Продукты >> Облачные технологии >>Сессионная облачная электронная подпись
Сессионная облачная электронная подпись

Одной из проблем при внедрении технологий облачной электронной подписи (ЭП)  является ее стоимость. Обычно, облачное решение включает в себя сервер аутентификации, сервер подписи (DSS) и модуль для формирования и хранения неизвлекаемых ключей (HSM), при этом основные затраты при покупке приходятся на последний.

В случаях, когда электронная подпись используется пользователями какой-либо информационной системы однократно либо периодически, например, для подписания заявления при переходе из ПФР РФ в НПФ или для подписания электронного аналога ПТС при покупке/продаже а/м и т.п., стоимость решения может быть снижена за счет использования «сессионной» электронной подписи.

Сессионная ЭП используется для подписания группы документов и формируется на основе уникального сессионного секретного ключа пользователя для которого, в рамках той же сессии в Удостоверяющем Центре (УЦ) изготавливается сертификат.  При этом, после подписания секретный ключ пользователя удаляется из памяти компьютера.

В состав описанного решения входят следующие компоненты:

  • Digital Signature Service (DSS) для создания электронной подписи;
  • DSS Key Manager для создания ключевой пары (ключа ЭП и ключа проверки ЭП), формирования запроса на сертификат ключа проверки ЭП и уничтожения ключевой пары;
  • Software Security Module (SSM) для безопасного хранения ключей ЭП.

Главным достоинством такого решения является отказ от долговременного хранения секретных ключей пользователей в HSM и, как следствие, снижение стоимости всего решения с сохранением высокой степени безопасности.

Если говорить о быстродействии, то при  использовании ПО  УЦ Notary-PRO, разработки ЗАО «Сигнал-КОМ», обеспечивается производительность на уровне изготовления до 350 сертификатов в минуту, при этом скорость подписания документов с использованием сессионной ЭП составляет порядка 18 документов в секунду, при размере документа не превышающем 4 МБ.

Архитектура предлагаемого решения изображена на рисунке:

Функции компонента DSS Key Manager:

  • создание ключевой пары (ключа ЭП и ключа проверки ЭП);
  • формирование запроса на сертификат ключа проверки ЭП в формате PKCS#10 (RFC 2986);
  • уничтожение ключевой пары.

Функции компонента Digital Signature Service (DSS):

  • создание ЭП в формате CMS.

Функции компонента CMC PHP Extension:

  • создание запроса на сертификат ключа проверки ЭП в формате CMC (RFC 5272).

Функции компонента Notary-PRO Web Service:

  • приём запроса на сертификацию ключа проверки ЭП;
  • взаимодействие с УЦ;
  • выдача сертификата ключа проверки ЭП, созданного УЦ.

Бизнес-логика реализуется в Сервере Заказчика (на рис - Сервер), который обращается к перечисленным выше компонентам в нужной последовательности:

  1. создание ключевой пары (DSS Key Manager);
  2. формирование запроса на сертификат ключа проверки ЭП в формате PKCS#10 (DSS Key Manager);
  3. создание запроса на сертификат ключа проверки ЭП в формате CMC (CMC PHP Extension);
  4. отправка в УЦ запроса на сертификат ключа проверки ЭП (Notary-PRO Web Service);
  5. получение сертификата ключа проверки ЭП, изготовленного УЦ (Notary-PRO Web Service);
  6. создание ЭП (DSS);
  7. уничтожение ключевой пары (DSS Key Manager).

Взаимодействие Сервера Заказчика с компонентами DSS Key Manager, DSS и Notary-PRO Web Service осуществляется по протоколу SOAP поверх HTTP.

Безопасность решения основывается на следующих положениях:

  1. Сервер Заказчика является единственным "пользователем", имеющим доступ к компонентам DSS Key Manager, DSS и Notary-PRO Web Service;
  2. Взаимодействие Сервера Заказчика с компонентами DSS Key Manager, DSS и Notary-PRO Web Service защищается TLS с двухсторонней аутентификацией;
  3. Ключи ЭП не сохраняются в долговременном хранилище.

Достоинства предлагаемого решения:

  • возможности развития - DSS может быть дополнен компонентом HSM, обеспечивающим долговременное безопасное хранение ключей ЭП, без внесения существенных изменений в ПО сервера Заказчика;
  • отсутствие компонентов, проектируемых и реализуемых по специальным требованиям конкретной прикладной системы.

При желании Заказчика возможна доработка и поставка компонета Сервер Заказчика в соответствии с его техническими требованиями.

Подробное ТКП предоставляется по запросу на e-mail: signal@signal-com.ru