Продукты >> Облачные технологии электронной подписи >>Варианты использования DSS сервера
Варианты использования DSS сервера

Варианты использования DSS сервера для организации работы с электронной подписью в облаке

 Создание электронной подписи в «облаке»

При создании электронной подписи с использованием облачного сервиса применяется схема централизованного хранения ключей ЭП пользователей в специальном аппаратном модуле (HSM), отвечающем за сохранность ключей на протяжении всего жизненного цикла.

Электронная подпись нужного формата формируется на сервере электронной подписи (DSS), который использует в качестве хранилища ключей HSM.

Удалённые пользователи могут получать доступ к услуге электронной подписи, пользуясь веб-приложением, не содержащим реализации криптографических функций. При этом веб-приложение может исполняться как на настольном персональном компьютере, так и на планшете или смартфоне.

Пример упрощенной схемы создания электронной подписи в «облаке» при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания (ДБО):

  1. Удалённый пользователь в веб-приложении, загружаемом с сервера ДБО, заполняет форму, данные которой необходимо заверить электронной подписью, и нажимает кнопку «Подписать».

  2. Сервер ДБО перенаправляет пользователя на сервер аутентификации (IdP), где выполняется его идентификация и аутентификация*. После её проведения сервер аутентификации выдаёт (или не выдаёт) пользователю заверенное разрешение на допуск к серверу подписи.

  3. Веб-приложение пользователя передаёт данные формы вместе с разрешением на допуск серверу подписи (DSS). Сервер подписи создаёт электронную подпись для данных формы, взаимодействуя с аппаратным хранилищем ключей подписи пользователей (HSM).

  4. Веб-приложение пользователя перенаправляет электронную подпись на сервер ДБО, где производится её проверка и обработка данных формы.

В ходе реализации конкретных проектов отдельные компоненты, приведённые на схеме, могут объединяться (например, сервер подписи и сервер аутентификации или сервер ДБО и сервер аутентификации).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.


* - Методы аутентификации пользователей могут быть самыми разными, например, двухфакторная аутентификация с использованием одноразового пароля (OTP). Этот пароль может передаваться пользователю по SMS, либо генерироваться OTP-токеном или специальной программой генерации одноразовых паролей.

Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись)

Пользователь может создавать юридически значимые электронные подписи не имея долговременных ключей ЭП и квалифицированного сертификата. Для этого он может воспользоваться услугами сервиса по созданию ЭП в «облаке» с применением временных (одноразовых) ключей.

Удалённые пользователи могут получать доступ к услуге электронной подписи, обратившись к оператору веб-сервера ЭП. Веб-сервер ЭП является доверенным посредником между пользователем, удостоверяющим центром и сервером создания ЭП, а также обеспечивает отправку подписанных документов на сервер услуг.

Пример упрощенной схемы создания электронной подписи в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг:

  1. Пользователю необходимо направить документ с электронной подписью на сервер услуг (это может быть, например, Росреестр, ПФР и т.  д.). Для этого он предоставляет оператору удостоверение личности, а также данные, необходимые для заполнения документа. Оператор идентифицирует пользователя.

  2. Оператор на основании предоставленного пользователем удостоверения личности и документов заполняет форму в веб-приложении и нажимает кнопку «Создать сертификат и подписать».

  3. Приложение на веб-сервере посылает команду на создание ключей серверу создания ЭП (DSS). Сервер ЭП создаёт ключи и запрос на сертификат открытого ключа ЭП.

  4. Приложение на веб-сервере, взаимодействуя по защищённому каналу с аккредитованным УЦ, получает сертификат открытого ключа ЭП на имя пользователя.

  5. Приложение на веб-сервере формирует команду на создание ЭП и последующее уничтожение ключа ЭП.

  6. Приложение веб-сервера осуществляет отправку документа и электронной подписи на сервер услуг, где производится проверка ЭП и обработка документа. Как альтернатива, подписанный ЭП документ может быть скопирован пользователю на электронный носитель (флешку).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.

Проверка и создание ЭП с использованием сервера электронной подписи

Сервер электронной подписи (DSS) может использоваться в любой прикладной системе, где требуется заверение с помощью ЭП документов произвольного формата и содержания.

При этом DSS может использоваться как для проверки, так и для создания ЭП. Формат подписи – CMS или XMLDSig.

При проверке или создании в ЭП могут быть добавлены штампы времени (согласно протоколам TSP, CAdES).

При построении цепочки и проверке сертификата открытого ключа ЭП сервер DSS может пользоваться сетевыми справочниками (LDAP) и службами проверки актуального статуса сертификата (OCSP).

Помимо проверки ЭП пользователей DSS может применяться для создания ЭП под электронными документами при взаимодействии с внешними системами и/или с пользователем.

Пример упрощенной схемы проверки электронной подписи при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания:

  1. Пользователь формирует документы для отправки и выполняет операцию подписания с помощью локального средства ЭП (ключ электронной подписи хранится на локальном носителе, например, на токене). Документы с подписью отправляются в систему ДБО.

  2. Система ДБО отправляет полученные электронные документы с подписью на проверку. Сервер подписи (DSS) осуществляет проверку ЭП, используя связи со справочниками и онлайновыми службами УЦ. По результатам проверки DSS формирует протокол проверки. В процессе проверки в подпись могут быть добавлены штампы времени, продлевающие время жизни ЭП.