Принципы работы с облачной подписью

Облачные технологии электронной подписи:

Облачная технология электронной подписи (ЭП) является новым направлением разработки средств криптографической защиты информации (СКЗИ), приложений и сервисов на их основе. Технология предназначена для применения усиленной (в т.ч. квалифицированной) ЭП в системах электронного документооборота (ЭДО) при обмене юридически значимыми электронными документами между организациями и физическими лицами.

 

Облачная технология ЭП реализует следующие основные функции:

  1. Создание и проверка ЭП основных форматов криптографических сообщений CMS и XMLDSig на базе сервера электронной подписи «Signal-COM DSS Server».
  2. Создание и «облачное» хранение ключей ЭП с использованием специального защищённого программно-аппаратного комплекса (ПАК) «SignalCOM HSM».
  3. Многофакторная аутентификация пользователей с использованием различных технологий.
  4. Интеграция с Удостоверяющими центрами на базе УЦ «Notary-PRO, v. 2.x» для получения и управления сертификатами (в т.ч. квалифицированными) ключей проверки ЭП.
  5. Интеграция с различными прикладными информационными системами, в т.ч. системами дистанционного банковского обслуживания (ДБО).

 Основными достоинствами облачной технологии ЭП по сравнению с традиционными криптографическими технологиями являются:

  1. Отсутствие необходимости в установке клиентской части СКЗИ или средств ЭП (пользователю необходим только веб-браузер), что позволяет обеспечить работу пользователя с любого устройства с любой аппаратной платформой и любой операционной системой, где есть веб-браузер.
  2. Снижение стоимости развертывания и владения (значительно упрощается техническая поддержка) инфраструктурой ЭП, т.к. нет необходимости установки и использования средств ЭП на каждое рабочее место пользователя (включая криптографические USB-токены и смарт карты), а управление всей инфраструктурой сосредоточено на сервере.
  3. Снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения в ПАК «SignalCOM HSM».
  4. Лёгкость встраивания функций создания ЭП в прикладные информационные системы за счёт наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов (API), включая SOAP и REST.
  5. Использование процедуры надёжной многофакторной аутентификации для доступа пользователя к своим ключам.

 

Важной особенностью сервиса облачной электронной подписи компании Сигнал-КОМ является возможность ее развёртывания в различных операционных системах (мультиплатформенность).

 

Подключение к облачной технологии ЭП возможно двумя способами:

  1. Приобретение готового решения ПАК «Signal —COM DSS» + ПАК «Signal –COM HSM» с последующей реализацией проекта его подключения к информационной системе заказчика.
  2. Подключение к сервису облачной ЭП, предоставляемый компанией «Сигнал-КОМ» (процедура подписания документов передается на аутсорсинг с подключением информационной системы пользователя через защищенную точку доступа оператора к основным компонентам облачной технологии ЭП). В рамках сервиса, при подписании возможен режим с шифрованием хэш-функций (с отображением минимального набора числовых параметров для визуализации подписей), что обеспечивает конфиденциальность подписываемых документов по отношению к владельцу сервиса.

 Типовая схема построения сервиса облачной электронной подписи представлена на рисунке 1:

 

 

Рисунок 1. Общая схема  построения сервиса облачной подписи

 

 

Типовые сценарии применения облачной технологии ЭП

 

1.               Подключение Пользователя к системе электронного документооборота (СЭД) для получения/обновления сертификата ключа проверки ЭП с использованием сервиса SMS (см. рисунок 2).

           Основные шаги получения сертификата ЭП:

  1. Клиент регистрируется в системе электронного документооборота (СЭД), через оператора  СЭД, предоставляя необходимый набор документов для регистрации в системе.
  2. Клиент в интерфейсе СЭД отправляет запрос на изготовление сертификата ЭП и создания закрытого ключа в ПАК «Signal-COM HSM». По протоколам SOAP/REST данная информация передается в ПАК «Signal-COM DSS».
  3. ПАК «Signal-COM DSS»  через сервер аутентификации формирует запрос на создание ПИН кода для доступа к контейнеру с закрытым ключом, формирует одноразовый SMS код для подтверждения легитимности операции и далее формирует  запрос на создание сертификата ЭП.
  4. ПАК «Signal-COM DSS»  взаимодействуя с ПАК «SignalCOM HSM», формирует ключи ЭП и запрос на сертификат ЭП.
  5. ПАК «Signal-COM DSS»  по защищенному каналу связи передает запрос на сертификат ЭП в УЦ.
  6. Изготовленный в УЦ сертификат ЭП клиента передается через ПАК «Signal-COM DSS»  в личный кабинет клиента СЭД.

Рисунок 2. Процесс получения/обновления сертификата ЭП

2.               Подписание электронного документа при подключении через web-интерфейс с использованием сервиса SMS рассылок (См.   рисунок 3).

 

  Процесс подписи электронного документа:

  1. Клиент подгружает в СЭД необходимый для подписания электронный документ.
  2. В интерфейсе СЭД клиент выбирает функцию подписать документ, т.о. отправляя документ на подпись в ПАК «Signal-COM DSS»  по протоколу SOAP/REST.
  3. ПАК «Signal-COM DSS»  отправляет запрос ввода ПИН кода для доступа к контейнеру с закрытым ключом.
  4. ПАК «Signal-COM DSS»  формирует одноразовый SMS код для подтверждения легитимности операции.
  5. ПАК «SignalCOM DSS»,  взаимодействуя с ПАК «SignalCOM HSM», формирует электронную подпись под документом.
  6. ПАК «SignalCOM DSS»  передает подписанный документ в личный кабинет клиента СЭД.

 

Рисунок 3. Процесс подписи электронного документа

Стоимость системы облачной электронной подписи от компании «Сигнал-КОМ» определяется двумя составляющими: стоимость программно-аппаратного комплекса (ПАК) «Signal-COM DSS Server v. 1.0» плюс стоимость лицензий на регистрацию пользователей. Стоимость ПАК «Signal-COM DSS Server v. 1.0» составляет 800 000 руб. Стоимость лицензии на регистрацию пользователей (N*S) определяется числом пользователей и ценой регистрации 1-го пользователя (S) в соответствии со следующей таблицей:

Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 1 — 249 250 — 499 500 — 999 1000 — 1999 2000 — 2999 3000 — 3999 4000 — 4999 5000 — 6999
Стоимость регистрации 1-го пользователя, руб. 400 320 250 200 160 130 115 105
Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 7000 — 9999 10000 — 14999 15000 — 19999 20000 — 29999 30000 — 49999 50000 — 74999 75000 — 99999 от 1000000
Стоимость регистрации 1-го пользователя, руб. 95 85 80 75 70 65 62 60

Примечания
  1. Если требуется повышение производительности сервера электронной подписи, необходима кластеризация «Signal-COM DSS Server v. 1.0». В этом случае лицензия «Signal-COM DSS Server v. 1.0» на одном дополнительном сервере стоит 800 000 руб.
  2. Возможен вариант специфического упрощенного применения сервера электронной подписи «Signal-COM DSS Server» при использовании пользователями ключей ЭП на съемных ключевых носителях (токенах и смарт-картах) с установленным в браузере плагином. В этом случае ПАК «Signal-COM HSM» не требуется, не нужна и вторичная аутентификация пользователя, т.к. дополнительным фактором аутентификации служит съемный ключевой носитель и ключ ЭП, защищенный индивидуальным ПИН-кодом на ключевом контейнере. Необходимым остается только приобретение серверной лицензия «Signal-COM DSS Server v. 1.0», которая стоит 450 000 руб. независимо от числа пользователей.
  3. Возможен вариант однократного кратковременного использования ЭП пользователями (подписание заявления при переходе из ПФР РФ в НПФ, подписание электронного аналога ПТС при покупке/продаже а/м, оформление заявок в Росреестр, оформление потребительского кредита и т.п.). В этом случае можно использовать «сессионную» ЭП, ключ которой сразу же уничтожается после завершения сделки. Главным достоинством такого решения является отказ от долговременного хранения секретных ключей пользователей в HSM и, как следствие, снижение стоимости всего решения.
Цены на обслуживание «Signal-COM DSS Server v. 1.0» в режиме сервиса

Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 1 — 249 250 — 499 500 — 999 1000 — 1999 2000 — 2999 3000 — 3999 4000 — 4999 5000 — 6999
Стоимость годовой регистрации 1-го пользователя в DSS, руб. 230 190 150 110 90 75 65 55
Стоимость одной ЭП, руб. 19 18,5 18 17 16 15 14 13
Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 7000 — 9999 10000 — 14999 15000 — 19999 20000 — 29999 30000 — 49999 50000 — 74999 75000 — 99999 от 1000000
Стоимость годовой регистрации 1-го пользователя в DSS, руб. 45 35 25 20 15 10 8 6
Стоимость одной ЭП, руб. 12 11 10 9 8 7 6 5
Доступ оператора к инфраструктуре – 21 000 руб./квартал

Форма заявки на подключение к тестовому сервису облачной подписи:

Запрос на создание оператора сервиса облачной подписи:

Необходимая информация

Фамилия, имя, отчество:*

Наименование организации:*

Контактный телефон: Электронная почта:*

Нужен реальный почтовый адрес, на данный адрес может быть отправлена информация по Вашему запросу

Дополнительная информация

Дополнительная информация: 

Напишите дополнительную информацию, если требуется добавить что-либо еще.