ваш код активации ключа в приложении криптопро mydss
Ваш код активации ключа в приложении криптопро mydss
Раздел содержит руководство разработчика по работе с myDSS на Сервисе Управления Пользователями. В разделе приведены основные сценарии использования, примеры HTTP-запросов и ответов REST Сервиса Управления Пользователями.
Так же в разделе приведены рекомендации Администраторам по настройке DSS для реализации различных сценариев работы с myDSS.
Перед началом интеграции с Сервисом Управления Пользователями Администратору DSS необходимо:
Сценарии должны выполняться учётной записью с ролью Оператора DSS.
Аутентификация Операторов DSS на Сервисе Управления Пользователями осуществляется по сертификату (двухстороннее TLS-соединение).
Последовательность шагов по регистрации пользователя:
Регистрация логина пользователя
В качестве идентификатора (логина) пользователя могут выступать:
Внимание!
По умолчанию на DSS в качестве идентификатора разрешён только Логин.
Разрешить/запретить другие идентификаторы пользователя может Администратор DSS выполнив команду в консоли PowerShell:
Примеры запросов
Пример ответа
В ответ DSS вернёт идентификатор созданного пользователя (DssUserId). DssUserId используется при вызове любых методов Сервиса Управления Пользователями:
Вызывающая система может сохранить DssUserId. Это позволит ускорить последующие обращения к Сервису Управления Пользователями, так как не потребуется получать DssUserId повторно.
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_identifiers | Переданный идентификатор запрещённый на DSS. |
| 400 | invalid_phone | Пользователь с указанным номер телефона уже зарегистирован. |
| 400 | invalid_email | Пользователь с указанным email уже зарегистирован. |
| 400 | invalid_login | Пользователь с указанным логином уже зарегистирован. |
| 500 | An error has occurred | 1. В поле Login указан номер телефона или email. 2. Неверно сформирован email. 3. Неверно сформирован номер телефона. |
Назначение метода первичной аутентификации
После регистрации логина пользователя необходимо назначить метод первичной аутентификации. Пользователю может быть назначен один или несколько методов первичной аутентификации:
| Метод | Описание |
|---|---|
| /user/ | Только идентификация |
| /user/ | Аутентификация по паролю |
| /user/ | Аутентификация по сертификату |
| /user/ | Аутентификация через сторонний Центр Идентификации |
Чаще всего при использовании myDSS в качестве метода первичной аутентификации назначают «Только идентификация».
Внимание!
Назначаемый метод аутентификации должен быть разрешён на DSS. Включить или отключить метод аутентификации должен Администратор на сервере DSS.
Разрешить/запретить метод аутентификации можно на Сервере DSS командами:
Внимание!
Совместное включение методов idonly и password допустимо, но использоваться будет метод «Только идентификация».
Примеры запросов
Назначение метода первичной аутентификации «Только идентификация»
Пример ответа
Назначение метода аутентифиации не имеет возвращаемого значения.
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | wrong_operation | Метод аутентификации уже назначен. |
| 400 | invalid_authn_method | Метод аутентификации запрещён на сервере DSS. |
| 404 | user_not_found | Пользователь не найден. |
Получение QR-кода с ключом аутентификации myDSS
Перед назначением пользователю метода аутентификации myDSS необходимо получить QR-код, содержащий ключ аутентификации пользователя. QR-код должнен быть передан пользователю. Отсканировав QR-код пользователь загрузит ключ аутентификации в мобильное приложение myDSS.
Ключ аутентификации, передаваемый в QR-коде, может быть защищён на коде активации. Код активации передаётся пользователю в SMS или email сообщении.
Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.
Изменить длину кода активации может Администратор DSS выполнив команду в консоли PowerShell:
Примечание
Для отправки кода активации в SMS или Email Администратору необходимо подключить и настроить соответствующий модуль оповещения на сервере DSS.
Примеры запросов
В параметре UserContactInfo передаётся адрес электронной почты или номер телефона.
Если используется собственное мобильное приложение на основе PayControl SDK, то ключ аутентификации можно запросить в виде XML. Для получения ключа аутентификации в виде XML в запросе необходимо указать параметр NeedXmlKeyInfo со значением true и код активации KeyInfoPinCode
Пример ответа
Сервер возвращает следующие данные:
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_contact_info | 1. Требуется предоставить номер телефона или email для отправки кода активации. 2. Указан неверный тип данных для отправки кода активации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Попытка повторно получить QR-код. Для обнолвения ключа пользователя необходимо отправить PATCH запрос. |
| 500 | An error has occurred | 1. Метод аутентификации myDSS запрещен на сервере DSS. 2. Истекла лицензия на myDSS на сервере DSS. |
Назначение myDSS в качестве второго фактора аутентификации
После того как пользователю создан ключ аутентификации необходимо назначить метод аутентификации myDSS.
Пример запроса
Внимание!
Значение параметра level должно быть равно 1
Пример ответа
Метод не имеет возвращаемого значения.
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_authentication_scheme | Указан неверный уровень метода аутентификации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | authn_method_not_confirmed | Попытка назначить метод аутентификации не получив QR-код. |
Назначение операций, требующие подтверждения через myDSS
После получения QR-кода и назначения пользователю myDSS необходимо задать список операций требующий подтверждения с помощью myDSS.
Про типы операций, для которых можно настроить подтверждение, и их идентифкаторы можно прочитать на странице Типы Операций. В запросе необходимо перечислить коды операций, которые будет подтверждать пользователь.
Пример запроса
Пример ответа
Метод не имеет возвращаемого значения
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_authentication_scheme | Указан неверный уровень метода аутентификации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Оператору запрещено изменять список операций, требующих подтверждения. |
Обновление ключа аутентификации пользователя
Ключ аутентификации пользователя имеет ограниченный срок действия. Ключ аутентификации необходимо переодически обновлять. Процедура смены ключа аналогична получению первого ключа аутентификации
Примечание
Флаг DelayedActivation отвечает за режим активации нового ключа пользователя:
Пример запроса
Пример запроса с отложенной активацией ключа
Пример ответа
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_authentication_scheme | Указан неверный уровень метода аутентификации. |
| 404 | user_not_found | Пользователь не найден. |
| 400 | wrong_operation | Оператора запрещено изменять список операций, требующий подтверждения. |
Повторная отправка кода активации пользователю
Если ключ аутентификации уже назначен пользователю и защищён на коде активации, то можно сделать повторную отправку кода активации ключа.
Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.
В параметре UserContactInfo передаётся адрес электронной почты или номер телефона пользователя.
Пример запроса
Метод не имеет возвращаемого значения.
Пример ответа
Типовые ошибки
| HTTP-код | Ошибка | Описание |
|---|---|---|
| 400 | invalid_contact_info | 1. Нет возможности отправить вторую часть ключевой информации: не задана контактная информация пользователя. 2. Неизвестный тип контактной информации: «EmailAddrfess». |
| 400 | wrong_operation | Код активации не требуется в соответствии с настройками сервиса. |
| 404 | user_not_found | Пользователь не найден. |
Поиск пользователя
Сервис Управления пользователями предоставляет несколько возможностей поиска пользователя:
По логину, номеру телефона или email
Пример запроса
Тип ключа поиска может принимать значения (значение параметра type ):
Пример ответа
По логину пользователя во внешнем ЦИ
Пример запроса
Пример ответа
По идентификатору DssUserId
Пример запроса
Пример ответа
Расширенный поиск
Расширенный поиск позволяет применять различные фильтры для поиска пользователей. Результатом выполнения метода может быть группа пользователей, отвечающая параметрам фильтра.
Поиск пользователей можно выполнить по одному или нескольким параметрам:
| Параметр | Код | Описание |
|---|---|---|
| Login | 0 | Логин пользователя |
| PhoneNumber | 1 | Номер телефона |
| 2 | Адрес электронной почты | |
| CreateDate | 3 | Дата создания учётной записи |
| GroupId | 4 | Идентификаторы группы пользователя |
Код параметра указывается в поле Column
Операции сравнения могут быть следующих типов:
| Тип | Код | Описание |
|---|---|---|
| Equal | 0 | Строгое равенство |
| NotEqual | 1 | Не равно |
| Like | 2 | Содержит |
| Greater | 3 | Больше |
| Less | 4 | Меньше |
Код операции указывается в поле Operation
Тип cравнения Like определяет, совпадает ли указанная символьная строка с заданным шаблоном. Шаблон может включать обычные символы и символы-шаблоны. Во время сравнения с шаблоном необходимо, чтобы его обычные символы в точности совпадали с символами, указанными в строке. Символы-шаблоны могут совпадать с произвольными элементами символьной строки.
Поддерживаются следующие символы шаблоны:
| Символ-шаблон | Описание | Пример |
|---|---|---|
| % | Любая строка, содержащая ноль или более символов. | %вано% |
| (подчеркивание) | Любой одиночный символ. | _етров |
| [ ] | Любой одиночный символ, содержащийся в диапазоне ([a-f]) или наборе ([abcdef]). | [Л-С]омов |
| [^] | Любой одиночный символ, не содержащийся в диапазоне ([^a-f]) или наборе ([^abcdef]). | ‘ив[^а]% |
Параметры StartPosition и EndPosition определяют начальную и конечную позицию из итоговой выборки. Данные параметры могут быть использованы для постраничной выборки пользователей
При поиске пользователей по времени создания значение фильтра должно иметь следующий формат: yyyy-MM-ddThh:mm:ss
Вопросы о сервисе
Для вашего удобства мы подготовили ответы на вопросы, которые часто поступают от пользователей сервиса Synerdocs.
Вопрос:
Как привязать сертификат и подписывать документы с помощью приложения “MyDSS”?
Ответ:
Для подписания документов в сервисе обмена Synerdocs с помощью облачной ЭП, необходимо мобильное приложение MyDSS для смартфона под управлением Apple iOS или Google Android. Оно обеспечивает криптографическую аутентификацию пользователей КриптоПроDSS, безопасное взаимодействие, отображение документа и подтверждение операций подписания. Это позволяет соответствовать требованиям к безопасности и использовать квалифицированную электронную подпись для подписания документов по технологии DSS. Ниже содержится порядок установки и использования приложения MyDSS при работе в Synerdocs. Для того чтобы иметь возможность подписывать документы, необходимо следующее:
1. Установка приложения MyDSS.
2. Аутентификация в Synerdocs.
3. Привязка сертификата ЭП к мобильному приложению MyDSS.
После подписания или отказа в подписании документа в Synerdocs необходимо подтвердить
операцию в приложении MyDSS.
1.Установка приложения MyDSS
Для работы приложения необходимо устройство под управлением операционной системы Google Android версии 4.0 и новее или Apple iOS версии 8.0 и новее.
1.1 Установка на iOS
1. На мобильном устройстве откройте приложение APP Store.
2. В строке поиска введите «MyDSS» и нажмите кнопку поиска.
3. В результатах поиска выберите приложение «MyDSS КриптоПро», последовательно нажмите на кнопки Загрузить и Установить.
После завершения установки на экране мобильного устройства появится значок установленного приложения:
1.2 Установка на Android
1. На мобильном устройстве откройте приложение Play Маркет.
2. В строке поиска введите «MyDSS» и нажмите кнопку поиска.
3. В результатах поиска выберите приложение «MyDSS КриптоПро» и нажмите на кнопку Установить. После завершения установки на экране мобильного устройства появится значок установленного приложения:
2. Аутентификация в Synerdocs
1. Откройте браузер и перейдите на сайт веб-клиента. Откроется страница «Аутентификация».
2. На закладке «По паролю» введите логин либо адрес электронной почты и пароль.
3. Нажмите на кнопку Войти.
В результате откроется страница веб-клиента Synerdocs. При первом входе в веб-клиент откроется окно с инструкцией привязки сертификата ЭП по технологии подписания DSS к мобильному приложению MyDSS с помощью QR-кода. Привяжите сертификат к приложению MyDSS.
При необходимости QR-код доступен повторно в профиле пользователя по кнопке Привязать сертификат. После привязки пользователь сможет подписывать и отправлять документы с использованием сертификата облачной ЭП по технологии подписания DSS.
3. Запрос нового QR-кода в личном кабинете
Запрос нового QR-кода может занимать до 5 минут (в это время не рекомендуется обновлять страницу), после чего, SMS-сообщение с новым кодом для привязки приложения может прийти с задержкой до 20 минут, просьба учитывать это при отправке запроса. После отсканировать QR-код с помощью приложения на мобильном телефоне и ввести код из СМС.
4. Привязка сертификата ЭП к мобильному приложению MyDSS
1. На мобильном устройстве запустите приложение MyDSS.
2. Наведите камеру мобильного устройства на QR-код, который был получен при аутентификации в Synerdocs, и нажмите на кнопку Сканировать:
3. Укажите код активации, который был получен по СМС, а затем нажмите на кнопку Продолжить.
4. При необходимости задайте имя ключу авторизации и пароль для доступа к нему.
5. В окне с информацией о том, что ключ сохранен, нажмите на кнопку Закрыть.
В результате в мобильном приложении на вкладке «Управление ключами» появится информация о созданном ключе.
5. Подписание и отказ в подписании документов
Порядок подписания некоторых типов документов аналогичен, поэтому можно выделить группы:
Подробнее о подписании каждого типа документов см. в справке Synerdоcs, раздел «Подписание документов».
Если используется облачный сертификат ООО «Астрал-М» по технологии подписания DSS, то при подписании или отказе в подписании документа в Synerdocs операция подтверждается в мобильном приложении.
6. Подтверждение операций по подписанию/отказа в подписании документа в приложении MyDSS
Если есть операции подписания, требующие подтверждения, в приложении MyDSS отобразится уведомление об этом. Чтобы подтвердить операцию:
1. В уведомлении нажмите на кнопку Подтвердить:
2. Если при активации ключа был задан пароль, укажите его.
3. Ознакомьтесь с информацией о документе, который необходимо подписать и нажмите на кнопку Подтвердить.
4. В уведомлении об успешном подтверждении операции нажмите на кнопку Продолжить.
Ваш код активации ключа в приложении криптопро mydss
КриптоПро myDSS – это приложение для смартфона, которое позволяет подписывать квалифицированной электронной подписью документы и контролировать действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах ЭДО, электронных торговых площадках и т.д.
В основе КриптоПро myDSS лежит технология PayControl, которая обеспечивает строгую криптографическую аутентификацию пользователей, безопасное online-взаимодействие, отображение документа и подтверждение операций. Это позволяет сервису облачной электронной подписи КриптоПро DSS выполнить требования, предъявляемые регулятором к средствам электронной подписи.
Совместная разработка компаний КриптоПро и SafeTech на базе сертифицированного средства криптографической защиты КриптоПро CSP, КриптоПро DSS и системы подтверждения электронных транзакций PayControl.
Безопасность
Приложение myDSS выполняет визуализацию электронного документа и формирование подтверждения на его подписание в КриптоПро DSS.
Криптографическая аутентификация и защита канала между приложением и сервером КриптоПро DSS гарантируют, что только легальный пользователь сможет воспользоваться ключами подписи.
Ключи электронной подписи пользователей хранятся в сертифицированном КриптоПро HSM в неизвлекаемом виде.
Юридическая значимость подписи
Документ и другие действия пользователя заверяются квалифицированной электронной подписью, что обеспечивает неотказуемость действий. Пользователь не только подтверждает содержание документа, но и в дальнейшем не имеет возможности отказаться от совершенного действия.
Загрузка myDSS
Для загрузки приложения отсканируйте QR-код или перейдите по одной из ссылок ниже.
Обзор КриптоПро DSS 2.0 и мобильного приложения КриптоПро myDSS
Сертификат AM Test Lab
Номер сертификата: 238
Дата выдачи: 12.12.2018
Срок действия: 12.12.2023
Введение
Активная цифровизация общества позволяет экономить финансы, а также сокращает временные затраты. Также с каждым годом увеличивается количество услуг, которые можно выполнить в электронном виде (отправка документов в налоговую, передача платежных поручений в банк, электронная регистрация сделок по объектам недвижимости, участие в электронных торгах и т. д.), необходимо лишь иметь электронную подпись. На сегодняшний день электронная подпись является неотъемлемым атрибутом не только многих организаций, но и многих физических лиц. Но это лишь один из срезов применения электронной подписи. В крупных организациях ее часто используют для внутреннего документооборота: цифровые сертификаты являются универсальным средством строгой аутентификации, а использование ассиметричной криптографии обеспечивает надежное шифрование. С каждым днем поддержка цифровых сертификатов становится более трудоемкой и сложной задачей. Рост числа цифровых сертификатов увеличивает нагрузку на службы ИТ и ИБ, так как необходимо контролировать срок их действия, своевременно обновлять, также нужно отслеживать использование ключевых носителей (смарт-карт и токенов). Поэтому для управления (в том числе и удаленного) и хранения сертификатов и ключей подписи все чаще применяют централизованные системы, одной из которых является КриптоПро DSS.
КриптоПро DSS позволяет применять как традиционную электронную подпись, так и облачную (что обеспечивает компаниям полноценную работу с ЭП без аппаратных носителей — токенов и смарт-карт). Также КриптоПро DSS имеет мобильное приложение КриптоПро myDSS для смартфонов на базе Android и iOS, которое позволяет подписывать квалифицированной электронной подписью.
Напомним, что, согласно Федеральному закону от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», электронная подпись бывает следующих видов:
Таким образом, с помощью КриптоПро myDSS можно подписывать документы, которые будут иметь юридическую значимость. Стоит отметить, что контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП.
Общие сведения о программно-аппаратном комплексе КриптоПро DSS
В статье мы рассматриваем программно-аппаратный комплекс КриптоПро DSS, который предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ (программно-аппаратного криптографического модуля) КриптоПро HSM.
Главным преимуществом использования КриптоПро DSS является технология облачной электронной подписи. Компания КриптоПро предлагает понимать под облачной электронной подписью следующее: это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
То есть все вычислительные операции с использованием ЭП переносятся в облако, а от пользователя требуется лишь подтвердить свою личность.
В традиционном понимании, привычном для подавляющего большинства пользователей, ключ ЭП хранится у ее владельца. Например, для хранения ключа ЭП используется защищенный ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой.
Следовательно, можно сказать, что КриптоПро DSS — это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования ЭП.
КриптоПро DSS преимущественно ориентирован на крупные организации с разветвленной сетью пользователей ЭП, например, удостоверяющие центры, банки, страховые и производственно-сбытовые компании. При этом для малого и среднего бизнеса он удобен тем, что нет необходимости тратиться и внедрять ПАК КриптоПро DSS в свою инфраструктуру, т. к. компания КриптоПро предлагает «Сервис электронной подписи» на собственной инфраструктуре. При этом хранение ключей электронной подписи и реализация криптографических операций осуществляются централизованно в КриптоПро DSS и КриптоПро HSM, а установка дополнительных средств криптографической защиты информации на рабочих местах пользователей не требуется. Вся работа с КриптоПро DSS осуществляется через web-браузер или мобильное приложение myDSS.
При использовании облачной электронной подписи ключевыми вопросами являются обеспечение сохранности ключей подписи, безопасный доступ к ним, а также признание ее юридической значимости.
Тем самым, с использованием КриптоПро DSS можно формировать облачную квалифицированную электронную подпись и подписывать ей документы даже с помощью приложения для смартфона.
Помимо этого, ПАК КриптоПро DSS v. 2.0 имеет свидетельство о государственной регистрации программы для ЭВМ № 2018613440 от 14.03.2018 г.
Компания «КриптоПро» успешно завершила интеграцию КриптоПро DSS с сервисами других поставщиков услуг. В рамках сотрудничества с компанией Positive Technologies в веб-интерфейсы КриптоПро DSS и КриптоПро DSS Lite был интегрирован сервис проверки безопасности SurfPatrol.Ru для устранения рисков, связанных с уязвимостями браузера.
Компании «КриптоПро» и «Индид» завершили совместную разработку средства аутентификации и подтверждения операций электронной подписи на смартфоне пользователя, основанного на технологиях AirKey и предназначенного для работы в составе программно-аппаратного комплекса КриптоПро DSS.
Совместное решение называется КриптоПро AirKey DSS и позволяет пользователям КриптоПро DSS в удобной форме подтверждать операции с электронной подписью: мобильное приложение на смартфоне пользователя отображает подписываемый документ (как и myDSS), уведомление при появлении запроса на подпись, а также показывает детали транзакции (например, сумму и получателя денежного перевода).
Банк ВТБ запустил новый сервис для предпринимателей — онлайн-регистрацию ООО и ИП с использованием электронной подписи на мобильном телефоне. Решение реализовано при помощи сертифицированного приложения myDSS и технологии КриптоПро DSS для подписания юридически значимых документов непосредственно на смартфоне.
Компания «Аванпост» также объявила о выпуске модуля сопряжения (коннектора) Avanpost PKI (система управления сертификатами ключей и удаленного выполнения операций по созданию электронной подписи) с сервером электронной подписи КриптоПро DSS.
Функциональные возможности КриптоПро DSS
Рассмотрим основные функциональные возможностиКриптоПро DSS. В частности, ПАК КриптоПро DSS обеспечивает:
КриптоПро DSS поддерживает следующие форматы электронной подписи:
Электронная подпись создается с использованием криптографических алгоритмов в соответствии с ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
Архитектурные решения ПАК Крипто Про DSS
КриптоПро DSS предлагается в трех вариантах:
КриптоПро DSS Lite позволяет подписывать документы всех распространенных форматов на различных платформах, используя любые веб-браузеры и ключевые носители.
Гибкая модель лицензирования позволяет отказаться от покупки и установки плагинов и дополнительных приложений для подписания различных форматов документов.
Поддерживаются следующие форматы документов:
Предоставляет единую точку входа для подписания документов и управления сертификатами пользователя.
КриптоПро myDSS – это приложение для смартфона (myDSS доступен для скачивания в Google Play и App Store), которое позволяет подписывать квалифицированной электронной подписью документы и контролировать действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах ЭДО, электронных торговых площадках и т. д.
КриптоПро myDSS представляет собой совместную разработку компаний КриптоПро и SafeTech на базе программно-аппаратного комплекса облачной электронной подписи КриптоПро DSS и системы подтверждения электронных транзакций PayControl.
КриптоПро myDSS объединяет удобство и экономическую эффективность облачных технологий с максимальным уровнем безопасности, что позволяет использовать все юридические и технические свойства квалифицированной электронной подписи при построении систем онлайн-взаимодействия.
В основе КриптоПро myDSS лежит технология, которая обеспечивает строгую криптографическую аутентификацию пользователей, безопасное online-взаимодействие, отображение документа и подтверждение операций. Это позволяет сервису облачной электронной подписи КриптоПро DSS выполнить требования, предъявляемые регулятором к средствам электронной подписи.
Криптографическая аутентификация и защита канала между приложением и сервером КриптоПро DSS гарантируют, что только легальный пользователь сможет воспользоваться ключами подписи.
Ключи электронной подписи пользователей хранятся в сертифицированном КриптоПро HSM в неизвлекаемом виде.
Комплексное решение КриптоПро myDSS включает:
КриптоПро myDSS предназначен для применения в следующих сферах деятельности:
Благодаря максимальной гибкости и отсутствию ограничений на бизнес-процессы КриптоПро myDSS может применяться при автоматизации любых видов деятельности, в которых необходимо обеспечить юридическую значимость подтверждения пользователей.
ПАК Крипто Про DSS разворачивается на сервере (Сервер ЭП) и работает в связке с КриптоПро HSM. В частности, создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищенного модуля КриптоПро HSM.
КриптоПро HSM предоставляет криптографический сервис пользователям и предназначен для выполнения следующих функций: создание и проверка электронной подписи; вычисление хэш-функции; шифрование и расшифрование блоков данных; вычисление имитовставки блоков данных; генерация и защищенное хранение ключевой информации (все ключи хранятся в зашифрованном виде); управление учетными записями пользователей криптографического сервиса.
Одним из преимуществ использования КриптоПро DSS является отсутствие привязки пользователя к настроенному рабочему месту. Настройку криптографических механизмов и форматов, например, установку средства криптографической защиты (программы КриптоПро CSP), и управление ключами берут на себя серверные компоненты КриптоПро DSS. Доступ к ключу ЭП можно получить с настольного компьютера, с ноутбука, с планшета и со смартфона. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации. Варианты аутентификации пользователей для работы с КриптоПро DSS рассмотрены ниже.
Для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей применяется КриптоПро HSM, который выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных. КриптоПро HSM снабжен датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, защитой от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.
Пользователь получает доступ к своим ключам только после прохождения процедуры надежной многофакторной аутентификации в КриптоПро DSS. При этом дополнительно каждый ключевой контейнер может защищаться индивидуальным PIN-кодом, который знает и может сменить только владелец ключа электронной подписи.
Для прохождения аутентификации в КриптоПро DSS реализуются следующие способы:
Управление пользователями КриптоПро DSS осуществляется администратором (оператором), который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
КриптоПро DSS позволяет интегрировать использование сервера электронной подписи в существующие бизнес-процессы и системы (например, ЭДО, ДБО и т. д.). На рисунке 1 приведен пример того, как может быть развернут КриптоПро DSS и приведены стадии подписания электронного документа ЭП в системе электронного документооборота (ЭДО). При этом вместо ЭДО может быть и другая система, например, система дистанционного банковского обслуживания (ДБО).
Рисунок 2. Пример архитектурного решения КриптоПро DSS, интегрированного с системой ЭДО
Обеспечение отказоустойчивости и доступности
Для обеспечения отказоустойчивости компания КриптоПро предлагает использовать горячее резервирование и кластеризацию всех компонентов КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. ч. размещенные на территориально удаленных технологических площадках (резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
Продукты компании КриптоПро хорошо взаимодействуют между собой. В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр мониторинга»для мониторинга работоспособности и оперативного уведомления администраторов о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Системные требования КриптоПро DSS
КриптоПро DSS предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документом, который пользователь загружает на КриптоПро DSS. Таким образом, для работы с КриптоПро DSS пользователю необходим только веб-браузер, никаких СКЗИ или средств электронной подписи устанавливать не нужно. Благодаря этому использовать функции КриптоПро DSS можно с любого устройства с любой аппаратной платформой с любой операционной системой, где есть веб-браузер.
КриптоПро DSS поддерживает все основные операционные системы, такие как Microsoft Windows, macOS, Linux.
При этом на персональном компьютере должны отсутствовать установленные криптопровайдеры, несовместимые с КриптоПро CSP. А также должны отсутствовать установленные программные продукты, использующие КриптоПро CSP версии ниже 4.0.
Веб-браузеры, которыми пользователи могут воспользоваться для работы с КриптоПро DSS:
В процессе работы возможна перенастройка параметров безопасности обозревателя Microsoft Internet Explorer (добавление надежных узлов, разрешение выполнения сценариев ActiveX для узлов из зоны надежных). При этом могут потребоваться действия по корректированию доменной политики безопасности.
Перед началом работы с КриптоПро DSS необходимо установить расширение для браузера CryptoPro Extension for CAdES Browser Plug-in и плагин.
Мобильное приложение КриптоПро myDSS поддерживает Android 4.0 и выше, iOS 8.0 или более поздние версии.
Работа с Крипто Про DSS
Работа с КриптоПро DSS проводилась на базе тестового сервиса ЭП, предоставляемого компанией «КриптоПро».
Перед началом работы с КриптоПро DSS необходимо установить расширение для браузера (CryptoPro Extension for CAdES Browser Plug-in) и плагин. Если вы не сделаете этого до входа в КриптоПро DSS, то система после аутентификации сама предложит вам, что нужно сделать.
Рисунок 3. Установка расширения и плагина для работы с КриптоПро DSS
Для входа в веб-интерфейс пользователя КриптоПро DSS нужно пройти регистрацию или войти с уже имеющимися учетными данными.
Рисунок 4. Вход в веб-интерфейс пользователя КриптоПро DSS
После регистрации или ввода логина и пароля пользователь попадает на стартовую страницу КриптоПро DSS, на которой отображается список его сертификатов. Если у пользователя их нет, то он может либо отправить запрос на получение сертификата, либо подгрузить уже имеющийся.
Рисунок 5. Интерфейс пользователя КриптоПро DSS
Для создания запроса на сертификат необходимо в разделе «Сертификаты» нажать кнопку «Создать запрос на сертификат».
Рисунок 6. Создание запроса на сертификат в КриптоПро DSS
В появившейся форме необходимо:
1. Выбрать удостоверяющий центр.
Рисунок 7. Выбор УЦ при создании запроса на сертификат в КриптоПро DSS
2. Выбрать криптопровайдера.
Рисунок 8. Выбор криптопровайдера при создании запроса на сертификат в КриптоПро DSS
3. Заполнить поля формы.
Рисунок 9. Заполнение данных при создании запроса на сертификат в КриптоПро DSS
4. Выбрать шаблон сертификата
Рисунок 10. Заполнение данных и выбор шаблона сертификата в КриптоПро DSS
5. Задать PIN-код к закрытому ключу.
Рисунок 11. Ввод PIN-кода для доступа к закрытому ключу в КриптоПро DSS
Также доступна загрузка уже имеющегося сертификата из файла.
Рисунок 12. Загрузка файла сертификата в КриптоПро DSS
После того как мы создали запрос на сертификат или загрузили его на вкладке «Сертификаты», можно следить за статусом наших сертификатов.
Рисунок 13. Статус сертификатов в КриптоПро DSS
Теперь рассмотрим остальные возможности КриптоПро DSS.
Электронная подпись документов
В разделе «Подписать» можно формировать электронные подписи электронных документов пользователя. Но чтобы пользователь мог подписывать электронные документы, ему необходимо иметь хотя бы один действующий сертификат.
Рисунок 14. Раздел «Подписать» в КриптоПро DSS
Для формирования ЭП электронного документа нужно загрузить электронный документ, который нужно подписать, выбрать нужный формат ЭП, выбрать параметры ЭП, после чего выбрать нужный сертификат и подписать документ, при этом будет запрошен PIN-код к ключу.
Рисунок 15. Запрос PIN-кода к закрытому ключу в КриптоПро DSS
Усовершенствование электронной подписи
Раздел «Усовершенствовать подпись» предназначен для усовершенствования или дополнения ЭП до формата усовершенствованной ЭП: CAdES-T (добавление штампа времени к ЭП), CAdES-XLT1 (добавление статуса сертификата на момент подписания и штампа времени).
Рисунок 16. Раздел «Усовершенствовать подпись» в КриптоПро DSS
Шифрование электронных документов
Для адресного шифрования электронного документа нужен файл электронного документа и сертификат адресата.
Рисунок 17. Раздел «Зашифровать» в КриптоПро DSS
Для адресного шифрования электронного документа необходимо загрузить файл документа, который нужно зашифровать, после чего загрузить сертификат адресата, для которого будет шифроваться электронный документ. Нужно нажать кнопку «Зашифровать» и загрузить полученный зашифрованный электронный документ.
Рисунок 18. Шифрование документа в разделе «Зашифровать» в КриптоПро DSS
Расшифрование электронных документов
Для расшифрования электронного документа нужен зашифрованный файл электронного документа. Чтобы пользователь мог подписывать электронные документы, ему необходимо иметь хотя бы один действующий сертификат.
Рисунок 19. Раздел «Расшифровать» в КриптоПро DSS
Проверка электронной подписи
Также с помощью КриптоПро DSS можно проверить ЭП. Раздел «Проверить подпись» предназначен для проверки подписи электронных документов (присоединенная/отсоединенная, подпись данных / подпись хэш-функции). Для проверки подписи электронного документа нужен файл подписи электронного документа и файл электронного документа (для отсоединенной подписи).
Рисунок 20. Раздел «Проверить подпись» в КриптоПро DSS
Рисунок 21. Проверка подписи загруженного документа в разделе «Проверить подпись» в КриптоПро DSS
Проверка статуса сертификата
В разделе «Проверка сертификата» можно проверить статус сертификатов (действителен ли сертификат) — для этого нужен файл сертификата.
Рисунок 22. Раздел «Проверка сертификата» в КриптоПро DSS
Аудит действий пользователей и операторов
В разделе «Аудит» отображается журнал событий, связанных с действиями пользователей и операторов, с возможностью фильтрации по типам событий.
Рисунок 23. Раздел «Аудит» в КриптоПро DSS
Интерфейс мобильного приложения КриптоПро myDSS
Приложение myDSS является интерфейсной частью КриптоПро DSS и предназначено для осуществления аутентификации, управления ключами и осуществления подтверждения операций (вход пользователя в КриптоПро DSS, подписание документа и т. д.).
С помощью мобильного приложения КриптоПро myDSS:
Рисунок 24. Перечень возможностей КриптоПро myDSS
В качестве примера рассмотрим, как проходит процесс подписания документа с использованием приложения myDSS:
Первоначально необходимо загрузить в КриптоПро DSS документ, выбрать сертификат для подписи и нажать кнопку «Подписать».
Рисунок 25. Выбор параметров для создания подписи документа в КриптоПро DSS
Далее предлагается подтвердить операцию с использованием мобильного устройства.
Рисунок 26. Запрос на подтверждение операции подписания документа в КриптоПро DSS
После — ввести PIN-код от контейнера ключа подписи.
Рисунок 27. Запрос PIN-кода к ключевому контейнеру в КриптоПро DSS
Далее следует предложение на подтверждение операции с использованием мобильного приложения.
Рисунок 28. Запрос на подтверждение операции в КриптоПро DSS
После в приложении myDSS придет уведомление о том, что есть операции, требующие подтверждения. Для подтверждения операции нажимаем кнопку «Подтвердить», выбираем нужный ключ авторизации и вводим пароль к нему.
После чего в приложении для ознакомления и подтверждения отобразится информация о подписываемом документе. Нажимаем кнопку «Подтвердить», и затем появится уведомление об успешном подтверждении операции.
Рисунок 29. Подтверждение операции подписания документа в приложении КриптоПро myDSS
После успешного подтверждения операции в приложении в КриптоПро DSS у пользователя появится сообщение об успешном завершении операции.
Рисунок 30. Успешное завершение операции подписания документа в КриптоПро DSS
Также в приложении myDSS можно осуществлять управление ключами (переименование, изменение пароля и удаление ключа).
Рисунок 31. Возможности по управлению ключами в КриптоПро myDSS
Таким образом, мы рассмотрели основные возможности работы КриптоПро DSS и мобильного приложения myDSS, доступные пользователям.
Выводы
Электронная подпись все чаще применяется современными компаниями. В связи с этим вопрос централизованного хранения ЭП в настоящее время весьма актуален.
В данной статье мы рассмотрели, как с этой задачей может справиться ПАК КриптоПро DSS, который предназначен для централизованного защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию ЭП с использованием ПАКМ КриптоПро HSM.
Стоит отметить, что ввиду технических и организационных особенностей реализации КриптоПро DSS преимущественно ориентирован на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании. При этом для малого и среднего бизнеса он удобен тем, что нет необходимости тратиться и внедрять ПАК КриптоПро DSS в свою инфраструктуру, т. к. КриптоПро предлагает сервис на собственной инфраструктуре. А вся работа с КриптоПро DSS осуществляется через web-браузер. КриптоПро DSS поддерживает все основные web-браузеры. В том числе у КриптоПро DSS есть приложение и для смартфонов.
Для крупных компаний удобство заключается в гибкости КриптоПро DSS и возможности интеграции с различными системами, уже функционирующими в компании, например, с IdM/IAM-системы (системы управления доступом).
Это позволяет формировать и использовать квалифицированные электронные подписи, в том числе и юридически значимою облачную квалифицированную электронную подпись.
Достоинства:
Недостатки: