Подчеркиваю ключ неизвлекаем

А что, на аппаратном токене PKCS#11 даже владелец не может сделать себе резервную копию закрытого ключа? Потерял свисток, и привет, если данные для тебя были зашифрованы открытым ключем, то прочитать их ты уже не сможешь. Так что ли?

аппаратном токене PKCS#11 даже владелец не может сделать себе резервную копию закрытого ключа

Если ключ неизвлекаемый никто не может сделать резервную копию. Да, потерял свисток, как паспорт, и все !!! На открытом ключе нет смысла шифровать, его все знают из сертификата. Но если вы зашифровали на открытом ключе, то для расшифровки всегда можете взять его из сертификата. Если говорить про шифрования, то шифруют на своем закрытом и чужом открытом ключе. Для ГОСТ-ов открытый ключ может и не хранится на токене. Его всегда можно восстановить по закрытому ключу.

Документ тут: https://my.pcloud.com/publink/show?code=XZIBsM7ZlB0m7T1fz5BJDLwyJASROjaziP4y и https://my.pcloud.com/publink/show?code=XZoBsM7ZR5GoD8a54K8zyjDqnHKit7aaiQIk

Вот еще третий документ, сделанный через «подпись существующего pdf-файла» в LibreOffice: https://my.pcloud.com/publink/show?code=XZI2sM7ZCwnz5KVJ5n8EpSleCNdCazElwvfX

LibreOffice signature

Скачал выш файл TestSignPS.pdf. Открыл через LibreOffice/ Да есть подпись (действительная) поставленная patrakov@.... 3.11.2018 в 23:40:57. Все здорово все, работает. И так в чем вопрос? Хранилище сертификатов в LibreOffice подключаете?

ГОСТ pdf

Добавил к вашей подписи свою, ГОСТ-овую, и теперь две подписи и обе действительные.

Правильно писать и говорить ЭП, но не ЭЦП (устаревшее понятие)

Правильнее было бы говорить ЦП (Цифровая подпись)

Проблемы возникают при просмотре документов под Windows в Adobe Reader DC (прошу поставить в настройках галочку, чтобы доверял при проверке подписи всем сертификатам из системного хранилища). Подпись, сделанная jSignPdf, проверяется без проблем. Подписи, сделанные в LibreOffice, генерируют вот такое предупреждение: https://my.pcloud.com/publink/show?code=XZhwsM7ZsPvrFCFrVRFKOo9OX9bjyLBd6UHy

Подписи, сделанные в LibreOffice

Во-первых, Adobe пишет, что есть подписи и они валидны. Что означает это сообщение в контексте Adobe не понимаю. Может страница была модифицирована им при отображении. Пока не могу сказать

Правильнее было бы говорить ЦП (Цифровая подпись)

Это уже в ГосДуму

Обычно только подписывают, а не шифруют. С шифрованием всё сложней, ведь у ключа(не сертификата) на таких носителях есть срок годности, например до трёх лет. Надо использовать не тупое, прямое шифрование, а нормальный контейнер\формат с шифрованием ключа шифрования несколькими ключами, и не забывать обновлять.

Проблемы ещё могут быть и не только с неизвлекаемыми ключами. Например после отправки через Контур в ФНС, всё почему-то доступно только по ключу, который использовался при отправке, ну и самого ФНС, и может Контура. И получается бредятина, что нужно иметь протухший ключ десятилетней давности, который ещё на дискетке был, чтобы посмотреть старые записи. А ещё всё грозятся запретить старое шифрование и перейти на новое 2012.

похвально. кто дорабатывает? для какой версии LO?

срок годности, например до трёх лет

Срок годности - это не ограничения для шифрования, а ограничение для подписи. Оно говорит только о том, что через три года подпись на этом ключе будет юридически незначимой! А так используйте хоть до конца света!!! Запретить могут использовать только, например, в госорганох. Не надо наводить тень на плетень. И сто такое новое шифрование 2012?! Ну нет такого. А вот кузнечики и магмы есть

Подпись, шифрование - разница небольшая. Но и правда. Где отечественное асимметричное шифрование? Почему нет госстандарта для асимметричного шифрования?

У носителей со СКЗИ разве что часов нет, чтобы самим решать, что срок наступил. Но добавить батарейку не проблема - в ходу ключи защиты программ с батарейками на пару лет. А КриптоПро давно оброс проверками и в текущих версиях настройки по умолчанию всё строже.

https://www.rutoken.ru/products/all/rutoken-ecp/#features

Поддержка алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012(256 и 512 бит): генерация ключевых пар с проверкой качества, формирование и проверка электронной подписи, срок действия закрытых ключей до 3-х лет.

И по многим регламентам просроченные сертификаты и ключи подлежат уничтожению чуть ли не вместе с носителем(на самом деле отправляют производителю на форматироватие).

юридически незначимой! А так используйте хоть до конца света!

Да никому отечественная криптография без этого нужна.

Какой-то бред

Нет просроченных сертификатов и ключи уничтожить нельзя. Как же без этого проверять валидность когда-то поставленной подписи.

Да никому отечественная криптография без этого нужна.

Без чего без этого? Пишите в Думу!

Никто ни для какой версии, если мы говорим про апстрим

уничтожить нельзя. Как же без этого проверять

Не то что при конце срока надо удалить все сертификаты, но надо уничтожить ключевой документ. Всё ставятся на учёт, а по истечению уничтожается. Сформированные подписи никто не заставляет удалять, конечно. Если подпись нельзя проверить без чего-то кроме корневого сертификата, то ССЗБ.

Без чего без этого?

Без значимости. Для применения не требующего её хватит и международной криптографии, с нормальными инструментами. А если не хватит, то и отечественной криптографии будет недостаточно.

я просто не понял расплывчатой фразы

предлагается доработка офисного пакета

мне интересно, работает над этим какая-то компания или энтузиаст. вообще, думал, автор поста имеет к этому отношение и пояснит.

работает над этим какая-то компания или энтузиас

Голый энтузиазм. К сожаление, поскольку импортозамещение у нас идет только на словах, то никому и ничего не надо. Только энтузиазм.

К сожаление, поскольку импортозамещение у нас идет только на словах

Эх, и не говори:(

Голый энтузиазм.

Ты же мне ссылку на юр.лицо кинул? Лисий софт, прямо так и называется (почти Рога и Копыта:))) В итоге у меня в голове сбой произошел:) Интегратор все-таки какой-то.