Варианты использования DSS сервера

 Создание электронной подписи в «облаке»

При создании электронной подписи с использованием облачного сервиса применяется схема централизованного хранения ключей ЭП пользователей в специальном аппаратном модуле (HSM), отвечающем за сохранность ключей на протяжении всего жизненного цикла.

Электронная подпись нужного формата формируется на сервере электронной подписи (DSS), который использует в качестве хранилища ключей HSM.

Удалённые пользователи могут получать доступ к услуге электронной подписи, пользуясь веб-приложением, не содержащим реализации криптографических функций. При этом веб-приложение может исполняться как на настольном персональном компьютере, так и на планшете или смартфоне.

Пример упрощенной схемы создания электронной подписи в «облаке» при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания (ДБО):

  1. Удалённый пользователь в веб-приложении, загружаемом с сервера ДБО, заполняет форму, данные которой необходимо заверить электронной подписью, и нажимает кнопку «Подписать».

  2. Сервер ДБО перенаправляет пользователя на сервер аутентификации (IdP), где выполняется его идентификация и аутентификация*. После её проведения сервер аутентификации выдаёт (или не выдаёт) пользователю заверенное разрешение на допуск к серверу подписи.

  3. Веб-приложение пользователя передаёт данные формы вместе с разрешением на допуск серверу подписи (DSS). Сервер подписи создаёт электронную подпись для данных формы, взаимодействуя с аппаратным хранилищем ключей подписи пользователей (HSM).

  4. Веб-приложение пользователя перенаправляет электронную подпись на сервер ДБО, где производится её проверка и обработка данных формы.

В ходе реализации конкретных проектов отдельные компоненты, приведённые на схеме, могут объединяться (например, сервер подписи и сервер аутентификации или сервер ДБО и сервер аутентификации).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.


* — Методы аутентификации пользователей могут быть самыми разными, например, двухфакторная аутентификация с использованием одноразового пароля (OTP). Этот пароль может передаваться пользователю по SMS, либо генерироваться OTP-токеном или специальной программой генерации одноразовых паролей.

Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись)

Пользователь может создавать юридически значимые электронные подписи не имея долговременных ключей ЭП и квалифицированного сертификата. Для этого он может воспользоваться услугами сервиса по созданию ЭП в «облаке» с применением временных (одноразовых) ключей.

Удалённые пользователи могут получать доступ к услуге электронной подписи, обратившись к оператору веб-сервера ЭП. Веб-сервер ЭП является доверенным посредником между пользователем, удостоверяющим центром и сервером создания ЭП, а также обеспечивает отправку подписанных документов на сервер услуг.

Пример упрощенной схемы создания электронной подписи в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг:

  1. Пользователю необходимо направить документ с электронной подписью на сервер услуг (это может быть, например, Росреестр, ПФР и т.  д.). Для этого он предоставляет оператору удостоверение личности, а также данные, необходимые для заполнения документа. Оператор идентифицирует пользователя.

  2. Оператор на основании предоставленного пользователем удостоверения личности и документов заполняет форму в веб-приложении и нажимает кнопку «Создать сертификат и подписать».

  3. Приложение на веб-сервере посылает команду на создание ключей серверу создания ЭП (DSS). Сервер ЭП создаёт ключи и запрос на сертификат открытого ключа ЭП.

  4. Приложение на веб-сервере, взаимодействуя по защищённому каналу с аккредитованным УЦ, получает сертификат открытого ключа ЭП на имя пользователя.

  5. Приложение на веб-сервере формирует команду на создание ЭП и последующее уничтожение ключа ЭП.

  6. Приложение веб-сервера осуществляет отправку документа и электронной подписи на сервер услуг, где производится проверка ЭП и обработка документа. Как альтернатива, подписанный ЭП документ может быть скопирован пользователю на электронный носитель (флешку).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.

Проверка и создание ЭП с использованием сервера электронной подписи

Сервер электронной подписи (DSS) может использоваться в любой прикладной системе, где требуется заверение с помощью ЭП документов произвольного формата и содержания.

При этом DSS может использоваться как для проверки, так и для создания ЭП. Формат подписи – CMS или XMLDSig.

При проверке или создании в ЭП могут быть добавлены штампы времени (согласно протоколам TSPCAdES).

При построении цепочки и проверке сертификата открытого ключа ЭП сервер DSS может пользоваться сетевыми справочниками (LDAP) и службами проверки актуального статуса сертификата (OCSP).

Помимо проверки ЭП пользователей DSS может применяться для создания ЭП под электронными документами при взаимодействии с внешними системами и/или с пользователем.

Пример упрощенной схемы проверки электронной подписи при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания:

  1. Пользователь формирует документы для отправки и выполняет операцию подписания с помощью локального средства ЭП (ключ электронной подписи хранится на локальном носителе, например, на токене). Документы с подписью отправляются в систему ДБО.

  2. Система ДБО отправляет полученные электронные документы с подписью на проверку. Сервер подписи (DSS) осуществляет проверку ЭП, используя связи со справочниками и онлайновыми службами УЦ. По результатам проверки DSS формирует протокол проверки. В процессе проверки в подпись могут быть добавлены штампы времени, продлевающие время жизни ЭП.

Стоимость системы облачной электронной подписи от компании «Сигнал-КОМ» определяется двумя составляющими: стоимость программно-аппаратного комплекса (ПАК) «Signal-COM DSS Server v. 1.0» плюс стоимость лицензий на регистрацию пользователей. Стоимость ПАК «Signal-COM DSS Server v. 1.0» составляет 800 000 руб. Стоимость лицензии на регистрацию пользователей (N*S) определяется числом пользователей и ценой регистрации 1-го пользователя (S) в соответствии со следующей таблицей:

Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 1 — 249 250 — 499 500 — 999 1000 — 1999 2000 — 2999 3000 — 3999 4000 — 4999 5000 — 6999
Стоимость регистрации 1-го пользователя, руб. 400 320 250 200 160 130 115 105
Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 7000 — 9999 10000 — 14999 15000 — 19999 20000 — 29999 30000 — 49999 50000 — 74999 75000 — 99999 от 1000000
Стоимость регистрации 1-го пользователя, руб. 95 85 80 75 70 65 62 60

Примечания
  1. Если требуется повышение производительности сервера электронной подписи, необходима кластеризация «Signal-COM DSS Server v. 1.0». В этом случае лицензия «Signal-COM DSS Server v. 1.0» на одном дополнительном сервере стоит 800 000 руб.
  2. Возможен вариант специфического упрощенного применения сервера электронной подписи «Signal-COM DSS Server» при использовании пользователями ключей ЭП на съемных ключевых носителях (токенах и смарт-картах) с установленным в браузере плагином. В этом случае ПАК «Signal-COM HSM» не требуется, не нужна и вторичная аутентификация пользователя, т.к. дополнительным фактором аутентификации служит съемный ключевой носитель и ключ ЭП, защищенный индивидуальным ПИН-кодом на ключевом контейнере. Необходимым остается только приобретение серверной лицензия «Signal-COM DSS Server v. 1.0», которая стоит 450 000 руб. независимо от числа пользователей.
  3. Возможен вариант однократного кратковременного использования ЭП пользователями (подписание заявления при переходе из ПФР РФ в НПФ, подписание электронного аналога ПТС при покупке/продаже а/м, оформление заявок в Росреестр, оформление потребительского кредита и т.п.). В этом случае можно использовать «сессионную» ЭП, ключ которой сразу же уничтожается после завершения сделки. Главным достоинством такого решения является отказ от долговременного хранения секретных ключей пользователей в HSM и, как следствие, снижение стоимости всего решения.
Цены на обслуживание «Signal-COM DSS Server v. 1.0» в режиме сервиса

Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 1 — 249 250 — 499 500 — 999 1000 — 1999 2000 — 2999 3000 — 3999 4000 — 4999 5000 — 6999
Стоимость годовой регистрации 1-го пользователя в DSS, руб. 230 190 150 110 90 75 65 55
Стоимость одной ЭП, руб. 19 18,5 18 17 16 15 14 13
Наименование Цена за один экземпляр для конечного пользователя, рубли
Число пользователей 7000 — 9999 10000 — 14999 15000 — 19999 20000 — 29999 30000 — 49999 50000 — 74999 75000 — 99999 от 1000000
Стоимость годовой регистрации 1-го пользователя в DSS, руб. 45 35 25 20 15 10 8 6
Стоимость одной ЭП, руб. 12 11 10 9 8 7 6 5
Доступ оператора к инфраструктуре – 21 000 руб./квартал