de stocare per token.
Faceți clic pe Următorul și obțineți o fereastră cu informații despre certificatul la care este atașată cheia. Așteptăm butonul Instalare și instalăm certificatul în Magazinul privat pentru utilizatorul local. De obicei, împreună cu utilitarul CryptoPro CSP, în meniul Start este instalată o comandă rapidă pentru snap-in Certificate. Începem snap-in-ul, ne asigurăm că totul este făcut corect și că certificatul este într-adevăr instalat în secțiunea Personal pentru utilizatorul actual. 
Apoi, faceți clic dreapta pe certificatul instalat, Toate sarcinile, Export. Asigurați-vă că refuzați exportul cheii private și salvați certificatul undeva pe computerul local, de exemplu, pe desktop, în formatul de fișier X.509 (.CER) codificat DER. Vom avea nevoie de certificatul salvat în continuare pentru a finaliza semnătura.
Ultimul lucru care ne rămâne este să descarcăm utilitarul CryptoPro PDF de pe site-ul www.cryptopro.ru/downloads, cu ajutorul căruia vom semna fișiere PDF.
Funcționarea utilitarului este extrem de simplă. Selectăm folderul în care se află fișierele PDF, selectăm folderul în care vor fi salvate fișierele cu semnătură (dacă acesta este același folder, în setările avansate trebuie să bifați caseta „Suprascrie fișierele cu aceleași nume „) selectăm certificatul din containerul pe care îl vom folosi pentru semnături, introducem pinul din cheie și, dacă totul este corect, în câteva secunde vor apărea fișiere PDF semnate în folderul de primire. Pentru ca semnătura digitală să fie recunoscută legal, conform legii, trebuie setat și un marcaj de timp, dar nu am avut nevoie de asta pentru sarcină.
Practic, totul! Dacă aveți o organizație mică și câteva zeci de contrapărți, atunci nu puteți face nimic altceva și lăsați totul în modul manual. În plus, încă nu avem nevoie de 1C deloc, documentele PDF pot fi create în multe moduri, inclusiv din Microsoft Office.
Multă vreme nu mi-am putut da seama de ce nu trece semnătura și dă o eroare. S-a dovedit că funcționarea cu succes a utilitarului CryptoPro PDF necesită Adobe Acrobat Pro (nu Reader, este important!). Cu ajutorul său, utilitarul modifică fișierele PDF și le adaugă o semnătură.
Un exemplu de fișier semnat în imagine. Arată ca un PDF obișnuit, doar datele semnatarului au apărut în fila Semnături. Dintre cele mai importante, este indicat cine a semnat documentele (de obicei acesta este numele complet și numele organizației) și că documentul nu s-a schimbat de la semnare. Informațiile conform cărora certificatul nu este de încredere pot fi ignorate. Se spune doar că Adobe și produsul său Acrobat Reader nu știu nimic despre certificatul dvs. 
Soluția a doua, automată
După cum am scris mai sus, în cazul meu soluția manuală nu s-a potrivit. Există multe contrapărți, pentru fiecare dintre ele sunt create câteva zeci de documente pe lună. Toate acestea trebuie să fie salvate în format PDF, semnate, trimise într-o singură scrisoare. Pentru a rezolva problema, au venit cu ideea de a modifica și utiliza standardul de procesare pentru multe configurații „Procesare în grup a directoarelor și documentelor”. Pentru cele mai populare configurații, această procesare fie este inclusă în configurația în sine, fie poate fi găsită ca una externă pe discul ITS.Procesarea știe deja cum să imprime documentele selectate. În cele mai recente versiuni ale platformei, a apărut un mecanism obișnuit pentru salvarea formularelor tipărite ca fișiere PDF. Rămâne să combinați aceste două mecanisme și să salvați documentele selectate de utilizator într-un folder de pe computerul local, apoi să lansați linia de comandă și să lansați utilitarul CryptoPro PDF pentru a efectua semnătura.
Interfața a fost ușor îmbunătățită. Lucrarea cu directoare a fost eliminată din procesare. Au rămas în interfață 4 tipuri de documente care trebuie trimise. S-a schimbat sistemul de selecție. A creat un nou registru de setări EDS de informații. Pentru fiecare utilizator, acesta stochează informații despre calea CryptoPro PDF pe computerul local, foldere pentru stocarea temporară a fișierelor și un certificat care va fi folosit pentru semnare. De asemenea, au cerut să salveze pinul de la cheie, dar nu am făcut acest lucru din motive de securitate.
Pentru ca automatizarea să fie completă, a trebuit să reînvie modulul de e-mail în 1C. Atunci totul este simplu. O dată pe lună, operatorul selectează lista de contrapărți și tipurile de documente care urmează să fie trimise, verifică rezultatul selecției, dă clic pe butonul Run, introduce codul pin din cheie și așteaptă... În cazul meu, formarea unui pachetul de documente poate dura câteva ore.
Procesarea grupează documentele selectate în funcție de contrapărți, apoi parcurge fiecare contraparte, își selectează toate documentele, salvează ca fișiere PDF pe disc, lansează utilitarul CryptoPro PDF din linia de comandă, semnează documentele salvate, creează un document de e-mail cu contact detalii din directorul contrapărților, atașează documentele semnate dintr-un folder de pe disc ca atașament, schimbă scrisoarea în starea de trimitere și trece la următoarea contraparte. Scrisorile sunt trimise printr-o sarcină programată la fiecare 10 minute. Procesarea poate fi lăsată peste noapte. Problemele apărute vor fi procesate corect, iar dimineața utilizatorul va vedea jurnalul de erori și jurnalul scrisorilor trimise.
Pentru comoditate, voi da o bucată de cod care realizează procedura de semnare în sine. Toți parametrii sunt preluați din registrul de informații creat.
Inbox Array = FindFiles(InboxCatalog, "*.pdf", False); NumberFilesIncoming = ArrayIncoming.Number(); Notify("Găsit " + Numărul de fișiere primite + " fișiere de semnat."); CommandLine = Nume fișier CryptoPro + " semn" + " --in-dir=""" + Inbox + """" + " --out-dir=""" + Outbox + """" + " --report- dir =""" + LogDirectory + """" + " --err-dir=""" + ErrorDirectory + """" + " --certificate=""" + CertificateFileName + """" + " -- pin =""" + PinCode + """" + " --overwrite-files"; RunApplication(CommandLine, "", adevărat); ArrayOutbox = FindFiles(OutboxDirectory, "*.pdf", False); NumberFilesOutbox = ArrayOutbox.Number(); Notify("Semnat " + Numărul de fișiere trimise + " fișiere.");
Bună ziua Giktimes, astăzi vom vorbi despre unele, și de fapt - una mare, probleme de raportare electronică în sistemul GNU / Linux.
Problema trimiterii de rapoarte electronice din sistemul de operare Linux a fost mult timp discutată atât pe Habré / Giktimes, cât și pe forumurile tematice - Mista, Ubuntu, LORA, CryptoPro și forumul de asistență tehnică 1C: ITS. Pe scurt, în acest moment există două soluții - fie să utilizați un CEP bazat pe cloud și să trimiteți rapoarte printr-un browser, fie să utilizați o mașină dedicată / virtuală cu Windows instalat (chiar și o versiune de probă) pentru raportare. Opțiunea de a transmite rapoarte folosind utilități specializate furnizate de autorități (FTS, PFR, FSS, Rosstat, FSRAR) este posibilă numai atunci când se utilizează [email protected], care este de fapt și o cârjă (pentru că avem nevoie de DOUĂ licențe pentru CryptoPro CIPF - pentru Windows și Linux).
Nu este un secret că nu există atât de multe programe pentru sistemul de operare GNU/Linux pentru contabilitate: Pineapple (care acum se odihnește în pace), Ukrainian Debit + (al cărui modul de suport pentru legislația rusă nu a fost încă actualizat, Ctulu știe cât) și 1C contabilitate . Mă refer la aplicații native. Dintre toate cele de mai sus, doar 1C la momentul scrierii este inclusă în registrul de stat al software-ului autohton și conține mecanisme de întocmire și transmitere a rapoartelor în formă electronică prin operatori speciali de gestionare electronică a documentelor. Apropo, nu sunt mulți operatori susținuți de contabilitatea 1C: CJSC Kaluga-Astral (dezvoltatorul subsistemului 1C-Reporting), Taxcom LLC, Forus NPF LLC și miticul „Other Document Management Operator”.
Din păcate, raportarea de la 1C este plină de o serie de dificultăți pe care le poate întâmpina un administrator de sistem obișnuit (și experimentat). Desigur, vom analiza în detaliu aceste probleme și cum să le rezolvăm.
Prima problemă cu care ne confruntăm este CIPF. Nu, nu absența lor, ei sunt. Pentru Linux, există mai multe CIPF-uri certificate (cu suport GOST) disponibile pentru instalare și utilizate în diferite subsisteme. La momentul scrierii, acestea sunt următoarele instrumente de protecție a informațiilor criptografice, corectați-mă dacă am omis ceva:
- vipnet
Un alt CIPF certificat, al cărui suport este prezent inițial în 1C. Există ca versiune beta pentru arhitecturile i686 și amd64. Din păcate, în afară de CIPF în sine, ei nu au alte produse pentru Linux, iar munca cu drepturi depline pe portaluri și platforme de tranzacționare cu acesta este imposibilă.
CryptoCom
Acest CIPF este disponibil pentru platformele i686 și amd64, este utilizat în principal în sistemele de internet banking, în special sistemul iBank (utilizat de multe bănci, cum ar fi GazpromBank, UBRIR, Alfa etc.).
Lissy CSP
Unul dintre CIPF existente oferă, pe lângă CIPF în sine, versiuni ale browserului Mozilla Firefox și ale clientului de e-mail Mozilla Thunderbird cu suport pentru algoritmi de criptare și semnătură digitală electronică a familiei GOST. Din păcate, suportă doar platforma i686, nu a fost posibilă verificarea compatibilității CIPF cu driverul ruToken, deși producătorul o susține. Cu toate acestea, extensia pentru produsele Mozilla vede în mod regulat certificate și vă permite să semnați, să criptați și să autentificați HTTPS în două sensuri folosind algoritmi GOST. Compatibilitatea cu 1C nu a fost testată de mine.
Cu toate acestea, produsul este destul de demn dacă utilizați versiunea pe 32 de biți a sistemului. Merită să ne amintim că, în acest caz, nicio aplicație nu va putea aloca mai mult de 3 GB de memorie per proces. Unele aplicații, cum ar fi un SGBD, se pot descurca cu trucul shmem și pot folosi până la 64 GB de memorie prin alocarea unui proces pe sesiune, dar 1C Accounting nu folosește această tehnologie și nu aș recomanda instalarea unui server pe un 32- arhitectura bit cu acest CIPF.
CSP CryptoPro
De fapt, în prezent, singura soluție completă pentru Linux care funcționează cu semnătură electronică și criptare. Disponibil pentru platformele i686, amd64, armhf (inclusiv Android), PowerPC. Ca să nu mai vorbim că au versiuni pentru Solaris (i686, amd64, sparc), AIX, FreeBSD, OSX și iOS. Destul de ciudat (sarcasm), este CryptoPro care este recomandat oficial de multe autorități guvernamentale pentru interacțiune și gestionarea documentelor electronice. Licențele pentru CryptoPro vin adesea ca parte a unei chei EDS și ca parte a unui acord cuprinzător de servicii pentru raportare. Alegerea mea a fost fără echivoc în favoarea acestui CIPF. Dezavantajele includ complexitatea relativă a instalării pe alte sisteme decât RHEL/SLES și deficiențele în asamblarea pachetelor software (nu sunt permise simboluri importate și funcții exportate cu dependențe rupte). În cele mai multe cazuri, aceste neajunsuri nu sunt vizibile pentru utilizator, deoarece. aceste funcții sunt destinate funcționării diferitelor biblioteci în CryptoPro și sunt rezolvate automat atunci când sunt apelate pentru prima dată de kernel-ul OS (bibliotecile necesare sunt deja încărcate în spațiul de adrese al aplicației). Al doilea dezavantaj este lipsa unui client de email, dacă browserul CryptoFox este prezent, dar suportul Thunderbird în CryptoPro a fost abandonat. Trebuie să aducem un omagiu faptului că s-au făcut încercări active din partea lor de a face modificări la versiunea de lucru a NSS pentru a sprijini GOST, dar lucrurile sunt încă acolo. Dacă modificările ar fi acceptate, suportul GOST ar apărea în toate browserele și aplicațiile care folosesc NSS, cum ar fi Open / LibreOffice, produsele Mozilla, Nautilus / Nemo, Thunar, XCA și alte programe.
Din motive evidente, a fost ales CIPF CryptoPro și să ne oprim asupra ei mai detaliat.
În primul rând, pentru platforma Linux nu există nicio aplicație CryptoARM, cunoscută multora, pentru semnarea documentelor. Cu toate acestea, puteți utiliza utilitare de linie de comandă pentru a crea o semnătură atașată și detașată. Pentru a crea și a verifica o semnătură digitală detașată, am creat două scripturi - semnează și, respectiv, verifică. Textul scripturilor este dat mai jos, sunt de acord că sunt oarecum cârjă, dar a fost scris în grabă, iar la acel moment versiunea beta a CryptoPro 4.0 se comporta ciudat când trecea direct căi către fișierele semnate și de ieșire.
semn
#!/bin/sh DIR=`dirname $1` /opt/cprocsp/bin/amd64/cryptcp -signf $2 $3 -cert -der -norev "$1" mv "$1.sgn" "$1.p7s"
verifica
#!/bin/sh DIR=`dirname $1` cp "$1.p7s" "$1.sgn" /opt/cprocsp/bin/amd64/cryptcp -vsignf -der -norev "$1" rm "$1.sgn"
În al doilea rând, și acest lucru este foarte important, avem următoarea imagine. în 1C Accounting, setările standard pentru lucrul cu CryptoPro CIPF sunt date pentru versiunea 3.6. Vechea versiune a CryptoFox funcționează cu versiunea 3.6. Aici se termină beneficiile și începe durerea de cap. Versiunea veche a CryptoFox nu afișează niciun site modern, chiar și portalul de inspecție fiscală se târăște pe undeva. Când încercați să instalați o versiune actuală ~proaspătă~ a CryptoFox 31, aceasta se blochează (defecțiune de segmentare) când intră pe orice site care necesită HTTPS cu algoritmul GOST. Uneori se blochează chiar și atunci când pluginul pentru browser CryptoPro rulează. Apropo, și o versiune foarte veche care acceptă doar semnarea, dar nu și criptarea și funcționează numai cu NPAPI.
Cu versiunea 3.9, situația este și mai distractivă - 1C nu o mai vede, dar CryptoFox încă cade, atât cu vechiul, cât și cu cel nou.
Versiunea 4.0, dimpotrivă, nu vede 1C, dar CryptoPro Browser Plugin 2.0 pornește cu el, intrarea pe site-urile de stat din CryptoFox funcționează (există o conversație separată despre ele, iar dacă analizezi munca din sistemul de operare GNU/Linux cu ele, există material suficient pentru încă un articol) . Problema este să forțați 1Sku să vadă CIPF-ul instalat. Problema, în general, nu este atât de gravă, se rezolvă literalmente în cincisprezece secunde, dar a fost nevoie de o săptămână întreagă de comunicare cu asistența tehnică CryptoPro pentru a găsi soluția în sine (și dându-mă cu suportul 1C pe instrucțiunile din ITS). În cele din urmă, problema a fost rezolvată de la sine, iar soluția a fost în cele din urmă postată pe forumul CryptoPro. Metodologia de rezolvare a problemei pentru viitor:
- Pentru a obține numele furnizorului cripto și tipul acestuia, trebuie să ne referim la utilitarul CryptoPro. Cel mai simplu mod de a obține aceste date este prin listarea certificatelor instalate:
În contabilitatea 1C, este posibil să adăugați un furnizor criptografic arbitrar. Să folosim acest mecanism, să adăugăm un nou furnizor de cripto, și să-i denumim, spune „CryptoPro CSP 4.0”.
- Specificați următoarele date:
- Salvăm furnizorul criptografic și specificăm calea către bibliotecă: /opt/cprocsp/lib/amd64/libcapi20.so
Gata, 1C vede acum furnizorul de criptografii instalat. S-ar părea că totul, puteți trece prin adăugarea certificatelor și configurarea raportării, dar nu a fost acolo. O mică vulpe albă siberiană s-a strecurat până la noi de unde nu ne așteptam - de la dezvoltatorii 1C înșiși. Din punct de vedere istoric, s-a întâmplat ca subsistemul electronic de gestionare a documentelor, 1C-Reporting, nucleul 1C și configurațiile să fie scrise de diferiți oameni și chiar de diferite companii. La crearea configurațiilor cu funcția 1C-Reporting pentru 1C 8.3, de exemplu, „Enterprise Accounting 3.0”, dezvoltatorii, fără ezitare, au transferat întregul subsistem EDKO „ca atare”, fără modificări, în urma căruia obținem un paradox. . Contabilitatea 1C în sine vede sistemul de protecție a informațiilor criptografice, vede certificatele, le permite instalarea, semnarea și criptarea oricăror documente, dar, în același timp, sistemul electronic de gestionare a documentelor (versiunea veche) nu vede niciun certificat instalat direct, și, în consecință, nici măcar nu poate primi configurația inițială de la operatorul de gestionare a documentelor - pur și simplu nu există nicio modalitate de a o descifra. Sau mai degrabă, există mai mult decât decriptare, dar subsistemul EDKO folosește propriul mecanism pentru a lucra cu protecția informațiilor criptografice, folosind o componentă externă (doar pentru Windows) și nu știe nimic despre existența mecanismelor încorporate pentru a lucra cu protecția informațiilor criptografice, pe care 1C însuși o folosește ca parte a configurației.
Cu toate acestea, subsistemul EDI (a nu fi confundat cu EDKO) vede toate certificatele relevante cu contrapărți și vă permite să vă conectați la sistemul electronic de gestionare a documentelor. Dar nu raportarea.
Pentru Linux, există o restricție privind funcționarea directă a configurației Client-EDO cu o bază de configurare externă, iar aceasta necesită un server 1C funcțional. Deoarece versiunile de bază ale configurațiilor nu permit utilizarea versiunii client-server a implementării 1C, integrarea Client-EDO și contabilitatea în Linux nu este posibilă pentru astfel de configurații, va funcționa doar pentru cele cu funcții complete. În majoritatea configurațiilor, puteți activa schimbul cu contrapărți și va funcționa, în ciuda raportării 1C care nu funcționează.
Dacă deschidem configuratorul și activăm modul de depanare, vom vedea următoarea imagine:
Formularele 1C-Raportare folosesc General->GeneralModules->CryptographyEDKOClient, care, la rândul său, se bazează pe munca componentei externe Addin.EDONative.CryptS.
Aceeași funcționalitate de lucru cu semnătură digitală electronică și criptare (fără funcționalitatea schimbului de containere de transport prin canale de comunicații electronice) este implementată în General->GeneralModules->ElectronicSignatureClient, care ia în considerare lucrul în sistemul de operare al familiei Linux și încarcă corect atât componentă externă pentru lucrul cu XMLDSig, precum și un modul criptoprovider. Această bibliotecă vede corect toate certificatele, vă permite să semnați și să criptați documente, conține funcții de lucru atât cu obiectele din memorie, cât și cu fișierele de pe hard disk. Această bibliotecă este utilizată în toate mecanismele standard de lucru cu EDS în interiorul 1C, cu excepția subsistemului 1C-Reporting (EDKO).
Adică, pentru a implementa funcționarea subsistemului 1C EDKO, este suficient să rescrieți fie formularele 1C-Raportare pentru a utiliza mecanisme încorporate, fie să supraîncărcați CryptographyEDKOClient, să folosiți nu o componentă externă, ci să redirecționați apelurile pentru a lucra cu certificate. , EDS și criptare pentru clientul încorporat care lucrează cu CIPF.
Comunicarea cu suportul tehnic 1C a dat doar un răspuns că ei sunt conștienți de această problemă, dar sunt prea puțini clienți care folosesc sistemul de operare GNU/Linux (nevoia nu este masivă), dar sarcina lor este „înregistrată”.
UPD:
Taki a reușit să înceapă munca vrăjitorului după un studiu detaliat al sursei. Până acum sunt blocat să decriptez containerul din Taxcom, dar certificatele sunt deja vizibile. Funcționează numai pe cea mai recentă versiune a CryptoPro 4. Începeți așa cum este indicat mai jos. Numele reprezentării nu joacă un rol, dar „în interiorul” 1C-EDKO este exact așa:
Câmpurile sunt obligatorii pentru validare Numele programuluiși Tipul programului. Numele programului se referă la modul de compatibilitate cu furnizorul criptografic versiunea 2.0, în versiunea beta 4.0 numele lipsea.
Problema principală este ascunsă aici: General->Module comune->CryptographyEDCOServiceClient.GetCryptoProviders
IncomingParameters = ParametersToArray(1, OnlySupported);
Pentru Linux, eliminați unul. Sau adăugați o verificare pentru CryptoPro versiunea 3.9 și o versiune ulterioară:
General->Module generale->CryptographyEDKOClientServer.GetCryptoproviders.CryptoProviderCryptoPro
Nume: Crypto-Pro GOST R 34.10-2001 KC1 CSP
pentru un client, sau
Nume: Crypto-Pro GOST R 34.10-2001 KC2 CSP
pentru server.
Numai utilizatorii înregistrați pot participa la sondaj. Intrati va rog.
