Litoria desktop 2 инструкция

Как организовать долгосрочное архивное хранение электронных документов

Недавно в журнале «Инсайд» мы рассказывали о долгосрочном архивном хранении электронных документов (ЭД), заверенных электронной подписью (ЭП). Статья была посвящена обзору различных точек зрения на организацию этого процесса и подходах к пролонгации свойств юридической значимости ЭД. В ней мы акцентировали внимание на подходе, который предусматривает формирование квитанций документа. Они представляют собой метаданные, содержащие результаты выполненных проверок, а также все необходимые атрибуты, подтверждающие юридическую значимость документа в момент проверки.

Настоящая статья более подробно раскрывает еще один подход к долгосрочному архивному хранению (ДАХ) – формирование усовершенствованной электронной подписи (УЭП), а именно ЭП в архивных форматах CAdES-A и XAdES-A.

Картинка с сайта: habr.com

Попробуем более подробно разобраться, как и почему архивная ЭП может продлить жизненный цикл электронных документов с ЭП. Начнем с небольшого теоретического ликбеза по типам и форматам ЭП, а затем рассмотрим на практике порядок формирования архивной ЭП продуктами разработки компании «Газинформсервис».

Немного теории

Электронная подпись типа CAdES

CMS Advanced Electronic Signatures (CAdES) — это стандарт ЭП, представляющий собой расширенную версию стандарта Cryptographic Message Syntax (CMS). Главным документом, описывающим данный стандарт, является ETSI TS 101 733 «Electronic Signature and Infrastructure (ESI); CMS Advanced Electronic Signature (CAdES)».

CAdES стал развитием CMS, в котором были исправлены такие основные недостатки предшественника, как отсутствие штампа доверенного времени создания ЭП, отсутствие типа содержимого ЭП и отсутствие возможности долгосрочного сохранения свойств юридической значимости ЭП.

Стандарт определяет несколько форматов CAdES, каждый из которых включает в себя предыдущий (в соответствии с представленной ниже последовательностью) и расширяет его:

Архивная форма ЭП CAdES-A состоит из следующих элементов:

• полный набор проверочных данных (CAdES-С);
• значения сертификатов и СОС (CAdES-X Type 1 или CAdES-X Type 2), если они используются;
• подписанные данные пользователя и дополнительный архивный штамп времени, примененный ко всем данным.

Картинка с сайта: habr.com

Рисунок 1 – Схема формирования ЭП в формате CAdES-A

Вопросы организации ДАХ связаны не только с ограниченным сроком действительности пользовательского сертификата, установленным российским законодательством в 1 год 3 месяца, но и модификациями криптографических алгоритмов, что в свою очередь обусловлено ухудшением свойства их стойкости в связи с развитием методов криптоанализа и вычислительной отрасли.

Поверх ЭП в формате CAdES-A может быть наложен дополнительный штамп времени, что защитит ее содержимое при выявлении уязвимостей используемых криптографических хеш-функций, при взломе используемых криптографических алгоритмов и при компрометации ключей. При этом не стоит забывать, что последовательность штампов времени может предоставить защиту от подделки ЭП при условии, что эти штампы были применены до компрометации ключа службы штампов времени. Таким образом, ЭП в формате CAdES-A позволяет сохранить её подлинность на очень большие периоды времени, а периодическая простановка архивных штампов обеспечит возможность проверки ЭП при обновлении криптографичексих стандартов.

Также важно отметить, что дополнительные данные, необходимые для создания описанных выше форм архивной ЭП, передаются как неподписанные атрибуты, связанные с отдельной ЭП за счет размещения в поле unsignedeAttrs структуры SignerInfo. Таким образом, все атрибуты архивной ЭП являются неподписанными за счет чего не нарушается ее математическая корректность.

Представим все, что было описано выше, в более наглядном табличном виде:

Сравнительный анализ форматов ЭП типа CAdES

Картинка с сайта: habr.com

Электронная подпись типа XAdES

XML Advanced Electronic Signatures (XAdES) — это стандарт ЭП, представляющий собой расширенную версию стандарта XML Digital Signature (XMLDSig). Главным документом, описывающим данный стандарт, является ETSI EN 319 132-1 «Electronic Signature and Infrastructure (ESI); XAdES digital signatures».

Аналогично ЭП типа CAdES, для ЭП типа XAdES определено несколько форматов, каждый из которых включает в себя предыдущий (в соответствии с представленной ниже последовательностью) и расширяет его:

Подробно отличия каждого последующего в списке формата от предыдущего расписывать не будем, поскольку оно в точности повторяет описание для CAdES, предполагая «обогащение» подписанной структуры аналогичными полями и атрибутами. Основные отличия сведем сразу в табличную форму:

Сравнительный анализ форматов ЭП типа XAdES

Картинка с сайта: habr.com

Новые возможности продуктов Litoria по обеспечению ДАХ

Программный комплекс (ПК) «Litoria Desktop 2» — разработка компании «Газинформсервис», которая предоставляет пользователю возможность полного отказа от бумажного документооборота и перехода к электронному юридически значимому и конфиденциальному взаимодействию. Формирование и проверка УЭП в формате CAdES-A уже доступны пользователям программного комплекса, начиная с релиза 2.2.3. Таким же форматом ЭП заверяет квитанции, а также выполняет их проверку ПК Службы доверенной третьей стороны «Litoria DVCS» в релизе 5.2.2.

Рассмотрим, процесс формирования архивных УЭП на базе данных продуктов.

1. С помощью «Litoria Desktop 2» сформируем УЭП на электронный документ, который будем передавать в «СДТС «Litoria DVCS» для формирования квитанции:

Картинка с сайта: habr.com

Рисунок 1 – Формирование УЭП с помощью ПК «Litoria Desktop 2»

Подробную информацию о сформированной УЭП можно посмотреть через вкладку «Проверка и извлечение». Мы видим, что сертификат подписанта действителен по 20 октября 2018 года (рисунок 2), а сертификат сервера TSP, который собственно добавил в подпись штамп времени и сделал ее усовершенствованной (Рисунок 3), — до 22 декабря 2032 года.

Картинка с сайта: habr.com

Рисунок 2 – Отображение информации об ЭП в интерфейсе ПК «Litoria Desktop 2» (сертификат пользователя)

Картинка с сайта: habr.com

Рисунок 3 –Отображение информации об ЭП в интерфейсе ПК «Litoria Desktop 2» (сертификат сервера TSP)

В свою очередь действительность УЭП, которой заверен ЭД, определяется сроком действительности сертификата сервера штампов времени. Но здесь стоит обратить Ваше внимание, что для статьи мы использовали тестовый неаккредитованный УЦ и тестовый TSP, для которых были выпущены неквалифицированные сертификаты. В российских реалиях срок действительности квалифицированного сертификата сервера штампов времени не должен превышать 15 лет.

А что же нам делать, когда документ должен храниться более 15 лет? Как раз тут вступает в игру архивный формат ЭП, проставляемой на квитанции (с помощью ПК «СДТС «Litoria DVCS»).

2. Зайдем в личный кабинет пользователя ПК «СДТС «Litoria DVCS» и отправим подписанный ЭД для формирования квитанции о проверке (Рисунки 4, 5).

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Рисунок 4 – Формирование квитанции на ЭД в ПК «СДТС «Litoria DVCS»

Картинка с сайта: habr.com

Рисунок 5 – Детальная информация по квитанции в ПК «СДТС «Litoria DVCS»

Проверка ЭД выполнена, квитанция сформирована. Теперь комплекс в автоматизированном режиме будет выполнять анализ действительности каждой из хранимых квитанций, которая определяется сроком действия сертификата сервиса штампов времени, и по наступлении события окончания его действия, квитанции будут перевыпускаться, т.е. формируется цепочка юридически значимых документов «исходный ЭД – квитанция 1 – квитанция 2 — …. – квитанция n»

Подпись в формате CAdES-A с помощью ПК «Litoria Desktop 2»

Рассмотрим упомянутый второй, пока что механизированный, способ формирования ЭП в формате CAdES-A посредством ПК «Litoria Desktop 2».

1. Запускаем ПК «Litoria Desktop 2», формируем УЭП уже известным способом

2. Заходим в директорию «Архивное хранение», в папку «edsArch» копируем наш подписанный ЭД и запускаем утилиту Gis.ArchUpgrade (установка проходит в процессе инсталляции комплекса в соответствующей директории, указанной пользователем, Рисунок 6)

Картинка с сайта: habr.com

Рисунок 6 – Подготовка ЭД к формированию ЭП в формате CAdES

3. По завершении процедуры на экране у пользователя в консоли будет выдано соответствующее уведомление (рисунок 7).

Картинка с сайта: habr.com

Рисунок 7 – Успешное формирование УЭП в формате CAdES-A

Еще раз подчеркнем, что формат подписи CAdES-A предполагает добавление в исходную ЭП неподписанных атрибутов, что не нарушает математической корректности исходной ЭП.

4. Теперь переходим в папку «edsArch» и сформированный по итогу работы утилиты файл проверяем в ПК «Litoria Desktop 2» (Рисунки 8, 9, 10).

Картинка с сайта: habr.com

Рисунок 8 – Сформированный утилитой Gis.ArchUpgrade файл с архивной подписью

Картинка с сайта: habr.com

Рисунок 9 – Результаты проверки архивной ЭП в ПК «Litoria Desktop 2» (сертификат пользователя)

Картинка с сайта: habr.com

Рисунок 10 – Результаты проверки архивной ЭП в ПК «Litoria Desktop 2» (сертификат сервиса TSP)

И в завершение — фрагмент кода ASN.1 архивного штампа времени:

Картинка с сайта: habr.com

Таким образом, на сегодняшний день уже есть жизнеспособные варианты для обеспечения полного жизненного цикла электронных юридически значимых документов, требующих долгосрочного хранения. Более подробную информацию о продуктах, призванных решить обозначенную задачу, Вы можете узнать на сайте компании-разработчика или обратившись в отдел продаж по телефону 8(812) 677-20-53, email: salespo@gaz-is.ru.

При первом входе в комплекс, в нижнем левом углу основного окна ПК «Litoria Desktop» Модуль управления сертификатами (далее ПК LD МУС) отобразится информация о версии программного комплекса и требование активации (рисунок 1.1)

Без активации пользователю доступна пробная версия «Litoria Desktop» и период ее использования ограничен 30 днями.

Картинка с сайта: ca.gisca.ru

Активация при наличии подключения к сети Интернет

Для активации комплекса при имеющемся подключении к сети Интернет* необходимо выполнить следующие действия:

1) Нажать на кнопку «Активировать» в нижнем левом углу основного окна комплекса (рисунок 1.1).

2) В появившемся окне ввести ключ лицензии (рисунок 1.2) и нажать кнопку «Далее».

Картинка с сайта: ca.gisca.ru

3) Ввести e-mail адрес (рисунок 1.3) и нажать кнопку «Далее». На введенный адрес электронной почты придет сообщение, содержащее ключ активации. Ключ активации необходим для защиты лицензионного ключа от повторной активации продукта.

Картинка с сайта: ca.gisca.ru

4) В окно на рисунке 1.4 ввести ключ активации, полученный на адрес электронной почты и нажать кнопку «Активировать».

Картинка с сайта: ca.gisca.ru

1) В результате успешно пройденной активации основное окно комплекса примет вид, представленный на рисунке 1.5 с дополнительным сообщением об успешно проведенной активации. На адрес электронной почты придет сообщение о завершении активации продукта.

Картинка с сайта: ca.gisca.ru

Активация при отсутствии подключения к сети Интернет

1) Нажать на кнопку «Активировать» в нижнем левом углу основного окна комплекса (рисунок 3.1).

2) В появившемся окне ввести ключ лицензии (рисунок 1.2) и нажать кнопку «Далее».

3) В появившемся окне необходимо выбирать активацию программы с помощью браузера «Активация через браузер» (рисунок 1.6) и нажать кнопку «Далее».

Картинка с сайта: ca.gisca.ru

4) Ввести e-mail адрес (рисунок 1.3) и нажать кнопку «Далее». На введенный адрес электронной почты придет сообщение, содержащее ключ активации.

5) В появившемся окне (рисунок 1.7) необходимо в указанном порядке выполнить следующие действия:

Картинка с сайта: ca.gisca.ru

• нажать на ссылку «Скопировать код в буфер обмена»;
• нажать на ссылку https://license.gaz-is.ru/offlineActivate;

При отсутствии подключения к сети Интернет на рабочей станции, на которой устанавливается программный комплекс, необходимо перейти по указанной ссылке на любой другой рабочей станции, с имеющимся подключением к сети Интернет.

• в появившемся окне (рисунок 1.8) необходимо вставить скопированную в буфер обмена информацию с помощью контекстного меню правой кнопки мыши или вставить активационный запрос из файла, нажав кнопку «Выберите файл», и нажать кнопку «Активировать»;

Картинка с сайта: ca.gisca.ru

• в появившемся окне (рисунок 1.9) необходимо ввести ключ, полученный на указанный ранее e-mail адрес и нажать кнопку «Активировать»;

Картинка с сайта: ca.gisca.ru

• в появившемся окне (рисунок 1.10) нажать на кнопку «Скопировать в буфер обмена»;

Картинка с сайта: ca.gisca.ru

6) Вставьте скопированную информацию в окно активации программы (рисунок 1.7) с помощью контекстного меню правой кнопки мыши и нажмите кнопку «Активировать»;

7) В результате успешно пройденной активации основное окно комплекса примет вид, представленный на рисунке 1.5 с дополнительным сообщением об успешно проведенной активации.

Порядок обеспечения сертификатом

После покупки лицензии на программный комплекс «Litoria Desktop модуль управления сертификатами», клиент в течение года имеет право получить сертификат. Для этого клиенту необходимо:

• оповестить менеджера удостоверяющего центра о необходимости выпустить сертификата               

                 —   по телефону 8 (800) 505-05-02 или

                 —   по электронной почте sales@gisca.ru

• подготовить и отправить менеджеру удостоверяющего центра требуемые документы:

                 —   паспорт;

                 —   СНИЛС;

                 —   заявление на выпуск сертификата;

• пройти процедуру идентификации

                 —   очно в офисе УЦ «ГИС» или

                 —   заочно с помощью действующего квалифицированного сертификата;

• создать запрос на сертификат в формате PKCS#10 с использованием программного комплекса «Litoria Desktop» Модуль управления сертификатами и передать его менеджеру удостоверяющего центра;

• подписать печатную форму сертификата

                —   собственноручно или с использованием действующего квалифицированного сертификата;

• получить сертификат

                —   на ключевом носителе или

                —   в виде файла с расширением cer. 

Процедура отправки пакета документов по электронной почте

В целях обеспечения конфиденциальности отправляемый пакет документов требуется зашифровать. Для этого необходимо скачать сертификат отдела продаж, расположенный по адресу «http://ca.gisca.ru/repository/sales2021.cer». Сертификат нужно установить в хранилище «Другие пользователи» или привязать к адресу электронной почты sales@gisca.ru в почтовом клиенте. Подготовленный пакет документов необходимо зашифровать на данном сертификате с использованием полной версии Litoria Desktop, либо почтовым клиентом (На рабочем месте необходим КриптоПро CSP). После этого отправить пакет документ на адрес sales@gisca.ru.

Порядок активации LD МУC

Сегодня расскажем о программах для электронной подписи, которые вы можете приобрести в интернет-магазине Cryptostore.Ru по выгодным ценам.

Мы много рассказывали вам об электронной подписи и электронном документообороте на примере приложений КриптоАРМ и КриптоАРМ ГОСТ. Но есть и другие программы для электронной подписи, которые мы также предлагаем покупателям интернет-магазина Cryptostore.Ru.

В сегодняшнем обзоре мы сравним четыре:

1. Jinn Client 
2. Litoria Desktop 2.0
3. CryptExpert
4. КриптоАРМ ГОСТ 3

Jinn Client

Первым у нас идет приложение Jinn Client
Производитель: компания “Код безопасности”.

Это средство создания электронной подписи и доверенной визуализации документов. Особенностью программы Jinn Client является возможность использования доверенного отображения информации перед подписанием.

Какие еще есть интересные возможности в Jinn Client:

• Защита от подмены данных при просмотре подписываемого документа;
• Электронная подпись осуществляется на изолированных ресурсах компьютера;
• Формирование запросов на сертификат в удостоверяющий центр;
• Поддержка криптоконтейнеров формата PKCS#15;
• Возможность чтения контейнеров ключей КриптоПро.

Приложение доступно на Windows и Linux. Сертифицировано в ФСБ России. Сертификат для Jinn Client 1 под Windows действует до апреля 2027 года, а сертификат для Jinn Client 2 под Linux — до апреля 2025 года, и сейчас находится на продлении.

Litoria Desktop 2.0

Следующая программа: Litoria Desktop 2.0
Производитель: компания “Газинформсервис”.

В отличие от предыдущей программы фокус у Litoria на организации и обеспечение трансграничного документооборота. Программа реализует функциональные возможности клиента доверенной третьей стороны (при подключении к ПК «СДТС «Litoria DVCS»).

У программы есть весь базовый набор присущий программам для электронной подписи: 

• Имеет простой и понятный интерфейс;
• Устанавливается в «один клик»;
• Совместим с российскими ОС Альт, Astra Linux и Ред ОС;
• Поддерживает классические подписи CMS и усовершенствованные CAdES.

Программа успешно проходит 224 теста по информационной безопасности NIST, это Национальный институт стандартов и технологий США, чьи рекомендации признаются на глобальном уровне в большом числе стран.

Litoria Desktop 2.0 сертифицирована ФСБ России в качестве СКЗИ, срок действия сертификата заканчивается в сентябре 2025 года, и судя по всему будет продлен.

CryptExpert

Следующая программа: CryptExpert
Производитель: компания “Криптекс”

Программа с самым простым интерфейсом из всех представленных сегодня. Работает на Windows, Linux, macOS. Из российски ОС заявлена совместимость с Ред ОС, РОСА и Astra Linux.

Главной особенностью CryptExpert однозначно можно отметить возможность подписи и проверки подписи PDF, в программе реализована поддержка PAdES, и даже присутствует сертификация (защита) после подписания. Такие же функции можно встретить в КриптоПро PDF, КриптоАРМ версии 6. 

Интересные функции:

• Усовершенствованная подпись CAdES-Т, CAdES-X Long Type 1 и архивная CAdES-A.
• Поддержка подписи с МЧД и проверка статусов доверенностей. Можно даже самим создать МЧД с выбором полномочий как на сайте ФНС. Подписать его и отправить на регистрацию. Компания Криптекс является действующим оператором ЭДО и имеет прямой доступ к системе распределенного реестра ФНС России.  

Сертификата соответствия ФСБ у CryptExpert нет.

КриптоАРМ ГОСТ

Заключительная программа в обзоре: КриптоАРМ ГОСТ 3
Производитель: компания “Цифровые технологии”

КриптоАРМ ГОСТ 3 — универсальное приложение для работы с электронными документами со встроенным почтовым клиентом, позволяющим безопасно обмениваться файлами.

Наличие собственного почтового клиента выделяет КриптоАРМ ГОСТ 3 от других средств подписи. Вы не только  можете подписывать либо шифровать файлы, но и отправить их сразу же по почте. Причем почта также защищена, почтовые сообщения включая прикрепленные  документы подписываются сертификатом отправителя и шифруются сертификатом открытого ключа получателя. КриптоАРМ ГОСТ 3 отлично подходит для конфиденциального обмена документами по электронной почте.

Из интересных функциональных возможностей выделим:

• Поддержку CAdES-Т, CAdES-X Long Type 1 и CAdES-A.
• Подпись с МЧД с созданием единого архива из подписанных данных и файлов МЧД.
• Возможность генерации ключей и создания запросы на сертификат, в том числе для УКЭП.

Программа мультиплатформенная, работает на Windows, Linux, macOS, на последних версиях отечественных ОС Astra Linux, Альт, Роса, Ред ОС, AlterOS и ОСнова.

КриптоАРМ ГОСТ сертифицирован ФСБ России в составе СКЗИ КриптоПро CSP 5.0 R3 для КС1 и КС2. Сертификаты действуют до мая 2027 года.

У Цифровых технологий есть также похожий продукт, не КриптоАРМ ГОСТ, а просто КриптоАРМ. Так вот, в 6-й версии ко всему  тому, что сеть в КриптоАРМ ГОСТ 3, был добавлен мастер подписи и защиты PDF. Это не просто поддержка стандарта для встроенной подписи PAdES, но и встроенный просмотрщик  PDF документов, а-ля Acrobat Reader.