Здравствуйте, меня зовут Шелли Гу (Shelley Gu), и я являюсь программным менеджером в команде Trustworthy Computing Security. Я хотела бы рассказать о некоторых новых возможностях, которые мы добавили к функции цифровой подписи в Office 2010. Сначала я вкратце объясню, что такое цифровые подписи и как их использовать, а затем мы в деталях обсудим то, как они работают в Office 2010.
Что такое цифровая подпись?
Все больше и больше коммерческих сделок проводится в электронном виде. Следовательно, цифровые подписи все чаще используются как обязательная составляющая для всех участников операций. Цифровая подпись используется для проверки личности лица, подписавшего документ, и подтверждает, что содержимое не было изменено после прикрепления цифровой подписи к документу. Цифровые подписи обеспечивают безопасность на базе технологий шифрования и способствуют снижению рисков, связанных с электронными операциями. Цифровые подписи в Office направлены на удовлетворение информационных потребностей в области безопасности предприятий и организаций по всему миру.
Чтобы создать цифровую подпись, вы должны иметь цифровой сертификат, который подтверждает вашу личность другим сторонам, и должен быть получен из авторитетного органа выдачи сертификатов. Если у вас нет цифрового сертификата, у Microsoft имеются партнеры, которые предоставляют цифровые сертификаты, а также другие современные услуги подписи, которые затем интегрируются в Office посредством Office Marketplace.
Добавление цифровой подписи
В Word, Excel и PowerPoint 2010 цифровая подпись может быть добавлена через меню Backstage View:
Строка подписи или штамп подписи могут быть добавлены в Word, Excel, InfoPath и через вкладку Insert:
Подпись будет выглядеть примерно так:
Штамп подписи, используемый в восточной Азии, выглядит так:
Как подписи работают в Office?
Office 2007 и более поздние версии используют стандарт открытой подписи, называемый XML-DSig, который заменяет менее развитые бинарные подписи в Microsoft Office 2003 и более ранних версиях пакета. XML-DSig представляет собой подпись в самом читабельном для человека формате XML. Более подробная информация о XML-DSig доступна на сайте http://www.w3.org/Signature.
Цифровая подпись в Office 2010 использует передовые алгоритмы (алгоритм шифрования эллиптической кривой), поддерживаемые в Windows Vista и более поздних версиях ОС. Все поддерживаемые операционные системы также позволят использовать более надежный алгоритм хеширования - SHA-512.
Самой насущной проблемой с цифровыми подписями является истечение срока действия сертификата - как правило, он выдается на 1 год. После того, как сертификат истек, никто не будет доверять подписи. Если вы хотите доверять подписи в течение более длительного периода, то вы должны хранить копию информации, необходимую для проверки сертификатов. Также стоит побеспокоиться об устаревающих алгоритмах шифрования.
К счастью, решение этих проблем найдено с помощью расширения к XML-DSig, известного под названием XAdES.
Что такое XAdES?
XAdES (абб. от XML Advanced Electronic Signatures или расширенные электронные XML-подписи) представляет собой набор расширений для многоуровневого XML-DSig, уровни которого созданы на базе последнего с целью обеспечить более высокую надежность цифровых подписей.
Обеспечивая поддержку XAdES, теперь Office соответствует критериям расширенных электронных подписей, действующих в Европейском союзе на основании директивы 1999/93/ЕС, а также новым директивам бразильского правительства, которое определяет XAdES как признанный стандарт для цифровой подписи в Бразилии.
Office 2010 может создавать различные уровни подписей XAdES на базе подписей XML-DSig:
Office 2010 Beta может создавать подписи до XAdES-T включительно, но в финальной версии Office 2010 станет возможным создавать все подписи из таблицы.
Временные штампы и подписи XAdES-T
Временные штампы цифровой подписи (подписи XAdES-T) являются важным сценарием, которому мы уделили особое внимание в Office 2010. Для создания временного штампа для подписи вам необходимо:
- Настроить сервер времени, соответствующий RFC 3161.
- Настроить политику подписи, чтобы клиентские системы знали, где найти сервер. Вам также необходимо добавить корневой сертификат сервера в хранилище сертификатов.
Когда все настроено, вы можете просто создать подпись, как вы это делаете обычно. Штамп от доверенного сервера продлевает жизнь вашей подписи, потому что даже после истечения сертификата он сможет доказать, что штамп сертификата еще не истек на момент подписания. В результате, это является защитой от истечения сертификата - если сертификат был отменен после применения подписи, подпись остается в силе.
Создание XAdES-подписи в Office 2010 RTM
По умолчанию Office 2010 создает подписи XAdES-EPES. Настройки реестра используется для указания уровня создания подписи. Есть два параметры реестра для управления типом подписи, создаваемого Office, - XAdESLevel и MinXAdESLevel.
Настройка MinXAdESLevel позволяет удостовериться в том, что создаваемые подписи удовлетворяют требуемому уровню XAdES. Подписи XAdES-T или выше не будут созданы, если сервер временных штампов недоступен, а подписи XAdES-C или выше не будут созданы, если информация об отзыве подписи недоступна. Минимальным уровнем подписи, который можно попытаться создать, является XAdES-XL, но если сервер временных штампов недоступен, придется довольствоваться XAdES-EPES.
Чтобы создать подпись XAdES-T и выше, вам необходимо сообщить Office адрес сервера временных штампов для опроса времени:
Рекомендации по подписям XAdES
Если вы хотите создавать XAdES-подписи, мы рекомендуем использовать один из трех уровней:
- XAdES-EPES - этот параметр используется по умолчанию, потому что не имеет дополнительных требований сверх того, что необходимо для создания обычной подписи XML-DSig.
- XAdES-T - этот праметр требует, чтобы сервер был доступен, соответствовал RFC 3161 и чтобы Office был настроен на использование сервера. Если у вас есть сервер временных штампов, XAdES-Т будет использоваться по умолчанию.
- XAdES-X-L - если у вас есть сервер штампов и необходимость в подписях, которые включают полную информацию об аннулировании и цепочке сертификатов, используйте эту настройку.
Пример:
Сэм хочет создать подпись XAdES-Х-L. Если это невозможно, он готов принять любую подпись, но не ниже XADES-T. Он устанавливает:
- XAdESLevel = 5 (запрос на XAdES-X-L)
- MinXAdESLevel = 2 (минимальным приемлемым типом подписи является XAdES-T)
В этом случае Office попытается создать подпись вплоть до уровня X-L. Если Office не удается создать подпись XADES-X-L, Office возвращается к последнему успешному уровню XAdES при условии, что уровень не ниже MinXAdESLevel. В этом случае были бы приемлемыми подписи типов XAdES-T, XAdES-C и XAdES-X, если бы Office был не в состоянии создать подпись XAdES-X-L. В противном случае Office не добавляет подпись вовсе.
Создание XAdES-подписей в Office 2010 Beta
Как упоминалось ранее, Office 2010 Beta может создавать подпись вплоть до XAdES-T, оставшиеся типы подписей появятся лишь в финальной версии. Настройка реестра XAdESLevel, описанная выше, все еще актуальна, но максимальный уровень равен двум (т.е. XAdES-T). Функция TheMinXAdESLevel пока отсутствует, но вы можете создать только два типа XAdES-подписей - с и без штампа времени, который контролируется настройкой TimestampRequired (которой не будет в RTM-версии).
Чтобы создать подпись XAdES-T, вам необходимо дополнительно установить параметры TimestampRequired (как показано ниже) и TSALocation (см. пояснение выше):
Функция XAdES является лишь одним из изменений, призванных увеличить безопасность в Office 2010. Спасибо за внимание.