Информация относительно GLN (Global Location Number) – Новости ЕСК

Что такое прямое и обратное геокодирование?

В начале статьи я уже немного об этом сказал, теперь дам более строгое определение.

Прямое геокодирование – это задача получения координат географической точки по её адресу, написанному на понятном человеческом языке. Например, пользователь указывает адрес «Москва, Красная площадь д. 3», или «Москва, ГУМ» — нам, чтобы отобразить эту точку на карте, необходимо узнать координаты этого адреса.

Обратное геокодирование, соответственно, решает обратную задачу – по точке, указанной пользователем, получить её адрес или название расположенного там объекта.И та, и другая задача очень часто встречаются в различных сервисах, работающих с геоданными пользователей, например, если вы разрабатываете интернет-магазин и хотите показать ближайший к адресу пользователя пункт выдачи заказов – вам не обойтись без определения точных координат местоположения пользователя.

Что такое корневой сертификат

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ. 

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Удостоверяющий центр использует корневой сертификат, чтобы:

• выдавать  сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
• отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Получить электронную подпись

приложение n 2. состав сведений, содержащихся в сертификатах соответствия | гарант

Беларусь, минск, переулок стебенёва, 6

Первый протестированный адрес, на котором все конкурсанты единогласно попали в точку с небольшим разбросом. Интересно, что метка Яндекса не стоит на номере дома, как это всегда было с российскими адресами.

Беларусь, мозырь, рыжкова, 4

С частным сектором в Беларуси тоже у всех сервисов есть проблемы, но по крайней мере все они указали на улицу. Google и GraphHopper оказались довольно далеко от искомого дома, а Яндекс, OSM и MapBox разместит метки точно, с небольшим разбросом.

Венгрия, budapest, homokdomb 7

По этому адресу MapBox нашел город, Яндекс — улицу, OSM и GraphHopper поставили отметку на дом, а Google – на угол дома.

Где берем данные и чем ищем адрес

Подступаясь к задаче, мы изучили готовые решения: где взять справочник координат с адресами и как потом искать по этому справочнику географические объекты. Оказалось, за нужными инструментами даже не придется далеко ходить.

Адресные объекты берем в ФИАС — Федеральной информационной адресной системе. Это самый полный из открытых и официальных адресных справочников. Подробно о нем мы уже писали на «Хабре», а сейчас важны четыре факта:

Адресные объекты, загруженные из ФИАС вместе с ID, — основа нашего справочника для обратного геокодирования.

Координаты загружаем из OpenStreetMap (OSM). OSM — проект со свободной лицензией: энтузиасты собирают координаты всевозможных объектов и выкладывают для всех желающих.

Инструкция по установке корневого сертификата удостоверяющего центра

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

1. Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
2. Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
3. Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Информация относительно gln (global location number) – новости еск

Казахстан, жезказган, космонавтов, 10

С этим адресом сервисы справились лучше – все попали в город, но MapBox и Google далеко от искомого адреса. Яндекс и OSM опять поставили метки в одну точку, GraphHopper нашел начало улицы.

Казахстан, нурсултан, кокжазык, 14

MapBox и GraphHopper опять промахнулись, Google указал на улицу, а Яндекс и OSM поставили две очень близкие метки на искомом доме.

Как собрали базу координат и адресов

Для начала выложу багаж: прочитав статью, быстро сделать подобный справочник не получится. Мы собираем его с 2021 года, постоянно дополняя. Об этом чертовски длинном пути я и расскажу.

Самое сложное при составлении справочника — перебрать кординаты, которые пришли из OSM. На старте мы выверяли их как могли, в том числе руками. Главная цель тогда — получить опорные точки в крупных городах и сделать из них эталонный справочник. Теперь, когда таких точек много, проверять новые данные вручную почти не приходится. За раз мы добавляем в эталонный справочник 200 000–300 000 адресов с координатами, и вот как это делаем.

Формируем из OSM-тегов полные адреса́. В OSM-выгрузках составные части адресов разбросаны по разным тегам:

Какая информация содержится в корневом сертификате

Корневой сертификат представляет собой файл, который содержит свойства и данные: 

• серийный номер,
• сведения об УЦ,
• сведения о владельце сертификата,
• сроки его действия,
• используемые алгоритмы
• открытый ключ электронной подписи,
• используемые средства УЦ и средства электронной подписи,
• класс средств ЭП,
• ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
• ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
• электронную подпись УЦ, выдавшего сертификат.

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год —  это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Получить электронную подпись

Какие бывают корневые сертификаты и для чего нужны

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП. 

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ). 

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через  «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты». 

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ». 

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры. 

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Какие существуют сервисы для решения этой задачи?

Вообще, сервисы подразделяются на 2 основных категории – это оффлайн- и онлайн-сервисы. Оффлайн-сервис подразумевает, что вы скачиваете на свой локальный компьютер некую базу данных (добавляете её в своё приложение) и получаете информацию из неё. Онлайн-сервис представляет из себя API, к которому вы формируете запрос в соответствии с документацией, и он возвращает вам ответ с интересующей вас информацией.

В большинстве случаев онлайн-сервисы предлагают более высокую точность ответов, поскольку обновляются более часто, а также более удобны в использовании – потому что вам нет необходимости поддерживать отдельную машину под оффлайн-сервис или зашивать базу данных (достаточно объемную) и обслуживающий её код в ваше приложение.

Корневые сертификаты эцп уц — установка корневых сертификатов на

Можно ли установить электронную подпись без корневого сертификата

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

• при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
• если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Номенклатура сертификатов

Давайте рассмотрим, какие сертификаты X.509 встречаются в природе, если рассматривать их по расположению в

пищевой

цепочке доверия.

По степени

крутизны

дороговизны и надежности сертификаты делятся на 3 вида:

DVOVEV

Обратное геокодирование глазами пользователя

На вход метод принимает три параметра: координаты, количество результатов и радиус поиска. Радиус по умолчанию — 100 метров, максимальный — километр. Точное значение задают в настройках.

Откуда берутся сертификаты?

Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.

1. Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.

   

2. Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
3. Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.

Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.

openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pem

Далее, создает CSR — запрос на подписание сертификата.

openssl req -new -sha256 -key private.key -out server.csr -days 730

И подписываем.

openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crt

Результат можно посмотреть командой:

openssl x509 -text -noout -in public.crt

Openssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:

openssl -help
openssl x509 -help
openssl s_client -help

Ровно то же самое можно сделать с помощью java утилиты keytool.

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Следует серия вопросов, чтобы было чем запомнить поля owner и issuer

What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?

Конвертируем связку ключей из проприетарного формата в PKCS12.

keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12

Смотрим на результат:

Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
     MD5:  B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
     SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
     SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D

Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB   92 44 9D 95 47 94 E4 97  0.X..v...D..G...
0010: C8 1E F1 92                                        ....
]
]

Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.

subjectKeyIdentifier EXTENSION ::= {
    SYNTAX SubjectKeyIdentifier
    IDENTIFIED BY id-ce-subjectKeyIdentifier
}

SubjectKeyIdentifier ::= KeyIdentifier

Примеры данных, которые дают разные сервисы

Чтобы показать примеры данных, которые предоставляют нам разные сервисы, я использовал адрес в самом центре Москвы —

Красная площадь, д. 3

Примеры обратного геокодирования

Чтобы понять, как сервисы справляются с обратным геокодированием, т.е. получением адреса по координатам, я попробовал по указанным выше адресам вместо адреса подставить координаты того же третьего дома на Красной площади:

37.62159949999999, 55.7546025

Результаты:

Интересно, что GraphHopper, если кликать мышью по разным частям ГУМа, возвращает разные названия магазинов. Дадата и Яндекс возвращают только адреса, остальные сервисы стараются предложить также POI, расположенные по этому адресу. Формат ответа и набор данных у всех сервисов аналогичен данным, которые возвращаются при прямом геокодировании.

Россия, казань, 2я центральная, 172а

MapBox и GraphHopper – мимо, OSM не нашел ничего. Из оставшейся тройки Google указал на улицу, Яндекс на дом, а Дадата – на соседний дом.

Россия, казань, фатыха амирхана 13

MapBox не нашел ничего, GraphHopper и OSM указали на конец улицы, Яндекс попал в центр дома, Дадата максимально близко к центру, а Google снова показывает на конец дома, который ближе к дороге.

Россия, москва, 2-й карачаровский проезд, 2

С этим адресом все претенденты справились лучше. Интересно, что OSM, Дадата и Яндекс показывают на примерный центр дома, а Google – на угол, который ближе к дороге. GraphHopper и MapBox указали на улицу, но от искомого дома далековато.

Россия, москва, красная площадь д. 3

GraphHopper – мимо. MapBox и OSM получают по 2 балла, Яндекс, Дадата и Google – по 3 балла.

Россия, новокузнецк, ермака 16

C этим адресом не справился только MapBox. OSM и GraphHopper показали одинаковый результат, Яндекс предсказуемо поставил свою метку на номер дома, Google возле второго подъезда, а Дадата – между подъездами.

Россия, улан-удэ, столбовая, 68

Последний российский адрес в списке. MapBox опять в стороне. OSM и GraphHopper ближе к цели, но тоже далековато. Дадата смогла указать улицу, но не дом. Яндекс поставил метку на соседний, 66 дом, и только Google в данном случае смог поставить точную отметку.

Россия, чистополь, лобачевского, 57

MapBox нашел примерно центр населенного пункта, но это незачет. GraphHopper и OSM указали на улицу, на которой расположен дом, а Яндекс, Дадата и Google опять попали в дом.

Словарный запас

Определение X.509 сертификатов есть в архиве ITU-T

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signatureValue       BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  EXPLICIT Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3

Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.

Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.

Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.

Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.

Сравнительное тестирование качества геокодирования

Для сравнительного тестирования качества прямого геокодирования я выбрал набор из 15 адресов:

Адреса выбраны случайным образом, из России, ближайших к нам стран, одной европейской и одной североамериканской страны.

По итогам тестирования я составил сводную таблицу с результатами всех сервисов. Координаты точек, которые вернул мне сервис, я накладывал на статическую карту Яндекса, и смотрел, насколько точно попадает тот или иной сервис в загаданный дом. За попадание в черту дома давал 3 балла, за попадание в соседние дома – 2, если указало на улицу, на которой находится дом – 1 балл. За промах, соответственно, 0.

Каждому сервису я присвоил свой цвет метки — Яндекс — оранжевый, Дадата — синий, Google — зеленый, GraphHopper — желтый, MapBox — красный и OSM — фиолетовый.

Сценарий №1 — найти следующего в связке

Связка сертификатов — Объединение нескольких X.509 сертификатов в один файл, чаще всего в формате PEM. Связка передается по сети в момент протокола рукопожатия SSL/TLS.

Самый сок начинается, когда имеете дело со связкой сертификатов, a. k. a certificate chain. Часто просматривая лапшу в связке ключей jks непросто понять как найти родительский сертификат, когда там россыпь новых и старых сертификатов на несколько доменных имен.

Сша, co, fort collins, east oak street, 411

В Форте Коллинс Яндекс нашел метку на улицу, все остальные сервисы указали на дом с минимальным разбросом.

Тарифы и особенности сервисов

В процессе изучения рынка сервисов геокодирования я выделил для себя следующие основные решения:

Украина, бучач, богдана хмельницького вулиця 6

GraphHopper опять мимо, Яндекс и Google смогли указать на улицу, MapBox отметил дом через дорогу от искомого, а OSM поставил точную отметку.

Украина, киев, суздальська вулиця 9

В Киеве MapBox поставил метку на центр города, GraphHopper – на улицу, а Яндекс, Google и OSM попали в дом. При этом тут метки совпали уже у Google и OSM.

Выводы

Перед тем, как начать использовать в своей работе какой-либо сервис геокодирования, его обязательно надо протестировать на базе адресов ваших пользователей. Потому что я, например, очень большие надежды возлагал на MapBox – ведь у этого сервиса очень большая база различных модулей, и видно, что они уделяют большое внимание удобству работы с их сервисом.

OSM показывает хорошие результаты за рубежом, и достаточно посредственные – в России.Вообще, если говорить именно о российской базе, с которой лично я в основном работаю, то тут лидеры — Яндекс, Google и Дадата. Яндекс показывает лучшие результаты в России, и достаточно посредственные – за рубежом.

В целом все эти три сервиса показали очень достойный результат, и если ваши клиенты в основном указывают адреса не из частных секторов, то я бы для работы выбрал Дадату, по ряду причин:

Если вам не нужны эти дополнительные сервисы, и вы готовы соответствовать лицензионным ограничениям Яндекса, то он тоже, безусловно, будет хорошим выбором.

Google, на мой взгляд, слишком дорог, если вы работаете с Российскими адресами.

Еще интересное наблюдение по итогам тестирования — наиболее высокое качество у всех сервисов геокодирования – в Беларуси.

Промежуточный итог по тестированию российских адресов

Яндекс

набрал 20 баллов из 21 возможного, не справившись только с последним. На втором месте

Google

с одной ошибкой в частном секторе Казани с 19 баллами. Третье место –

Дадата

, которая ошиблась и в Казани, и в Улан-Удэ.

На заграничных адресах Дадата выпадает из конкурса и дальнейшее сравнение уже пойдет между 5 оставшимися участниками.