Заметки из Зазеркалья

19.04.2024

Поддержка присоединенной электронной подписи и поддержка новой версии стандарта ЕСИА

Данная статья является анонсом новой функциональности.
Не рекомендуется использовать содержание данной статьи для освоения новой функциональности.
Полное описание новой функциональности будет приведено в документации к соответствующей версии.
Полный список изменений в новой версии приводится в файле v8Update.htm.

Планируется в версии 8.3.26

В версии 8.3.26. появится поддержка присоединенной электронной подписи и поддержка новой версии стандарта ЕСИА 3.34.

Поддержка присоединенной электронной подписи

Платформа 1С:Предприятие поддерживает подпись данных сертификатом с помощью объекта МенеджерКриптографии, при этом формируется отдельный файл подписи с расширением *.sign (так называемая отсоединенная подпись). Для проверки подписанных данных помимо собственно данных также необходим файл подписи.

В некоторых сценариях формирование отсоединённой подписи (т.е. когда данные не включаются в результирующий файл электронной подписи, а сопровождаются отдельно), может быть неудобным и ненадёжным с точки зрения обеспечения целостности. Также, во многих существующих системах электронного документооборота требуется формирование присоединённой подписи, например, для выпуска машиночитаемых доверенностей (МЧД) Федеральной налоговой службы. Для обеспечения этого требования в версии 8.3.26 будет реализован функционал формирования присоединённой подписи, когда в подписанных данных хранится также сама подпись. Также будет добавлена возможность проверки присоединенной подписи.

Для этого в объект МенеджерКриптографии будут добавлены новые свойства и методы.

В частности, свойство ВключениеДанныхВПодпись определяет, будут ли включены данные в состав подписи :

­

   Менеджер = Новый МенеджерКриптографии();

­

­

   Менеджер = Ждать менеджер.ИнициализироватьАсинх("", "", 80);

­

   Менеджер.ВключениеДанныхВПодпись = Истина;

­

­

   Данные = ПолучитьДвоичныеДанныеИзBase64Строки("MTIzNDU2Nzg5MA==");

­

   ДанныеPkcs7 = Ждать менеджер.ПодписатьАсинх(данные, сертификат);

­

Добавлены также синхронные и асинхронные методы для определения наличия данных в подписи, для получения данных из присоединённой подписи и для проверки присоединённой подписи.

Дополнительно по просьбам разработчиков реализована поддержка множественной подписи, возможность импорта сертификата в хранилище корневых сертификатов и сертификатов промежуточных удостоверяющих центров (УЦ), а также добавление неподписываемого атрибута ats-hash-index-v3 при формировании архивной метки времени.

Ввиду важности этой функциональности она появится также в новых релизах версии 8.3.24 и 8.3.25.

Новая функциональность существенно расширит сценарии применения подписи данных, поддерживаемых платформой 1С:Предприятие.

Поддержка новой версии стандарта ЕСИА 3.34

Платформа 1С:Предприятие уже давно поддерживает для аутентификации систему ЕСИА (Единая Система Идентификации и Аутентификации). ЕСИА используется большим количеством организаций, в частности, сервисом «Госуслуги».

Разработчики ЕСИА периодически выпускают новые версии протокола и, соответственно, объявляют предыдущие версии устаревшими и рекомендуемыми к выводу из эксплуатации.

В версии 8.3.26 платформа 1С:Предприятие поддержит новую версию ЕСИА 3.34.

В этой версии ЕСИА внесены изменения в протокол, которые изменили настройку аутентификации через ЕСИА для администратора. Администраторы, выполняющие настройку аутентификации через ЕСИА. Для поддержки новой версии протокола администраторам нужно будет, в частности, указывать новые endpoint’ы для получения кода и токена, потому что старые endpoint’ы рекомендованы к выводу из эксплуатации. В файле публикации теперь нужно указывать новые endpoint'ы:

Для администраторов также может быть важно, что увеличивается количество обращений к средству криптографической защиты информации (например, КриптоПро) из-за новых требований формирования client_secret в запросах к ЕСИА. Также меняется алгоритм подписи client_secret: раньше использовались RSA и ГОСТ 34.10.2012 в формате отсоединенной подписи PKCS 7, теперь используется алгоритм data hash, который требует дополнительное вычисление хэша.

Полный список изменений в связи с поддержкой нового формата ЕСИА будет опубликован в документации.

Теги: 8.3.26