- В мобильном КриптоАРМ появились два новых способа установки сертификатов подписи
- Мобильная электронная подпись: современное решение для бизнеса
- Как упростить внутренние процессы компании с помощью ЭП
- Дистанционная ЭП для любых сценариев бизнеса
- IDPoint — удобство для пользователя и для заказчика
- Создание подписи приложения с помощью Google Play App Signing
- Как сбросить ключ загрузки?
- Как подписаться, если приложение уже опубликовано?
- Создание подписи приложения с помощью Google Play App Signing : 2 комментария
В мобильном КриптоАРМ появились два новых способа установки сертификатов подписи
Компания «Цифровые технологии» выпустила версию 2.4.5 мобильного приложения «КриптоАРМ ГОСТ». Из нового, в первую очередь следует отметить установку сертификатов «облачной» электронной подписи из веб-сервисов на базе ПАК «КриптоПро DSS». Кроме этого стало возможным переносить сертификаты электронной подписи с компьютера на телефон с помощью QR-кода.
Облачная электронная подпись обладает всеми свойствами и функциями традиционной электронной подписи, с одним существенным различием – сертификат электронной подписи хранится не на токене или смарт-карте, а на сервере удостоверяющего центра.
В последнем обновлении «КриптоАРМ ГОСТ» вы можете выбрать «Установить сертификаты из DSS» при добавлении нового сертификата. Чтобы установить «облачный» сертификат, укажите адрес сервиса DSS и введите свой логин-пароль в системе. После успешной авторизации ваши сертификаты из DSS будут автоматически установлены в приложении и станут доступны для подписи.
Процедура подписи немного отличается от привычной. Документ сначала отправляется на сервер DSS, затем отправителю приходит SMS сообщение с подтвердить операцию над указанным документом. Для подтверждения нужно ввести ПИН-код от ключа подписи. После получения подтверждения, документ подписывается на сервере вашим сертификатом и возвращается обратно в приложение.
Также в «КриптоАРМ ГОСТ» версии 2.4.5 вы можете легко установить сертификат с компьютера используя специальные QR-коды. Для этого вам нужно будет запустить КриптоПро CSP 5-й версии и экспортировать ключ электронной подписи в виде QR-кода. После чего наведите камеру на получившийся рисунок с QR-кодом и сертификат с ключом подписи будут установлены в «КриптоАРМ ГОСТ» . Подробнее об импорте сертификата через QR-код смотрите в видео.
Полный список изменений в «КриптоАРМ ГОСТ» версии 2.4.5:
- добавлена возможность установки в приложение «облачной подписи» (сертификатов ЭП из сервисов на базе ПАК «КриптоПро DSS» 2.0)
- добавлен импорт сертификатов и ключей из сгенерированного QR-кода (генерация QR-кода осуществляется в интерфейсе КриптоПро CSP 5.0)
- кнопка «Выполнить» теперь работает и для обратных операций
- добавлено новое окно с результатами операций
- расширена выводимая информация о сертификате
- изменен вид модальных окон
- обновлено ядро КриптоПро CSP до версии 5.0.11823
Приложение «КриптоАРМ ГОСТ» доступно для установки в App Store или Google Play. Бесплатно первые две недели.
В следующей версии мобильного приложения КриптоАРМ ГОСТ планируется: добавить возможность подтверждения операций с «облачной» подписью внутри приложения КриптоАРМ ГОСТ, возможность просмотра содержимого документов, подписываемых «облачной» подписью, а такке поддержка подписи со штампами времени и стандарта Усовершенствованной электронной подписи.
Источник
Мобильная электронная подпись: современное решение для бизнеса
Популярность электронных услуг растет. В связи с этим всё более явной становится потребность бизнеса решать задачи, включая подписание многочисленных документов клиентами, дистанционно. Современное решение в этой ситуации — мобильная электронная подпись, позволяющая владельцу сертификата подписывать документы исключительно при помощи смартфона — быстро и безопасно. Переход на использование мобильной ЭП для сферы бизнеса означает повышение скорости решения задач и удобство для клиента.
Услуги и продукты переходят в онлайн. Россия в этом процессе занимает одно из лидирующих положений в мире — любой запрос потребителя сегодня решается в несколько прикосновений к экрану мобильного устройства.
Условия пандемии 2020 года ускорили процесс перехода бизнеса на удалёнку. Даже собеседования при приёме на работу сейчас во многих компаниях проводятся дистанционно. У бизнеса возникла массовая потребность в средствах защищённого удалённого взаимодействия.
Параллельно в России активно развивается электронное взаимодействие с государством, в том числе — для юридических лиц. Для этого необходимы надёжные и удобные в использовании программные средства.
Одна из сложностей онлайн-коммерции заключается в необходимости для определённых значимых операций использовать собственноручную подпись клиента или её электронный аналог. Фактически это вынуждает проводить обязательный очный контакт с клиентом, что отнимает время и у клиента, и у сотрудников компании.
Как упростить внутренние процессы компании с помощью ЭП
Все перечисленные выше вызовы послужили поводом для создания революционного продукта, позволяющего по-новому взглянуть на электронную подпись, мобильного приложения IDPoint для дистанционного подписания документов усиленной квалифицированной электронной подписью.
Многолетний опыт компании «Инфотекс Интернет Траст» в решении задач, связанных с массовой выдачей и применением электронной подписи, помог создать удобное и простое средство для эффективного массового использования. Выпустив на рынок приложение IDPoint, мы первыми в России начали выдавать квалифицированные сертификаты дистанционно с соблюдением всех требований законодательства.
IDPoint позволяет формировать квалифицированную ЭП прямо в смартфоне. Получить сертификат можно как традиционным способом, посетив отделение удостоверяющего центра, так и без посещения удостоверяющего центра. Для дистанционного получения сертификата нужен загранпаспорт нового образца и смартфон, поддерживающий технологию NFC. Перед подписанием документы можно изучить прямо в приложении, что исключает ошибки и защищает пользователя от мошенничества.
Все технические сложности и нюансы, свойственные сертифицированным СКЗИ, реализованы в приложении с соблюдением всех требований, максимально гладко и незаметно для пользователя. Работа в IDPoint проста — от установки приложения на телефон до подписания документа пользователь проходит пять шагов:
- Регистрируется в системе партнёра.
- Скачивает приложение на смартфон.
- Генерирует пароль для подписания.
- Получает сертификат электронной подписи.
- Начинает работу в приложении.
Дистанционная ЭП для любых сценариев бизнеса
IDPoint — это полноценный пользовательский инструмент для работы с электронной подписью и эффективное звено, которое можно встраивать во множество бизнес-процессов. Мы решим вопросы выдачи криптографического приложения, выпуска ключей и сертификатов электронной подписи, предоставим интерфейсы для работы с клиентом — подачи документов на подписание и получения результатов. Все функции и решения доступны через программный интерфейс приложения.
Среди реализованных в настоящее время сценариев применения мобильной ЭП через IDPoint:
Вы вводите данные клиента в систему, готовите комплект документов для открытия бизнеса и направляете заявку на выдачу клиенту сертификата в IDPoint. Пользователь получает сертификат после очной или дистанционной идентификации. Вы направляете пользователю документы на подписание и после подписания передаёте их на регистрацию в ФНС.
Дистанционное открытие расчётного счёта в банке.
Вы вводите данные клиента в систему, готовите комплект документов для открытия счёта и направляете заявку на выдачу клиенту сертификата в IDPoint. Пользователь получает сертификат после очной или дистанционной идентификации. Вы направляете пользователю документы на подписание и после подписания передаёте их в банк.
Регистрация сделок с недвижимостью.
Вы вводите данные клиента в систему, готовите комплект документов для регистрации сделки с недвижимостью и направляете заявку на выдачу клиенту сертификата в IDPoint. Пользователь получает сертификат после очной или дистанционной идентификации. Вы направляете пользователю документы на подписание и после подписания передаёте их на регистрацию в Росреестр.
Внесение изменений в данные юридического лица.
Вы вводите данные клиента в систему, готовите комплект документов для внесения изменений в данные ЮЛ и направляете заявку на выдачу клиенту сертификата в IDPoint. Пользователь получает сертификат после очной или дистанционной идентификации. Вы направляете пользователю документы на подписание и после подписания передаёте их на регистрацию в ФНС.
Получение налоговых вычетов.
Вы вводите данные клиента в систему, готовите комплект документов для подачи в ФНС с целью получения налогового вычета и направляете заявку на выдачу клиенту сертификата в IDPoint. Пользователь получает сертификат после очной или дистанционной идентификации. Вы направляете пользователю документы на подписание. После подписания мы передаём их в ФНС.
Электронный документооборот и сдача отчётности.
Если вы — оператор электронной отчётности или документооборота, вы можете подключить для ваших клиентов возможность использования мобильной подписи. Для этого вы интегрируете свой продукт с IDPoint, после чего пользователи получают возможность подписывать документы в рамках сдачи отчётности и документооборота с помощью смартфона.
Мы продолжаем улучшать пользовательский опыт, чтобы все больше пользователей, которым нужно подписать документы в электронном виде для открытия кофейни, возвращения налогового вычета или регистрации покупки квартиры, могли сделать это дистанционно в защищённой среде — с помощью приложения IDPoint.
IDPoint — удобство для пользователя и для заказчика
Еще один важный вектор развития IDPoint — оптимизация взаимодействия с заказчиками. IDPoint для заказчиков работает по сервисной модели. Чтобы выдавать своим клиентам сертификаты в IDPoint и направлять им на подписание документы, нужно провести интеграцию с бэкендом приложения. По REST API доступен понятный инструментарий: зарегистрировать пользователя, провести очную идентификацию, направить документы на подписание.
Мы рассматриваем сертификат электронной подписи как инструмент, который нужен только для того, чтобы выполнить определенную роль в рамках целевого сценария. С нашей точки зрения, ценность для пользователя и заказчика заключается не в самом сертификате, а в результате его применения — подписанном документе, благодаря которому зарегистрировано, к примеру, право собственности. Поэтому мы не взимаем плату за выданные сертификаты, а тарифицируем полезные для заказчиков и пользователей действия — подписания документов. Чтобы сделать использование приложения выгодным для всех, вне зависимости от количества подписываемых документов, мы тарифицируем только первые три подписания пользователя в течение года, остальные — бесплатно.
Источник
Создание подписи приложения с помощью Google Play App Signing
Поскольку ключ подписи используется для проверки того, что именно вы являетесь разработчиком приложения, и для обеспечения безопасных обновлений для ваших пользователей, обеспечение безопасности ключа очень важно как для вас, так и для пользователей. Существуют различные способы подписания своих приложений, один из таких мы рассмотрели в предыдущей статье.
Недавно Google добавил новую возможность хранить ключи: в своей собственной инфраструктуре благодаря Google Play App Signing. Основное отличие здесь заключается в том, что вы подписываете приложение специальным ключом загрузки, который Google проверяет и удаляет, заменяя его оригинальным ключом подписи приложения, который вы предоставили.
С его помощью можно управлять ключами подписи приложений как для новых, так и для опубликованных приложений, которые в свою очередь будут храниться у Google в их собственном хранилище ключей. Чтобы присоединиться к этой программе, необходимо подписаться на неё в своей Google Play Console. Стоит отметить, что в последствии отписаться от неё уже будет невозможно.
Таким образом, при подключении к Google Play App Signing происходит следующее:
- Бессрочная регистрация вашего приложения в программе Google Play App Signing.
- Передача вашего ключа подписи приложения в Google.
- Регистрация нового ключа загрузки для всех последующих APK-файлов.
Такой способ очень полезен, поскольку в случае, если вы потеряли хранилище ключей, Google Play App Signing позволит сбросить ключ для установки нового. Согласитесь, это намного проще, чем каждый раз публиковать приложение заново с новым именем пакета и ключом.
Попробуем, используя этот способ, опубликовать новое приложение : Менеджер системных приложений.
Для начала необходимо создать ключ загрузки, по которому Google будет проверять APK. Для этого средствами Android Studio через меню Build — Generate Signed APK создадим новое хранилище ключей, в котором будет содержаться наш ключ загрузки. Создание подписи приложения будет происходить с помощью Gradle, а файл, содержащий путь до хранилища и пароли, вынесем из проекта и будем хранить отдельно.
О том, как это можно сделать для своего приложения, можно почитать в данной статье.
Теперь перейдём в консоль разработчика. Создадим новое приложение и дадим ему название. После этого нужно перейти в «Версии приложения» — «Управление рабочей версией» — «Создать выпуск«. Здесь вам будет предложено подключиться к програме Google Play App Signing, нажимаем «Продолжить«.
Если перейти в «Подписи приложения«, то можно обнаружить, что был создан сертификат для подписи, однако сертификат загрузки остался пустым. Это потому, что мы ещё не загрузили первый подписанный APK файл.
Вернёмся в создание выпуска. После получения подтверждения о том, что мы подключились к программе, можно перейти к загрузке APK.
Здесь нужно загрузить APK файл своего приложения, подписанный ключом, который был создан выше. Этот ключ и станет ключом загрузки для приложения, которым вы должны будете подписывать все APK в будущем.
После того, как вы загрузите APK, подписанный ключом загрузки, его сертификат появится в «Подписи приложения«.
После заполнения всех необходимых полей в консоли и публикации приложения в Google Play, в приложении уже будет использоваться другой ключ подписи, который будет находиться у Google и отправляться пользователям при загрузке приложения из маркета.
Узнать, что приложение подписано Google, а не самим разработчиком, можно по следующему элементу метаданных, содержащемуся в тэге в файле манифеста:
Как сбросить ключ загрузки?
В случае, если вы потеряли свой ключ загрузки или он был похищен кем-либо, вы можете сбросить его в консоли разработчика. Чтобы сделать это, нужно:
- Создать новый ключ загрузки аналогично тому, как это делалось в начале статьи. Затем его нужно будет экспортировать в сертификат PEM с помощью следующей команды.
- После создания сертификата нужно обратиться в службу поддержки по следующей ссылке, заполнив все поля и прикрепив файл сертификата. Как только запрос будет обработан, вам на электронную почту придут инструкции по смене ключа.
Скачаем опубликованное приложение и посмотрим, что у него внутри. Для этого воспользуемся любым декомпилятором APK файлов.
Если открыть манифест приложения, то внутри можно обнаружить ту самую строку с метаданными, о которой мы говорили выше.
Данный идентификатор будет использоваться в инструментах отчётности об ошибках и по нему можно определить нужный APK-файл.
К сожалению, оптимизации APK не происходит, как было заявлено разработчиками. Google Play должен предоставлять оптимизированный APK с нужными локалями и плотностью экрана. Однако если посмотреть, что находится в ресурсах декомпилированного APK, то можно обнаружить там все локализации, которые были созданы для приложения, и разметки экранов с плотностью.
Кроме декомпилятора это также можно проверить утилитой aapt.exe (Android Asset Packaging Tool), которая входит в состав Android SDK. Для этого нужно ввести следующую команду:
Как подписаться, если приложение уже опубликовано?
В случае, если вы хотите подписать своё опубликованное приложение на Google Play App Signing, то вам нужно будет в консоли разработчика открыть проект приложения и затем выбрать «Управление релизом» — «Версии приложения«.
В открывшемся окне помимо различный вариантов сборок и версий вашего приложения должно появиться приглашение подключиться к Google Play App Signing.
Вам перекинет на страницу «Подписи приложений» с описанием программы. Вам нужно будет оттуда скачать утилиту PEPK и с помощью неё выполнить следующую команду, заменив выделенные участки на свои:
Эта утилита позволяет вам извлечь определённый ключ из хранилища ключей и экспортировать его в PEM сертификат. Для примера попробуем экспортировать ключ для другого приложения. После ввода команды нас попросят ввести пароли от хранилища и от ключа, и если всё завершится без ошибок, значит операция выполнена успешно.
Если PEPK выдаёт ошибку на неправильный alias, хотя вы полностью уверены, что он верен — попробуйте написать его только маленькими буквами, если в нём имеются заглавные.
Затем на той же странице в консоли разработчика нужно нажать на «Закрытый ключ для подписи приложения» и выбрать наш созданный сертификат. Таким образом Google поймёт, что именно мы являемся разработчиком приложения. После этого можно приступать к созданию ключа загрузки, по которому в будущем будет происходить публикация всех APK-файлов.
Для этого нужно создать ключ тем же способом, каким мы создавали его в начале статьи. Затем с помощью стандартной утилиты Java под названием Keytool нужно будет экспортировать ключ в PEM сертификат с помощью следующей команды:
На странице консоли разработчика нажимаем «Сертификат открытого ключа загрузки» и выбираем созданный сертификат с ключом загрузки.
После проделанных операций у нас станет активна кнопка «Зарегистрировать», нажимаем её и, если нет никаких ошибок, Google Play App Signing будет подключён к вашему приложению и вы увидите отпечатки сертификата.
Теперь вы можете загружать новые APK, подписывая их своим ключом загрузки, после чего Google будет заменять его на ключ из собственного хранилища.
Новая технология от Google немного облегчила жизнь разработчикам, будем жать, когда она действительно облегчит выходной APK-файл.
Создание подписи приложения с помощью Google Play App Signing : 2 комментария
Почему-то обошли вниманием самое важное: как указать свой первый ключ загрузки. В документации написано что после нажатия на кнопку «продолжить» запускается некий Enrollment Process в котором можно скачать Play Encrypt Private Key tool, экспортировать ключ и загрузить этот ключ на сервер.
У меня оно просто сказало «Молодец, теперь будет использоваться GPAS» и не дает загружать никакие APK.
Ну и стоит написать что вернуться на обычный способ подписи можно только через удаление приложения и создание его заново.
Ситуация аналогична с Константином, читал пост с надеждой найти ответ.
Источник