Технологии облачной электронной подписи (ЭП)

Внедрение на предприятии технологии централизованного хранения и удаленного использования ключей ЭП (облачная ЭП) на предприятии.

ЗАО «Сигнал-Ком» предлагает внедрение технологии облачной ЭП на территории Заказчика с помощью следующего программно-аппаратного комплекса:

1. DSS Server — сервер электронной подписи; внутренний компонент комплекса, предназначенный для выполнения операций по созданию и проверке электронных подписей в форматах CMS и XMLDSig; может взаимодействовать с сервером штампов времени (TSP Server).

Состоит из следующих элементов:

• • DSS Web Server – веб-интерфейс сервиса облачной подписи; реализует личный кабинет пользователя, а также автоматизированные рабочие места оператора и администратора.
  • DSS Web Service API – программный интерфейс сервиса облачной подписи; предназначен для встраивания в прикладные системы.
  • DSS Key Manager – менеджер ключей; внутренний компонент комплекса, предназначенный для управления жизненным циклом ключей ЭП и сертификатов в виртуальном ключевом хранилище пользователя.
  • DSS Identity Service – сервер идентификации; внутренний компонент комплекса, предназначенный для авторизации пользователей и получения подтверждений о выполнении критически важных операций.

2. Signal-COM HSM — программно-аппаратный комплекс; внутренний компонент комплекса, предназначенный для хранения ключей электронной подписи и выполнения операций по созданию электронной подписи; ключи пользователей хранятся в изолированных областях памяти HSM (виртуальных хранилищах) в защищённом виде, исключающем их извлечение из устройства или несанкционированное использование.

Важной особенностью облачной ЭП  является возможность, путем встраивания DSS Web Service API в прикладную систему Заказчика, формировать удобную для него программную архитектуру для работы с облачной ЭП, а также масштабировать систему с учетом роста и развития бизнеса.

В результате пользователь может производить операции как через свой личный кабинет на DSS Web Server, а так и через программный интерфейс рабочего приложения со встроенным DSS Web Service API.

В обоих случаях вход пользователя производится с помощью двухфакторной аутентификации: ввода логина и пароля, полученных при регистрации (проверка идет через Сервер идентификации заказчика) и следующего за этим ввода дополнительного пароля, например из sms-сообщения (проверка через DSS Identity Service).

В личном кабинете или программном интерфейсе приложения пользователь:

— генерирует ключи ЭП нужного формата путем нажатия соответствующей кнопки (в качестве хранилища ключей используется модуль HSM, а в качестве менеджера ключей DSS Key Manager);

— делает запрос в Удостоверяющий центр (УЦ) на получение сертификата ЭП;

— производит подписание документов через рабочие приложения, используя облачную ЭП.

Упрощённая схема взаимодействия при регистрации пользователя:

Упрощённая схема взаимодействия при подписании документа:

2 Сервис централизованного хранения и удаленного использования ключей ЭП (сервис облачной ЭП).

Сервис облачной ЭП, предоставляемый ЗАО «Сигнал-КОМ», позволяет пользователю передать процедуру подписания документов на аутсорсинг, подключив свою информационную систему через защищенную точку доступа к основным компонентам данного сервиса:

• сервер электронной подписи Signal-COM DSS Server;
• хранилище ключей электронной подписи Signal-COM HSM;
• достоверяющий центр Notary-PRO;
• сервер штампов времени Signal-COM TSP Server.

При создании электронной подписи в сервисе предусмотрено использование двухфакторной аутентификации.

Если не предусмотрено каких-либо особых условий взаимодействия, то предприятие-заказчик при использовании сервиса облачной ЭП будет платить только за каждый подписанный документ.

Такой вариант подойдет тем предприятиям, которые хотели бы использовать преимущества централизованного хранения и удаленного использования ключей ЭП (облачной ЭП) в своих прикладных системах и сервисах, но не планирует приобретать дорогостоящее ПО, нанимать высокооплачиваемых специалистов и заниматься технической поддержкой клиентов.

3. Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись).

В случаях, когда ЭП подпись используется пользователями однократно, например, для подписания электронного аналога ПТС (электронного паспорта) при покупке/продаже а/м и т.п., целесообразно использование «сессионной» ЭП.

Сессионная ЭП формируется с помощью DSS Key Manager (после внесения оператором необходимой информации о пользователе), который обеспечивает генерацию уникальной ключевой пары (ключа ЭП и ключа проверки ЭП), формирование запроса в УЦ на сертификат ключа проверки ЭП и уничтожения ключевой пары после подписания пользователем документа.

Главным достоинством такого решения является отказ от долговременного хранения секретных ключей пользователей в HSM и, как следствие, снижение стоимости всего решения с сохранением высокой степени безопасности.

На рисунке ниже схематично представлена типичная схема создания ЭП в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг.