Bitrix24の電子署名。 理論と実装の経験

変化する現実に迅速に対応するための適切に機能するメカニズムは、成功するビジネスのルールの1つです。 現代のトレンドは、クライアントにとって、そして彼ら自身にとって、よりモバイルで、より速く、より便利になると言っています。 しかし、1つか2つの関係者の参加を必要としない文書の署名に多くの時間を費やしています。 労働者が数百キロ離れている場合はさらに長くなります。 モビリティへの道は、EDS（電子デジタル署名）を通じて実現できます。



この記事では、デジタル署名の種類、プラス、マイナス、統合オプション、および実際のBitrix24企業ポータルでのデジタル署名の実装方法について説明します。

仕事と用語について

EDSツールは便利であり、リモートドキュメント管理を扱うほとんどすべての人に長い間親しまれています。 ただし、Bitrix24コーポレートポータルでEDSを実装することは簡単な作業ではないことが判明しました。 このような統合の知識は、2つのクライアントタスクから始まりました。

1. 標準では、ドキュメントの署名をリモートで実装します。
2. 非標準-従業員がロシアの領土に散らばって、デバッグし、タイムリーに事前レポートを提出できるようにします。

ただし、最初に、「それは何ですか-EDS」と「それは何で食べられますか」を見てみましょう。

個人署名は、 個人の識別子の1つです。 立法的に、そしてそれを繰り返す免責をもって、それはこの人だけ、彼の手だけができます。 そして、彼女（手）が有能でなく、重要な取引が破られるべきではない場合-特別な公証人の手続きが実行され、信頼できる人が署名をします。

非表示にしないでください-署名が偽造されています。 スキルと習慣の問題。 圧力、厚さ、線によって調整技術が開発されましたが、保証人は署名者のみです。 他人への理解できない波紋は、その作者によると正当であると認識されています。

重要なトランザクションには、2番目の「個人署名保護」が必要です。 本人は、身分証明書と写真を提示し、確認者（公証人）の前で署名するよう求められます。 後者は、署名者が契約条項、委任状、声明を履行することを保証します。

しかし、プロセスの参加者は常にお互いの手の届くところにいるわけではありません。 メールはありますが、費用がかかり、時間がかかります。

ここで、 電子署名に目を向けます。 これには3つのタイプがあります（ 2011年4月6日の連邦法No.63-電子署名について ）。

1. シンプルな電子署名（PEP） 。 これは通常のユーザー名/パスワードのペアです。 プローブの明らかな弱点は、低い信頼性で始まり、変更に対する保護メカニズムの欠如で終わります。 場合によっては、そのアプリケーションは法廷でも可能です（たとえば、ユーザー名とパスワードがあるために電子メールで送信されるドキュメント）が、それは難しく、常に機能するとは限りません。

   
   
   
   
   
   
   

2. 資格のない電子署名。 接頭辞「強化」がしばしば使用されますが、法律にはそのような定義はありません。 彼女は、PEPとは異なり：

   
   
   
   
   
   
   
   • 暗号化の結果。
   • 署名者の識別子が含まれています。
   • 電子文書に変更が加えられたかどうかを判断できます。
   
   
   

3. 適格な電子署名。 また、接頭辞「強化」を使用します。 これは未熟練者と同じですが、2つの重要な追加があります。

   
   
   
   
   
   
   
   • 証明書は、認定認証局（以下、CA）によって発行されます。 CAは必要なすべてのドキュメントをチェックし、データの信頼性を保証します。 署名の作成者に関する情報はCAに保存されます。 紛争が発生した場合、誤解されている個人データがチェックされるため、各証明書には発行元の認証センターに関する情報が含まれています。
     
     
   • 署名ソフトウェアは、ロシアのFSBによって認定されています。

テキストの至る所で、EDSは正確に拡張された修飾または拡張された非修飾署名を意味します。

小計を要約します。 資格のない署名は、契約を締結し、署名が有効であると認識する人の間でのみ有効です。 修飾された署名は、ほぼすべての文書を証明できます。 彼らは合法です。 CAでの作業は、公証の類似物です。 例外は、VATを相殺するための請求書です。 電子請求書は、電子文書管理オペレーターを通じてのみ送信されます。 すべてのEDSルールに従って署名され、電子メールで送信された請求書でさえも正当ではありません。

このタイプの署名を選択するかどうかは、ビジネスプロセスのニーズにのみ依存します。

出力は何ですか？ 電子デジタル署名付きの文書の形式

次の質問は、出力で何を得るかです。 ファクシミリ、透かし入り文書？ デジタル署名付きのドキュメントのどの形式を取得できますか？

次の2つの結果が考えられます。

1. コンテナ（「通常の」署名）。 原則として、これは「* .sig」形式のアーカイブです。 署名されたドキュメント、署名が行われた証明書に関するデータ、および署名自体があります。 この形式のファイルは、特別なソフトウェアを使用してのみ開くことができます。 通常のAdobe ReaderまたはMS Officeを使用しても機能しません-暗号化を使用するようには適合していません。 データ自体、署名、および証明書に加えて、ユーザーはドキュメントの署名されていないコピーを保存できます。

   
   
   
   
   
   
   
   
   
   
   
   
   
   
   

2. 「組み込み」署名。 署名用に提出されたものと同じ形式のファイルを取得します。 署名されたドキュメントの特別な領域に、証明書データが投稿されます。 このような署名は、フォーマットファイルに対してのみ可能です。

   
   
   
   
   
   
   

   • PDF 署名はドキュメントの本文には表示されませんが、署名パネルに表示されます。 必要に応じて、たとえばスタンプの形で視覚化できます。 クリックすると、署名データが表示されます。 ちなみに、このフォームでは、原則として、IFTSドキュメントが署名されて送信されます（xmlオプションも使用されます）。

     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

   • MSオフィス。 署名はドキュメントの特別な領域に配置され、署名パネルまたはファイルプロパティに表示されます。

     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

   • XML 署名とそのデータはXML値の範囲に含まれており、初期データを変更せずに同じXMLエンベロープに埋め込まれます。

     
     
     
     
     

「埋め込み署名」オプションは最も便利に使用できます。 素材で議論されるのは彼についてです。

EDSの明らかな微妙さ

1. さまざまな関係者が1つの文書に排他的に均一に署名できます。EDSのみを使用するか、紙の形式（たとえば、顧客と請負業者との間の契約）のみで署名できます。 紙の署名は電子形式では無効であり、電子署名は紙形式では無効です。 これらは2つの異なるドキュメントです。

   
   
   
   
   
   
   

2. ドキュメントは何度でも署名できます。 つまり、従業員が最初に署名し、次に会計士、次に総経理が署名します。

   
   
   
   
   
   
   

3. EDSによって署名された複数のドキュメントは、完全に異なるEDSを使用して1つのパッケージ（アーカイブ）で署名できます。 EDSを含むパッケージ内のその他のドキュメントも正当なままです。

   
   
   
   
   
   
   

4. ドキュメントはデジタル署名で自動的に署名できます。 CRMで支払いの請求書を作成したとします。請求書は自動的に登録されます。 これをクライアントに送信できます。アカウントは正当なものです。

   
   
   
   
   

ツールと機能について

署名の種類と結果のオプションが整理されています。 次に、ツールの選択に移りましょう。 Bitrix24企業ポータルにEDSを統合するという特定のタスクがあることに留意してください 。

重要なステップは、EDSの実装のためのソフトウェアプロバイダー企業の選択です。 幅広いツールを備えた業界リーダーとして認められた選択は、ロシア連邦では類を見ないCryptoProです。 この問題を解決するために、サプライヤーはいくつかのツールを提案しました。

CryptoPro CSP（CPSI）

暗号化プロバイダーCryptoPro CSPは 、ユーザーのPCにローカルにインストールされます。 彼は、eTokenまたはRuToken、スマートカード、およびその他のメディアで、レジストリ内の証明書を参照して文書に署名します。

署名プロセス

1. 「自動」モード（つまり、ポータルに埋め込みます）。 ファイルをサーバーにアップロードし、ブラウザープラグインを使用して[署名]をクリックすると、CryptoPro CSPが呼び出されます。 彼は、選択したキーでファイルに署名します。キーはレジストリまたはeTokenクライアントに記録されます。 このモードでは、ドキュメントのハッシュのみが送信されるため、「通常」（コンテナ）およびXML署名のみを作成できます。 PDFまたはMS Officeドキュメント内の署名に失敗します。

   
   
   
   
   
   
   

2. 「手動」モード（つまり、ポータルを離れる）では、署名は、使用するソフトウェアを使用してクライアント自体によって生成されます。 たとえば、MS Officeドキュメントに署名するには、MS Office、CryptoPro CSP、およびCryptoPro Office署名をインストールする必要があります。 MS Officeインターフェースで、ユーザーはCryptoProを暗号化プロバイダーとして使用して、ドキュメントに署名を追加します。 その後、署名されたファイルは「ドキュメントの添付」機能によって個人アカウントにアップロードされます。

   
   
   
   
   

長所

• インターネット接続は必要ありません。
• ポータブルusbトークンを使用できます。
• CryptoProソフトウェアの面では最も安価なオプションですが、統合ではありません。

短所

• MS Officeまたはpdfドキュメントは、ファイル内で手動でのみ署名でき、「自動」モードでは、コンテナーのみを取得できます。
• 署名はプラグインを使用して行われるため、不便です。 信頼性が低くなります。 多くのブラウザーは、プラグインを作成するテクノロジーを放棄しているため、統合は複雑です。 これにより、将来の技術的な実装とソフトウェアサポートのコストが大幅に増加します。
• ユーザーは、CSPの運用ステータスを担当します。 すべてのプログラム、コンポーネントの最新バージョンが必要です。 更新は頻繁に行われるため、毎回「セットアップ」手順を繰り返す必要があり、不便です。

CryptoPro DSS

CryptoPro DSSを使用すると、ブラウザーを介してデジタル署名を作成できます。 ユーザーのPCにプログラムをインストールする必要はありません。どこのデバイスからでもドキュメントに署名できます。 キー付きの証明書は、特別に展開されたCryptoProサーバーの安全なモジュールに保存されます。

CryptoPro DSSでは、ユーザー認証方法を構成できます。

• ログインとパスワードによる。
• 証明書アクセスコード（PIN、4〜5桁）を使用します。
• デジタル証明書、USBトークン、またはスマートカードを使用（DSS liteモードで、詳細は以下）
• SMSを介してユーザーに配信されるワンタイムパスワードの追加エントリ（OTP-via-SMS）

文書に署名するプロセスはどうですか

ユーザーは「署名」をクリックします。 署名のためにCryptoPro DSSへのリクエストが生成されます。 ポータルは、証明書にアクセスするためのPINコードの入力を求めます（そのような要件が確立されている場合）。ユーザーはSMS経由でワンタイムパスワードを受け取ります。 正しいエントリの後、ドキュメントはそれぞれ署名されてポータルに保存され、計画されたルートに沿ってさらに送信されます。 クライアントには最終結果のみが表示され、別のウィンドウに切り替える必要はありません。 重要で便利なものは、結果は同じ形式のpdf-> pdf、docx-> docxです。

長所

• CryptoProの肩のシステムサポート（パフォーマンス、更新など）。 要求を与えた-結果を得た、残りはあなたの心配ではありません。
• PDFおよびMS Officeの署名サポート、つまり コンテナとは異なり、特別なツールは表示に必要ありません。
• 最もユーザーフレンドリーで安定した統合方法であり、技術サポートと管理の手間もかかりません。
• 利点は、携帯電話から文書に署名できることです。

短所

• サインアップにはインターネット接続が必要です。
• DSSに接続するための比較的高いコストとより複雑な手順。 演算子を使用したスキームが使用されます。 現時点でのオペレーターの接続は39,000ルーブル/年で、それに証明書の費用が加算されます。 彼らは、作業中にすぐにオペレータを使用する必要がないと言います。 本当に楽しみにしています。

CryptoPro DSS lite

これはCryptoPro DSSの「ライト」バージョンです。 ソフトウェアを使用してブラウザで電子デジタル署名文書に署名することを目的としています。 DSSとの違いは、ユーザーのPCにインストールされているソフトウェアが暗号化プロバイダーとして使用され、USBトークンとスマートカードを署名に使用できることです。

DSS lite - DSSの 「モード」（つまり、DSS製品の一部です）。 署名プロセスはDSSに似ています。 「署名」をクリックすると、ファイルがDSS liteサーバーに送信され、ドキュメントのハッシュが生成され、プラグインを使用して暗号化プロバイダー（ユーザーのPCにインストールされたCSP）へのアクセスが要求されます。 有利な違いは、pdf文書とMS Office文書を、コンテナではなく文書自体に埋め込まれた元の形式で受け取ることです。

長所

• 署名サポートpdfおよびMS Office。 署名されたドキュメントを表示するには、特別なツールは必要ありません。
• DSS liteを使用すると、オペレーターを接続する必要はなく、DSS liteへのアクセスを「購入」するだけです。
• ポータブルusbトークンを使用できます。

短所

• 署名はプラグインの助けを借りて行われますが、これは不便をもたらします（これらについては前述しました）。
• ヘルスサポートはユーザーにかかっています-CSPの場合と同じ問題です。
• サインアップにはインターネット接続が必要です。
• DSS liteでは、新しい証明書または古い証明書の再発行が必要です。これは、本質的に同等です。 以前の証明書は、CryptoProからではありますが、プログラムに縫い付けることはできません。

ちなみに、DSSおよびDSS liteの機能を使用すると、選択した視覚的なスタンプ/スタンプ/署名をドキュメントに追加できます。 EDS自体は非表示であり、スタンプは視覚化ツールです。

実践的な実装経験

EDSは、送信されるドキュメントの不変性、ビジネスプロセスのモビリティ、および時間の節約のために、まず第一に本当に必要なソリューションです。

また、このタスクを設定します-企業ポータル1C-Bitrix24に署名を実装します。 適切な機能、使いやすさ、適切な予算投資が必要です。

しかし、ご存知のように、理論はしばしば実践と比較できません。 実際の問題を解決することはより困難ですが、より興味深いことです。

大規模なバイオ医薬品会社には2つのタスクがありました。

1. ドキュメントを承認するビジネスプロセスを自動化します。

   
   
   
   
   
   
   

   機能-契約の特定の当事者を選択する機能、その順序。 プロジェクトは、1C-Bitrix24コーポレートポータルのビジネスプロセスの標準モジュールに実装する必要がありました。 顧客にとって、明確でシンプルで直感的なインターフェースを開発することが重要でした。

   
   
   
   
   
   
   

   この問題は問題なく解決されます。 しかし、ビジネスプロセスの標準モジュールには特別な美しさと可視性がないという事実を省略できません。 したがって、「あなたのために」美しい複雑なビジネスプロセスが必要な場合は、標準モジュールを使用しないことをお勧めします。 フレームワークを課し、スペースを制限し、奪います。

   
   
   
   
   
   
   

2. 1C-Bitrix24企業ポータルにデジタル署名を実装して、事前のレポートを作成します。

   
   
   
   
   

事前設計作業

同社には、プロモーション、利益のためのロビー活動、および医師、薬剤師、および医療業界の代表者へのその他のタイプの個人的な影響を通じて商品を配布することが主なタスクである部門があります。

これを行うために、カリーニングラードからウラジオストクまで、全国に散らばった販売員のスタッフがいます。 各エージェントは、独自の固定領域で製品を宣伝します。 多くの場合、これは彼の居住地です。 会費、旅費、食事などの費用が発生し、会社から払い戻されます。 費用回収手順は事前報告の提供に他ならないので、出張でよく知っています。

重要かつ主要なポイントは、事前レポートを送信するビジネスプロセスを段階的に説明することでした。 標準化され、法律で定められていますが、各組織には独自の仕様があります。 後で説明します。 出張の理想的なビジネスプロセスは、州が意図したとおり、次のようになります。

1. ゼネラルディレクターは、出張で従業員を送る命令に署名します。 多くの場合、これらの注文は出張後にさかのぼって署名されますが、これによりプロセスのさらなる法的方針は変わりません。

   
   
   
   
   
   
   

2. 出向した従業員は、レポートのお金を受け取ります。 そこで彼は会社の債務者になります。

   
   
   
   
   
   
   

3. 営業担当者は出張に行き、すべてのチケット、小切手、およびその他のサポート文書を保存します。 これは払い戻しの重要なステップです。 経費に関する情報が記載されたすべての書類は、主要な会計文書であり、経費の増加または課税ベース（組織の利益）の削減の基礎となります。 もちろん、立法では、どの費用を相殺できるのか、どの費用を相殺できないのかが明確に明記されています。 すべてが厳密に標準化されています。

   
   
   
   
   
   
   

4. 出張から戻った従業員は、借金が「償却」されるように経費報告書を準備します。 従業員は、小切手、チケットなど、すべての関連書類を経費報告書に添付します。

   
   
   
   
   
   
   

5. 事前報告書には、ロシアの法律に従って、3人の署名が必要です。出向者、主任会計士、およびゼネラルディレクターです。 小規模な組織では、CEOが主任会計士の地位を結合でき、大規模な組織では、従業員のマネージャーの署名が表示されます。

   
   
   
   
   
   
   

6. 事前報告書の提出後、従業員は資金の残高を返却するか、不足分を受け取る義務があります。

   
   
   
   
   

クライアントの自動化に必要なプロセスの機能は同じですが、独自の特徴があります。

1. 従業員は永続的に出張中です-すべての労働時間。 従業員は原則としてモスクワではなく常駐するため、本社への訪問でも出張です。

   
   
   
   
   

2. 報告金が不足している場合、次のトランシェは前のものを報告した後にのみ発行できます。 これは多くの困難が生じた場所です、例えば：

   
   
   
   
   
   
   
   • 従業員（シベリア、ウラル）の遠隔性のため、経費報告書の原本は非常に長くなる可能性があります。 そして、間違いの修正は、余分な時間の無駄、宅配便のためのお金、再署名と日付の変更を伴う赤テープです。 オリジナルが到着するまでのレポート期間はすでに終了している可能性が非常に高いです。
   • 多くの従業員がいて、それぞれが月に一度報告し、多くは何かを忘れ、何かを失います-会計士が文書を揃えることは困難でした。 しかし、会計士は自分のシステムに操作を反映する必要があり、従業員が伝達または送信することを約束したことを忘れないでください。
   • 各従業員には金銭的な制限がありますが、各ルールには例外があります。 これらの例外は管理者によって監視されており、従業員の特定の状況を把握している例外です。

事前レポートを整理して最適化するこのプロセスをIT環境に配置することは、段階的なプロセスでした。

実装

最初に、立法のプリズムを通して課題を検討しました。 どのような制限が課せられ、何が可能か、何がそうでないか。 判定：デジタルレポートは禁止されていません。

このビジネスプロセスはBitrix24企業ポータルで実装される予定であったため、EDSをポータルに統合する問題を調査しました。 重要なことは、プロセス全体がシングルウィンドウモードで行われることです。 ポータルから。

結局のところ、これまでこのようなことをした人はいませんでした。 ロシアの暗号情報セキュリティおよびデジタル署名の分野で有名なリーダーであるCryptoProによると、私たちはPHPで彼らのサービスと統合した最初の人でした。

しかし、最大の困難はこれでした。 営業担当者が使用するデバイスは、企業のiPadのみです。 このようなモバイルデバイスは、レジストリまたは外部キー（トークン、スマートカード）で証明書を操作することを実際に好まないため、本当に便利なソリューションはあまりありません。 CryptoPro DSSとの統合を決定しました。

その結果、自動化された事前報告ビジネスプロセスは次のように機能します。

1. 各営業担当者には、個人、個人のデジタル署名証明書が発行されます（原則、異なることはできません）。

   
   
   
   
   
   
   

2. 必要に応じて、iPadの従業員が経費報告書を提出し、会社の企業ポータルにアクセスして、個人の残高を調べます。

   
   
   
   
   
   
   
   
   
   
   
   
   
   
   

3. そこで彼は新しい経費報告書を作成し、すべての行を段階的に記入します。 彼は手元にある小切手の費用を書き留めます。 並行して、エージェントは同じiPadで小切手を撮影し、オンライン経費報告書に添付します。

   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   

   この時点で、1Cは経費報告書の下書きを作成します。これにはシリアル番号が割り当てられます。これは非常に重要なポイントです。

   
   
   
   
   
   
   

4. すべてが記入されると、経費報告書フォームが自動的に作成されます。 これは典型的なものであるため、フォームが変更される可能性は最小限です。

   
   
   
   
   
   
   

5. 従業員はフォームをチェックし、デジタル署名に署名します。 署名プロセス自体は、次のアルゴリズムに従って行われます。

   
   
   
   
   
   
   

   • 企業ポータルのユーザーが「EDSに署名」ボタンを押します。

     
     
     
     
     

   • 追加のウィンドウを開かずにSOAPプロトコルを介してドキュメントがCryptoPro DSSに送信されます。 CryptoPro DSSは、次の3つのステップでユーザーを識別します。

     
     
     
     
     

     • DSSサービスからのログイン/パスワード-便宜上、ポータルからのログイン/パスワードと一致します。 何も入力する必要はなく、ユーザーはすぐに2番目の検証ステップに進みます。

       
       
       
       
       

     • 4桁または5桁で構成されるPINコード（ユーザー選択）。 これで、DSSサービスは証明書を使用できます。証明書はサーバー上のレジストリに保存されます。

       
       
       
       
       

     • ワンタイムパスワード-携帯電話へのSMS。 1つのドキュメント-1つのSMS。

       
       
       
       
       
       
       
       
       
       
       
       
       
       
       

       ちなみに、CryptoProでは、時間を節約するために、チェックとしてPINコードのみまたはSMSのみを残すことができます。 顧客の会計士はそれを行い、PINのみを残しました。

       
       
       
       
       
     
     
     

   • 署名された文書は従業員の頭に送られます。 彼はレポートフォーム、制限、チェックの写真でチェックをチェックします。 何かが正しくない場合-従業員への修正のためにコメントを返します。 すべて順調です-クラウドデジタル署名を使用してドキュメントに署名し、次の承認ステップに送信します。

     
     
     
     
     

   • また、会計士はデジタル署名に署名し、CEOに送信します。 この段階では、会計士はすでに完了して保存されている事前報告書を1Cでのみ実行できます。 この瞬間から、新しいトランシェが発行される可能性があります。

     
     
     
     
     

   • ゼネラルディレクターはEDSレポートに署名します。 実際、監督の署名はすでに法律で義務付けられている形式です-報告書はヘッド、会計士によって確認されており、新しい出張の書類はすでに準備できます。

     
     
     
     
     

   • その後、従業員に新しい資金が発行され、企業ポータルの彼の仮想アカウントが補充され、残高が更新されます。

     
     
     
     
     

   • 従業員は、経費報告書に署名されたという通知を受け取ります。 彼は元の領収書を本社に送り、会計士はレポートでそれらを確認します。 原則として、すべてが一致しますが、詐欺の事実が明らかになり、チェックが十分ではない場合（写真にありますが）、1Cの事前報告が修正され、影響の測定が従業員に適用されます。

     
     
     
     
     

CryptoPro側でポータルとCryptoPro DSSを統合するプロセスで、困難が生じました。 何らかの理由で、彼らのソフトウェアは彼ら自身の文書に従って動作することを拒否しました。 しかし、最終的に、CryptoProはプロ意識を示し、エラーを修正しました。

結果

現時点では、このようなシステムの導入は完了しており、機能しています。 soapプロトコルを使用したデータ転送を可能にする独自の統合モジュールが開発されました。 ユーザーにとって、これは、リンクをたどる必要がなく、ドキュメントに署名するために企業ポータルのウィンドウを離れる必要がないことを意味します。 とても便利です。 遠隔地に多数の従業員がおり、文書の多段階署名を行う企業にとって、このように統合された電子デジタル署名は、書類や宅配便の海での救命浮き彫りになります。

ポータルの実装に関するより便利な情報 。