Сервер создания и проверки электронной подписи «Signal-COM DSS Server»

Реализовано с использованием СКЗИ «Signal-COM JCP 3.1»
(варианты исполнения 1, 2).
Сертификаты ФСБ России СФ/114-3753 и СФ/124-3754 от 18 Сентября 2019 г.

Программный продукт Signal-COM DSS Server представляет собой специализированный сервер электронной подписи, реализующий стандарт OASIS Digital Signature Service, и предназначен для выполнения операций создания и проверки электронных подписей.

Основные характеристики Signal-COM DSS Server:
• выполнен в виде Java EE приложения и может исполняться на любом сервере приложений, поддерживающем спецификацию JAX-WS 2.2 и выше;
• предоставляет программный интерфейс по протоколу SOAP;
• реализует следующие протоколы электронной подписи:

— CMS в соответствии с RFC 5652, RFC 4490 и рекомендациями ТК 26,
— XMLDSig в соответствии с рекомендациями W3C и ТК 26;

• реализует следующие алгоритмы электронной подписи:

— ГОСТ Р 34.10-2012,
— ГОСТ Р 34.10-2001 (только проверка электронной подписи),
— RSA;

• позволяет добавлять в подпись штампы времени в соответствии с RFC 5126 и RFC 3161;
• использует сертификаты ключей проверки электронной подписи и списки отозванных сертификатов (CRL) в формате ITU-T X.509 в соответствии с RFC 3280, RFC 4491 и рекомендациями ТК 26;
• при проверке статуса сертификатов может использовать протокол OCSP.

Варианты использования Signal-COM DSS Server:

1. Создание электронной подписи в «облаке»

При создании электронной подписи с использованием облачного сервиса применяется схема централизованного хранения ключей ЭП пользователей в специальном аппаратном модуле (HSM), отвечающем за сохранность ключей на протяжении всего жизненного цикла.

Электронная подпись нужного формата формируется на сервере электронной подписи (DSS), который использует в качестве хранилища ключей HSM.

Удалённые пользователи могут получать доступ к услуге электронной подписи, пользуясь веб-приложением, не содержащим реализации криптографических функций. При этом веб-приложение может исполняться как на настольном персональном компьютере, так и на планшете или смартфоне.

Пример упрощенной схемы создания электронной подписи в «облаке» при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания (ДБО):

  1. Удалённый пользователь в веб-приложении, загружаемом с сервера ДБО, заполняет форму, данные которой необходимо заверить электронной подписью, и нажимает кнопку «Подписать».

  2. Сервер ДБО перенаправляет пользователя на сервер аутентификации (IdP), где выполняется его идентификация и аутентификация*. После её проведения сервер аутентификации выдаёт (или не выдаёт) пользователю заверенное разрешение на допуск к серверу подписи.

  3. Веб-приложение пользователя передаёт данные формы вместе с разрешением на допуск серверу подписи (DSS). Сервер подписи создаёт электронную подпись для данных формы, взаимодействуя с аппаратным хранилищем ключей подписи пользователей (HSM).

  4. Веб-приложение пользователя перенаправляет электронную подпись на сервер ДБО, где производится её проверка и обработка данных формы.

В ходе реализации конкретных проектов отдельные компоненты, приведённые на схеме, могут объединяться (например, сервер подписи и сервер аутентификации или сервер ДБО и сервер аутентификации).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.


* — Методы аутентификации пользователей могут быть самыми разными, например, двухфакторная аутентификация с использованием одноразового пароля (OTP). Этот пароль может передаваться пользователю по SMS, либо генерироваться OTP-токеном или специальной программой генерации одноразовых паролей.

2. Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись)

Пользователь может создавать юридически значимые электронные подписи не имея долговременных ключей ЭП и квалифицированного сертификата. Для этого он может воспользоваться услугами сервиса по созданию ЭП в «облаке» с применением временных (одноразовых) ключей.

Удалённые пользователи могут получать доступ к услуге электронной подписи, обратившись к оператору веб-сервера ЭП. Веб-сервер ЭП является доверенным посредником между пользователем, удостоверяющим центром и сервером создания ЭП, а также обеспечивает отправку подписанных документов на сервер услуг.

Пример упрощенной схемы создания электронной подписи в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг:

  1. Пользователю необходимо направить документ с электронной подписью на сервер услуг (это может быть, например, Росреестр, ПФР и т.  д.). Для этого он предоставляет оператору удостоверение личности, а также данные, необходимые для заполнения документа. Оператор идентифицирует пользователя.

  2. Оператор на основании предоставленного пользователем удостоверения личности и документов заполняет форму в веб-приложении и нажимает кнопку «Создать сертификат и подписать».

  3. Приложение на веб-сервере посылает команду на создание ключей серверу создания ЭП (DSS). Сервер ЭП создаёт ключи и запрос на сертификат открытого ключа ЭП.

  4. Приложение на веб-сервере, взаимодействуя по защищённому каналу с аккредитованным УЦ, получает сертификат открытого ключа ЭП на имя пользователя.

  5. Приложение на веб-сервере формирует команду на создание ЭП и последующее уничтожение ключа ЭП.

  6. Приложение веб-сервера осуществляет отправку документа и электронной подписи на сервер услуг, где производится проверка ЭП и обработка документа. Как альтернатива, подписанный ЭП документ может быть скопирован пользователю на электронный носитель (флешку).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.

3. Проверка и создание ЭП с использованием сервера электронной подписи

Сервер электронной подписи (DSS) может использоваться в любой прикладной системе, где требуется заверение с помощью ЭП документов произвольного формата и содержания.

При этом DSS может использоваться как для проверки, так и для создания ЭП. Формат подписи – CMS или XMLDSig.

При проверке или создании в ЭП могут быть добавлены штампы времени (согласно протоколам TSPCAdES).

При построении цепочки и проверке сертификата открытого ключа ЭП сервер DSS может пользоваться сетевыми справочниками (LDAP) и службами проверки актуального статуса сертификата (OCSP).

Помимо проверки ЭП пользователей DSS может применяться для создания ЭП под электронными документами при взаимодействии с внешними системами и/или с пользователем.

Пример упрощенной схемы проверки электронной подписи при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания:

  1. Пользователь формирует документы для отправки и выполняет операцию подписания с помощью локального средства ЭП (ключ электронной подписи хранится на локальном носителе, например, на токене). Документы с подписью отправляются в систему ДБО.

  2. Система ДБО отправляет полученные электронные документы с подписью на проверку. Сервер подписи (DSS) осуществляет проверку ЭП, используя связи со справочниками и онлайновыми службами УЦ. По результатам проверки DSS формирует протокол проверки. В процессе проверки в подпись могут быть добавлены штампы времени, продлевающие время жизни ЭП.

Стоимость лицензии на право использования Signal-COM DSS Server на одном сервере – 450 000 руб.
Годовая техническая поддержка – 12% от стоимости ПО.
Гарантийное обслуживание — 1 год.