Отдельный удостоверяющий центр
Криптографический ключ (КК) – это секрет (алгоритм, последовательность, значение параметра и т.д.), используемый для шифрования и расшифровки. В асинхронном шифровании КК - это пара (можно сказать: КП) взаимосвязанных файлов: сертификата (открытая часть КП) и ключа (секретная часть КП). Сертификат – визитка в цифровом пространстве и «паспорт» владельца. Ключ – личная подпись владельца, что ни при каких обстоятельствах в иные руки не передается. Отдельных (не аккредитованных в РФ и не зависимых от международных центров сертификации) удостоверяющих центров (ОУЦ) – у меня три:
· СА (доменная зона, SMIME, Certificate Aauthority, CA, ЦС - формирование рабочих ключей серверов и клиентов, каналов связи, ЭП связиста при отправке eMail сообщений и др.),
· PP (PGP, Private Practice, частная практика, ЧП – формирование универсальных рабочих ЭП для документов и др. цифровых материалов), и
· RSP (GPG, Regular Secret Part, РСЧ, РКЧ – формирование универсальных рабочих ЭП в режимно-конфиденциальной части, и др.).
Каждый из трех ОУЦ имеет самоподписанный (self) корневой (Root) сертификат. Корневые КП ОУЦ используются только для подписания промежуточных сертификатов ОУП (пунктов). Промежуточные КП ОУП используются для подписания рабочих сертификатов (в т.ч. серверов, списков отзыва и др.). Трем моим ОУЦ соответствуют три моих ОУП (R1 – регистратор №1), но в структуре моих ОУЦ могут быть сторонние ОУП.
Трех-цифровой номер в названии файла, пакета и в самом сертификате – регистрационный номер по Реестру. Выписка из реестра КП формируется и публикуется каждый раз в день внесения изменений в реестр.
Сертификаты ОУЦ/ОУП
Любой документ, подписанный квалифицированной электронной подписью (КЭП – утверждается аккредитованным УЦ (АУЦ) в РФ) надлежащим образом, следует считать подлинным, имеющим юридическую силу.
Для уверенной работы TLS (напр.: запросы https://) необходимо скачать и установить у себя в «доверенные корневые» и «промежуточные» сертификаты 208 и 209. Вход в системную консоль управления сертификатами текущего пользователя: Пуск – Выполнить - certmgr.msc . Если у Вашего обозревателя автономное (не системное, собственное) хранилище сертификатов, то импортируйте в настройках обозревателя. Подробнее: Яндекс (поиск) – «системное хранилище сертификатов».
Аналогично, при наличии PGP/GPG: 212 и 213, 215 и 216, установить степень доверия. Только в этом случае все рабочие ключи будут проверяться автоматически, автономно, средствами Вашей операционной системы.
208_001_root_ca.zip – Корневой сертификат ОУЦ (CA), заверен КЭП, запись CAA в DNS присутствует.
209_002_r1_ca.zip – Промежуточный сертификат ОУП (CA).
212_Root_PP.zip – Корневой сертификат ОУЦ (PGP, PP), заверен КЭП. Сертификат заявлен в https://keyserver.pgp.com/ или https://keyserver2.pgp.com/ .
213_R1_PP.zip – Промежуточный сертификат ОУП (PGP, PP).
215_Root_RSP.zip – Корневой сертификат ОУЦ (GPG, RSP), заверен КЭП.
216_R1_RSP.zip – Промежуточный сертификат ОУП (GPG, RSP).
В постоянном публичном доступе
MailRu или Yandex - все, приведенные здесь сертификаты, доступны всегда через публичные хранилища.
Уникальные сертификаты
Корневой сертификат PBX (цифровой телефонной станции, ЦТС) применяется только в одном программном телефоне для создания туннелированного соединения со станцией. Инструкция по его необходимости, установке и настройке высылается отдельно для зарегистрированных пользователей моей ЦТС.
Сертификат подключения VPN-IPSec – также актуален только для Клиентов и в публичном представлении нет смысла.
Сертификат Client – аутентификации и защиты канала со стороны клиента – допускается, если сервер поддерживает такой способ.
Сертификат DKIM – подтверждение eMail отправки почтового сервера – вне зависимости ОУЦ, учету по реестру не подлежит.
Проверка ЭП
Легитимность любой ЭП устанавливается зависимостью рабочего сертификата по ветви доверия (PKI) от УЦ: для КЭП от АУЦ, для НЭП от ОУЦ. Электронный файл корневого сертификата ОУЦ заверяется КЭП (вне ветви PKI), что делает его легитимным электронным документом. Публичная регистрация ОУЦ для доменной зоны edocnet.ru – представлена записью CAA. Доменная зона edocnet.ru – принадлежит аутентифицированному у регистратора (RegRu) владельцу, т.е. мне.
Проверка легитимности КЭП, как и ее соответствие подписанному документу, производится через ЕСИА ФЛ в РФ (портал Госуслуг): https://e-trust.gosuslugi.ru/check/sign#/portal/sig-check .
Проверка легитимности НЭП производится:
· через список отзыва: edocnet.ru.zip – электронный список отозванных до истечения срока действия сертификатов (в пакете zip для ручной проверки), только CA,
· через выписку из Реестра (27.10.2025): reestr.htm – список всех легитимных сертификатов по всем ОУЦ, проверка вручную по KeyID или KeyFP,
· скачиванием соответствующего сертификата и ручным сопоставлением по KeyID или KeyFP.
Проверка соответствия НЭП подписанному документу производится только программным обеспечением получателя.
Ограничения на
применение ЭП
В моей практике
допустима передача eMail сообщений, т.е. электронных документов (ЭД), общим
объемом до 20 МБ. Передача больших объемов рассматривается как передача
информационных материалов. Материалы шифруются технологиями контейнерного или
иного шифрования (не ЭП) и передаются каналами FTP (в клиентской среде
взаимодействия). Материалы, предоставляемые в мой адрес не Клиентами, могут
быть зашифрованы и размещены, например: в своем облачном хранилище. Документом
(шифрограммой) в мой адрес прошу указать: тему и аннотацию к материалу, объем
пакета, гиперссылку для скачивания, предельный срок доступности материала, ключ
и метод расшифровки, способ подтвердить фактическое получение.
Сертификаты ЭП
За 30 лет существования ЭП в обиходе направления ее полезного применения были разными и постоянно развивались. Разные направления применения предполагали разные дополнительные функции, шифры, методы шифрования и несколько разные форматы создания ЭП. На текущее время в РФ существует 5 основных крипто-провайдеров (CSP): CA (OpenSSL), PGP (Pretty Good Privacy), GPG (GnuPG), CryptoPro (КриптоПро) и VipNet (Инфотекс). Электронная подпись (ЭП) может быть отсоединенной (отделенной) – к документу document.pdf формируется отдельный файл ЭП document.pdf.sig или присоединенной – тогда создается единственный файл document.pdf.sig, человеком не читаемый. Подписанный и зашифрованный документ (шифрограмма, шифровка) – всегда предпочтительнее открытого текста. ЭП – это отдельный файл, зависимый от подписанного документа или часть подписанного документа. Криптографическая пара (КП), утвержденная не аккредитованным в РФ УЦ, например: ОУЦ – предполагает простановку к документам не квалифицированной ЭП (НЭП). Вопрос доверия к подлинности НЭП решается: заверением сертификата НЭП КЭП-ом, или соглашением о доверии к ОУЦ, или соглашением корреспондентов об обмене НЭП, или девиантным поведением сторон. Ниже представлены имена владельцев и их сертификаты, давшие письменное согласие на их публикацию.
Борчанкин Сергей Геннадьевич, оператор.
КЭП в структурной зависимости ЕСИА
Борчанкин СГ КЭП VN.zip – усиленная, квалифицированная - для подписи и шифрования корреспонденции с органами государственной власти, для заверения самоподписанных сертификатов. Сертификат КЭП подписан аккредитованным удостоверяющим центром (АУЦ) АО «ИнфоТеКС Интернет Траст». Допускается использование для аутентификации со стороны клиента (Client Cert).
SN: 01 dc 46 95 f7 0c 1d 70 00 0d cb de 00 06 00 02
KeyID: 22 4c 26 c6 3e 08 15
KeyFP (sha1): c2 fb 70 99 61 3d 4a
b1 7b
НЭП в структурной зависимости ОУП
232_borchankin_email.zip – НЭП (RSA, CA, сетевые транзакции) связиста, универсальная - для подписания и шифрования исходящих eMail-сообщений. Допускается использование для аутентификации со стороны клиента (Client Cert).
233_Borchankin_PP.zip – НЭП (RSA, PGP, частная практика) ведения дел, универсальная - для подписания и шифрования документов, электронных штампов, личной переписки. Формат выпуска допускает импорт в GPG.
234_Borchankin_RSP.zip – НЭП (RSA, GPG, РКЧ) универсальная - для подписания, учета и шифрования документов ограниченного доступа. Формат выпуска допускает импорт в PGP.
НЭП вне структурной зависимости (параметр KeyID – отсутствует, по реестру ОУЦ – не учитываются)
Борчанкин СГ НЭП CP.zip – НЭП (ГОСТ, CryptoPro), усиленная, не квалифицированная, self, заверена КЭП - для подписания и шифрования документов в любые адреса, располагающие ЭП и ПО только формата КриптоПро. Применяется только по просьбе корреспондента. Допускается использование для аутентификации со стороны клиента (Client Cert).
KeyFP (sha1): f6 47 93 d8 5e 84
Иных владельцев ЭП, согласившихся на публикацию своих сертификатов – нет.
Обращаю Ваше внимание на
указанную ниже дату последней редакции этой страницы.
Всегда с уважением и
вниманием.
РФ, г.Ростов-на-Дону, 01.01.2026
Борчанкин Сергей Геннадьевич
“Sergej Borchankin” <sgb@edocnet.ru>