5.2. Проверка ЭЦП
В ПО SBERSIGN 5.1 предусмотрено 2 режима проверки ЭЦП файлов.
- С использованием базы открытых ключей или с использованием базы сертификатов открытых ключей ЭЦП.
- С использованием прикрепленного сертификата открытого ключа ЭЦП.
При проверке ЭЦП файла по базе (сертификатов) открытых ключей , производится поиск открытого ключа по идентификатору ЭЦП в базе (сертификатов) открытых ключей. Расположение базы (сертификатов) открытых ключей определяется параметром «Имя файла базы открытых ключей» в программе SIGNPARAM.EXE.
При проверке ЭЦП с использованием прикрепленного сертификата ЭЦП проверяется по открытому ключу, содержащемуся в прикрепленном сертификате. Режим проверки ЭЦП по прикрепленному сертификату включается автоматически в случае наличия прикрепленного сертификата под проверяемым файлом.
Процедура проверки ЭЦП файла встроена в оболочку Windows Explorer. Для проверки ЭЦП у файла необходимо выделить его в Windows Explorer и в контекстном меню файла (правая кнопка мыши) выбрать пункт «Свойства».
Если у файла будет обнаружена хотя бы одна ЭЦП, в окне свойств файла будет доступна вкладка «Цифровая подпись». На данной вкладке отображаются сообщения о результатах проверки всех обнаруженных в ЭЦП.
Дополнительно предусмотрен режим контроля целостности используемой базы открытых ключей ЭЦП по базе администраторов криптоключей. При включении данного режима перед проверкой ЭЦП файл автоматически производится проверка ЭЦП под используемой базой открытых ключей по базе администраторов.
В режиме проверки ЭЦП с использованием прикрепленного сертификата открытого ключа по базе администраторов криптоключей осуществляется контроль целостности прикрепленного сертификата перед проведением процедуры проверки.
В случае положительных результатов проверки на экран выводятся результаты проверки ЭЦП файла. Если целостность базы (сертификатов) открытых ключей и или целостность прикрепленного сертификата нарушена, на экран выводится сообщение об ошибке, при этом проверка ЭЦП файла не производится.
Для включения режима контроля целостности базы (сертификатов) открытых ключей ЭЦП в ПО SIGNPARAM.EXE необходимо установить параметры «Проверять подпись администратора в файлах БОК» и «Имя администраторской базы ключей», где указать полный путь к расположению администраторской базы.
5.2.1. Проверка ЭЦП с использованием утилиты командной строки
С использованием командной строки или из командного файла проверка ЭЦП производится следующим образом:
В ПО SIGNPARAM.EXE необходимо указать базу (сертификатов) открытых ключей для проверки ЭЦП. При необходимости установить параметр контроля целостности баз открытых ключей и базы администраторов.
Из командной строки дать команду:
sbersign /p <�имя_файла>
Для проверки ЭЦП нескольких файлов возможно указание маски файлов (например для проверки ЭЦП всех файлов в текущем каталоге следует дать команду sbersign /p *.*)
SBERSIGN V5.0.13 Copyright (c)2004 InfoCrypt Ltd., Moscow, RF
проверяются файлы:
<�имя файла>: подпись <�идентификатор подписи> истинная
5.2.2. Вычисление количества ЭЦП
С использованием утилиты командной строки возможно вычисление количества ЭЦП под файлами.
Из командной строки дать команду:
sbersign /n <�имя_файла>
Для вывода на экран количества ЭЦП для нескольких файлов возможно указание маски файлов (например для проверки ЭЦП всех файлов в текущем каталоге следует дать команду sbersign /s *.*)
SBERSIGN V5.1.2 Copyright (C)2004,2007 InfoCrypt LTD., Moscow, RF
<�имя_файла>
Количество подписей под файлом: 1
При использовании параметра /n в переменную ERRORLEVEL возвращается количество ЭЦП под файлом.
5.2.3. Коды возврата
При проверке ЭЦП и значения хэш-функции программа sbersign возвращает через переменную ERRORLEVEL коды завершения библиотеки СКЗИ «Бикрипт-КСБ-С». Описание кодов возврата можно получить в документации на СКЗИ «Бикрипт-КСБ-С» (Инструкция программисту, ИНФК.11485466.4012.009.32).
5.3. Удаление ЭЦП
При подписании файла код ЭЦП приписывается непосредственно в конец файла, в связи с чем внутренняя структура файла может быть нарушена. Для восстановления первоначального вида файла предусмотрена возможность удаления ЭЦП из файла. Для удаления ЭЦП из файла необходимо нажать кнопку «Удалить последнюю подпись» на вкладке «Цифровые подписи» в процессе проверки ЭЦП.
5.3.1. Удаление ЭЦП с использованием командной строки
С использованием утилиты командной строки возможно удаление всех или указанного количества ЭЦП под файлами.
Из командной строки дать команду:
sbersign /е <�имя_файла>
Для удаления ЭЦП для нескольких файлов возможно указание маски файлов (например для удаления ЭЦП у всех файлов в текущем каталоге следует дать команду sbersign /е *.*). Для удаления определенного количества ЭЦП необходимо дать команду:
sbersign /е=n <�имя_файла>
где n – количество удаляемых ЭЦП.
SBERSIGN V5.1.2 Copyright (C)2004,2007 InfoCrypt LTD., Moscow, RF
удаляются подписи:
<�имя_файла>
удалены n подписей
При использовании параметра /e в переменную ERRORLEVEL возвращается количество удаленных ЭЦП.
-
Проверка документов в Microsoft Office
Для документов, созданных с пользованием ПО Word/Excel из пакета Microsoft Office предусмотрена возможность вывода результатов проверки ЭЦП непосредственно в текст документа для получения распечатки с результатами проверки ЭЦП. При проверке ЭЦП файлов с расширениями *.TXT, *.DOC, *.RTF, *.XLS на вкладке «Цифровая подпись» доступна кнопка «Открыть файл в Microsoft Office».
При наличии установленного пакета Microsoft Office открывается соответствующее офисное приложение, в которое загружается проверяемый документ с подкатом результатов проверки ЭЦП.
Пример:
Проверка ЭЦП
Файл: sgS07933.rtf
Дата/время проверки: 02.06.2004 11:54:18
Библиотека подписи: ADM BICRYPT v1.0 (1024 bit) 26/04/2004 (c)InfoCrypt
проверяются файлы:
C:\temp\sgS07933.rtf : подпись
001237БурназянЕВ ЗамДирУУКБОСБРФ истинная
Оператор: /Попов Н.В./
Поле «Оператор» заполняется значением, указанным в параметре «Имя оператора для генерации отчета в MS Office» в ПО SIGNPARAM.EXE.
-
Контроль целостности базы администраторов криптоключей
Для обеспечения контроля целостности базы с открытыми ключами администраторов в ПО SBERSIGN предусмотрена возможность вычисления и проверки контрольного значения (хэш-функции) базы администраторов.
С использованием программы GENKEYS.EXE сформированное значение хэш-функции может быть записано на ГМД или в TM (вкладка «Вычисление контрольного значения»). В случае хранения значения хэш-функции в файле, формируется файл с именем HASH.ADM, куда записывается 32-х байтное значение хэш-функции. При хранении значения хэш-функции в TM вычисленное значение записывается непосредственно в электронный идентификатор.
Примечание: При хранении значения хэш-функции в TM, объем TM-идентификатора должен быть не менее 512 байт, т.е. типа DS1993 или выше. Возможна запись значения хэш-функции и ключа ЭЦП на один и тот же TM-носитель.
Для включения режима контроля целостности базы администраторов необходимо в ПО SIGNPARAM.EXE установить параметр «Проверять целостность базы администраторов» с указанием носителя контрольного значения (дискета/ТМ).
После включения данного режима при каждом обращении ПО к базе администраторов будет проводиться проверка контрольного значения. При этом будет проводиться запрос дискеты или TM с контрольным значением. В случае положительных результатов проверки целостности базы администраторов будет проведена проверка целостности базы открытых ключей ЭЦП. Если целостность базы администраторов нарушена, на экран выводится сообщение об ошибке. В этом случае ни контроль целостности базы открытых ключей ЭЦП, ни проверка ЭЦП файла не производится.
-
Функция просмотра справочника открытых ключей ЭЦП/справочника сертификатов открытых ключей ЭЦП
В программе настройки SIGNPARAM.EXE предусмотрена возможность просмотра содержимого базы открытых ключей, а также базы сертификатов открытых ключей или отдельных сертификатов с возможностью вывода распечатки (сертификата) открытого ключа на печать по заданному шаблону с использованием приложения Microsoft Word.
Для этого в поле «Имена файлов базы открытых ключей или сертификатов» напротив поля задающего путь к базе (сертификатов) открытых ключей ЭЦП предусмотрена кнопка «Просмотр»
6.Шифрование и расшифрование файлов
Процедура шифрования/расшифрования файла (или группы файлов) также как и процедура формирования ЭЦП встроена в оболочку Windows Explorer. Для шифрования /расшифрования одного файла необходимо выделить его в Windows Explorer и в контекстном меню файла (правая кнопка мыши) выбрать пункт «Зашифровать»/«Расшифровать». Для шифрования нескольких файлов возможно использование пункта «Зашифровать»/«Расшифровать» на выделении группы файлов.
При шифровании/расшифровании файла расположения файла сетевого ключа (ключ шифрования) берется из файла в указанном месторасположении, в соответствии с установкой параметра «Имя файла секретного ключа» в ПО SIGNPARAM.EXE. Расположение файлов главного ключа и узла замены (GK.DB3 и UZ.DB3), используемых для расшифрования сетевого ключа определяется параметром «Имя файла главного ключа и узла замены».
Возможно задание режима шифрования только в адрес указанного абонента либо задание режима запроса номера абонента при вызове функции шифрования. При расшифровании номер отправителя всегда определяется автоматически.
В процессе шифрования/расшифрования предусмотрен режим создания копий обрабатываемых файлов, вместо их замены. В данном режиме в процессе шифрования файла создается его копия с дополнением к имени исходного файла расширения .CRY. При расшифровании файла с расширением .CRY в расшифрованной копии данное расширение будет удалено. При расшифровании файла с другим расширением расшифрованная копия будет иметь то же имя с дополненным расширением .DECRY.
6.1. Шифрование/расшифрование файлов с использованием Windows Explorer
Шифрование/расшифрование файлов с использованием оболочки Windows Explorer производится следующим образом:
В ПО SIGNPARAM.EXE установить параметр «Имя файла секретного ключа» на файл содержащий ключ для шифрования в адрес абонента, параметр «Имя файла главного ключа и узла замены» на файлы GK.DB3 и UZ.DB3, используемые для расшифрования файла сетевого ключа. В случае хранения Главного ключа в идентификаторе Touch Memory установить параметр «Главный ключ находится в таблетке».
В случае необходимости необходимости создания копий обрабатываемых файлов в процессе шифрования/расшифрования установить опции «При шифровании файла с именем sample.txt зашифрованный файл будет иметь имя sample.txt.cry» и «При расшифровании файла с именем sample.txt расшифрованный файл будет иметь имя sample.txt.decry»
Для шифрования файлов в параметре «Номер абонента получателя» необходимо указать номер абонента в адрес которого будет производится шифрование данных или выбрать пункт «Запрашивать номер при обработке файла».
В Windows Explorer открыть каталог и выделить файл (или группу файлов) для шифрования/расшифрования.
На выделенных файлах нажать правую кнопку мыши. В контекстном меню выбрать пункт «Зашифровать файл» или «Расшифровать файл».
В случае хранения Главного ключа в идентификаторе Touch Memory на экране появляется запрос» «Приложите таблетку с Главным ключом».
Приложить к считывателю TM-идентификатор с Главным ключом или нажать кнопку «Отмена» для отмены процедуры шифрования/расшифрования.
По окончании процесса шифрования/расшифрования ЭЦП на экран выводится сообщение с указанием количества обработанных файлов.
6.2. Шифрование/расшифрование файлов с использованием утилиты командной строки.
С использованием командной строки или из командного файла шифрование/расшифрование файлов производится следующим образом:
В ПО SIGNPARAM.EXE установить параметр «Имя файла секретного ключа» на файл содержащий ключ для шифрования в адрес абонента, параметр «Имя файла главного ключа и узла замены» на файлы GK.DB3 и UZ.DB3, используемые для расшифрования файла сетевого ключа. В случае хранения Главного ключа в идентификаторе Touch Memory установить параметр «Главный ключ находится в таблетке».
При использовании опции шифрования файлов в параметре «Номер абонента получателя» необходимо указать номер абонента в адрес которого будет производится шифрование данных.
В случае необходимости необходимости создания копий обрабатываемых файлов в процессе шифрования/расшифрования установить опции «При шифровании файла с именем sample.txt зашифрованный файл будет иметь имя sample.txt.cry» и «При расшифровании файла с именем sample.txt расшифрованный файл будет иметь имя sample.txt.decry»
Из командной строки дать команду:
sbersign /с <�имя_файла>
для шифрования файла или
sbersign /d <�имя_файла>
для расшифрования файла
Для шифрования/расшифрования нескольких файлов возможно указание маски файлов (например для шифрования всех файлов в текущем каталоге следует дать команду sbersign /c *.*)
В случае хранения Главного ключа в идентификаторе Touch Memory на экране появляется запрос» «Приложите таблетку с Главным ключом».
Приложите к контакту таблетку с Главным ключом или ESC для выхода
Приложить к считывателю TM-идентификатор с Главным ключом или нажать кнопку ESC отмены процедуры шифрования/расшифрования.
зашифровываются/расшифровываются файлы:
<�имя_файла>
Файл(ы) зашифрован/расшифрован.
7.Работа с системным журналом
В процессе работы, SBERSIGN 5 может протоколировать события формирования и проверки ЭЦП в текстовый журнал. Расположение и имя файла с журналом указываются в параметре «Вести журнал событий/Имя файла журнала» в настройках ПО SIGNPARAM.EXE. В журнале фиксируются события связанные с формированием и проверкой ЭЦП, а также шифрованием/расшифрованием файлов.
|