Pull to refresh

Comments 13

Есть промежуточный вариант. Можно бесплатно протолкнуть свою неквалифицированную в пул публичных серверов ключей OpenPGP.
Проблема есть в том никто не проверят источник ключа и фактически любой злоумышленник
может засабмитить туда свою подпись. Однако пул не примет подпись для адреса который там уже есть, если она не будет сертифицирована ранее опубликованным ключем.
Ну и в целом система публичных серверов была придумана еще в 90х задолго до появления блокчейна, и уже конечно морально устарела.

Проблема еще в том, что какая-нибудь тетя Маня из бухгалтерии для проверки подписи скорее всего пойдет на сайт госуслуг, а не на какой-то неведомый ей публичный сервер ключей. Тем более что никто не мешает злодею зарегистрировать красивое доменное имя и создать типа публичный сервер ключей для своих грязных целей. Я изучал этот пул публичных серверов, лучше уж публиковать свой ключ на сайте своей организации, ему больше доверия.

Сейчас по работе периодически вижу письма разных организаций (государственных и нет), у которых вместо подписи стоит такой штамп, как в конце статьи: «Документ подписан электронной подписью». Обычно в штампе также указан буквенно-цифровой код сертификата, ФИО пользователя и срок действия.

Как проверить такие подписи? Сами письма в pdf. Внутренний механизм работы с подписями Adobe Acrobat, например, и не видит никакой подписи. Пробовал изменить текст pdf-файла и пересохранить — визуально ничего не меняется. Как для обычного пользователя увидеть, что файл правда подписан? Если честно, есть подозрения, что на деле сами файлы не подписывают.
Так конечно, еще должен быть сам файл подписи :) Штамп — это просто информация о том, что такая подпись есть, но сам файл подписи-то должен быть приложен (обычно с расширением .sig, если она отсоединенная). А дальше в интернете есть много сервисов для проверки достоверности подписи.

Спасибо, очень доступно, наконец у меня сложилась полная картинка.

Почему-то у меня после строчки
pubkey = await (await fetch("public.key")).text();
код скрипта не выполняется.
Если перенести
if (flag["doc"] && flag["sig"]) document.querySelector("button").disabled = false;
до неё, то кнопка активируется, иначе нет.
Предполагаю, что ваш браузер просто не поддерживает fetch. Попробуйте переписать это всё, используя AJAX. Ну либо вообще не запрашивайте файл с открытым ключом, а просто вставьте этот ключ в текст скрипта как строку (в самом начале скрипта, где переменная pubkey объявляется), что-то типа
pubkey = `-----BEGIN PGP PUBLIC KEY BLOCK-----
...
`;
Возможно ли у себя на файловом сервере организовать картотеку подписанных документов?
Я считаю, что нет. Одной электронной подписи недостаточно, нужна ещё служба времени, иначе любой документ можно удалить и перезаписать новым.

И подскажите, что за программа такие шильдики красивые делает. Подписано ЭЦП и как проверить корректность подписи? желательно под виндой
По поводу картотеки — конечно, возможно, и даже лучше не картотеку документов, а просто текстовый файл с хэшами подписанных документов. И где-нибудь в открытом доступе (благо бесплатных хостингов для статических сайтов сейчас много) простенькая html-страничка, которая в браузере клиента вычисляет хэш загруженного клиентом (с помощью html5 API) документа, получает с вашего файлового сервера ajax-запросом тот самый текстовый файл с хэшами и проверяет, содержится ли вычисленный хэш в файле с хэшами. Это все на клиентской стороне.

По поводу подменить — не понял, если честно. К файловому серверу же только вы доступ имеете? Злодей файл с хэшами подменить не сможет. Видоизменить документ так, чтобы его хэш остался прежним? Это фантастика :)

Штампик можно нарисовать в любом векторном редакторе, хоть в том же Corel Draw. Я пользуюсь Inkscape, он открытый, бесплатный и под Windows он тоже есть.
Огромное спасибо за краткую статью без лишнего! Тоже видел в интернете много статей, в которых одна скопирована с другой. Но там было много «воды», что усложняло восприятие. А по вашей можно смело делать себе усиленную неквалифицированную ЭЦП как по инструкции.

Только вот небольшой вопрос к этой фразе:
отпечаток можно просто продиктовать по телефону (обычно это 40 шестнадцатеричных цифр).

Вы пробовали так делать? Продиктовать человеку 40 цифр по телефону это не такая уж и простая задача. Мало того что долго. Из этих 40 цифр наверное после каждых 5 оператор будет переспрашивать, если не расслышит. Или оператор просто ошибётся с вводом пары цифр. Увидит на экране ПК страшное сообщение «ОШИБКА. НЕВЕРНЫЙ КОД!!!» и в лучшем случае придётся заново диктовать ему отпечаток, а в худшем оператор решит, что вы мошенник и бросит трубку.

Так я и не спорю :-) Сразу вспоминается Штирлиц, который сидит где-то в предместьях Берлина и, слушая радио, под диктовку записывает шифровку из Центра...

Sign up to leave a comment.

Articles