IT в России и мире в реалиях мирового кризиса

Решил следовать  прогрессу и зарегистрировал усиленную эцп (причем получил их аж 2 в рутокене, вторую через приложение госключ)... Внимательно прочитав инструкцию, выяснил что она является полной заменой собственноручной подписи под любым документом. 

Ну и вот собственно вопрос. В интернете миллион инструкций и роликов как подаисать pdf файл, doc или xls.  Но ведя я могу захотеть подписать для передачи клиенту какую нибудь цифровую модель в формате  автокада или ансиса - то есть формата неизвестного создателям плагинов, причем например имею желание что бы это файл подписала и принимающая сторона. Кто сталкивался на практике как это правильно делать(с юридической точки зрения)... Первая сторона подписывает открепленной подписью, затем создает архив (tar, rar, 7zip, zip) включающую подписываемый документ и открепленную подпись. Передает этот документ второй стороне, она подписывает архив, и возвращает его первой ( или передает третьей стороне, которая снова повторяет процедуру)... Так?

Цитата: GrinF от 26.03.2024 19:11:12уважаемый вы cейчас порете чушь... Еслои в стране есть условно 10 тысяч пользователей условного Копаса этого софта (кто быстро и без ошибок сможет сделать работу), а из-за санкций у вас  отрубилось 20 тыщ лицензий условного Автокада. То вы не зак аие деньги не курпите 10 тыщ недостающих кадров... Их только можно переобучить в разумные сроки скажем 3-6 месяцев... У меня есть такой же знапкомец фантазер, который рассказвал из своего опыта импортозамещения запчасте на иномарку в 19978 году, шо раз щелкнули и перешли с оракла на постгрес, или раз и дизайнеры перебежали с богопротивного фотошопа на православный гимп...   

ХЗ о чём вы. На примере завода где работал. Отдел главного конструктора -Компас основной инструмент + Автокад знали почти все, благо люде в возрасте.  Молодёжь ещё и макс, блендер и прочее  3Dшки юзала. В отделе главного технолога всё тоже самое. Вся фигня в том, что в ВУЗах дают только азы ( по крайней мере о чём говорила молодёжь) Всё остальное рассчитано на самообучение обучающего. Если для человека учёба в лом, то он на уровне лома и останица. И понятно же что когда идёт отбор на должность, есть обязательные  условия знания конкретных программ. И да, на заводе компас был внедрён по желанию основного заказчика. А до этого разброд и шатания, кто на чём горазд .. На мой взгляд проблема высосана из пальца. Нет такой проблемы найти нужное количество людей,  умеющих в Компас или переучить с Автокада в Компас.  Ну и всё же, у Компаса библиотек больше заточено под машиностроение, хотя положение вроде и тут меняется.

Цитата: GrinF от 13.04.2024 02:04:40Решил следовать  прогрессу и зарегистрировал усиленную эцп (причем получил их аж 2 в рутокене, вторую через приложение госключ)... Внимательно прочитав инструкцию, выяснил что она является полной заменой собственноручной подписи под любым документом. 

Ну и вот собственно вопрос. В интернете миллион инструкций и роликов как подаисать pdf файл, doc или xls.  Но ведя я могу захотеть подписать для передачи клиенту какую нибудь цифровую модель в формате  автокада или ансиса - то есть формата неизвестного создателям плагинов, причем например имею желание что бы это файл подписала и принимающая сторона.

Все зависит от того, можете ли вы лично встретиться с контрагентом и обменяться открытыми ключами. Если да, то все вообще элементарно и безопасно. Если же нет, то все намного сложнее, ноо в некотороых случаях решаемо.

Цитата: adolfus от 14.04.2024 23:39:40Все зависит от того, можете ли вы лично встретиться с контрагентом и обменяться открытыми ключами. Если да, то все вообще элементарно и безопасно. Если же нет, то все намного сложнее, ноо в некотороых случаях решаемо.

Технически без разницы, какой файл или архив подписывается, но проблема наверное в наличии компетентного арбитража на случай разногласий. И тогда все программные, аппаратные средства и протоколы должны соответствовать требованиям этого арбитража.

Цитата: Senya от 15.04.2024 08:29:42Технически без разницы, какой файл или архив подписывается, но проблема наверное в наличии компетентного арбитража на случай разногласий. И тогда все программные, аппаратные средства и протоколы должны соответствовать требованиям этого арбитража.

Подписывается не файл данных, а гарантийное письмо в котором указана контрольная сумма нужного файла.

Цитата: Senya от 15.04.2024 08:29:42Технически без разницы, какой файл или архив подписывается, но проблема наверное в наличии компетентного арбитража на случай разногласий. И тогда все программные, аппаратные средства и протоколы должны соответствовать требованиям этого арбитража.

Ну УКИП же выдано уполномоченным государством УЦ (в Россельхозбанке проводят процедуру авторизации и проверки документов перед выдачей УКИП) и служит аналогом собственноручной подписи, поэтому и  проблем с точки зрения арбитража не должны быть

Цитата: gvf от 15.04.2024 09:34:53Подписывается не файл данных, а гарантийное письмо в котором указана контрольная сумма нужного файла.

Всегда подписывается хэш от битовой последовательности. Представляет собой эта последовательность один файл любого формата, несколько файлов в фиксированном порядке или файл, в котором одним из стандартных способов скопирован хэш от третьего файла - без разницы.

Цитата: GrinF от 15.04.2024 11:45:01Ну УКИП же выдано уполномоченным государством УЦ (в Россельхозбанке проводят процедуру авторизации и проверки документов перед выдачей УКИП) и служит аналогом собственноручной подписи, поэтому и  проблем с точки зрения арбитража не должны быть

Увы, правоприменительной практикой вообще не владею. Но выдача кем бы то ни было ключа электронной подписи означает только то, что приведённые числа удовлетворяют требованиям для использования в алгоритмах подписи и проверки, а так же что физическое или юридическое лицо с определёнными реквизитами на момент выдачи владеет секретной частью. А как например будет решаться вопрос. если одна из сторон откажется от подписи под предлогом, что ключ подписи был похищен во время хакерской атаки - фз.

Цитата: Senya от 15.04.2024 12:06:46Всегда подписывается хэш от битовой последовательности. Представляет собой эта последовательность один файл любого формата, несколько файлов в фиксированном порядке или файл, в котором одним из стандартных способов скопирован хэш от третьего файла - без разницы.

В письме вы указываете текст который хотите заверить подписью и вот именно этот самый текст и есть предмет возможного разбирательства в арбитраже.
Где получатель заверяет своей подписью свое согласие с изложенным и факт ознакомления.
Сама по себе неизменность файла подписи не требует, достаточно хеша, а если вы хотите установить право авторства - что этот файл и его содержимое были разработаны вами, то подпись этого не даст потому что  подписать может кто угодно и что угодно и с юридической точки зрения вы тем самым скажете что на момент подписания файл был вот таким.
И все.
Обычно у подобных систем, что офиса, что кадов есть встроенные механизмы подписания, как раз для установления авторства, которые исключают возможность  повторного подписания, но без стороннего реестра это все от лукавого.

Цитата: gvf от 15.04.2024 12:32:12В письме вы указываете текст который хотите заверить подписью и вот именно этот самый текст и есть предмет возможного разбирательства в арбитраже.
Где получатель заверяет своей подписью свое согласие с изложенным и факт ознакомления.
Сама по себе неизменность файла подписи не требует, достаточно хеша, а если вы хотите установить право авторства - что этот файл и его содержимое были разработаны вами, то подпись этого не даст потому что  подписать может кто угодно и что угодно и с юридической точки зрения вы тем самым скажете что на момент подписания файл был вот таким.
И все.
Обычно у подобных систем, что офиса, что кадов есть встроенные механизмы подписания, как раз для установления авторства, которые исключают возможность  повторного подписания, но без стороннего реестра это все от лукавого.

вроде эта функция появилась в Госуслугах

Цитата: gvf от 15.04.2024 12:32:12В письме вы указываете текст который хотите заверить подписью и вот именно этот самый текст и есть предмет возможного разбирательства в арбитраже.

Да, если мы ведём речь о тексте договора например. Текстовых редакторов, которые могли бы интерпретировать бинарник с противоположным смыслом, пока вроде не изобрели. Иначе они должны входить в стандарт подписи.

Цитата: gvf от 15.04.2024 12:32:12Где получатель заверяет своей подписью свое согласие с изложенным и факт ознакомления.

Электронная подпись заверяет только неизменность файла. 

Цитата: gvf от 15.04.2024 12:32:12Сама по себе неизменность файла подписи не требует, достаточно хеша

Так как хэш может сгенерить что угодно для чего угодно, его легко подменить. Естественно хранить копии хэша в защищённом окружении проще, чем копии файлов, поэтому если я для себя на защищённом компьютере (a-la антивирусный сервер) хочу проверить неизменность файлов, подпись мне не нужна (хотя может быть одним из уровней защиты). Но если мы говорим о споре равноправных субъектов относительно правильной версии файла - без подписи никуда.

Цитата: gvf от 15.04.2024 12:32:12, а если вы хотите установить право авторства - что этот файл и его содержимое были разработаны вами, то подпись этого не даст

Электронная подпись как раз и создана для того, чтобы удостоверять авторство и прекрасно с этой задачей справляется. В сочетании с обеспечивающим законодательством. Пока никто не предъявил более ранний таймстамп, автор - первый подписавший. А вот невозможность отказа от авторства подпись на самом деле не гарантирует, так как доказать отсутствие (что автор единственный, владеющий секретным ключом) невозможно. Тут мы из области математики переходим в зыбкую область судебной системы с доказательствами разной степени достоверности.

Цитата: gvf от 15.04.2024 12:32:12потому что  подписать может кто угодно и что угодно

Проблема несертифицированных устройств с поддельным таймстампом и арбитража.
UPD.
Вообще это как регистрация патента.

Цитата: gvf от 15.04.2024 12:32:12Обычно у подобных систем, что офиса, что кадов есть встроенные механизмы подписания, как раз для установления авторства, которые исключают возможность  повторного подписания,

Невозможность сымитировать подпись обеспечивается подписанием закрытым ключом автора када, хранящемся в защищённом от взлома модуле (программном или аппаратном)? Это уже другой тип угроз.

Цитата: gvf от 15.04.2024 12:32:12но без стороннего реестра это все от лукавого.

И я собственно о том же. По хорошему любое обсуждение должно начинаться с построения модели атаки. От чего именно мы хотим защититься. Иначе у нас всегда будет лёгкий трёп "о своём, о девичьем"(с) 

Цитата: Senya от 15.04.2024 13:02:11Пока никто не предъявил более ранний таймстамп, автор - первый подписавший. 

Так для этого один фиг нужен сторонний сервер, которому можно доверять.
Иначе часы на компе перевёл и подписал.

Цитата: Senya от 15.04.2024 13:02:11 
И я собственно о том же. По хорошему любое обсуждение должно начинаться с построения модели атаки. От чего именно мы хотим защититься. Иначе у нас всегда будет лёгкий трёп "о своём, о девичьем"(с) 

Да, безусловно, как я понял автора вопроса - у него шла речь о собсно процедурном вопросе - то что называется эневлоп - конверт.
На что и указал, потому что подпись файла не дает ничего при разборках, ну подписал, молодец, иди дальше, а у меня есть вот такой файл и он лучше твоего и там тоже есть подпись, или нет подписи, неважно.

Цитата: gvf от 15.04.2024 15:07:35Да, безусловно, как я понял автора вопроса - у него шла речь о собсно процедурном вопросе - то что называется эневлоп - конверт.
На что и указал, потому что подпись файла не дает ничего при разборках, ну подписал, молодец, иди дальше, а у меня есть вот такой файл и он лучше твоего и там тоже есть подпись, или нет подписи, неважно.

теоретически ( сам никогда не делал ) идентичные тексты ( с равным хэшем ) подписываются каждой из сторон после чего подписанными файлами обмениваются ( при условии верификации подписей сторон в независимом регистре ) Таким образом подтверждением согласия является файл подписанный другой стороной, у которой так же имеется файл с идентичным текстом подписанный данной стороной.