Криптография в цифровых технологиях

Загрузка необходимых файлов на веб-сервер

Лучшие цены на SSL-сертификаты (от 550 руб.)

• Все доверенные центры сертификации
• Большой выбор сертификатов
• Пошаговые инструкции по выпуску и установке

Прежде всего, необходимо загрузить представленные в панели 1cloud файлы .ca и .crt на веб-сервер. Если ваш сервер не имеет графического окружения рабочего стола, вы можете загрузить эти файлы на другой компьютер, а затем перенести их одним из приведенных ниже способов.

Примечание: подразумевается, что необходимая для работы пара закрытый/открытый ключ была сгенерирована на том же веб-сервере, на который вы будете переносить приобретенный сертификат. Если вы создавали ключи на другой машине, вам необходимо также перенести файл закрытого ключа .key на ваш веб-сервер по аналогии с описанной ниже процедурой копирования файлов сертификатов.

Перенос сертификатов с компьютера Linux/Mac OS:

Самый простой способ загрузки сертификатов на сервер – опция SCP, встроенная в возможность терминала вашего компьютера:

1. Загрузите файлы .CA и .CRT из панели управления 1cloud на локальный компьютер.
2. Откройте терминал и перейдите в папку, в которую вы сохранили сертификаты (напр., Downloads): cd

/Downloads Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер: scp crt.crt ca.crt [email protected]:/etc/ssl Где:scp – команда копирования файлов mydomain.ru_crt.crt – имя загруженного из панели файла сертификата вашего веб-сайта mydomain.ru_ca.crt – имя загруженного из панели файла сертификата Центра Авторизации user – имя вашего пользователя для подключения к серверу через ssh (часто используется root) 1.22.33.444 – IP-адрес вашего веб-сервера /etc/ssl – директория на удаленном сервере, в которую в хотите сохранить загружаемые файлы.

Перенос сертификатов с компьютера Windows:

1. Установите программу WinSCP. Скачать ее можно здесь.
2. Запустите WinSCP. В открывшемся окне введите данные, которые вы используете для подключени я к вашему серверу по SSH. В левой части окна программы отображаются файлы на локальном компьютере, в правой – на подключенном удаленном сервере. Выберите или создайте директорию, в которую вы хотите сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.

Примечение: для удобства в дальнейшем рекомендуем перенести файл закрытого ключа (.key) в ту же директорию, в которую вы скопировали файлы сертификатов. Вы можете не делать этого, но таком случае запомните путь до этого файла и в дальнейшем укажите его в файле конфигурации Apache вместо пути, приведеленного в нашем примере.

Если закрытый ключ .key был сгенерирован непосредственно на сервере, то для его копирования в другую директорию вы можете использовать команду: cp /home/root/private.key / etc /ssl/private.key Где: cp – команда копирования /home/root/ – путь до файла ключа private.key – имя файла ключа /etc/ssl/private.key – путь, по которому необходимо скопировать файл ключа

Удалить файл ключа из старого расположения вы можете с помощью команды: rm /home/root/private.key (синтаксис команды аналогичен предыдущему примеру)

Какие форматы электронных документов предоставляет портал госуслуги

Для внедрения цифровой подписи был разработан формат SIG. Его название представляет собой сокращение слова «signature», которое в переводе обозначает «подпись». Задача такой защиты – обеспечение подлинности документа. Файл в соответствующей форме прикрепляется к электронному письму или идет в комплекте с основной частью документа.

Всего насчитывают 4 разновидности ЭЦП:

• Подпись, используемая для подтверждения подлинности документа. Сфера ее применения: электронная коммерция, государственный сектор и т.д.
• Почтовая. Такой файл позволяет убедиться в достоверности указанных отправителем контактных данных, что исключает риск отправки писем другому получателю.
• Графическая. Используется для различного рода изображений.
• Документы, написанные шрифтом Брайля.

ЭЦП напрямую связана с процессом хэширования – преобразования некоторого объема информации в код длиной 40 символов. В случае изменений документа в процессе его загрузки или передачи, будет изменена и хэш-сумма, что укажет на вмешательство в оригинальную версию.

Файлы с расширением SIG создавались для вложений, которые направляются заказчикам посредством электронной почты через портал Госуслуги. По своей сути, они несут в себе информацию, с использованием:

• текста;
• электронной таблицы;
• графического изображения.

На портале «Госуслуги» можно:

1. Оставить заявку на предоставление услуг в электронном виде.
2. Получить детальную информацию о госуслуге: конкретное место получения, цена, срок исполнения и перечень документов, которые необходимо приложить для регистрации услуги.
3. Оставить заявку и получить в электронном виде справку об отсутствии судимости.
4. Запросить полную информацию о государственных, муниципальных ведомствах.

Расширение SIG – по своей сути небольшой текстовый или графический информационный документ, обладающий способностью в автоматическом режиме прикрепляться к электронному сообщению. Файл содержит подлинную ЭЦП владельца, контактную информацию адресанта, имя, контакты. Часто его применяют при пересылке электронных писем, когда государственные услуги предоставляются заказчикам.

Часто архив данных с файлами, скачанный или полученный из интернета, может не открыться или показывать ошибку. Для разных форматирований предусмотрены специализированные программные средства. Если на ПК есть необходимый софт, архив откроется. Отсутствие требуемого софта на устройстве приведет к проблемам с открытием расширения СИГ. Пользователю рекомендуется поискать необходимый софт через интернет.

При попытке поиска, когда появляется извещение «нет возможности открыть» OS Windows предложит:

• отобрать софт вручную;
• отыскать в интернете;
• отказаться (кнопка Отмена).

При решении воспользоваться открытием – изберите способ «подбор вручную из списка» либо, опцией «Обзор» – отыщите необходимую программу в сети.

Шаг за шагом для пользователей была раскрыта информация по теме: «чем открыть SIG файлы Госуслуги и что делать, если расширение не открывается». Простое описание приводит к пониманию того, что по своей сути представляет формат СИГ и насколько он упрощает процедуру получения государственных услуг с официальных ресурсов.

Они выступают гарантом реальности и законности файла. Т.е. могут подтверждать авторские права владельца (например, когда отправляют на изучение рукописи и пр.). Также часто при получении электронных версий различных справок из гос. организаций и реестров применяются электронные подписи.

В данной статье вы смогли найти, чем открыть файл sig на компьютере. Осталось только выбрать наиболее простой и удобный лично для вас вариант. Учитывайте при этом, насколько часто приходится сталкиваться с данным типом файлов. Если редко работаете с данным типом документов, то не стоит прибегать к установке дополнительных программ.

Типы SSL сертификатов по валидации

Что такое SSL сертификат и зачем он нужен вроде разобрались ).

Теперь давайте разберем их типы по валидации:

1. Самоподписанный сертификат. Оговорюсь сразу, данный вид сертификата НЕ подойдет 99% пользователям. Плюс у данного сертификата один – цена (он совершенно бесплатен). Самый весомый минус – при переходе на ваш сайт из поисковой системы или по любому другому заходу пользователю будут показаны вот такие сообщения:

   • В Chrome:

   • В Яндекс браузере:

   • В Opera:

   • В Mozilla Firefox:

   • Вид в адресной строке:

   Цена: 0 руб.

2. Валидация по домену (Domain Validated) – SSL-сертификат, при оформлении которого производится только проверка доменного имени. Также данные сертификаты называют сертификатами начального уровня доверия. Подойдут практически 90% владельцев сайтов. Являются самыми распространенными. Подходят как физическим, так и юридическим лицам. Выдача данного сертификата, как правило, производится в течение суток.

   Вид в адресной строке:

   Цена: может колебаться от 800 руб./год до 3000 руб./год (хотя эта цифра не предел).

3. Валидация организации (Organization Validation) – сертификат с повышенной надежностью. При выдаче сертификата производится проверка компании, проверяется не только право владения доменом и принадлежность веб-сайта организации, но и существование компании как таковой. Доступен только юридическим лицам. При выдаче данного сертификата могут быть запрошены следующие документы: свидетельство ИНН/КПП, свидетельство ОГРН, свидетельство о регистрации доменного имени, и.т.д.

   Вид в адресной строке:

   Цена: может колебаться от 2000 руб./год до 35000 руб./год.

   

   

   

   

   

   

   

   

   

   

4. Расширенная валидация (Extended Validation) – сертификат с самым высоким уровнем аутентификации между всеми типами SSL сертификатов. Не подойдет 99% «смертных» из-за своей цены и способа проверки. Предназначен для крупных корпораций. Доступен только юридическим лицам. Зеленая адресная строка браузера отображает название компании и обеспечивает визуальное подтверждение безопасности вашего сайта.

   Вид в адресной строке:

   Цена: может колебаться от 12000 руб./год до 150000 руб./год.

5. Еще существует отдельный вид сертификатов, о котором нельзя не сказать – это сертификаты Wildcard. Данный вид сертификата стоит выбрать, если у вас структура сайта представлена в виде поддоменов. Или требуется защита передаваемой информации на субдоменах. На некоторых хостингах данный вид представлен в виде опции.

   Цена: может колебаться от 1500 руб./год до 35000 руб./год.

   Также для реализации https соединения на некоторых хостингах требуется оплата выделенного IP, цена которого может быть равна1200 руб./год.

   Если у вас возникнут проблемы с установкой или выбором SSL сертификата, вы всегда можете обратиться к своей хостинг-компании или к нам (цена рассчитывается индивидуально).

   Теперь давай разберем, для чего вы прочитали 5716 байт предыдущего текста, и ответим на вопрос – для чего нам нужно переходить на https.

Подпись сертификатов OpenSSL

Допустим, у вас есть приватный ключ и запрос на подпись, фактически, открытый ключ. Теперь вам нужно его подписать чтобы получить сертификат, который можно использовать. Тут есть несколько вариантов. Можно отправить csr файл на подпись какому-либо центру сертификации, например, LetsEncrypt. Можно подписать сертификат тем же ключом, с помощью которого он был создан, и третий вариант — создать свой центр сертификации.

Первый способ я рассматривать не буду. Здесь все просто. Либо используете утилиту сервиса, либо заполняете веб форму и получаете готовый сертификат. Второй вариант гораздо интереснее. Мы подпишем наш сертификат сами, ключом, на основе которого он был создан:

С помощью параметра -days мы указываем что сертификат будет действительным в течение 365 дней, то есть в течение года. Вы можете объединить все в одну команду и сразу создать закрытый ключ, csr и подписанный сертификат:

Или создаем самоподписанный сертификат openssl из существующего закрытого ключа без csr:

Опция -new говорит, что нужно запросить информацию о csr у пользователя. Чтобы браузер доверял ключу нужно этот же сертификат импортировать в список доверенных. А теперь рассмотрим третий способ выполнить создание сертификата OpenSSL — подписать его с помощью собственного CA, центра сертификации.

Вот вы сейчас думаете что это что-то такое сложное, да? А нет, это обычная папка, в которой лежит защищенный паролем закрытый ключ, с помощью которого мы будем подписывать все другие ключи. А открытая пара этого ключа должна быть добавлена во все браузеры, которые будут ему доверять.

Вообще, центр сертификации в крупных корпорациях находится на отдельных компьютерах, которые даже к сети не подключены. Но для примера мы разместим папку в нашей файловой системе /etc/:

Дальше нужно создать самоподписанный сертификат openssl для нашего CA:

Параметр  -extensions загружает необходимые расширения для создания сертификата центра сертификации. Мы устанавливаем долгий строк действия — десять лет. Осталось подписать наш сертификат, созданный ранее:

Готово, теперь наш сертификат подписан. Но теперь, чтобы браузеры ему доверяли нужно добавить сертификат CA в список доверенных браузера.

Полезная информация

Получить сертификат Active Directory можно при помощи ввода команды на контролере домена:

certutil -ca.cert cacert.bin

Генерация приватного 2048-битного ключа при помощи openssl:

openssl genrsa -out privat.key 2048

Пример config-файла утилиты OpenSSL для генерации SAN сертификата:

distinguished_name = req_distinguished_name
req_extensions = v3_req


countryName = Country Name (2 letter code)
countryName_default = UA
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Kiev
localityName = Locality Name (eg, city)
localityName_default = Kiev
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT
commonName = Common Name
commonName_max = 64


# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names


DNS.1 = server.domain.com.ua
DNS.2 = server.domain2.com.ua
DNS.3 = server
IP.1 = 192.168.1.1
IP.2 = 192.168.2.2

Команда для генерации CSR запроса через OpenSSL

openssl req -new -out request.csr -key privat.key -config config.cfg

Не доверенный сертификат сайта для браузера в android

Помимо установки сертификата для сайта, нужно также установить промежуточные и корневой сертификаты, тогда браузеры в android не будут ругаться.

Связано это с тем, что браузеры на компьютерах при проверке сертификата умеют проходить весь «путь сертификации»: от сертификата сайта, до корневого сертификата, проверяя кем подписан сертификат каждого промежуточного узла. В android устройствах браузеры проверяют лишь кто подписал сертификат сайта и если они не увидят корневой сертификат доверенного центра сертификации, то будут считать такой сертификат не доверенным.

При установке ssl сертификата на сайт укажите не только свой сертификат, но и сертификаты всех промежуточных центров сертификации включая с корневым сертификатом центра сертификации.

Например в настройках хостинга «Украина», в поле где указывается SSL-сертификат моего сайта я прописал:

——BEGIN CERTIFICATE—— Тут сертификат для elims.org.ua ——END CERTIFICATE—— ——BEGIN CERTIFICATE—— Тут сертификат промежуточного центра сертификации — Comodo RSA Domain Validation Secure Server CA ——END CERTIFICATE—— ——BEGIN CERTIFICATE—— Тут корневой сертификат центра сертификации — COMODO RSA Certification Authority ——END CERTIFICATE——

Решение проблем

При некоторых условиях может возникнуть следующая ошибка:

Can't open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No such file or directory
9112:error:02001003:system library:fopen:No such process:crypto\bio\bss_file.c:72:fopen('C:\Program Files\Common Files\SSL/openssl.cnf','r')
9112:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:79:
unable to find 'distinguished_name' in config
problems making Certificate Request
9112:error:0E06D06A:configuration file routines:NCONF_get_string:no conf or environment variable:crypto\conf\conf_lib.c:270:

Главная подсказка в первой строке: Can’t open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No such file or directory — она означает, что возникла ошибка чтения файла C:\Program Files\Common Files\SSL/openssl.cnf из-за того, что он отсутствует.

Файл openssl.cnf поставляется с самим веб-сервером Apache и находится в папке conf. Поэтому есть несколько вариантов, как исправить эту ошибку. Например, можно создать нужные папки и скопировать туда этот файл. Но можно пойти более простым путём — на время создания сертификатов установить переменную окружения OPENSSL_CONF указав в ней правильный путь до файла.

Также нужно переключиться из PowerShell в обычную командную строку Windows, поскольку иначе переменная окружения почему-то не устанавливается. Допустим, сервер размещён в папке C:\Server\bin\Apache24\bin\, тогда файл openssl.cnf расположен по пути C:\Server\bin\Apache24\conf\openssl.cnf, в этом случае, чтобы исправить ошибку Can’t open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No such file or directory нужно выполнить:

cmd
cd C:\Server\bin\Apache24\bin\
set OPENSSL_CONF=C:\Server\bin\Apache24\conf\openssl.cnf

Отредактируйте пути в этих командах в соответствии с вашей структурой папок.

Электронная бандероль. Шифрование и ЭЦП.

     Для
пересылки  бумажных документов  по почте,
давно и успешно применяется бандероль  –
непрозрачный плотный конверт с адресом отправителя и
получателя, в который вложено отправление. Конверт
выполняет при этом две функции – сохраняет содержимое в
неприкосновенном виде и содержит необходимую адресную
информацию.

    При работе с
электронными документами, пересылаемыми по электронной
почте, существует возможность пользоваться электронным
аналогом привычной бандероли.

    «КАРМА»
позволяет одновременно зашифровать и подписать
пересылаемые данные. В результате этой  операции
будет сформирован файл, в котором, как в конверте, будет
спрятана Ваша информация, защищённая с помощью
шифрования, а электронная цифровая подпись обеспечит как
целостность «бандероли», так и снабдит «бандероль» 
информацией об отправителе.

     Этот
файл-бандероль  можно отправить по электронной
почте или на машинном носителе получателю. При этом
абсолютно исключается случайная или намеренная
фальсификации отправляемых данных и их просмотр.

     Даже в том
случае, если бандероль по ошибке попадёт не в те руки –
прочитать информацию сможет лишь ее  законный
получатель. Извлечь же электронные документы из такой
бандероли при помощи «КАРМА» не
составляет труда для получателя.

Открываем SIG-файлы Росреестра на компьютере

Файлы SIG Росреестра содержат в себе информацию, подтверждающую подлинность основного документа, полученного тем или иным путем. Подобные документы можно открыть несколькими способами, о которых мы далее и расскажем.

Открытие SIG-файлов Росреестра

Мы уже рассматривали процесс открытия стандартных SIG-файлов в одной из статей на нашем сайте. В последующей инструкции речь пойдет исключительно о методах открытия файлов Росреестра.

Способ 1: Блокнот

Наиболее простым, хотя и недостаточно действенным способом, является использование стандартного Блокнота ОС Windows. Также можно воспользоваться и другими текстовыми редакторами.

1. На клавиатуре нажмите сочетание клавиш «Win+R», вставьте в текстовое поле представленный нами запрос и нажмите кнопку «ОК».

Перейдите к месту расположения файла SIG Росреестра, выделите его и щелкните по кнопке «Открыть». Чтобы сделать файлы видимыми, в строке «Имя файла» надо изменить значение «Текстовые документы» на «Все файлы».

Теперь документ будет открыт, но в большинстве случаев информация находится в нечитабельном виде.

Этот метод позволяет не только открывать файлы, но и редактировать содержимое. Однако после этого документ не будет распознаваться специальными программами.

Способ 2: Онлайн-сервис

Изучить содержимое SIG-документа Росреестра вы можете с помощью специального онлайн-сервиса. Чтобы использовать сервис вам потребуется не только SIG-файл, но и документ с расширением XML.

1. Откройте страницу сервиса по представленной нами ссылке.

В строке «Электронный документ» укажите файл с расширением XML на вашем компьютере.

Те же действия повторите в блоке «Цифровая подпись», выбрав документ в форме SIG.

Воспользуйтесь кнопкой «Проверить», чтобы запустить средство диагностики.

После успешного завершения проверки вы получите соответствующее уведомление.

Информацию из открывшейся таблицы вы сможете распечатать или сохранить на компьютер. Менять как-либо представленные данные невозможно.

В случае если при работе с данным онлайн-сервисом у вас возникают трудности, обратитесь за помощью в техподдержку ресурса.

Способ 3: КриптоАРМ

Данное ПО является основным средством открытия и создания файлов SIG. При этом для просмотра файлов Росреестра вам потребуется приобрести специальную лицензию в магазине на официальном сайте. В целом процесс использования программы практически идентичен для любых файлов SIG.

Подготовка

1. На странице скачивания ПО КриптоАРМ найдите блок «Дистрибутивы» и выберите наиболее приемлемый для вас вариант. Последняя актуальная версия позволяет использовать весь функционал программы бесплатно в течение 14 дней.

Откройте загруженный файл и выполните установку. Если вы незнакомы с данной программой, лучше всего устанавливать ее в автоматическом режиме.

Проверьте правильность установки путем запуска программы. В случае необходимости ее также следует настроить перед последующей работой.

Открытие

1. На компьютере перейдите в папку c нужным вам SIG-файлом.

Откройте его с помощью двойного нажатия левой кнопки мыши или контекстного меню.

В процессе обработки не нужно ничего менять.

Для повышения уровня безопасности вы можете указать каталог, куда будут временно помещены файлы электронной подписи.

Если вы все сделали правильно, откроется окно «Управление подписанными данными».

В блоке «Дерево подписей» дважды кликните по нужной вам строке, чтобы открыть окно с более полной информацией.

При использовании данного софта вы можете только просматривать файлы.

Литература

• А. Ю. Винокуров. ГОСТ не прост..,а очень прост, М., Монитор.-1995.-N1.
• А. Ю. Винокуров. Еще раз про ГОСТ., М., Монитор.-1995.-N5.
• А. Ю. Винокуров. Алгоритм шифрования ГОСТ 28147-89, его использование и реализация для компьютеров платформы Intel x86., Рукопись, 1997.
• А. Ю. Винокуров. Как устроен блочный шифр?, Рукопись, 1995.
• М. Э. Смид, Д. К. Бранстед. Стандарт шифрования данных: прошлое и будущее.

/пер. с англ./ М., Мир, ТИИЭР.-1988.-т.76.-N5.

• Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования ГОСТ 28147-89, М., Госстандарт, 1989.
• Б. В. Березин, П. В. Дорошкевич. Цифровая подпись на основе традиционной криптографии//Защита информации, вып.2.,М.: МП «Ирбис-II»,1992.
• W.Diffie,M.E.Hellman. New Directions in cryptography// IEEE Trans.

Inform. Theory, IT-22, vol 6 (Nov. 1976), pp. 644—654.

• У.Диффи. Первые десять лет криптографии с открытым ключом. /пер. с англ./ М., Мир, ТИИЭР.-1988.-т.76.-N5.
• Водолазкий В., «Стандарт шифрования ДЕС», Монитор 03-04 1992 г. С.
• Воробьев, «Защита информации в персональных ЗВМ», изд. Мир, 1993 г.
• Ковалевский В., «Криптографические методы», Компьютер Пресс 05.93 г.
• Мафтик С., «Механизмы защиты в сетях ЭВМ», изд. Мир, 1993 г.

Переход на HTTPS, SSL

Если у Вас WordPress, то рекомендую прочесть статью «WordPress: переход на https» — в ней этот вопрос подробно рассматривается.

Указать канонические url через https.

Изменить все внутренние ссылки с http на https: Это тоже можно сделать через запрос в базе данных

Настроить 301-ю переадресацию с http-версии на https-версию через .htaccess:

Вариантов кодов редиректа с http на https существует большое количество, для примера приведу два из них:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.yoursite.com/$1 
</IfModule>

Или еще один код:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^yoursite.com 
RewriteCond %{HTTP_HOST} ^www.yoursite.com 
RewriteRule ^(.*)$ https://www.yoursite.com/$1 
</IfModule>

Не всегда такая переадресация работает, у меня например выбивало ошибку «ERR_TOO_MANY_REDIRECTS», то есть происходило зацикливание.

В этом случае может помочь 301 редирект через php-код:

<?php
 if ( !$_SERVER ) {
  $host = $_SERVER;
  $request_uri = $_SERVER;
  $good_url = "https://" . $host . $request_uri;
  header( "HTTP/1.1 301 Moved Permanently" );
  header( "Location: $good_url" );
  exit;
 }
?>