2.2.Организационные мероприятия, необходимые для внедрения доработки
Для внедрения доработки в промышленную эксплуатацию требуется обеспечить проведение следующих организационных мероприятий:
Настройка справочника «Дистрибутивы АРМ Офлайн» ППО «АСФК (СУФД)» для маршрутизации документов клиентов АРМ «Офлайн – клиент ФК» и каталогов выгрузки данных.
Мероприятия по обучению новых клиентов основным принципам работы в системе.
Мероприятия по обучению сотрудников ОрФК принципам взаимодействия с офлайн-клиентами и контроля за документооборотом.
2.3.Измененная документация
Внесены изменения в СУФД_РАС_Настройки системы.doc – актуализирован п. 7.1.4, добавлен 7.1.11.
2.4.Изменения интерфейса пользователя 2.4.1.Системная константа GroupOutgoingPacket
Разработана системная константа GroupOutgoingPacket (Группировка исходящих пакетов пересылаемых между АРМ Офлайн и СУФД) (рис. 1).
Константа принимает значение:
1 и любое другое значение кроме 0 – группировать пакеты;
0 – не группировать (по умолчанию).
Системная константа имеет возможность переопределяться для произвольной организации, т.е. это константа уровня организации.
1. ЭФ системной константы GroupOutgoingPacket
2.5.Изменения справочников 2.5.1.Справочник «Справочника связок для ОрФК»
В СУФД и АРМ Офлайн, в экранную форму записи Справочника связок для ОрФК добавлено новое поле «Код офлайн организации», которое хранит код организации, обслуживаемой на АРМ Офлайн (рис. 2).
2. ЭФ записи справочника связок для ОРФК
2.5.2.Справочник «Дистрибутивы АРМ Офлайн»
Разработан новый справочник «Дистрибутивы АРМ Офлайн» в пункте меню «Справочники – Системные – Настройка АРМ Офлайн» (рис. 3, 4).
3. ЭФ справочника «Дистрибутивы АРМ Офлайн»
4. ЭФ записи справочника «Дистрибутивы АРМ Офлайн»
3.SUFD-56709. Доработка проверки усовершенствованной электронной подписи 3.1.Краткое описание доработки
В соответствии с письмом Федерального казначейства от 17.07.2014 № 42-11.0-13/226 в ППО «АСФК (СУФД)»:
Доработана функция Криптосервера по усилению электронной подписи в части добавления срока окончания действия сертификата службы доверенного времени из внешней метки времени.
Доработана функция Криптосервера по проверке усиленной электронной подписи в части доработки алгоритма проверки меток времени.
Разработана в Криптосервере функция извлечения срока действия сертификата службы доверенного времени из внешней метки времени.
Разработана в Криптосервере функция «Доведение электронной подписи до архивного формата».
Разработана функция регистрации событий по доведению электронных подписей до архивного формата
Разработана в Криптосервере функция формирования запроса к службе доверенного времени для формирования архивной метки времени.
Разработана в Криптосервере функция формирования архивной метки времени.
Разработана в Криптосервере функция добавления архивной метки времени в электронную подпись.
Разработана в MQ сервере функция получения срока окончания действия сертификата службы доверенного времени, с использованием которого сформирована последняя метка времени, из электронной подписи.
Разработана в MQ-сервере функция «Доведение электронной подписи до архивного формата».
Доработана в MQ-сервере функция усиления электронной подписи в части добавления параметра срок окончания действия сертификата службы доверенного времени из внешней метки времени.
Доработана функция хранения электронной подписи в части добавления нового поля «Дата завершения срока действия сертификата службы доверенного времени».
Доработана функция «Усиление электронной подписи» в части сохранения информации о дате окончания срока действия сертификата службы доверенного времени из внешней метки времени.
Доработана функция проверки электронной подписи в части определения признака проверки электронной подписи сертификата службы доверенного времени.
Разработана функция «Доведение электронных подписей до архивного формата» для хранящихся в ППО «АСФК (СУФД)» электронных подписей.
Разработана программа «Определение срока действия сертификата службы доверенного времени» для уже хранящихся в ППО «АСФК (СУФД)» электронных подписей.
В рамках данной доработки были выполнены следующие работы:
3.1.1.Разработка параметра конфигурации «Срок обновления архивной метки времени» (SUFDCORE-14146)
В конфигурационный файл sufd.properties добавлен новый параметр «Срок обновления архивной метки времени» (sufd.crypto.dateForUpdateArchiveTimestamp).
Параметр предназначен для указания срока в днях, при приближении которого происходит обновление архивной метки времени подписи. Значение по умолчанию = 30 дней.
3.1.2.Разработка программы «Определение срока действия сертификата службы доверенного времени» (SUFDCORE-13990)
Разработана программа «Определение срока действия сертификата службы доверенного времени» для уже хранящихся в ППО «АСФК (СУФД)» электронных подписей.
Алгоритм работы программы следующий:
Заполняется поле «Дата завершения срока действия сертификата службы доверенного времени» для уже хранящихся в ППО «АСФК (СУФД)» электронных подписей путем извлечения даты окончания срока действия сертификата службы доверенного времени из внешней метки времени.
Программа выполняется однократно для каждой электронной подписи имеющей незаполненное поле «Дата завершения срока действия сертификата службы доверенного времени».
Программа запускается по расписанию и выполняется вне времени операционного дня ТОФК (job в ночное время).
3.1.3.Разработка функции «Доведение электронных подписей до архивного формата» (SUFDCORE-13989)
Разработана функция «Доведение электронных подписей до архивного формата».
Алгоритм работы функции следующий:
Входной параметр – период пересечения сроков действия текущего и нового сертификатов службы доверенного времени (SUFDCORE-14146 новый параметр конфигурации).
Осуществляется отбор электронных подписей, у которых разница между сроком действия сертификата службы доверенного времени из последней метки времени (внешняя метка времени или последняя метка в цепочке архивных меток времени) и текущей системной датой меньше значения входного параметра программы, но больше нуля. Каждая электронная подпись, обрабатывается по следующему сценарию:
если программа запущена на АРМ СУФД-Портал или АРМ ОрФК, то:
электронная подпись через обращение к функции «Функция доведения электронной подписи до архивного формата» Криптосервера доводится до архивного формата,
доведенная до архивного формата, электронная подпись и дата окончания срока действия сертификата службы доверенного времени сохраняются в БД АРМ СУФД-портал/АРМ ОрФК.
если программа запущена на АРМ ОФК-offline, то:
на основе электронной подписи, через обращение к функции «Функция создания запроса к службе доверенного времени» Криптосервера создается запрос к службе доверенного времени на формирования архивной метки времени;
для доставки запроса к службе доверенного времени создается служебный документ-перевозчик, в который добавляется запрос. Документ-перевозчик отправляется в АРМ СУФД-логистика;
при принятии документа-перевозчика в АРМ СУФД-логистика из доку-мента извлекается запрос, на основе которого, через обращения к функции «Функция создания архивной метки на основе переданного запроса» формируется архивная метка времени;
для доставки сформированной метки времени создается служебный документ перевозчик, в который добавляется архивная метка. Документ-перевозчик отправляется АРМ ОФК-offline, из которого пришел служебный документ на формирование архивной метки;
при принятии документа-перевозчика на АРМ ОФК-offline из документа извлекается архивная метка и через обращение к функции «Функция добавления архивной метки времени в электронную подпись» Криптосервера, добавляется в электронную подпись. После добавления цепочка архивных меток времени проверяется; электронная подпись, доведенная до архивного формата, и дата окончания срока действия сертификата службы доверенного времени из архивной метки сохраняются в базе данных АРМ ОФК-offline.
Доработан системный документ типа «Перевозчик УЭП»:
Добавлен признак запроса: либо усиление ЭП, либо формирование архивной метки.
Добавлено поле с типом Date, в котором перевозится дата окончания срока действия сертификата службы TSP из последней метки времени.
3.1.4.Доработка хранения, ВФ данных ЭП (SUFDCORE-13988)
Доработана структура хранения данных ЭП: в таблицу добавлено дополнительное поле «Дата завершения срока действия сертификата службы доверенного времени» (рядом с полем «Последний проверивший»).
3.1.5.Доработка Криптосервера/MQ-сервера (SUFDCORE-13980)
Доработан Криптосервер/MQ-сервер в части:
Доработка в части поддержки архивной подписи (на примере CAdES-A с применением атрибута archive-time-stamp, представляющий из себя архивный штамп времени).
Подпись из себя представляет:
(((CAdES-BES используемый в ФК + archive-time-stamp1) + archive-time-stamp2) .. archive-time-stampN)
Формирование:
криптосервер на основании хеш подписи второй метки времени формирует запрос в СДВ;
СДВ вытаскивает хэш и прикладывает точное время;
СДВ подписывает своим ключом;
полученный ответ возвращается на криптосервер.
Последующее наложение архивных меток:
криптосервер на основании хеш подписи последней архивной метки времени формирует запрос в СДВ;
СДВ вытаскивает хэш и прикладывает точное время;
СДВ подписывает своим ключом;
полученный ответ возвращается на криптосервер.
Проверка:
При проверке проверяется метка archive-time-stampN (если меток времени несколько, то проверяется последняя метка времени) – проверяется сертификат на валидность на текущий момент.
Если проверка прошла успешно, то аналогично проверяется цепочка предыдущей метки (и т.д. вплоть до самой первой) – проверяется сертификат на валидность на момент времени, указанный в следующей метке.
Пояснение текущей реализации:
документ (первые 20 кб);
подпись на документ;
1-я метка (внутренняя) накладывается на хэш подписи;
ответ OCSP;
2-я метка (внешняя) накладывается на хэш (подпись первой метки + подпись ответа OCSP).
Архивная подпись:
документ (первые 20 кб);
подпись на документ;
1-я метка (внутренняя) накладывается на хэш подписи;
ответ OCSP;
2-я метка (внешняя) накладывается на хэш (подпись первой метки + подпись ответа OCSP);
1-я архивная метка времени на хэш подписи 2-ой метки времени;
2-я архивная метка времени на хэш подписи 1-ой архивной метки времени;
3-я архивная метка времени на хэш подписи 2-ой архивной метки времени;
...n-я архивная метка времени на хэш подписи n-1 архивной метки времени.
Данным, на которые накладываются архивные метки времени – хеш подписи предыдущей метки (начиная с хэша внешней метки).
Для размещения архивных меток времени в CMS будет использоваться новый не подписываемый атрибут archive-time-stamp.
Следующий идентификатор объекта (OID) определяет атрибут archive-time-stamp: 1.2.840.113549.1.9.16.2.48.
Доработка функции «Доведение до УЭП» в части дополнительного возвращаемого параметра – «Срок окончания действия последней метки времени».
Реализация функции «Получить по ЭП дату окончания срока действия сертификата последней метки времени».
Метод возвращает срок окончания действия сертификата внешней метки времени, если атрибут дополнительных меток времени отсутствует, либо последней метки из атрибута дополнительных меток, если он присутствует.
3.1.6.Доработка взаимодействия с Криптосервером «Усиление электронной подписи» (SUFDCORE-13975)
Реализован новый тип взаимодействия с Криптосервером – «Усиление электронной подписи»:
На вход подаётся ЭП.
На выходе – УЭП с дополнительной меткой времени (archive-time-stamp), и отдельно срок окончания действия сертификата и дополнительной метки (последняя метка времени).
Сохранение возвращаемого параметра «Срок окончания действия последней метки времени» (при «доведения до УЭП» или «Улучшения ЭП до формата архивного хранения») в соответствующем поле таблицы хранения ЭП (SUFDCORE-13988 – поле «Дата завершения срока действия сертификата службы доверенного времени».
3.1.7.Доработка функции проверки подписи (SUFDCORE-13969)
Доработана функция проверки усиленной электронной подписи (УЭП) в части доработки алгоритма проверки меток времени.
Алгоритм проверки меток времени следующий:
В параметрах функции «Проверка усиленной электронной подписи» указан признак проверки по действующему алгоритму. В таком случае проверка внешней метки времени выполняется на дату ее создания, внутренняя метка времени проверяется на дату создания внешней метки времени.
В параметрах функции «Проверка усиленной электронной подписи» указан признак проверки по новому алгоритму, то в таком случае:
электронная подпись содержит цепочку архивных меток, в таком случае N-ая метка времени в цепочке проверяется на текущую системную дату, (N-1)-ая метка времени проверяется на дату формирования N-ой метки времени. Внешняя метка времени проверяется на дату формирования 1-ой архивной метки времени;
электронная подпись не содержит цепочку архивных меток времени, в таком случае внешняя метка времени проверяется на текущую системную дату, внутренняя метка времени проверяется на дату создания внешней метки времени.
|
