Значение хэша данных у штампа времени и эцп не совпадают
Область применения ЭП довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке и электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
ЭП не подписывает документ
Причин у подобной проблемы множество. Среди самых распространённых можно выделить следующие неполадки:
Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
Введите «c:\windows\syswow64\regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Использование ПАК "КриптоПро TSP" позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.
Для реализации сервиса TSP необходимо на базе "КриптоПро TSP Server" организовать Сервер службы TSP и встроить "КриптоПро TSP Client" в программное обеспечение клиентских рабочих мест. Встраивание "КриптоПро TSP Client" осуществляется с использованием инструментария разработчика – "КриптоПро PKI SDK".
Как формируется штамп времени
Дата и время появляются на документе при подписании электронной подписью в момент, когда ПО ЭЦП обращается к службе штампов времени TSA (time stamping authority) — сервису, имеющему доступ к точным данным о дате/времени, и работающему независимо от пользователя.
Чтобы штамп времени можно было устанавливать к ЭЦП и к подписываемому документу, необходимо использовать ПО, поддерживающее протокол службы штампов времени. Например, программно-аппаратные комплексы (ПАК) КриптоАРМ ГОСТ 2.2.0, КриптоПро OCSP или КриптоПро TSP.
Для чего нужны штампы времени
- Фиксация времени создания электронного документа. Применение штампа времени позволяет зафиксировать время создания электронного документа. Для этого после создания документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство факта существования электронного документа на момент времени, указанный в штампе.
- Фиксация времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Штамп времени может использоваться в качестве доказательства, определяющего момент подписания электронного документа (1-ФЗ "Об ЭЦП", Статья 4; 63-ФЗ "Об ЭП", Статья 11). Для этого после создания электронной цифровой подписи (электронной подписи) документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство, определяющее момент времени подписания электронного документа.
- Фиксация времени выполнения какой-либо операции, связанной с обработкой электронного документа. Штамп времени на электронный документ может быть получен при выполнении какой-либо операции, связанной с его обработкой, при необходимости зафиксировать время выполнения этой операции. Например, штамп времени может быть получен при поступлении от пользователя электронного документа на сервер электронного документооборота, либо при предоставлении документа какому-либо пользователю.
- Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя. Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени.
5 причин обратиться к нам
Для вас работают профессиональные специалисты по вопросам ЭЦП, которые проконсультируют по телефону или оперативно подъедут к вам в офис.
Мы выдаем сертификаты для работы на всех площадках — торги по 44-ФЗ, 223-ФЗ, коммерческие торги, торги банкротов, госпорталы. А также следим за своевременным продлением сертификатов.
Осуществляем сопровождение торгов — анализ документации, подготовку и отправку заявки, подписание контракта. Проводим обучение вашего персонала
Предоставляет все необходимое программное обеспечение для удобного поиска госзакупок в одном месте, для анализа заказчиков и поставщиков. Протоколы и шаблоны закупочных комиссий, оперативное уведомление о появлении новых закупок
Предлагаем удобные тарифы (пакетные предложения) по оптимальным ценам
Обращайтесь к нам, и специалисты нашего удостоверяющего центра ответят на любые ваши вопросы.
Служба штампов времени используется для простановки штампов времени на документы – данных, защищенных электронной подписью Службы, содержащих надежную информацию о времени существования электронного документа. Штампы времени используются для привязки факта существования каких-либо данных ко времени.
Создание подписи со штампом времени возможно только при установленном модуле КриптоПро TSP Client и лицензии на модуль TSP(КриптоПро TSP Client.).
Для создания подписи со штампом времени нужно выбрать подписываемые файлы, выбрать операцию Подпись, задать сертификат подписи и установить дополнительные параметры:
установить флаг Добавлять штамп времени на подпись, если требуется поставить штамп на подпись;
установить флаг Добавлять штамп времени на подписываемые данные, если требуется поставить штамп на данные;
При установленном флаге добавления штампа времени на подпись или на данные необходимо заполнить параметры раздела Служба штампов времени (TSP):
Адрес службы штампов времени - адрес службы штампов времени можно узнать у поставщика сертификата. Например, услуги службы штампов времени могут предоставлять удостоверяющие центры. Формат адреса: ://[:порт][/путь]. В качестве протокола вы может быть указан "http" и "https".
Нажатие на кнопку Выполнить запускает процесс подписи. Исходные документы (оригиналы) и результаты операции подписи отображаются в отдельном мастере Результаты операций. Причем, после выполнения операции мастер подписи и шифрования очищается от добавленных в него файлов.
При просмотре информации о подписи отображается информация о штампе времени.
Как хранить штампы времени совместно с документами
Для организации долговременного архивного хранения документов с ЭЦП (ЭП) могут использоваться штампы времени, а также дополнительные данные, необходимые для подтверждения подлинности ЭЦП (ЭП) – так называемые доказательства подлинности ЭЦП (ЭП). К таковым относятся:
- Штампы времени;
- Сертификат ключа подписи, использованного для создания оригинальной ЭЦП (ЭП);
- Сертификат УЦ, издавшего сертификат ключа подписи (если цепочка сертификатов содержит другие УЦ, то их сертификаты также необходимо проверить);
- Сертификат Службы штампов времени;
- Цепочка сертификатов для проверки сертификата Службы штампов времени;
- Информацию о статусе сертификатов (Списки отозванных сертификатов или OCSP-ответы).
Для обеспечения актуальности ЭЦП (ЭП) при долговременном хранении необходимо периодически получать новые штампы времени.
Электронная подпись помимо сведений о владельце сертификата также содержит информацию о дате и времени подписания документа — штамп времени.
Рассказываем о том, какие функции выполняет метка времени в электронной подписи и какие изменения произошли с этим компонентом в 2021 году.
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
Что изменилось с 2021 года
С января 2021 года каждая ЭЦП должна иметь юридически значимый штамп времени. Данное нововведение стало результатом совместного проекта Минцифры и ФСБ, в котором было дано определение службы «меток доверенного времени» (цифрового штампа времени). Кроме того, в документе был представлен перечень требований, предъявляемых к средствам ЭЦП, а также к оборудованию удостоверяющих центров (УЦ).
Законопроект был принят, подписан и опубликован как Федеральный закон от 27 декабря 2019 года № 476-ФЗ. Согласно положениям этого закона, использование меток доверенного времени в ЭЦП введено в России в обязательном порядке с 1 января 2021 года. В соответствии с приказом ФСБ России от 4 декабря 2020 года № 555, службы меток доверенного времени были введены в состав программных и аппаратных средств каждого УЦ.
Удостоверяющий центра «Калуга Астрал» соответствуют новым требованиям, поэтому вы можете приобрести электронную подпись и всё необходимое для работы. «Астрал-ЭТ» можно использовать для ведения электронного документооборота, работы на государственных порталах и участия в торгах.
Краткое описание протокола TSP
Запрос на штамп времени
Запрос на штамп времени включает следующие поля:
- Значение хэш-функции от документа, на который запрашивается штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики запрашиваемого штампа (необязательно);
- Nonce - случайное число, идентифицирующее данную транзакцию протокола TSP (необязательно);
- Дополнения (Extensions) (необязательно).
Идентификатор политики определяет, по какой политике должен быть выдан штамп времени. Политики штампов времени задаются сервером штампов времени и устанавливают набор правил, по которым выдаются штампы времени, а также области их применения.
Например, в системе может быть определено несколько политик с разными идентификаторами и следующим описанием:
Поле Nonce позволяет клиенту проверить своевременность полученного ответа, в котором сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.
Ответ сервера штампов времени
Ответ сервера штампов времени содержит следующие поля:
- Статус операции и информация об ошибке;
- Штамп времени (если статус успешный).
- Значение хэш-функции от документа, на который выдан штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики штампа;
- Время выдачи штампа;
- Точность времени;
- Признак строгой упорядоченности штампов (Ordering);
- Nonce - случайное число, идентифицирующее данную транзакцию протокола TSP (совпадает с соответствующим полем запроса);
- Дополнения (Extensions) (необязательно).
Сервер штампов указывает признак ordering, если он работает в режиме строгой упорядоченности штампов. Т.е. сравнение времён двух выданных этим серверов штампов даже без учёта точности времени определяет порядок их выдачи.
Для чего нужны штампы времени
Штамп времени в электронной подписи выполняет разные функции: фиксирует время создания электронного документа, время его подписания и выполнения других операций, связанных с обработкой этого документа.
Протокол штампа времени доказывает, что тот или иной документ существовал в отдельно выбранный момент.
Преимущества и область применения
При наличии штампа времени на электронном документе фиксируется время:
- Создания документа — штамп времени, полученный после запроса на сервер TSA, будет служить доказательством существования документа. Эта специфика также может использоваться в области авторского права.
- Формирования ЭЦП — если автор после создания документа подписывает его собственной ЭЦП со штампом времени, это может стать основанием для формирования доказательной базы в случае судебных разбирательств. Также это широко применяется при организации юридически значимого документооборота на электронных торговых площадках и в других сферах деятельности.
- Выполнения операции по обработке электронного документа.
Использование службы штампов времени позволяет не только подтверждать точное время создания и подписания документа, но и организовать долгосрочное хранение архивных документов в электронной форме. Так, срок хранения бухгалтерской документации составляет пять лет, за это время сертификат может потерять свою силу. В программно-аппаратном комплексе КриптоПро OSCP владелец подписи может сохранить OSCP-ответ при подписании документов и формировании штампа времени. Тем самым он обеспечит сохранность юридической силы документа в течение долгого времени.
Понадобятся штампы времени и при сдаче отчётных документов для Центрального Банка РФ. Перед тем как загружать отчётность, которая должна быть подписана с помощью квалифицированной ЭЦП, на портале Центробанка необходимо указать адрес службы штампов времени. Это нужно для проверки подлинности ЭЦП и достоверности времени подписания документов.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи»
У подобных ошибок могут быть следующие причины:
1. На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
2. На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
3. Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».
Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.
Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
Следуйте указаниям «Мастера импорта сертификатов».
Причины сбоя — «ЭЦП не соответствует подписанному документу»
Для поиска источника появления ошибки обратите внимание на следующие моменты:
когда последний раз работала
подпись и какие были
произведены изменения в ПО
работает ли подпись на другом
компьютере
не истек ли срок действия
лицензии или сертификата
Подпись не работает на конкретном устройстве. В этом случае необходимо обновить установленные программы и перенастроить систему на том ПК, где выходит ошибка. Чтобы обновить комплекс модулей криптографической защиты «КриптоПро», сотрите старые сертификаты ЭП с истекшим сроком действия. Затем установите новые, выбрав их через вкладку «Сервис». Это поможет избежать ошибок в работе с документацией.
Истек срок действия лицензии «КриптоПро». Чтобы продлить лицензию, свяжитесь с сотрудниками компании, где она была приобретена, либо получите новую, обратившись в наш Удостоверяющий центр. После продления (покупки) лицензии введите серийный номер в пункте «Управление лицензиями КриптоПро PKI».
Почта не видит сертификат. На этапе подписания документа неправильно заданные настройки электронной почты не позволяют найти нужный сертификат. Это происходит тогда, когда e-mail, указанный при изготовлении подписи, не совпадает с действующим. Для устранения ошибки введите корректный электронный адрес в настройки системы.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
Проблемы с сертификатом Они появляются, когда сертификат не выбран, не найден или не верен.
Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Читайте также: