Блокировка апплета в последующих версиях Java
(1 чел.) (1) гость
  • Страница:
  • 1
  • 2

ТЕМА: Блокировка апплета в последующих версиях Java

Блокировка апплета в последующих версиях Java 5 года, 9 мес. назад #665

  • Mike
  • Новый участник
  • Постов: 9
  • Репутация: 1
В наших информационных системах, расположенных на порталах gosreestr.kz и dfo.kz для подписи электронных документов юридических лиц применяется ЭЦП с алгоритмом ГОСТ. Для этого используется Java-апплет из SDK от 21.08.2013г. Последняя версия Java (7.45) выдает предупреждение, скриншот которого прилагаем. В данном предупреждении указывается, что апплет будет заблокирован в последующих обновлениях платформы в целях безопасности. В связи с этим возникает риск того, что в будущем пользователи наших информационных систем будут неспособны подписать документы ЭЦП с алгоритмом ГОСТ, что может помешать нормальной работе бизнес процессов, включая срыв электронных торгов на площадке электронного аукциона по продаже государственного имущества ( e-auction.gosreestr.kz). Поэтому просим вас разъяснить дальнейшую политику применения апплета, а так же разъяснить правовой аспект возможности применения ЭЦП с алгоритмом RSA для подписи юридическими лицами электронных документов.
P.S. подобное предупреждение появляется так же на вашем портале при входе в личный кабинет, а так же на портале e-gov.
Вложения:

Re: Блокировка апплета в последующих версиях Java 5 года, 9 мес. назад #666

  • ugotbug
  • Завсегдатай
  • Постов: 225
  • Репутация: 14
Добрый вечер.
Да, проблема существует. В настоящее время мы заняты вопросом приобретения сертификата для подписания кода.
Так как, по непонятным причинам, Oracle не поставляет в новых версиях дистрибутива Java корневые сертификаты центров сертификации, у которых, в свое время для НУЦ РК был приобретен сертификат.
Хотим, воспользоваться случаем и отметить, что для нас не понятна позиция некоторых ИС по отношению к нашему Java апплету. Дело в том, что мы писали свой Java апплет только для НУЦ, и в SDK он лежит только для примера. Мы же предполагали, что каждая ИС будет писать свой собственный апплет, который они подпишут своим собственным сертификатом для подписи кода. Так, например, сделали разработчики ИС Гос. закупок. Так что, мы советуем вам, как можно скорее реализовать свой собственный апплет и приобрести свой собственный сертификат для подписания кода. Мы же, как поставщики библиотек криптографии, которые вы будете использовать в своем апплете позволим вам переподписать наши библиотеки вашим сертификатом, во избежания проблемы с так называемым Mixed Code. Это возникает тогда, когда часть библиотек, загружаемый апплета подписана одним сертификатом, а часть другим.
Подытоживая вышесказанное, сообщаем, что пока мы не получим сертификат для подписи кода, проблема будет актуальна.
Могущественный обладатель кольца Знаний

Re: Блокировка апплета в последующих версиях Java 5 года, 9 мес. назад #669

  • Mike
  • Новый участник
  • Постов: 9
  • Репутация: 1
У нас имеется сертификат для подписи Java-аплета. Опишите пожалуйста процедуру, как мы можем переподписать библиотеки криптопровайдера.

Re: Блокировка апплета в последующих версиях Java 5 года, 9 мес. назад #670

  • ugotbug
  • Завсегдатай
  • Постов: 225
  • Репутация: 14
Могущественный обладатель кольца Знаний

Re: Блокировка апплета в последующих версиях Java 5 года, 9 мес. назад #671

  • Mike
  • Новый участник
  • Постов: 9
  • Репутация: 1
Я ожидал несколько иного ответа... ок, тогда по порядку:
1) криптопровайдер (библиотека с именем наподобие jce_iola-2.3_149.jar) требует вспомогательные библиотеки commons-logging-1.1.1.jar и xmlsec-1.4.4.jar, которые так же содержат недоверенную подпись и требуют переподписи. Это уже требует пересборки библиотеки криптопровайдера.
2) Если вы обратили внимание на текст предупреждения, то должны были видеть, что причиной блокировки в будущих релизах указывается отсутствие атрибута Permissions в манифесте jar-файлов. Следует отметить, что при загрузке нашего аплета, использующего криптопровайдер Iola, данное окошко появляется несколько раз, т.е. по-отдельности на jar-файл. Для добавления этого атрибута в манифест так же требуется пересобрать библиотеки криптопровайдера.
3) Для установки нашей подписи на jar файлы криптопровайдера нам требуется их неподписанный вариант.

Таким образом,
1) вам следует обновить ваши jar-файлы, добавив соответствующий атрибут манифеста;
2) просим предоставить нам неподписанные файлы криптопровайдера для подписи нашим сертификатом.

Re: Блокировка апплета в последующих версиях Java 5 года, 9 мес. назад #674

  • ugotbug
  • Завсегдатай
  • Постов: 225
  • Репутация: 14
Добрый вечер.

1) Все библиотеки, которые будут в составе вашего апплета, должны быть переподписаны вашим сертификатом. Криптопровайдер идет в виде отдельного jar файла, так что его не нужно пересобирать, а только переподписать.

2) Да, я совершенно забыл сообщить, что в обновленном SDK от 01-11-2013 мы выложили jar файлы, в манифесте которых добавлены атрибуты: Application-Name, Codebase, Permissions. Вы можете получить обновленный SDK сделав запрос на Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

3) Технически возможно выполнить переподпсиание jar файла. Нет проблем.

Получается, что вам сейчас надо, так это получить обновленный SDK. Хотелось бы узнать, имеется ли у вас протокол интеграции с НУЦ РК? Пожалуйста, напишите нам по адресу, указанному выше.
Могущественный обладатель кольца Знаний
  • Страница:
  • 1
  • 2
FaLang translation system by Faboba