Принципы работы с облачной подписью

Облачные технологии электронной подписи:

«Signal-COM Cloud» — облачная, модульная технология для построения защищенных ИС с использованием двухфакторной аутентификации и электронной подписи (ЭП).

Состав:

  • Сервер создания и проверки электронной подписи «Signal-COM DSS Server»
  • Программно-аппаратный комплекс (ПАК)  «Signal-COM HSM»
  • Сервер идентификации и контроля доступа (IDaaS) «Signal-COM Identity Server»
  • Программно-аппаратный комплекс  «Signal-COM Cloud DSS»
  • Мобильное приложение «Signal-COM SmartId»
  • Облачный криптопровайдер «Signal-COM CSP Cloud»

Общее описание

Облачная модульная технология «Signal-COM Cloud» предназначена для построения защищенных ИС с использованием средств двухфакторной аутентификации и электронной подписи, при этом каждый из модулей допускает самостоятельное использование, в составе других программных комплексов.

Технология «Signal-COM Cloud» обеспечивает:

  • централизованное хранение ключей электронной подписи с обеспечением их защиты от компрометации и (или) несанкционированного использования;
  • создание при помощи указанных ключей усиленной (в т. ч. квалифицированной) электронной подписи по поручению владельца;
  • информирование владельца об использовании ключа электронной подписи и предоставление по требованию владельца истории использования ключа электронной подписи.
  • единую точку входа в ИС и «Облако» на основе двухфакторной аутентификации.

Основными компонентами «Signal-COM Cloud» являются:

  • ПАК «Signal-COM HSM» – программно-аппаратный криптографический модуль, предназначенный для защищённого хранения ключей электронной подписи без возможности их экспорта;
  • «Signal-COM DSS Server» – сервер, реализующий протоколы электронной подписи (CMS, XMLDSig), в том числе с использованием штампов времени (CAdES, XAdES);
  • «Signal-COM Identity Server»– сервер идентификации и аутентификации; поддерживает различные двухфакторные протоколы аутентификации (HOTP, TOTP, PUSH, SMS и др.); позволяет осуществлять взаимодействие с внешними доверенными серверами идентификации с использованием различных протоколов (OAuth 2.0, OpenId Connect 1.0, SAML 2.0 и др.);
  • ПАК «Signal-COM Cloud DSS» (включает в себя «Signal-COM DSS Server» и  «Signal-COM DSS Identity Server») —  набор приложений и веб-сервисов, реализующих технологию облачной ЭП.
  • «Signal-COM SmartId» – мобильное приложение, реализующее протокол аутентификации владельца ключа электронной подписи; обеспечивает визуализацию подписываемых данных, а также услугу неотказуемости.
  • «Signal-COM CSP Cloud» — облачный криптопровайдер, работающий с ключами ЭП, хранящимися в облаке;  позволяет интегрировать существующие приложения с сервисом облачной ЭП без их модификации. Серверные компоненты «Signal-COM Cloud» реализованы в виде веб-сервисов и предоставляют программные интерфейсы по протоколам REST и SOAP.

Упрощенная схема взаимодействия основных компонентов «Signal-COM Cloud» приведена на Рисунке 1.

схема Signal-COM Cloud

Рисунок 1 – Упрощенная схема взаимодействия компонентов «Signal-COM Cloud»

 

Ниже приводится описание взаимодействия модулей технологии «Signal-COM Cloud» при создании облачной ЭП и варианты подключения к ней ИС

Облачная технология ЭП реализует следующие основные функции:

  1. Создание и проверка ЭП основных форматов криптографических сообщений CMS и XMLDSig на базе сервера электронной подписи ПАК «Signal-COM Cloud DSS».
  2. Создание и «облачное» хранение ключей ЭП с использованием специального защищённого программно-аппаратного комплекса (ПАК) «Signal-COM HSM».
  3. Многофакторная аутентификация пользователей с использованием различных технологий.
  4. Интеграция с Удостоверяющими центрами на базе УЦ «Notary-PRO, v. 2.x» для получения и управления сертификатами (в т.ч. квалифицированными) ключей проверки ЭП.
  5. Интеграция с различными прикладными информационными системами, в т.ч. системами дистанционного банковского обслуживания (ДБО).

 Основными достоинствами облачной технологии ЭП по сравнению с традиционными криптографическими технологиями являются:

  1. Отсутствие необходимости в установке клиентской части СКЗИ или средств ЭП (пользователю необходим только веб-браузер), что позволяет обеспечить работу пользователя с любого устройства с любой аппаратной платформой и любой операционной системой, где есть веб-браузер.
  2. Снижение стоимости развертывания и владения (значительно упрощается техническая поддержка) инфраструктурой ЭП, т.к. нет необходимости установки и использования средств ЭП на каждое рабочее место пользователя (включая криптографические USB-токены и смарт карты), а управление всей инфраструктурой сосредоточено на сервере.
  3. Снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения в ПАК «Signal-COM HSM».
  4. Лёгкость встраивания функций создания ЭП в прикладные информационные системы за счёт наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов (API), включая SOAP и REST.
  5. Использование процедуры надёжной многофакторной аутентификации для доступа пользователя к своим ключам.

 

Важной особенностью сервиса облачной электронной подписи компании Сигнал-КОМ является возможность ее развёртывания в различных операционных системах (мультиплатформенность).

 

Подключение к облачной технологии ЭП возможно двумя способами:

  1. Приобретение готового решения ПАК «Signal-COM Cloud DSS» + ПАК «Signal-COM HSM» с последующей реализацией проекта его подключения к информационной системе заказчика.
  2. Подключение к сервису облачной ЭП, предоставляемый компанией «Сигнал-КОМ» (процедура подписания документов передается на аутсорсинг с подключением информационной системы пользователя через защищенную точку доступа оператора к основным компонентам облачной технологии ЭП). В рамках сервиса, при подписании возможен режим с шифрованием хэш-функций (с отображением минимального набора числовых параметров для визуализации подписей), что обеспечивает конфиденциальность подписываемых документов по отношению к владельцу сервиса.

 Типовая схема построения сервиса облачной электронной подписи представлена на рисунке 1:

 

 

Рисунок 1. Общая схема  построения сервиса облачной подписи

 

 

Типовые сценарии применения облачной технологии ЭП

 

1.               Подключение Пользователя к системе электронного документооборота (СЭД) для получения/обновления сертификата ключа проверки ЭП с использованием сервиса SMS (см. рисунок 2).

           Основные шаги получения сертификата ЭП:

  1. Клиент регистрируется в системе электронного документооборота (СЭД), через оператора  СЭД, предоставляя необходимый набор документов для регистрации в системе.
  2. Клиент в интерфейсе СЭД отправляет запрос на изготовление сертификата ЭП и создания закрытого ключа в ПАК «Signal-COM HSM». По протоколам SOAP/REST данная информация передается в ПАК «Signal-COM Cloud DSS».
  3. ПАК «Signal-COM Cloud DSS» через сервер аутентификации формирует запрос на создание ПИН кода для доступа к контейнеру с закрытым ключом, формирует одноразовый SMS код для подтверждения легитимности операции и далее формирует  запрос на создание сертификата ЭП.
  4. ПАК «Signal-COM Cloud DSS» взаимодействуя с ПАК «Signal-COM HSM», формирует ключи ЭП и запрос на сертификат ЭП.
  5. ПАК «Signal-COM Cloud DSS»  по защищенному каналу связи передает запрос на сертификат ЭП в УЦ.
  6. Изготовленный в УЦ сертификат ЭП клиента передается через ПАК «Signal-COM Cloud DSS» в личный кабинет клиента СЭД.

Рисунок 2. Процесс получения/обновления сертификата ЭП

2.               Подписание электронного документа при подключении через web-интерфейс с использованием сервиса SMS рассылок (См.   рисунок 3).

 

  Процесс подписи электронного документа:

  1. Клиент подгружает в СЭД необходимый для подписания электронный документ.
  2. В интерфейсе СЭД клиент выбирает функцию подписать документ, т.о. отправляя документ на подпись в ПАК «Signal-COM Cloud DSS»  по протоколу SOAP/REST.
  3. ПАК «Signal-COM Cloud DSS» отправляет запрос ввода ПИН кода для доступа к контейнеру с закрытым ключом.
  4. ПАК «Signal-COM Cloud DSS»  формирует одноразовый SMS код для подтверждения легитимности операции.
  5. ПАК «Signal-COM Cloud DSS»,  взаимодействуя с ПАК «Signal-COM HSM», формирует электронную подпись под документом.
  6. ПАК «Signal-COM Cloud DSS»  передает подписанный документ в личный кабинет клиента СЭД.

 

Рисунок 3. Процесс подписи электронного документа

Форма заявки на подключение к тестовому сервису облачной подписи:

    Запрос на создание оператора сервиса облачной подписи:

    Необходимая информация

    Фамилия, имя, отчество:*

    Наименование организации:*

    Контактный телефон: Электронная почта:*

    Нужен реальный почтовый адрес, на данный адрес может быть отправлена информация по Вашему запросу

    Дополнительная информация

    Дополнительная информация: 

    Напишите дополнительную информацию, если требуется добавить что-либо еще.