Здравствуйте.
Сильно не кидайтесь камнями, никогда не работал с цифровыми подписями .
Возникла задача сделать веб интерфейс для создания электронных документов, подписания, проверки.
Изучил форум, но все равно не совсем понял. Буду Вам очень признателен, если ответите на пару вопросов
Для реализации возникла следующая логика.
Через веб интерфейс заносятся данные, на сервере на основе этих данных создается файл PDF. Этот файл больше не трогается. На форуме прочитал, что Вы рекомендуете для подписания следующий подход. Клиенту дать скачать файл, его подписать, в апплете нашел нужный метод, и эту подписать загрузить. Получается, что это CMS отсоединенная.
Затем нужно, чтобы этой файл подписал другой человек. Снова даю скачать и подписать через апплет. И т.д., получается, что на 1 файл будет много отсоединенных подписей.
Верно я понял подход? Или что то не так делать нужно?

Но возникает вопрос, а как передать кому-то эти данные, нужно передать файл и все файлы с отсоединенной подписью, файлы разрешения p7s?

Тогда получается, что я должен сделать и веб интерфейс для того, чтобы могли через него проверить подписи к этому файлу?

И последний вопрос, а как можно это визуализировать для печати? Вы не предоставляете это в sdk, это я прочитал. У меня мысль, что на основе содержимого pdf и всех подписей создать еще один файл pdf с текстом основного pdf и данных о том, кто подписал. На нем установить ссылку, где скачать оригинал документа и все подписи. Так можно будет делать?

Спасибо заранее, за ответы

Формат подписи CMS предоставляет возможность формирования множественных подписей, которые делятся на два вида:

1) Независимые (параллельные);
2) Контрсигантуры

Первый вид на примере физического мира схож с тем как если бы собирали подписи при увольнении на обходном листе или собирали подписи врачей в поликлинике.
Второй похоже на то, как если бы вам нужна была бы подпись первого руководителя (как финальная, контрольная подпись), например приказ о премировании .
Для реализации этих подписей применяют структуру SignerInfo (атрибуты signedAttrs и unsignedAttrs) и атрибут Countersignature, соответственно. С этими элементами вы можете ознакомиться в RFC 5652.
К сожалению, наш Java апплет и NCALayer предоставляет гибких возможностей по реализации таких видов подписей, но используя наши базовые криптографические библиотеки вы можете создать свой апплет или приложение, где реализуете их.

Что касается визуализации, то мы не озадачивались такой проблемой. Насколько мне известно визуализация подписи в PDF осуществляется через соответствующие редакторы , например Adobe Professional ( helpx.adobe.com/reader/using/sign-pdfs.html). И это не более чем графический элемент. На территории Казахстана такой документ в электронном виде не будет иметь юридической силы. В свою очередь цифровая подпись защищает документ полностью от искажения и придает ему юридическую значимость, но в конкретно перед цифровой подписью никогда не стояла задача визуализации подписи. Другими словами это два разных подхода для подписания. Думаю, что первый вариант больше применим во внутреннем корпоративном документообороте, где собственно не так важна юридическая составляющая.

Добрый день. Спасибо за Ваш ответ.
Вы правы, первого варианта, параллельные, для внутреннего достаточно.
Но получается другая проблема с юридическим пониманием. Приведу реальный пример, у нас запрашивают фрагмент видео с камеры видео наблюдения. Данный фрагмент мы должна передать в другую юридическую компанию с подписью начальника службы безопасности. Сделал такой набросок: веб интерфейс, через него сотрудник выбирает видео файл и через апплет/nca подписывает, использую метод createCMSSignatureFromFile (вариант отсоединенной подписи). Файл и подпись отправляется на сервер, на сервере проверяется, что подпись корректна для файла, также проверяется сертификат (по регламенту описанного у Вас в SDK). В ответ на отправку сотрудник получает файл с информацией об электронном документе (под документов подразумеваю видео файл), уникальный идентификатор, данные о нашем ресурсы, с которого можно получить данные документ. Этот файл с информацией передается уже в организацию. Они по данным из файла заходят нам на сервер, вводят идентификатор документа и получают страницу с описанием и результатами проверки подписи и сертификата. Если все верно, то файл с видео фрагментом и отсоединенной подписью p7s можно скачать.
Схема как на egov.
Выглядит все это хорошо, но если компания обратиться в суд, то будет ли данный видео фрагмент с подписью являться юридически значимым? Я понимаю, что Вы не юрист, но как разработчик, хорошо понимающий в ЭЦП, такая схема работы будет верная или нет?

Так ли важно подписывать видео файл?
На самом деле в современном информационном обществе отсутствует практика подписания видеоматериалов, во-первых в силу накладных расходов на вычислительную среду конечного пользователя, а во-вторых для установления подлинности и аутентичности видеозаписи (выявления признаков монтажа) как правило, используют экспертизу.
Подписать каких-либо атрибутов (контрольная сумма файла, метка времени и т.п.), связанных с видеофайлом, на мой взгляд, видится куда более правильной идеей.
Опять таки, если проецировать на реальность, вы же не просите руководителя расписаться на диске, который отправляете в качестве вложения с официальным письмом? Но первый руководитель подписывает само письмо и описание информации о носителе (номер диска, наименование и прочее). При этом никто не гарантирует, что видео не будет подменено во время передачи. То есть его никто и не старается защитить. Вопрос только в возникновении спорных моментов.

Видел я однажды, когда юрист с сотрудником милиции просили подписать диск верху при изъятии, был понятым. Выглядело это смешно

Я привел пример с видео, как он по сути аналогичен многим другим примерам задач, которые хотят видеть руководство.
Мне не совсем именно понятно, отсоединенная подпись будет давать юридическую силу или нет в случае судебных дел и как корректно все передавать.

Например бумажная процедура на отпуск, сотрудник написал заявление на отпуск, на основании сделали приказ и вложили в личное дело. Если приходит проверка с юстиции, то мы предоставляем все эти документы. Не понятна процедура при использовании ЭЦП. Что мы должны показать?

Если мы создадим файл, PDF/DOCX или другого формата, и подпишем использую метод createCMSSignatureFromFile, то получим же по идее юридический документ? Этот файл и отсоединенная подпись должна по идее иметь силу в суде, т.к. использовался Ваш криптопровайдер.

По сути, то что хочет руководство, это как на egov, т.е. если приказ на отпуск, то печатная бумажка, которую можно скачать с сайта и проверить подписи на сайте.

Вот и не очень понятна как это делается все. Вроде все и понятно, SDK понятен, но с другой стороны ничего не понятно