Планирование параметров цифровых подписей в Office 2010
Применимо к: Office 2010
Последнее изменение раздела: 2015-03-09
С помощью Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010 можно ставить цифровые подписи на документах. Также можно добавлять строку или штамп подписи с помощью Excel 2010, Microsoft InfoPath 2010 и Word 2010. Microsoft Office 2010 поддерживает стандарт XAdES (XML Advanced Electronic Signatures), набор расширений стандарта XML-DSig. Впервые этот стандарт поддерживался в Выпуск 2007 системы Microsoft Office.
Содержание:
Цифровая подпись
Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации
Использование цифровых подписей
Цифровая подпись
Цифровую подпись в цифровых документах ставят в тех же случаях, что и при использовании бумажных документов. Вместе с алгоритмами шифрования цифровая подпись используется для подтверждения личности создателя цифровых данных, включая документы, сообщения электронной почты и макросы.
Цифровые подписи основаны на цифровых сертификатах, которые являются средством подтверждения личности, выдаваемым надежной третьей стороной, называемой центром сертификации (ЦС). Действует данное средство так же, как и обычные печатные документы, удостоверяющие личность. Например, надежная третья сторона (государственное объединение или коммерческая организация) выдает документы удостоверения личности (водительские права, паспорт или идентификационные карты сотрудников), которые должны подтвердить личность, предъявляющего эти документы лица.
Какие функции выполняют цифровые подписи
Цифровые подписи помогают установить следующие меры проверки подлинности.
Подлинность Цифровая подпись и цифровой сертификат позволяют гарантировать подлинность личности подписавшего, чтобы другое лицо не могло выдать себя за создателя документа (что соответствовал бы подделыванию печатного документа).
Целостность С помощью цифровой подписи можно удостоверить неизменность содержимого документа с момента его подписания. Таким образом, документ не может быть перехвачен и изменен без ведома его создателя.
Неотрекаемость Цифровая подпись помогает доказать любой из сторон подлинность создателя подписанного контента. "Отречение" означает, что владелец подписи отрицает свою связь с подписанным контентом. Можно доказать, что создатель документа является истинным создателем вне зависимости от утверждений лица, подписавшего документ. Подписавший не может отречься от подписи на документе без отречения от своего цифрового ключа и, следовательно, от других документов, подписанных с помощью этого ключа.
Требования к цифровым подписям
Для выполнения условий создатель документа должен заверить его содержимое цифровой подписью, которая должна удовлетворять следующим требованиям.
Цифровая подпись должна быть действительной. Центр сертификации, которому доверяет ОС, должен подписать цифровой сертификат, на котором основана цифровая подпись.
Срок действия сертификата, связанного с цифровой подписью, не истек или содержит временной штамп, который указывает, что сертификат был действителен во время подписи.
Сертификат, связанный с цифровой подписью, не был отозван.
Лицо или организация, поставившие цифровую подпись (называемые издателем), должны вызывать доверие у получателя.
Word 2010, Excel 2010 и PowerPoint 2010 обнаруживают эти критерии и предупреждают пользователя, если есть какая-либо проблема с цифровой подписью. Сведения о проблемах с сертификатами можно легко получить с помощью панели задач сертификата в приложении Office 2010. Приложения Office 2010 позволяют добавлять несколько цифровых подписей к одному и тому же документу.
Цифровые подписи в бизнес-среде
Далее показано, как можно использовать цифровые подписи документов в бизнес-среде.
Сотрудник использует Excel 2010 для создания отчетов о расходах; он создает три строки подписи: для себя, для руководителя и для бухгалтерии. Эти строки позволяют определить создателя документа и гарантировать, что после передачи документа руководителю и в бухгалтерию никаких изменений внесено не будет. Также это позволит подтвердить получение документа руководителей и бухгалтерией.
Руководитель получает документ и удостоверяет его цифровой подписью, подтверждая получение и одобрение документа. Затем документ пересылается в бухгалтерию для оплаты.
Сотрудник бухгалтерии получает и подписывает документ, тем самым подтверждая его получение.
В этом примере показано использование нескольких подписей в одном документе Office 2010. Кроме подписи создатель документа может добавить рисунок с подписью или использовать планшетный ПК, чтобы внести подпись вручную. Также поддерживается функция “резиновой печати”, которая служит для подтверждения получения документа определенным сотрудником.
Проблемы совместимости
Office 2010, как и Выпуск 2007 системы Office, использует формат цифровых подписей XML-DSig. Кроме того, в Office 2010 добавлена поддержка XAdES (XML Advanced Electronic Signatures). XAdES — это набор уровневых расширений XML-DSig, уровни которых основаны на предыдущих для обеспечения более высокой надежности цифровых подписей. Дополнительные сведения об уровнях XAdES, которые поддерживаются в Office 2010, см. в разделе Использование цифровых подписей далее в этой статье. Дополнительные сведения о стандарте XAdES см. в спецификации XML Advanced Electronic Signatures (XAdES) (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x419) (Возможно, на английском языке).
Важно помнить, что цифровые подписи, созданные в Office 2010, несовместимы с версиями Microsoft Office более ранними, чем Выпуск 2007 системы Office. Например, если документ подписан приложением в Office 2010 или Выпуск 2007 системы Office и открывается с помощью приложения в Microsoft Office 2003, в котором установлен пакет обеспечения совместимости Office, пользователь будет проинформирован, что документ подписан в более новой версии Microsoft Office, и цифровая подпись будет утеряна.
На рисунке далее представлено предупреждение об удалении цифровой подписи при открытии документа в более ранней версии Office.
.jpg "Рис. 1. Проблемы совместимости")
Кроме того, если XAdES используется для цифровой подписи в Office 2010, цифровая подпись не будет совместима с Выпуск 2007 системы Office, если не задать для параметра групповой политики Не включать объект ссылки XAdES в манифест значение Отключено. Дополнительные сведения о параметрах цифровой подписи в групповой политике см. в разделе Настройка цифровых подписей далее в этой статье.
Если требуется, чтобы цифровые подписи, созданные в Office 2010, были совместимы с Office 2003 и более ранними версиями, можно задать для параметра групповой политики Подписи в формате предыдущей версии значение Включено. Этот параметр групповой политики размещен в разделе Конфигурация пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\Подписи. После задания значения Включено приложения Office 2010 используют двоичный формат Office 2003 для применения цифровых подписей к двоичным документам Office 97–2003, созданным в Office 2010.
Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации
Цифровые сертификаты могут быть самозаверяющими, либо они могут выдаваться центрами сертификации организации, такими как компьютер под управлением Windows Server 2008 со службами сертификатов Active Directory, или публичными центрами сертификации, например VeriSign или Thawte. Самозаверяющие сертификаты обычно используются частными лицами и небольшими компаниями, которые не хотят устанавливать в организациях инфраструктуру PKI или приобретать коммерческий сертификат.
Основной недостаток самозаверяющих сертификатов в том, что они могут использоваться только при обмене документами между знакомыми пользователями, которые точно являются создателями передаваемых документов. При использовании данных сертификатов отсутствует третья сторона, которая может подтвердить подлинность сертификата. Каждый человек, получивший подписанный документ, должен самостоятельно решить вопрос о надежности сертификата.
Для более крупных организаций доступны два основных метода получения цифровых сертификатов: сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI, и коммерческие сертификаты. Для сокращения расходов организаций, поддерживающих обмен документами только между сотрудниками, больше подходит корпоративная инфраструктура PKI. Чтобы совместно использовать документы с лицами за пределами организации, необходимо использовать коммерческие сертификаты.
Сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI
Организации могут создать собственную инфраструктуру PKI. В этом случае компания должна настроить один или несколько центров сертификации (ЦС), которые могут создавать цифровые сертификаты для компьютеров и пользователей компании. В сочетании со службой каталогов Active Directory возможно создание сложного решения PKI, при котором цепочка корпоративных центров сертификации устанавливается на всех компьютерах, управляемых компанией, а пользователям и компьютерам автоматически назначаются цифровые сертификаты для удостоверения и шифрования документов. Это позволяет всем сотрудникам организации автоматически доверять цифровым сертификатам от других сотрудников той же организации.
Дополнительные сведения см. в разделе Службы сертификатов Active Directory (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x419) (Возможно, на английском языке).
Коммерческие сертификаты
Коммерческие сертификаты приобретаются у специализированной компании по продаже цифровых сертификатов. Основное преимущество таких сертификатов в том, что коммерческий сертификат центра сертификации автоматически устанавливается в операционных системах Windows, что позволяет компьютерам автоматически считать корневой сертификат этого поставщика надежным. В отличие от корпоративного решения PKI коммерческие сертификаты позволяют совместно использовать подписанные документы с пользователями, не относящимися к данной организации.
Существует три вида коммерческих сертификатов.
Класс 1 Сертификаты данного класса выдаются частным лицам с допустимыми адресами электронной почты. Сертификаты класса 1 подходят для цифровых подписей, шифрования и управления электронным доступом к некоммерческим операциям, для которых не требуется подтверждение личности.
Класс 2 Сертификаты класса 2 выдаются частным лицам и устройствам. Сертификаты для частных лиц позволяют ставить цифровые подписи, выполнять шифрование и осуществлять электронный доступ к операциям, в которых достаточно подтверждения подлинности личности на основе сведений в проверяющей базе данных. Сертификаты класса 2 для устройств позволяют проверять подлинность устройств, целостность сообщений, ПО и контента и выполнять шифрование конфиденциальных сведений.
Класс 3 Сертификаты класса 3 выдаются частным лицам, организациям, серверам, устройствам и администраторам для центров сертификации и служб выдачи корневых сертификатов (RA). Индивидуальные сертификаты данного вида позволяют ставить цифровые подписи, выполнять шифрование и получать доступ к элементам управления операций, в которых необходимо подтверждение подлинности личности. Сертификаты для серверов позволяют выполнять проверку подлинности серверов, целостности сообщений, ПО и контента, а также выполнять шифрование конфиденциальных сведений.
Дополнительные сведения о коммерческих сертификатах см. в разделе Цифровое удостоверение: Office Marketplace (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x419).
Использование цифровых подписей
С помощью Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010 можно ставить цифровые подписи на документах. Также можно добавлять строку или штамп подписи с помощью Excel 2010, Microsoft InfoPath 2010 и Word 2010. Цифровая подпись документа с цифровым сертификатом, но без строки или штампа подписи называется невидимой цифровой подписью. Оба метода, видимые и невидимые цифровые подписи, применяют цифровой сертификат для подписи документа. Различие состоит в графическом представлении видимой цифровой подписи в документе. Дополнительные сведения о добавлении цифровой подписи см. в разделе Добавление и удаление цифровой подписи в документах Office (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x419).
По умолчанию во время создания цифровой подписи Office 2010 создает цифровые подписи XAdES-EPES при использовании самозаверяющего сертификата или сертификата, выданного центром сертификации.
Уровни цифровых подписей XAdES, основанные на стандарте XML-DSig и доступные в Office 2010, указаны в следующей таблице. Каждый из этих уровней основан на предыдущем уровне и содержит возможности всех предшествующих уровней. Например, XAdES-X также содержит возможности XAdES-EPES, XAdES-T и XAdES-C помимо новых функций уровня XAdES-X.
| Уровень подписи | Описание |
|---|---|
XAdES-EPES (Base) |
Добавляет сведения о сертификате в подпись XML-DSig. Это уровень по умолчанию для подписей Office 2010. |
XAdES-T (Timestamp) |
Добавляет отметку времени в разделы XML-DSig и XAdES-EPES подписи, что позволяет предотвратить проблемы в случае истечения срока действия сертификата. |
XAdES-C (Complete) |
Добавляет ссылки на цепочку сертификатов и сведения о состояние отзыва. |
XAdES-X (Extended) |
Добавляет отметку времени в элемент XML-DSig SignatureValue и разделы –T и –C подписи. Дополнительная отметка времени обеспечивает неотрекаемость дополнительных данных. |
XAdES-X-L (Extended Long Term) |
Хранит фактический сертификат и сведения об аннулировании сертификата вместе с подписью. Это позволяет проверять сертификаты, даже если серверы сертификации стали недоступными. |
Цифровые подписи с отметками времени
Возможность Office 2010 добавлять отметку времени в цифровую подпись позволяет расширить ее жизненный цикл. Например, если аннулированный сертификат ранее использовался для создания цифровой подписи, которая содержит отметку времени от надежного сервера временных штампов, цифровая подпись будет считаться действительной, если она была создана перед аннулированием сертификата. Для использования отметок времени с цифровыми подписями требуется выполнить следующие действия.
Настройте сервер отметок времени, соответствующий стандарту RFC 3161.
Используйте параметр групповой политики Указать имя сервера для ввода расположения сервера отметок времени в сети.
Кроме того, можно настроить дополнительные параметры отметок времени с помощью следующих параметров групповой политики:
Настроить алгоритм хэширования отметок времени
Задать время ожидания для сервера отметок времени
Если не настроить и не включить параметр Настроить алгоритм хэширования отметок времени, будет использоваться значение по умолчанию SHA1. Если не настроить и не включить параметр Задать время ожидания для сервера отметок времени, то Office 2010 будет ожидать ответа от сервера отметок времени в течение 5 секунд.
Настройка цифровых подписей
Помимо параметров групповой политики для настройки параметров, связанных с отметками времени, есть другие параметры групповой политики, с помощью которых можно задать способы настройки цифровых подписей и управлениями ими в организации. Имена и описание параметров указаны в следующей таблице.
| Параметр | Описание |
|---|---|
Требовать данные OCSP во время создания подписи |
Этот параметр политики позволяет определить, требует ли Office 2010 данные аннулирования OCSP для всех цифровых сертификатов в цепочке при создании цифровых подписей. |
Задать минимальный уровень XAdES для создания цифровой подписи |
Этот параметр политики позволяет определить минимальный уровень XAdES, используемый приложениями Office 2010 для создания цифровой подписи XAdES. Если минимальный уровень XAdES недоступен, приложение Office не создает цифровую подпись. |
Проверять части XAdES в цифровой подписи |
Этот параметр политики позволяет указать, выполняет ли Office 2010 проверку частей XAdES цифровой подписи в документе, если она есть. |
Не разрешать просроченные сертификаты при проверке подписей |
Этот параметр политики позволяет определить, принимают ли приложения Office 2010 цифровые сертификаты с истекшим сроком действия при проверке цифровых подписей. |
Не включать объект ссылки XAdES в манифест |
Этот параметр политики позволяет определить, должен ли ссылочный объект XAdES отображаться в манифесте. Для этого параметра следует задать значение Отключено, если требуется, чтобы Выпуск 2007 системы Office мог читать подписи Office 2010, содержащие контент XAdES; в противном случае Выпуск 2007 системы Office будет считать подписи с контентом XAdES недействительными. |
Выбрать алгоритм хэширования цифровой подписи |
Этот параметр политики позволяет настроить алгоритм хэширования, используемый приложениями Office 2010 для подтверждения цифровых подписей. |
Задать уровень проверки подписей |
Этот параметр политики позволяет установить уровень проверки, используемый приложениями Office 2010 при проверке цифровой подписи. |
Требуемый уровень XAdES при создании подписи |
Этот параметр политики позволяет установить необходимый уровень XAdES при создании цифровой подписи. |
Далее перечислены дополнительные параметры групповой политики, связанные с цифровыми подписями:
Фильтрация использования ключа
Задать каталог для изображений по умолчанию
Фильтрация расширенного использования ключа
Подписи в формате предыдущей версии
Не отображать поставщики подписи Office
Не отображать пункт меню "Добавить службы подписи"
Дополнительные сведения о каждом параметре групповой политики см. в файлах справки, которые содержатся в файлах шаблонов администрирования Office 2010. Дополнительные сведения о файлах шаблонов администрирования см. в статье Обзор групповой политики для Office 2010.
Примечание
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).