Криптопро dss что это
Сервис электронной
подписи
Назначение
Сервис электронной подписи ООО «КРИПТО-ПРО» на базе ПАК «КриптоПро DSS» и ПАКМ «КриптоПро HSM» (СЭП) предназначен для шифрования и расшифрования электронных документов, формирования запросов на создание и управление сертификатами ключей проверки электронной подписи (далее — сертификаты), создания и проверки электронной подписи различного формата криптографических сообщений.
СЭП также позволяет выполнять «усиление» ранее созданной электронной подписи путем добавления меток времени и актуального статуса сертификата (расширения формата электронной подписи документа CAdES-BES до CAdES-T или CAdES-X Long Type1).
Проверка электронной подписи различного формата осуществляется с помощью Службы проверки КриптоПро SVS 2.0
Функциональность, предоставляемая Сервисом электронной подписи, абсолютно аналогична получаемой заказчиком при внедрении ПАК «КриптоПро DSS» и ПАКМ «КриптоПро HSM» на своей площадке, но при этом исключается необходимость покупки каких-либо программных или технических средств.
Интеграция с прикладными системами
СЭП DSS предоставляет интерфейс интеграции с внешними информационными системами по протоколам SOAP, REST и HTTP API, а также подключения сторонних центров аутентификации по протоколам OAuth 2.0 и WS-Federation с поддержкой SAML 1.1/2.0.
Также посредством дополнительного модуля КриптоПро Cloud CSP на рабочих местах пользователей возможно использование СЭП DSS совместно с информационными системами, уже поддерживающими СКЗИ «КриптоПро CSP» по стандартному CryptoAPI.
Интеграция осуществляется в соответствии с Руководством разработчика ПАК «КриптоПро DSS»
Режимы использования закрытых ключей подписи
Серверный («облачный»)
Централизованное создание и хранение ключей электронной подписи осуществляется с использованием ПАКМ «КриптоПро HSM». В этом случае никаких дополнительных компонент на рабочее место пользователя устанавливать не требуется, электронная подпись создается на сервере СЭП.
Локальный (DSS Lite)
Ключи создаются и используются на рабочих местах (ключевых носителях) пользователей, для использования требуется установка СКЗИ «КриптоПро CSP» и КриптоПро ЭЦП Browser plug-in. Режим доступен для пользователей услуг неаккредитованного УЦ ООО «КРИПТО-ПРО» (при наличии в полученном сертификате лицензии на право использования ПО «КриптоПро DSS Lite»)
Аутентификация пользователей
Первичная аутентификация по логин и паролю, формируемыми при регистрации пользователя в СЭП (используется штатный Центр аутентификации ПАК «КриптоПро DSS»).
Вторичная аутентификация пользователя с помощью мобильного приложения КриптоПро myDSS – применяется для подтверждения транзакций (создания ключа подписи, подписания или расшифрования документа). Реализация в мобильном приложении сертифицированных алгоритмов HMAC позволяет использовать его для квалифицированной электронной подписи.
Применение криптографических токенов
типа Рутокен Web (требуется установка специального плагина и стороннего центра идентификации).
Вторичная аутентификация пользователя по одноразовому паролю, высылаемому по СМС на зарегистрированный номер мобильного телефона пользователя или формируемому с использованием ОТР-токена типа eToken PASS.
Вторичная аутентификация пользователя по одноразовому паролю, высылаемому на зарегистрированный адрес электронной почты пользователя.
Дополнительным фактором защиты служит индивидуальный ПИН-код на ключевом контейнере, который знает только владелец сертификата – пользователь СЭП.
Схемы обслуживания
Распределенная
Данная схема позволяет пользователям использовать личные ключи подписи и сертификаты в Сервисе электронной подписи. В СЭП могут использоваться как квалифицированные сертификаты ключей проверки электронной подписи, так и неквалифицированные сертификаты ключей проверки электронной подписи. Порядок подключения и работы в СЭП осуществляется в соответствии с Регламентом предоставления услуг Сервиса электронной подписи ООО «КРИПТО-ПРО».
Распределенная с оператором
Пользователей в СЭП регистрирует Оператор. Сформировать запрос на создание сертификата может Оператор или сам Пользователь СЭП. Создание сертификатов по запросу Пользователей подтверждает Оператор СЭП после проверки полученных от пользователя заявительных документов.
Порядок взаимодействия Удостоверяющего центра с Оператором СЭП определяется в соответствии с:
Порядок взаимодействия Оператора с Пользователями СЭП определяется Регламентом Уполномоченной организации, разрабатываемым самостоятельно в соответствии с условиями договора на подключение Оператора СЭП.
Проверка электронной подписи
Для проверки электронной подписи предоставляется бесплатный сервис на базе ПО «КриптоПро SVS». Сервис позволяет осуществлять проверку сертификатов ключей проверки электронной подписи, созданных удостоверяющими центрами ООО «КРИПТО-ПРО»:
Облачный провайдер (КриптоПро Cloud CSP)
Для поддержки на рабочих местах пользователей СЭП стандартного протокола MS CryptoAPI при использовании «облачных» ключей подписи в ПАК «КриптоПро DSS» в рамках СКЗИ «КриптоПро CSP» версии 5.0 разработан т.н. «облачный» провайдер — КриптоПро Cloud CSP, обеспечивающий возможность автоматического бесшовного подключения к ПАК «КриптоПро DSS» любых информационных систем и приложений, уже поддерживающих работу с СКЗИ «КриптоПро CSP».
КриптоПро Cloud CSP сочетает в себе преимущества лучших продуктов компании «КриптоПро»: привычный программный интерфейс MS CryptoAPI, безопасность хранения ключей и выполнения криптографических операций с использованием ПАКМ «КриптоПро HSM», удобство управления пользователями и интеграция с Удостоверяющими центрами посредством ПАК «КриптоПро DSS». Администраторы безопасности получают возможность оперативного управления ключами пользователей, у пользователей исключается необходимость использовать ключевые носители, а дополнительное подтверждение критично важных операций может выполняться с помощью любых методов, поддерживаемых в ПАК «КриптоПро DSS».
Криптопро dss что это
Программно-аппаратный комплекс КриптоПро DSS 2.0 предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ КриптоПро HSM.
КриптоПро DSS 2.0 обеспечивает:
Поддерживаемые форматы электронной подписи
Требования к окружению
КриптоПро DSS 2.0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
Способы аутентификации
В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Криптопро dss что это
Программно-аппаратный комплекс КриптоПро DSS 2.0 предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ КриптоПро HSM.
КриптоПро DSS 2.0 обеспечивает:
Поддерживаемые форматы электронной подписи
Требования к окружению
КриптоПро DSS 2.0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
Способы аутентификации
В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Криптопро dss что это
СЭП «КриптоПро DSS» обеспечивает реализацию распределенного и централизованного режимов по регистрации Пользователей в системе и выдаче им сертификатов. В случае централизованной схемы все запросы Пользователя к УЦ подписываются на действующем сертификате Пользователя, выданном данным удостоверяющим центром. Оператор КриптоПро DSS может одобрить или отклонить запросы Пользователя через вкладку «Управление пользователями» в своем личном кабинете.
При распределённой схеме все запросы Пользователя к УЦ подписываются на сервисном сертификате экземпляра Сервиса Подписи. В данном случае КриптоПро DSS выступает как стороннее приложение, связывающееся с УЦ с использованием протокола SOAP и имеющее сертификат, позволяющий КриптоПро DSS стать оператором УЦ.
Распределенный режим
Пользователи КриптоПро DSS самостоятельно осуществляют процедуры генерации ключей и формирование запросов на сертификат. Выполнение этих процедур осуществляется с использованием веб-браузера на рабочем месте зарегистрированного Пользователя.
С подключением к Удостоверяющему Центру
В случае использования СЭП «КриптоПро DSS» с настроенной интеграцией с Удостоверяющим Центром на базе КриптоПро УЦ, сценарий взаимодействия выглядит следующим образом:
Без подключения к Удостоверяющему Центру
В случае использования СЭП «КриптоПро DSS» без настроенного подключения к Удостоверяющему Центру или при использовании стороннего УЦ, Пользователю необходимо будет обратиться с полученным запросом на сертификат в Удостоверяющий Центр лично для получения сертификата в соответствии с регламентом Удостоверяющего Центра.
Примечание
Если интегрируемая с КриптоПро DSS информационная система имеет интегрированный УЦ, есть возможность настроить его для работы с КриптоПро DSS как сторонний УЦ.
Централизованный режим
При централизованном режиме регистрации идентификация Пользователя осуществляется Оператором СЭП «КриптоПро DSS» на основании документов, удостоверяющих личность Пользователя, при личном прибытии регистрируемого в офис обслуживания.
Сценарий взаимодействия в КриптоПро DSS выглядит следующим образом:
Сервис электронной
подписи
Назначение
Сервис электронной подписи на базе ПАК «КриптоПро DSS» и ПАКМ «КриптоПро HSM» (СЭП) предназначен для централизованного («облачного») применения усиленной электронной подписи в корпоративных информационных системах Уполномоченных организаций, заключивших с ООО «КРИПТО-ПРО» договор на подключение Оператора СЭП для реализации функций создания и проверки электронной подписи различного формата криптографических сообщений
СЭП позволяет управление запросами на создание сертификатов ключей проверки электронной подписи (далее – сертификаты) с передачей их в сторонний Удостоверяющий центр, принадлежащий самой Уполномоченной организации или оказывающий услуги на основании договора с Уполномоченной организацией.
Передача запроса на создание сертификата в виде файла формата PKCS#10 может осуществляться напрямую в подключенный Удостоверяющий центр на базе ПАК «КриптоПро УЦ» или посредством интегрированной с СЭП прикладной информационной системы или путем ручной выгрузки с помощью web-интерфейса СЭП и передачи Оператору Удостоверяющего центра. Полученный в Удостоверяющем центре сертификат загружается в СЭП аналогично – с помощью API посредством интегрированной ИС или web-интерфейса.
Уполномоченная организация для получения применяемых в СЭП сертификатов может использовать как неаккредитованный, так и аккредитованный удостоверяющий центр. Взаимодействие с Удостоверяющим центром определяется Порядком, устанавливаемым с Регламентом деятельности Удостоверяющего центра и Договора Уполномоченной организации с этим Удостоверяющим центром.