Как убедиться что первичный документ подписан уполномоченным лицом

[auditing]

Доброго всем. В квитанции "отримано" указаны подписанты XML файла первичного документа, но эта квитанция либо распечатывается либо сохраняется в файл. А как проверить/доказать что документ действительно подписан лицом уполномоченным на это подписание. Ведь можно сохранить xml файл на диск и отредактировать его в сторонней программе и получается что сам файл никакое не доказательство. Что означает: "На час підписання перевірка сертифіката сервером OCSP проведена вдало." ? Как работает этот сервер? Есть ли регламент его работы?

[Белокопытов Геннадий]

auditing
Здравствуйте.
Вкладка "Отримано" отображает основные реквизиты полученного первичного документа от контрагента:
- Дата
- Название
- Код
- Подписанты и др.
Функционалом программы предусмотрена возможность сохранения квитанций и вкладок с информацией о документе в word. Сохраненные *.doc файлы конечно же не содержат подписей, а только информацию о полученном документе.
Отредактировать экспортированный входящий документ на диск возможности нет, так как он подписан ЕЦП контрагента и зашифрован.
Подписи храняться в контейнере документа.

А как проверить/доказать что документ действительно подписан лицом уполномоченным на это подписание.

Полномочия сотрудникам на подписание первичных документов определяются организацией контрагентом-отправителем.
Проверка статуса сертификата такого подписанта выполняется по актуальным спискам отозванных сертификатов или
протоколом определения статуса сертификата в режиме реального времени (OCSP). О чем так же выводится информация во вкладке "Отримано" входящего первичного документа.

[priup]

auditing
Здравствуйте.
.....................

Геннадий!
А помнится как-то проверялось через какой-то сайт минюста???

[auditing]

auditing
Отредактировать экспортированный входящий документ на диск возможности нет, так как он подписан ЕЦП контрагента и зашифрован.
Подписи храняться в контейнере документа.

Я имею ввиду отредактировать XML файл. Очень даже можно. Например, в файле содержится запись

<?xml version="1.0" encoding="windows-1251"?>
<ZVIT>
<TRANSPORT>
<VERSION>4.1</VERSION>
<CREATEDATE>25.07.2018</CREATEDATE>
</TRANSPORT>
<ORG>

открываем файл в блокноте и меняем <CREATEDATE>25.07.2018</CREATEDATE> на <CREATEDATE>26.07.2018</CREATEDATE>, сохраняем.
Вот вопрос и возник, какой электронный объект (может элемент кода в каком-то файле?) является свидетельством (пусть даже не юридическим, с этим я так понимаю вообще глухо), действительности документа: документ действительно подписан, дата подписания. А так получается что я в медок только картинку получила. Да акт, та там суммы, и картинка с подписью и печатью.

[auditing]

auditing
Отредактировать экспортированный входящий документ на диск возможности нет, так как он подписан ЕЦП контрагента и зашифрован.
Подписи храняться в контейнере документа.

(может элемент кода в каком-то файле?)

который нельзя изменить

[auditing]

И существует ли в Украине организация, способная провести экспертизу полученного электронного документа, что он не подделан, не взломан, не изменен на принимающей (или передающей стороне) стороне.

[PetroP]

Вы не понимаете принцип.
Есть подписанный документ (файл). При его расшифровке (грубо говоря разархивировании публичной частью ключа подписанта) вы получаете исходный неподписанный документ (файл).
А вот изменить его и зашифровать обратно у вас не выйдет (без наличия приватного ключа подписанта).

[auditing]

Есть подписанный документ (файл). При его расшифровке (грубо говоря разархивировании публичной частью ключа подписанта) вы получаете исходный неподписанный документ (файл).

Конечно не понимаю. Для обычного пользователя все что приходит в медок - это картинки.

Чем неподписанный документ отличается от подписанного, на что мне посмотреть, например, в коде и понять что этот XLM на моем компьютере (присланный, например по почте) не тот же самый XML, присланный контрагентом в медок?

Контрагент, например, говорит что я подписала акт на его услуги на 10 мил. грн., присылает какой-то XML и печатную форму акта в pdf. Куда мне посмотреть чтобы иметь основания послать его к черту? А вдруг действительно акт подписан, но не у меня в программе, которая стоит на сервере, а в другом медке на компьютере бывшего бухгалтера, который украл ключи и сам же акт и подписал. Как понять акт вовсе не подписан и контрагент жулик или украдены ключи и жулик не только контрагент, но еще и бывший бух.

[auditing]

Задам вопрос по другому. Контрагент утверждает что я должна им 10 мил. и у него есть подписанный ЭЦП акт на эту сумму. Какие мои дальнейшие действия?

[priup]

Задам вопрос по другому. Контрагент утверждает что я должна им 10 мил. и у него есть подписанный ЭЦП акт на эту сумму. Какие мои дальнейшие действия?

https://www.youtube.com/watch?v=7EeBrWEDKSQ

[auditing]

Норматив говорит:
Отримання ЕЦП можна розділити на 2 етапи:
I етап: з допомогою програмного забезпечення і спеціальної математичної функції обчислюється так званий «відбиток повідомлення».
Цей відбиток має наступні особливості:
• фіксовану довжину, незалежно від обсягу інформації повідомлення;
• унікальність відбитку для кожного повідомлення;
• неможливість відновлення повідомлення по його відбитку.
Таким чином, якщо документ був модифікований, то зміниться і його відбиток, що буде виявлено при перевірці електронного цифрового підпису. Це запобігає можливість внесення змін до створеного і підписаного ЕЦП електронного документу.
II етап: відбиток документа шифрується за допомогою програмного забезпечення та закритого (особистого) ключа автора документа.
Таким чином, обчислення відбитку документу захищає його від модифікації сторонніми особами після підписання, а шифрування закритим ключем підтверджує авторство документа.

Как осуществляется проверка ЭЦП? И кем/чем?

[PetroP]

Задам вопрос по другому. Контрагент утверждает что я должна им 10 мил. и у него есть подписанный ЭЦП акт на эту сумму. Какие мои дальнейшие действия?

Даже не подскажу, имеет ли гигабайтный дистрибутив медка такой, казалось бы, примитивный функционал или нет.
Просите pdf-файл (из закладки "Графічне відображення"), заходите на https://czo.gov.ua/verify и проверяйте подписи.

[priup]

..................Как осуществляется проверка ЭЦП? И кем/чем?

.....Просите pdf-файл (из закладки "Графічне відображення"), заходите на https://czo.gov.ua/verify и проверяйте подписи.

Во это самое и есть:

| Показать

5.jpg (269.89 Кіб) Переглянуто 3307 разів

[Белокопытов Геннадий]

auditing
Уточните, пожалуйста, в каком формате Вам прислали файл xml?
Если этот первичный документ создан в программе M.E.Doc, Вашей организации, можете загрузить его в программу. Если это входящий документ, который отправлен контрагентом Вам как получателю, также можете загрузить его в программу.
Проверить кем подписан документ можно средствами программы M.E.Doc во вкладке "Відправлено" для исходящего, или "Отримано" для входящих документов.
Если необходимо проверить наличие и действительность подписей на независимом ресурсе, можно перейти на вкладку "Графічне відображення" первичного документа (входящего/исходящего), сохранить файл в формате *.p7s или *.рdf документ с подписями. Далее загрузите этот файл на сайт czo.gov.ua и проверьте подписи на нем.

[auditing]

..................Как осуществляется проверка ЭЦП? И кем/чем?

.....Просите pdf-файл (из закладки "Графічне відображення"), заходите на https://czo.gov.ua/verify и проверяйте подписи.

Во это самое и есть:

| Показать

5.jpg

Ну вот как славненько! Спасибо.

[PetroP]

... Если это входящий документ, который отправлен контрагентом Вам как получателю, также можете загрузить его в программу.

Подскажите, как это сделать. Только что проверил и імпортом звітів и імпортом квитанцій - нет результата ("помилка коду ЄДРПОУ" в первом случае, "немає нових повідомлень" - во втором).

[Белокопытов Геннадий]

PetroP
Уточните, каким образом у Вас сформирован файл, в каком формате?

[PetroP]

Фирма "А" в Медке создала акт, подписала и отправила фирме "Б".
Фирма "Б" получила акт и подписала его со своей стороны.
Фирма "А" получила информацию (квитанцию) о том, что фирма "Б" подписала акт.
Все хорошо.

Проходит время, бабло не плочено.
Фирма "А" просит фирму "Б" оплатить, на что та ей отвечает "у меня нет никаких... актов!" (не важно, что случилось - недобросовестный сотрудник, неудачное восстановление копии, важно, что в Медке фирмы "Б" акт отсутствует).
Фирма "А" в Медке заходит в реєстр первинних документів, открывает акт, меню "Експорт / Експорт", и сохраняет файл в единственновозможном там варианте xml "для обміну звітністю". Далее на закладке "графічне відображення" сохраняет pdf с опциями "з підписами" и "з підписами у форматі .p7s". Всю эту гору файлов отправляет фирме "Б".

Вопрос: как средствами Медка фирме "Б" убедиться в том, что она же подписала документ?

[PetroP]

Еще добавлю. Для конкурирующего формата ключей ("Key-6.dat") есть утилитка (на https://iit.com.ua/), где все это прекрасно разбирается оффлайн.

[Колпаков Б.И.]

Конвертер ключей
https://uakey.com.ua/index.php?num_text=7458