Электронная подпись в OpenOffice.org
Template:RU/documentation/draftpage
Template:RU/documentation/beingedited
В OpenOffice.org есть возможность подписывать своей цифровой подписью создаваемые документы. Причём это делать достаточно легко.
Но прежде, чем подписывать документы OpenOffice.org, необходимо получить (или создать) личный цифровой сертификат (digital certificate) и установить его на свою машину. Digital certificate - это защищённый паролем файл, в котором хранится различная информация - имя владельца, его e-mail адрес, ключ шифрования, а также наименование организации, выдавшей этот сертификат, и дату, после которой цифровой сертификат считается недействительным (expiration period). Большинство организаций, выдающие сертификаты, делают это на коммерческой основе и требует оплаты за их выдачу. Большинство, но не все. Существует некоммерческая ассоциация CACert[1], которая выдаёт цифровые сертификаты бесплатно.
Так же можно выдать сертификат самому себе - так называемый "самоподписанный цифровой сертификат" (self-signed certificate).
Рассмотрим оба варианта получения сертификата.
Вариант 1. CACert
Получить сертификат от CACert не составляет труда. Достаточно посетить их сайт и зарегистрироваться. Это простая процедура, при которой требуется ввести имя, электронный адрес, пароль и прочие персональные данные. Для восстановления забытого пароля необходимо ввести пять пар слов, ассоциативно связанных. Это распространенный метод восстановления пароля по контрольным вопросам. После заполнения всех полей на адрес электропочты будет выслан URL, по которому нужно подтвердить своё желание на получение сертификата. В открывшемся окне браузера необходимо щёлкнуть по кнопке подтверждения своего электронного адреса. После чего сайт генерирует для вас сертификат и выводит ссылку, которая должна установить сертификат на вашу машину.
Щёлкнув по ссылке, указывающей на инсталляцию сертификата, Java установит сертификат на машину. Точнее - в браузер.
В ОС MS Windows я использую Mozilla Firefox, поэтому скажу как можно проверить установленный сертификат и сделать его копию отдельным файлом. Он нам понадобится в дальнейшем. Через систему меню проходим Инструменты --> Настройки --> Дополнительно --> Просмотр Сертификатов. Там вы увидите свой новый сертификат, подписанный сервером CACert. Сейчас самое время сохранить его в отдельном файле. В открытом окне нажмите кнопку "Резервная копия" и сохраните его в любом месте на диске под любым именем. Двойной клик на этом файле приведет к запуску мастера Windows, который начнёт процедуру инсталляции сертификата на компьютер.
Вариант 2. Самоподписанный сертификат.
Его можно изготовить самому если использовать бесплатную программу SELFCERT от ф. Abylonsoft. Установка SELFCERT тривиальная задача, как и создание цифрового сертификата с её помощью. В окне программы необходимо заполнить поля с личными данными - Имя, фамилия, е-майл. Придумать пароль и сохранить сертификат файлом на диске. Методика установки такого self-signed certificate в систему ничем не отличается от метода описанного выше.
Установленные сертификаты в системе можно посмотреть. Запустите в командной строке MS Windows программу certmgr.msc – она запустит программу управления всеми сертификатами, присутствующими на вашей системе. Там, в папке "Личные", вы должны увидеть свои новые сертификаты.
Как подписать документ OpenOffice.org
Предположим, вы работаете в OpenOffice.org Writer и готовите важный документ, который следует подписать электронным образом. Для этого через меню Файл --> Цифровые подписи. Там вы выбираете свой сертификат и жмёте OK. На этом всё - документ подписан. В нижней полосе OpenOffice.org Writer должно появиться изображение (Seal icon), говорящее о том, что этот документ подписан. Двойной клик по этой пиктограмме откроет окно, в котором будет показан сертификат автора документа.
Как относиться к сертификату
В обычной жизни люди не выписывают сами себе сертификаты. Например, сертификат качества на колбасу или сертификат стоматолога. этим занимается некоторая сторонняя организация, чаще всего всего государственная. Сертификат, выданный такой третьей независимой ни от кого стороной, гарантирует что дело идёт без обмана - «всё по честному».
Представьте себе такую житейскую ситуацию, когда к директору авиакомпании в кабинет заходит его сосед Иванов, которого директор знает как облупленного (Иванов все жизнь работал таксистом) и протягивает заявление о приёме на работу в лётный состав. Иванов показывает директору сертификат, подписанный самим Ивановым. Вопрос – примет ли директор Иванова в лётчики? Вы улыбнулись.
В компьютерном мире государственные сертифицирующие органы заменяют так называемые Центры Сертификации (CA, Certificate Authorization). Выше мы говорили о том, что получение сертификата требует оплаты у всех CA. Это не касается Центра CACert .
Для того, чтобы система проверки сертификатов, выданных в CACert заработала на вашем компьютере, необходимо заставить свою вычислительную систему безоговорочно доверять этому Центру. Для этого необходимо сертификат CACert внести в список «Корневых Доверенных Центров». В ОС MS Windows это делается при помощи certmgr . В данном случае мы говорим о так называемых «Корневых Сертификатах» (Root Certificate), которым должен обладать любой Центр CA. Вы должны знать, что основываясь на свой «Корневой Сертификат» (Root Certificate), Центры CA выдают пользовательские сертификаты своим клиентам. В свою очередь пользователи, «завязанные» на такой Цент Сертификации, могут перепроверять сертификаты друг друга.
Круг замкнулся. Люди устанавливают в свой список «Корневых Доверенных Центров» «Корневой Сертификат» от CACert . Люди получают пользовательские сертификаты от CACert. Теперь все, кто поставил «во главу угла» CACert в качестве авторизатора, легко могут перепроверять сертификаты друг друга.
Методика установки «Корневого Сертификата» CACert.
На сайте CACert следует отправиться на страницу Root Certificate. Там есть несколько различных способов установки их «Корневого Сертификата»:
- Для Microsoft Internet Explorer. Через ActiveX будет запущен инсталлятор.
- Root Certificate (PEM Format) – установит его в браузер Mozilla Firefox.
- Root Certificate (DER Format) – запустит инсталлятор для его установки. Выбирайте этот метод.
Это облегчит вашу работу.
Для случая, если ваша деятельность не позволяет "верить на слово" любому документу, полученному по Е-майл.
Предположим, вы и ваш руководитель получили сертификаты, подписанные у CACert, и внесли этот Центр в качестве Корневого Доверенного в свои системы. Теперь любой документ OOo, подписанный начальником, вы легко можете проверить на «истинность».
Рассмотрим ситуацию: начальник высылает электронной почтой вам распорядительный документ, подписанный своим сертификатом. Транспорт электронной почты ненадёжен и письмо в процессе доставки легко может быть модифицировано. Хакер может перехватить письмо, отредактировать документ начальника и переслать его на ваш адрес. Просматривая у себя на месте в OpenOffice.org Writer такой поддельный документ вы быстро обнаружите что документ не содержит цифровой подписи.
Дело в том, что цифровой сертификат, внедренный в документ OpenOffice.org Writer, не "живёт вечно". Это отличает его от других систем, таких как PGP или GPG. Которые буквально сливают в единое и неделимое – и текст документа, и цифровую подпись. Подписанные документы можно модифицировать, но при этом теряется их «оригинальность» и, следовательно, удаляется подпись того кто его создал.
Если вы откроете подписанный документ OpenOffice.org и начнёте вносить в него исправления, то первичная цифровая подпись будет удалена из документа автоматически. У вас останется несколько вариантов:
- либо сохранить документ в исходном варианте. Ваши изменения потеряются, но сохранится оригинальная подпись первичного автора.
- либо сохранить документ с внесёнными вами исправлениями. При этом авторская подпись из документа автоматически будет удалена. Поставить под документом свою подпись (или не ставить её).
Всегда полезно взглянуть на свойства документ, делая это через систему меню OpenOffice.org:
Файл → Свойства.
Фича OpenOffice.org "стирание личной информации" удаляет все цифровые подписи.
Какой из методов получения сертификата предпочтительнее
Безусловно получение от CACert. Пользуясь его услугами, вы гарантированно расширяете зону проверки сертификатов других людей в пространстве интернет. Отсюда вывод – чем больше людей получит сертификатов от CACert, тем проще людям проверять сертификаты друг друга.
Самоподписанный сертификат созданный при помощи программы SELFCERT, не принесёт вам ничего, кроме морального удовлетворения. Да, сертификат у вас есть, но кто сможет подтвердить его подлинность? Вы же не хотите быть похожи на таксиста Иванова?
"Свой" сертификат во "внешнем мире" бесполезен - его никто не сможет проверить, но актуален, если у вас есть домен и документы циркулируют внутри него.
Полезная ссылка: Немного о GNU Privacy Guard (GnuPG)
Данный слегка подправленный Перевод опубликован здесь с разрешения автора оригинальной статьи - Dmitri Popov. --Helen 19:19, 13 October 2007 (CEST)
Оригинал статьи: http://www.linux.com/articles/57554
Template:RU/documentation/signyear Template:RU/documentation/signyear