Решение 4
Технологии облачной электронной подписи (ЭП)
Внедрение на предприятии технологии централизованного хранения и удаленного использования ключей ЭП (облачная ЭП) на предприятии.
ЗАО «Сигнал-Ком» предлагает внедрение технологии облачной ЭП на территории Заказчика с помощью следующего программно-аппаратного комплекса:
- DSS Server — сервер электронной подписи; внутренний компонент комплекса, предназначенный для выполнения операций по созданию и проверке электронных подписей в форматах CMS и XMLDSig; может взаимодействовать с сервером штампов времени (TSP Server).
Состоит из следующих элементов:
- DSS Web Server – веб-интерфейс сервиса облачной подписи; реализует личный кабинет пользователя, а также автоматизированные рабочие места оператора и администратора.
- DSS Web Service API – программный интерфейс сервиса облачной подписи; предназначен для встраивания в прикладные системы.
- DSS Key Manager – менеджер ключей; внутренний компонент комплекса, предназначенный для управления жизненным циклом ключей ЭП и сертификатов в виртуальном ключевом хранилище пользователя.
- DSS Identity Service – сервер идентификации; внутренний компонент комплекса, предназначенный для авторизации пользователей и получения подтверждений о выполнении критически важных операций.
2. Signal-COM HSM — программно-аппаратный комплекс; внутренний компонент комплекса, предназначенный для хранения ключей электронной подписи и выполнения операций по созданию электронной подписи; ключи пользователей хранятся в изолированных областях памяти HSM (виртуальных хранилищах) в защищённом виде, исключающем их извлечение из устройства или несанкционированное использование.
Важной особенностью облачной ЭП является возможность, путем встраивания DSS Web Service API в прикладную систему Заказчика, формировать удобную для него программную архитектуру для работы с облачной ЭП, а также масштабировать систему с учетом роста и развития бизнеса.
В результате пользователь может производить операции как через свой личный кабинет на DSS Web Server, а так и через программный интерфейс рабочего приложения со встроенным DSS Web Service API.
В обоих случаях вход пользователя производится с помощью двухфакторной аутентификации: ввода логина и пароля, полученных при регистрации (проверка идет через Сервер идентификации заказчика) и следующего за этим ввода дополнительного пароля, например из sms-сообщения (проверка через DSS Identity Service).
В личном кабинете или программном интерфейсе приложения пользователь:
— генерирует ключи ЭП нужного формата путем нажатия соответствующей кнопки (в качестве хранилища ключей используется модуль HSM, а в качестве менеджера ключей DSS Key Manager);
— делает запрос в Удостоверяющий центр (УЦ) на получение сертификата ЭП;
— производит подписание документов через рабочие приложения, используя облачную ЭП.
Упрощённая схема взаимодействия при регистрации пользователя:
Упрощённая схема взаимодействия при подписании документа:
2 Сервис централизованного хранения и удаленного использования ключей ЭП (сервис облачной ЭП).
Сервис облачной ЭП, предоставляемый ЗАО «Сигнал-КОМ», позволяет пользователю передать процедуру подписания документов на аутсорсинг, подключив свою информационную систему через защищенную точку доступа к основным компонентам данного сервиса:
- сервер электронной подписи Signal-COM DSS Server;
- хранилище ключей электронной подписи Signal-COM HSM;
- достоверяющий центр Notary-PRO;
- сервер штампов времени Signal-COM TSP Server.
При создании электронной подписи в сервисе предусмотрено использование двухфакторной аутентификации.
Если не предусмотрено каких-либо особых условий взаимодействия, то предприятие-заказчик при использовании сервиса облачной ЭП будет платить только за каждый подписанный документ.
Такой вариант подойдет тем предприятиям, которые хотели бы использовать преимущества централизованного хранения и удаленного использования ключей ЭП (облачной ЭП) в своих прикладных системах и сервисах, но не планирует приобретать дорогостоящее ПО, нанимать высокооплачиваемых специалистов и заниматься технической поддержкой клиентов.
3. Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись).
В случаях, когда ЭП подпись используется пользователями однократно, например, для подписания электронного аналога ПТС (электронного паспорта) при покупке/продаже а/м и т.п., целесообразно использование «сессионной» ЭП.
Сессионная ЭП формируется с помощью DSS Key Manager (после внесения оператором необходимой информации о пользователе), который обеспечивает генерацию уникальной ключевой пары (ключа ЭП и ключа проверки ЭП), формирование запроса в УЦ на сертификат ключа проверки ЭП и уничтожения ключевой пары после подписания пользователем документа.
Главным достоинством такого решения является отказ от долговременного хранения секретных ключей пользователей в HSM и, как следствие, снижение стоимости всего решения с сохранением высокой степени безопасности.
На рисунке ниже схематично представлена типичная схема создания ЭП в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг.