Электронная подпись
В данной статье рассматриваются примеры работы с электронной подписью: генерация
сертификатов с использованием различных криптопровайдеров, подпись данных, проверка
подписи и замена сертификата.
Важно: Установите модули криптографии на сервере, чтобы
использовать данные примеры в своём проекте.
Генерация сертификатов электронной подписи
Чтобы сгенерировать сертификат электронной подписи, создайте экземпляр типа ГенераторСертификата, установите необходимые атрибуты субъекта сертификата и вызовите метод СоздатьСертификат. По умолчанию будет сгенерирован самоподписанный сертификат, в котором для подписи будет использован сформированный закрытый ключ и указанный алгоритм хеширования. Добавьте сертификат и закрытый ключ в хранилище соответствующего типа (ХранилищеPkcs12 или ХранилищеКриптоПро), используя метод ДобавитьЗакрытыйКлюч.
В примере ниже показано использование Bouncy Castle (криптопровайдера по умолчанию) для создания сертификата электронной подписи с ключами ГОСТ.
метод СоздатьСертификат(Сотрудник: Сотрудник, Пароль: Строка): ХранилищеPkcs12
знч Генератор = новый ГенераторСертификата(АлгоритмАсимметричногоШифрования.Гост3410_2012)
Генератор.УстановитьАтрибутСубъекта(АтрибутX500.Имя, Сотрудник.Имя)
Генератор.УстановитьАтрибутСубъекта(АтрибутX500.Должность, Сотрудник.Должность)
Генератор.УстановитьАтрибутСубъекта(АтрибутX500.Снилс, Сотрудник.Снилс)
Генератор.УстановитьАтрибутСубъекта(АтрибутX500.Инн, Сотрудник.Инн)
Генератор.УстановитьАтрибутСубъекта(АтрибутX500.Организация, "Название организации")
Генератор.ДействителенПо = Момент.Сейчас() + 730д
знч Сертификат = Генератор.СоздатьСертификат()
знч Хранилище = новый ХранилищеPkcs12()
Хранилище.ДобавитьЗакрытыйКлюч(Сотрудник.Имя, Генератор.ЗакрытыйКлюч, Пароль, Сертификат)
возврат Хранилище
;
// Структура, содержащая информацию о сотруднике организации.
структура Сотрудник
пер Имя: Строка
пер Должность: Строка
пер Снилс: Строка
пер Инн: Строка
// ...
;В следующем примере используется криптопровайдер КриптоПро Java CSP, чтобы сгенерировать
сертификат электронной подписи с ключами
ГОСТ:
метод СоздатьСертификат(Сотрудник: Строка, Пароль: Строка)
знч КриптоПро = Криптография.ПолучитьКриптоПроJcsp()
знч ДействителенС = ДатаВремя.Сейчас().НачалоДня().ВМомент(ЧасовойПояс{UTC})
знч ДействителенПо = ДействителенС + 365д
знч Генератор = новый ГенераторСертификата(АлгоритмАсимметричногоШифрования.Гост3410_2012, Криптопровайдер = КриптоПро)
Генератор.СерийныйНомер = Байты{90123456789012345678901234567890}
Генератор.Субъект = "CN=Имя Издателя,O=Организация,OU=Отдел 1"
Генератор.ДействителенС = ДействителенС
Генератор.ДействителенПо = ДействителенПо
знч Сертификат = Генератор.СоздатьСертификат()
знч Хранилище = новый ХранилищеКриптоПро("HDIMAGE")
Хранилище.ДобавитьЗакрытыйКлюч(Сотрудник, Генератор.ЗакрытыйКлюч, Пароль, Сертификат)
;Вычисление электронной подписи
Чтобы подписать данные, используя сгенерированный сертификат и соответствующий
закрытый ключ, создайте экземпляр типа ВычислительПодписи и
вызовите метод Подписать. В примере ниже показано вычисление
электронной подписи для указанных данных с использованием криптопровайдера КриптоПро
JCP.
метод ВычислитьПодпись(Данные: Байты, Хранилище: ХранилищеКриптоПро): Байты
знч Криптопровайдер = Криптография.ПолучитьКриптоПро()
знч Ключ = Хранилище.НайтиЗакрытыйКлюч("Тест", "12345")
знч Сертификат = Хранилище.НайтиСертификат("Тест")
знч Вычислитель = новый ВычислительПодписи(Криптопровайдер, Сертификат, Ключ)
Вычислитель.УстановитьСлужбуШтамповВремени("http://qs.cryptopro.ru/tsp/tsp.srf")
возврат Вычислитель.Подписать(Данные)
;Замена сертификата
Тип ВычислительПодписи содержит метод
ЗаменитьСертификат, который позволяет вам заменить сертификат
или цепочку сертификатов в уже сформированной подписи формата CMS/PKCS#7. Например,
если вы не хотите включать всю цепочку сертификатов в подпись, а хотите использовать
только сертификат субъекта (например, сотрудника организации) при вычислении
подписи, вы можете удалить корневой сертификат из подписи, как показано в примере
ниже. Пример использует метод РазорватьЦепочку типа
ЦифровойСертификат, чтобы разорвать цепочку сертификатов.
Данный метод возвращает копию текущего сертификата, у которой свойство
СертификатИздателя установлено в
Неопределено.
метод УдалитьКорневойСертификат(Подпись: Байты): Байты
знч Верификатор = новый ВерификаторПодписи(Криптография.ПолучитьBouncyCastle(), Подпись)
знч Сертификат = Верификатор.ПолучитьСертификаты().ПервыйИлиУмолчание()
если Сертификат?.СертификатИздателя == Неопределено
возврат Подпись
;
возврат ВычислительПодписи.ЗаменитьСертификат(Подпись, Сертификат.РазорватьЦепочку())
;Проверка электронной подписи
Чтобы проверить подлинность электронной подписи формата PKCS#7, используйте метод
Проверить типа ВерификаторПодписи. Пример
ниже показывает, как проверить подпись, используя алгоритмы криптопровайдера Bouncy
Castle. Если подпись не является валидной, возвращается
Ложь.
метод ПроверитьПодпись(Данные: ПотокЧтения, Подпись: Байты): Булево
знч Верификатор = новый ВерификаторПодписи(Криптография.ПолучитьBouncyCastle(), Подпись)
возврат Верификатор.Проверить(Данные)
;Если вам необходимо получить дату формирования электронной подписи, используйте свойство
МоментПодписи типа ВерификаторПодписи, как
показано
ниже.
метод ПолучитьМоментПодписи(Подпись: Байты): Момент?
знч Верификатор = новый ВерификаторПодписи(Криптография.ПолучитьBouncyCastle(), Подпись)
возврат Верификатор.МоментПодписи
;Получение отпечатка цифрового сертификата
Используйте метод ПолучитьОтпечаток типа
ЦифровойСертификат, чтобы вычислить хеш-значение (дайджест)
сертификата:
метод ВычислитьОтпечаток(БайтыСертификата: Байты): Байты
знч Алгоритм = АлгоритмХеширования.Sha1
знч Криптопровайдер = Криптография.ПолучитьBouncyCastle()
знч Сертификат = новый ЦифровойСертификат(БайтыСертификата)
возврат Сертификат.ПолучитьОтпечаток(Алгоритм, Криптопровайдер)
;