Планирование параметров цифровой подписи для Office 2013

Статья
12/22/2017

Применимо к: Office 2013

Последнее изменение раздела: 2016-12-16

Сводка. Сведения о поддержке цифровых подписей XAdES в документах Excel 2013, PowerPoint 2013 и Word 2013.

Аудитория: ИТ-специалисты

Пользователи могут подписывать цифровой подписью документы Office 2013Excel, PowerPoint или Word по многим причинам, аналогичным тем, по которым они подписывают обычные бумажные документы. С помощью алгоритмов шифрования цифровая подпись используется для подтверждения личности создателя цифровой информации, включая документы, сообщения электронной почты и макросы, с помощью криптографических алгоритмов.

Цифровые подписи основаны на цифровых сертификатах. Цифровые сертификаты являются средством подтверждения личности, выдаваемым надежной третьей стороной, называемой центром сертификации (ЦС). Действует данное средство так же, как и обычные бумажные документы, удостоверяющие личность. Допустим, надежная третья сторона (например, государственный орган или коммерческая организация) выдает документы для удостоверения личности (водительские права, паспорт и удостоверения сотрудников). Другие люди доверяют этим документам, которые подтверждают личность предъявляющего эти документы лица.

Эта статья включает разделы реестра, касающиеся цифровой подписи, которые появились в Office 2013.

Указатель для справочника по безопасности Office.

Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, афиш и видеозаписей, помогающих оценить безопасность Office 2013.

Нужна помощь по настройке параметров цифровой подписи в Office 2013 на рабочем столе? Возможно, вы ищете одну из следующих статей, которые помогут защитить Office 2013 на компьютере.

В этой статье

Введение в цифровые подписи и процесс их использования в Office 2013
Выбор типов цифровых сертификатов для Office 2013
Планирование уровней цифровых подписей в документах Office 2013

Введение в цифровые подписи и процесс их использования в Office 2013

Цифровые подписи помогают установить следующие меры проверки подлинности.

Подлинность Цифровая подпись и лежащий в ее основе цифровой сертификат позволяют гарантировать подлинность личности подписавшего, т.е. другое лицо не может утверждать, что он или она являются создателями определенного документа (соответствует подделыванию печатных документов).
Целостность С помощью цифровой подписи можно удостоверить неизменность содержимого документа с момента его подписания. Таким образом, документ не может быть перехвачен или изменен без ведома его создателя.
Неотрекаемость Цифровая подпись помогает доказать любой из сторон подлинность подписанного содержимого. "Отказ" означает, что владелец подписи отрицает свою связь с подписанным содержимым. Это позволяет доказать, что создатель документа является истинным создателем вне зависимости от утверждений лица, подписавшего документ. Подписавший не может отречься от подписи на документе, не отрекаясь от своего цифрового ключа, и, следовательно, от других документов, подписанных с помощью этого ключа.

Требования к цифровым подписям в Office 2013

Для задания этих условий создатель документа должен заверить его содержимое цифровой подписью, которая должна удовлетворять следующим требованиям:

Цифровая подпись должна быть действительной. Центр сертификации, которому доверяет операционная система, должен подписать сертификат, на котором основана цифровая подпись.
Конкретный сертификат данной цифровой подписи должен быть действительным или содержать отметку времени, свидетельствующую о том, что этот сертификат был действительным на момент подписания.
Конкретный сертификат данной цифровой подписи должен быть безотзывным.
Лицо или организация, поставившие цифровую подпись (именуемые издателем), должны быть надежными для получателя.ц

Word 2013, Excel 2013 и PowerPoint 2013 определяют эти критерии и предупреждают пользователя в случае возникновения проблем с цифровой подписью. Сведения о проблемных сертификатах можно просмотреть в области задач сертификатов, которая появляется в приложении Office 2013. Приложения Office 2013 позволяют добавлять несколько цифровых подписей к одному документу.

Цифровые подписи в бизнес-среде Office 2013

следующем примере показано, как можно использовать цифровые подписи документов в бизнес-среде.

Сотрудник использует Excel 2013 для создания отчета о расходах. Он создает три строки подписи: для себя, руководителя и бухгалтерии. Эти строки позволяют:
- определить, что сотрудник является создателем этого документа;
- гарантировать, что после передачи документа руководителю и в бухгалтерию никаких изменений внесено не будет;
- подтвердить получение и просмотр документа руководителем и бухгалтерией.
Руководитель получает документы и удостоверяет его цифровой подписью, подтверждая получение и одобрение документа. Затем документ пересылается в бухгалтерию для оплаты.
Сотрудник бухгалтерии получает документ и подписывает его, тем самым подтверждая его получение.

В этом примере показано использование нескольких подписей в одном документе Office 2013. Помимо подписи, создатель документа может добавить рисунок с подписью или внести подпись вручную с помощью планшетного ПК.

Проблемы совместимости с документами Office версий, предшествующих Office 2013

Система Office 2013, так же как и Office 2010 или Office 2007, использует для цифровых подписей формат XML-DSig. Кроме того, система Office 2013 поддерживает подписи в формате XAdES (XML Advanced Electronic Signatures). Формат XAdES представляет собой набор многоуровневых расширений к XML-DSig, уровни которых надстраиваются над предыдущими уровнями для повышения надежности цифровых подписей. Дополнительные сведения об уровнях XAdES, поддерживаемых в системе Office 2013, см. в разделе Планирование уровней цифровой подписи в документах Office 2013 ниже. Дополнительные сведения о XAdES см. в спецификации XML Advanced Electronic Signatures (XAdES).

Важно знать, что цифровые подписи, созданные в системе Office 2013, несовместимы с версиями Office, предшествующими Система Office 2007 . Например, если документ подписан с помощью приложения в Office 2013, Office 2010 или Office 2007, а затем открыт с помощью приложения в Office 2003 с установленным пакетом обеспечения совместимости Office, пользователь будет проинформирован, что документ подписан в более новой версии Office, и цифровая подпись будет утеряна.

На приведенном ниже рисунке представлено предупреждение, которое получает пользователь при открытии документа в версии Office, предшествующей Office 2007.

Предупреждение относительно цифровой подписи для документов, изначально подписанных в Office 2003 или более ранних версиях.

Рис. 1. Проблемы совместимости

Кроме того, если вы используете XAdES для цифровой подписи в Office 2013, цифровая подпись будет несовместима с Office 2010 и Система Office 2007 . Совместимости можно добиться, задав для параметра групповой политики Не включать объект ссылки XAdES в манифест значение Включено. Дополнительные сведения о параметрах групповой политики для цифровых подписей см. далее в разделе Планирование параметров подписи для Office 2013.

Если необходимо, чтобы цифровые подписи, создаваемые в Office 2013, были совместимы с Office 2003 и более ранними версиями, задайте для параметра групповой политики Подписи в формате предыдущей версии значение Включено. Этот параметр групповой политики находится в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Office 2013\Подписи. После изменения значения этого параметра на Включено приложения Office 2013 будут использовать двоичный формат Office 2003 для применения цифровых подписей к двоичным документам Office 97–2003, созданным в системе Office 2013. Дополнительные сведения см. в разделе Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office

Выбор типов цифровых сертификатов для Office 2013

Цифровые сертификаты могут быть самозаверяющими или выдаваться такими центрами сертификации организации, как компьютер под управлением Windows Server 2012 или Windows Server 2008 со службами сертификатов Active Directory или публичный центр сертификации, например VeriSign или Thawte. Как правило, самозаверяющие сертификаты используются частными лицами и небольшими компаниями, которые не хотят устанавливать в организациях инфраструктуру PKI или приобретать коммерческий сертификат.

Основной недостаток самозаверяющих сертификатов заключается в том, что они могут использоваться только при обмене документами между знакомыми пользователями, которые точно являются создателями передаваемых документов. При использовании данных сертификатов отсутствует третья сторона, которая может подтвердить подлинность сертификата. Каждый человек, получивший подписанный документ, должен самостоятельно решить вопрос о надежности сертификата.

Для более крупных организаций доступны два основных метода получения цифровых сертификатов: сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI, и коммерческие сертификаты. Для сокращения расходов организаций, поддерживающих обмен документами только между сотрудниками, больше подходит корпоративная инфраструктура PKI. Чтобы совместно использовать документы с лицами за пределами организации, необходимо использовать коммерческие сертификаты.

Сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI

Организации могут создать собственную инфраструктуру PKI. В этом случае компания должна настроить один или несколько центров сертификации, которые могут создавать цифровые сертификаты для компьютеров и пользователей компании. В сочетании со службой каталогов Active Directory возможно создание сложного решения PKI, при котором цепочка корпоративных центров сертификации устанавливается на всех компьютерах, управляемых компанией, а пользователям и компьютерам автоматически назначаются цифровые сертификаты для удостоверения и шифрования документов. Это позволяет всем сотрудникам организации автоматически доверять цифровым сертификатам (а следовательно, и цифровым подписям) от других сотрудников той же организации.

Дополнительные сведения см. в разделе Службы сертификатов Active Directory.

Коммерческие сертификаты

Коммерческие сертификаты приобретаются у специализированной компании по продаже цифровых сертификатов. Основное преимущество таких сертификатов в том, что коммерческий сертификат центра сертификации автоматически устанавливается в операционных системах Windows, что позволяет компьютерам автоматически считать корневой сертификат этого поставщика надежным. В отличие от корпоративного решения PKI коммерческие сертификаты позволяют совместно использовать подписанные документы с пользователями, не относящимися к данной организации.

Существует три вида коммерческих сертификатов.

Класс 1 Сертификаты данного класса выдаются частным лицам с допустимыми адресами электронной почты. Сертификаты класса 1 подходят для цифровых подписей, шифрования и управления электронным доступом к некоммерческим операциям, для которых не требуется подтверждение личности.
Класс 2 Сертификаты класса 2 выдаются частным лицам и устройствам. Сертификаты для частных лиц позволяют ставить цифровые подписи, выполнять шифрование и осуществлять электронный доступ к операциям, в которых достаточно подтверждения подлинности личности на основе сведений в проверяющей базе данных. Сертификаты класса 2 для устройств позволяют проверять подлинность устройств, целостность сообщений, ПО и контента и выполнять шифрование конфиденциальных сведений.
Класс 3 Сертификаты класса 3 выдаются частным лицам, организациям, серверам, устройствам и администраторам для центров сертификации и служб выдачи корневых сертификатов (RA). Индивидуальные сертификаты данного вида позволяют ставить цифровые подписи, выполнять шифрование и получать доступ к элементам управления операций, требующих подтверждения подлинности личности. Сертификаты для серверов позволяют выполнять проверку подлинности серверов, целостности сообщений, ПО и контента, а также выполнять шифрование конфиденциальных сведений.

Дополнительные сведения о коммерческих сертификатах см. в разделе Цифровое удостоверение.

Планирование уровней цифровых подписей в документах Office 2013

С помощью Excel 2013, PowerPoint 2013 и Word 2013 можно ставить на документах цифровые подписи. Кроме того, строку или штамп подписи можно добавлять с помощью Excel 2013, InfoPath 2013 или Word 2013. Цифровая подпись документа с цифровым сертификатом, но без строки или штампа подписи называется невидимой цифровой подписью. Как видимые, так и невидимые цифровые подписи используют для подписи документа цифровой сертификат. Различие состоит в графическом представлении видимой цифровой подписи в документе. Дополнительные сведения о добавлении цифровой подписи см. в разделе Добавление и удаление цифровой подписи в документах Office.

По умолчанию во время создания цифровой подписи Office 2013 создает цифровые подписи XAdES-EPES при использовании самозаверяющего сертификата или сертификата, выданного центром сертификации.

Уровни цифровых подписей XAdES, основанные на стандарте XML-DSig и доступные в Office 2013, указаны в следующей таблице. Каждый из этих уровней основан на предыдущем уровне и содержит возможности всех предшествующих уровней. Например, XAdES-X также содержит возможности XAdES-EPES, XAdES-T и XAdES-C помимо новых функций уровня XAdES-X.

Уровни цифровой подписи XAdES в Office 2013

Уровень подписи	Описание
XAdES-EPES (Base)	Добавляет сведения о сертификате в подпись XML-DSig. Этот уровень используется по умолчанию для подписей Office 2013.
XAdES-T (Timestamp)	Добавляет отметку времени в разделы подписи XML-DSig и XAdES-EPES, что позволяет предотвратить проблемы в случае истечения срока действия сертификата.
XAdES-C (Complete)	Добавляет ссылки на цепочку сертификатов и сведения о состоянии отзыва.
XAdES-X (Extended)	Добавляет отметку времени в элемент XML-DSig SignatureValue и разделы подписи –T и –C. Дополнительная отметка времени обеспечивает неотрекаемость для дополнительных данных.
XAdES-X-L (Extended Long Term)	Хранит фактический сертификат и сведения об аннулировании сертификата вместе с подписью. Это позволяет проверять сертификаты, даже если серверы сертификации стали недоступными.

Планирование цифровых подписей с отметкой времени в Office 2013

Возможность добавлять отметку времени в цифровую подпись позволяет расширить ее жизненный цикл. Например, если аннулированный сертификат ранее использовался для создания цифровой подписи, которая содержит отметку времени от надежного сервера, цифровая подпись будет считаться действительной, если она была создана перед аннулированием сертификата. Для использования отметок времени с цифровыми подписями необходимо выполнить следующие действия.

Настройте сервер отметок времени, соответствующий стандарту RFC 3161.
С помощью параметра групповой политики Указать имя сервера укажите расположение сервера отметок времени в сети.

Кроме того, можно настроить дополнительные параметры временных меток с помощью следующих параметров групповой политики:

Настроить алгоритм хэширования отметок времени
Задать время ожидания для сервера отметок времени

Если не настроить и не включить параметр Настроить алгоритм хэширования отметок времени, будет использоваться значение по умолчанию (SHA1). Если не настроить и не включить параметр Задать время ожидания для сервера отметок времени, то Office 2013 будет ожидать ответа от сервера отметок времени в течение 5 секунд.

Планирование параметров подписей для Office 2013

Помимо параметров групповой политики для настройки параметров, связанных с отметками времени, существуют и другие параметры групповой политики, с помощью которых можно задать способы настройки цифровых подписей и управлениями ими в организации. Имена и описание параметров указаны в следующей таблице. Они находятся в папке \software\policies\microsoft\office\15.0\common\signatures!

Параметры конфигурации групповой политики для цифровых подписей

Параметр групповой политики	Описание
Требовать данные OCSP во время создания подписи	Этот параметр политики позволяет определить, требует ли Office 2013 данные аннулирования OCSP для всех цифровых сертификатов в цепочке при создании цифровых подписей.
Задать минимальный уровень XAdES для создания цифровой подписи	Этот параметр политики позволяет определить минимальный уровень XAdES, используемый приложениями Office 2013 для создания цифровой подписи XAdES. Если минимальный уровень XAdES недоступен для приложений Office 2013, приложение Office не создает цифровую подпись.
Проверять части XAdES в цифровой подписи	Этот параметр политики позволяет указать, выполняет ли Office 2013 проверку частей XAdES цифровой подписи в документе, если она есть.
Не разрешать просроченные сертификаты при проверке подписей	Этот параметр политики позволяет определить, принимают ли приложения Office 2013 цифровые сертификаты с истекшим сроком действия при проверке цифровых подписей.
Не включать объект ссылки XAdES в манифест	Этот параметр политики позволяет определить, должен ли ссылочный объект XAdES отображаться в манифесте. Для этого параметра следует задать значение Включено если требуется, чтобы Система Office 2007 мог читать подписи Office 2013, содержащие контент XAdES; в противном случае Система Office 2007 будет считать подписи с контентом XAdES недействительными.
Выбрать алгоритм хэширования цифровой подписи	Этот параметр политики позволяет настроить алгоритм хэширования, используемый приложениями Office 2013 для подтверждения цифровых подписей.
Задать уровень проверки подписей	Этот параметр политики позволяет установить уровень проверки, используемый приложениями Office 2013 при проверке цифровой подписи.
Требуемый уровень XAdES при создании подписи	Этот параметр политики позволяет установить необходимый уровень XAdES при создании цифровой подписи.

Далее перечислены дополнительные параметры групповой политики, которые связаны с цифровыми подписями и также находятся в папке \software\policies\microsoft\office\15.0\common\signatures!:

Задать каталог для изображений по умолчанию
Фильтрация расширенного использования ключа
Подписи в формате предыдущей версии
Не отображать поставщики подписи Office
Не отображать пункт меню "Добавить службы подписи"

Дополнительные сведения о каждом параметре групповой политики см. в файлах справки, которые содержатся в файлах шаблонов администрирования Office 2013.

Примечание
Дополнительные сведения о параметрах политики см. в книге Excel workbook Office2013GroupPolicyAndOCTSettings_Reference.xls, которая доступна в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office.

Дополнительные сведения о параметрах политики см. в книге Excel workbook Office2013GroupPolicyAndOCTSettings_Reference.xls, которая доступна в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office.

Параметры реестра, применяемые к цифровым подписям

В следующей таблице приведены параметры реестра Windows, отвечающие за цифровые подписи и сертификаты, используемые для их шифрования. Эти параметры реестра расположены в ветви реестра HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures. Соответствующая групповая политика отсутствует.

Параметры реестра для цифровых подписей

Запись реестра	Тип	Значение	Описание
FilterIssuer	WZ	Пустой	Ограничивает набор доступных сертификатов теми из них, у которых в имени задано значение FilterIssuer.
MinSigningDSABits	DWORD	Пустой	Указывает минимальное число бит, разрешенных для создания цифровой подписи DSA в Office.
InvalidDSABits	DWORD	Пустой	Указывает максимальное число бит, которые будут считываться в цифровой подписи DSA. Биты, не входящие в значение InvalidDSABits, игнорируются.
InvalidHashAlg	WZ	Пустой	Указывает алгоритмы хэширования, которые ранее использовались в организации для создания цифровых подписей в предыдущих выпусках Office (например, Office 2007, Office 2010), которые теперь необходимо сделать недействительными. Если здесь указать хэш, то проверка любых документов или сообщений электронной почты, использующих хэш для проверки цифровой подписи, будет заканчиваться ошибкой.
InvalidRSABits	DWORD	Пустой	Указывает максимальное число бит, которые будут считываться в цифровой подписи RSA. Биты, не входящие в значение InvalidRSABits, игнорируются.
LegacyDSABits	DWORD	Пустой	Указывает минимальное число бит, которые будут обрабатываться в цифровой подписи устаревшего DSA, где понятие "устаревший" относится к цифровой подписи, созданной для документа или сообщения электронной почты с помощью Office 2007 или Office 2010, и в случае указания алгоритма хэширования в значении раздела реестра LegacyHashAlg.
LegacyHashAlg	WZ	MD5	Указывает алгоритмы хэширования, используемые в организации для создания цифровых подписей в предыдущих выпусках Office (например, Office 2007, Office 2010), и которые необходимо сделать доступными для проверки устаревших документов и сообщений электронной почты, подписанных с помощью цифровой подписи.
LegacyRSABits	DWORD	Пустой	Указывает минимальное число бит, которые будут обрабатываться в цифровой подписи устаревшего RSA. Понятие "устаревший" относится к цифровой подписи, созданной для документа или сообщения электронной почты с помощью Office 2007 или Office 2010, и в случае указания алгоритма хэширования в значении раздела реестра LegacyHashAlg.
MinSigningRSABits	DWORD	Пустой	Указывает минимальное число бит, которые будут использоваться для создания цифровой подписи в Office 2013.

См. также

Руководство по безопасности Office 2013

Дополнительные цифровые подписи XML (XAdES)
Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office
Службы сертификатов Active Directory
Цифровое удостоверение
Добавление или удаление цифровой подписи в документах Office