Облачные технологии электронной подписи:

Состав:

• Сервер создания и проверки электронной подписи «Signal-COM DSS Server»
• Программно-аппаратный комплекс (ПАК)  «Signal-COM HSM»
• Сервер идентификации и контроля доступа (IDaaS) «Signal-COM Identity Server»
• Программно-аппаратный комплекс  «Signal-COM Cloud DSS»
• Мобильное приложение «MobileDSS»
• Программный компонент «Signal-COM Cloud DSS Client»

Общее описание

Облачная модульная технология «Signal-COM Cloud» предназначена для построения защищенных ИС с использованием средств двухфакторной аутентификации и электронной подписи, при этом каждый из модулей допускает самостоятельное использование, в составе других программных комплексов.

Технология «Signal-COM Cloud» обеспечивает:

• централизованное хранение ключей электронной подписи с обеспечением их защиты от компрометации и (или) несанкционированного использования;
• создание при помощи указанных ключей усиленной (в т. ч. квалифицированной) электронной подписи по поручению владельца;
• информирование владельца об использовании ключа электронной подписи и предоставление по требованию владельца истории использования ключа электронной подписи.
• единую точку входа в ИС и «Облако» на основе двухфакторной аутентификации.

Основными компонентами «Signal-COM Cloud» являются:

• ПАК «Signal-COM HSM» – программно-аппаратный криптографический модуль, предназначенный для защищённого хранения ключей электронной подписи без возможности их экспорта;
• «Signal-COM DSS Server» – сервер, реализующий протоколы электронной подписи (CMS, XMLDSig), в том числе с использованием штампов времени (CAdES, XAdES);
• «Signal-COM Identity Server»– сервер идентификации и аутентификации; поддерживает различные двухфакторные протоколы аутентификации (HOTP, TOTP, PUSH, SMS и др.); позволяет осуществлять взаимодействие с внешними доверенными серверами идентификации с использованием различных протоколов (OAuth 2.0, OpenId Connect 1.0, SAML 2.0 и др.);
• ПАК «Signal-COM Cloud DSS» (включает в себя «Signal-COM DSS Server» и  «Signal-COM DSS Identity Server») —  набор приложений и веб-сервисов, реализующих технологию облачной ЭП.
• «MobileDSS» – мобильное приложение, реализующее протокол аутентификации владельца ключа электронной подписи; обеспечивает визуализацию подписываемых данных, а также услугу неотказуемости.
• «Signal-COM Cloud DSS Client» — осуществляет защищенное взаимодействие с облачным сервером Signal-COM Cloud DSS и предназначен для работы совместно с продуктами: криптопровайдер Signal-COM CSP v. 3.3.0.0 (и новее), библиотека Message-PRO v. 5.0.0.0 (и новее), приложение Admin-PKI и др.
  
  

Упрощенная схема взаимодействия основных компонентов «Signal-COM Cloud» приведена на Рисунке 1.

Рисунок 1 – Упрощенная схема взаимодействия компонентов «Signal-COM Cloud»

Ниже приводится описание взаимодействия модулей технологии «Signal-COM Cloud» при создании облачной ЭП и варианты подключения к ней ИС

Облачная технология ЭП реализует следующие основные функции:

1. Создание и проверка ЭП основных форматов криптографических сообщений CMS и XMLDSig на базе сервера электронной подписи ПАК «Signal-COM Cloud DSS».
2. Создание и «облачное» хранение ключей ЭП с использованием специального защищённого программно-аппаратного комплекса (ПАК) «Signal-COM HSM».
   Многофакторная аутентификация пользователей с использованием различных технологий.
3. Интеграция с Удостоверяющими центрами на базе УЦ «Notary-PRO, v. 2.x» для получения и управления сертификатами (в т.ч. квалифицированными) ключей проверки ЭП.
4. Интеграция с различными прикладными информационными системами, в т.ч. системами дистанционного банковского обслуживания (ДБО).

Основными достоинствами облачной технологии ЭП по сравнению с традиционными криптографическими технологиями являются:

1. Отсутствие необходимости в установке клиентской части СКЗИ или средств ЭП (пользователю необходим только веб-браузер), что позволяет обеспечить работу пользователя с любого устройства с любой аппаратной платформой и любой операционной системой, где есть веб-браузер.
2. Снижение стоимости развертывания и владения (значительно упрощается техническая поддержка) инфраструктурой ЭП, т.к. нет необходимости установки и использования средств ЭП на каждое рабочее место пользователя (включая криптографические USB-токены и смарт карты), а управление всей инфраструктурой сосредоточено на сервере.
3. Снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения в ПАК «Signal-COM HSM».
4. Лёгкость встраивания функций создания ЭП в прикладные информационные системы за счёт наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов (API), включая SOAP и REST.
5. Использование процедуры надёжной многофакторной аутентификации для доступа пользователя к своим ключам.

Важной особенностью сервиса облачной электронной подписи компании Сигнал-КОМ является возможность ее развёртывания в различных операционных системах (мультиплатформенность). 

Подключение к облачной технологии ЭП возможно двумя способами:

1. Приобретение готового решения ПАК «Signal-COM Cloud DSS» + ПАК «Signal-COM HSM» с последующей реализацией проекта его подключения к информационной системе заказчика.
2. Подключение к сервису облачной ЭП, предоставляемый компанией «Сигнал-КОМ» (процедура подписания документов передается на аутсорсинг с подключением информационной системы пользователя через защищенную точку доступа оператора к основным компонентам облачной технологии ЭП). В рамках сервиса, при подписании возможен режим с шифрованием хэш-функций (с отображением минимального набора числовых параметров для визуализации подписей), что обеспечивает конфиденциальность подписываемых документов по отношению к владельцу сервиса.

Типовая схема построения сервиса облачной электронной подписи представлена на рисунке 1: 

Рисунок 1. Общая схема  построения сервиса облачной подписи

Типовые сценарии применения облачной технологии ЭП

1. Подключение Пользователя к системе электронного документооборота (СЭД) для получения/обновления сертификата ключа проверки ЭП с использованием сервиса SMS (см. рисунок 2).

Основные шаги получения сертификата ЭП:

1. Клиент регистрируется в системе электронного документооборота (СЭД), через оператора  СЭД, предоставляя необходимый набор документов для регистрации в системе.
2. Клиент в интерфейсе СЭД отправляет запрос на изготовление сертификата ЭП и создания закрытого ключа в ПАК «Signal-COM HSM». По протоколам SOAP/REST данная информация передается в ПАК «Signal-COM Cloud DSS».
3. ПАК «Signal-COM Cloud DSS» через сервер аутентификации формирует запрос на создание ПИН кода для доступа к контейнеру с закрытым ключом, формирует одноразовый SMS код для подтверждения легитимности операции и далее формирует  запрос на создание сертификата ЭП.
4. ПАК «Signal-COM Cloud DSS» взаимодействуя с ПАК «Signal-COM HSM», формирует ключи ЭП и запрос на сертификат ЭП.
5. ПАК «Signal-COM Cloud DSS»  по защищенному каналу связи передает запрос на сертификат ЭП в УЦ.
6. Изготовленный в УЦ сертификат ЭП клиента передается через ПАК «Signal-COM Cloud DSS» в личный кабинет клиента СЭД.

Рисунок 2. Процесс получения/обновления сертификата ЭП

Подписание электронного документа при подключении через web-интерфейс с использованием сервиса SMS рассылок (См.  рисунок 3).

Процесс подписи электронного документа:

1. Клиент подгружает в СЭД необходимый для подписания электронный документ.
2. В интерфейсе СЭД клиент выбирает функцию подписать документ, т.о. отправляя документ на подпись в ПАК «Signal-COM Cloud DSS»  по протоколу SOAP/REST.
3. ПАК «Signal-COM Cloud DSS» отправляет запрос ввода ПИН кода для доступа к контейнеру с закрытым ключом.
4. ПАК «Signal-COM Cloud DSS»  формирует одноразовый SMS код для подтверждения легитимности операции.
5. ПАК «Signal-COM Cloud DSS»,  взаимодействуя с ПАК «Signal-COM HSM», формирует электронную подпись под документом.
6. ПАК «Signal-COM Cloud DSS»  передает подписанный документ в личный кабинет клиента СЭД.

Рисунок 3. Процесс подписи электронного документа