Инфраструктура ЭЦП isCrypto

• 
• 
• 
• 
• 
• 
• 

isCrypto представляет собой полное решение для работы с документами, подписанными электронной цифровой подписью.

Основная функция isCrypto - добавление поддержки ЭЦП к существующим системам разного рода - автоматизированным банковским системам, системам документооборота, произвольным АРМ-ам, системам удаленного доступа типа Интернет-Банк, Клиент-Банк и т.д. isCrypto применима как для внутреннего документооборота в организации, так и для приема документов, подписанных ЭЦП, от клиентов. Приоритеты реализации - легкость развертывания и интеграции с другими системами, простота использования и широкий диапазон применения.

sCrypto предлагает не только набор программного обеспечения, необходимого для подписания и проверки подписей, но и готовую процедуру подключения пользователей, генерации ключей ЭЦП, их удаленного продления, блокирования и т.д. isCrypto основывается на многолетнем практическом опыте использования ЭЦП в банковской среде, системах Интернетбанк и Клиент-Банк, с привлечением специалистов во всех связанных областях.

Максимально упрощенная процедура работы с ЭЦП.

Отлаженная на несколько раз процедура работы с ЭЦП, которую предлагает isCrypto, максимально проста:

Первичное подключение пользователя, при котором необходимо его личное присутствие в офисе:

• Подписывается бумажный договор об обмене документами с использованием ЭЦП.
• Пользователь при помощи клиентского приложения isCrypto генерирует себе новый ключ ЭЦП и запрос на сертификат, на своем личном компьютере или в специально выделенном для этого офисном. Созданный запрос автоматически передается в электронном виде на сервер isCrypto, после чего распечатывается его бумажная копия.
• Пользователь подписывает бумажную распечатку запроса и отдает ее сотруднику фронт-зоны. Дальнейшие шаги происходят уже без участия пользователя, он может быть свободен.
• Сотрудник фронт-зоны проверяет паспортные данные пользователя и сравнивает распечатку запроса с тем, что хранится на сервере, затем удостоверяет запрос, подписывая его своей ЭЦП.
• Сотрудник удостоверяющего центра получает удостоверенный запрос на сертификат, выпускает сертификат и загружает его на сервер isCrypto.
• Таким образом регистрация пользователя завершается, ему отправляется SMS или e-mail уведомление об успешном подключении.
• Пользователь на своем личном компьютере запускает клиентское приложение isCrypto и завершает формирование ключа ЭЦП.

Продление ключа ЭЦП, выполняется полностью удаленно:

• Сертификат пользователя выпускается на определенный срок, как правило на 1 год. За месяц до конца срока клиентское приложение isCrypto начинает предупреждать пользователя об истечении срока действия сертификата и необходимости его продления.
• Пользователь на своем личном компьютере запускает клиентское приложение isCrypto и выполняет функцию продления в клиентском приложении isCrypto. При этом создается новый ключ ЭЦП, запрос на сертификат и подписывается текущим, еще пока действующим, ключом ЭЦП. Подписанный таким образом запрос отправляется на сервер isCrypto.
• Сотрудник удостоверяющего центра получает удостоверенный запрос на сертификат, выпускает сертификат и загружает его на сервер isCrypto.
• Пользователь на своем личном компьютере запускает клиентское приложение isCrypto и завершает обновление ключа ЭЦП.

Максимально упрощенное внедрение.

При внедрении isCrypto выполняются следующие шаги:

• Развертывается серверная часть. По умолчанию серверная часть isCrypto поставляется в виде приложения Punkt, так что все его развертывание заключается по сути в загрузке выделенного сервера или виртуальной машины с загрузочного ISO образа и настройке сетевых параметров, после чего серверная часть оказывается сразу готовой к работе.
• Администратор запускает клиентское приложение isCrypto и, используя временный административный ключ ЭЦП, получает доступ к серверу.
• Администратор по стандартной процедуре выполняет подключение ответственных сотрудников, включая самого себя, сотрудников удостоверяющего центра и менеджеров персонала. Каждый сотрудник создает уже свой собственный ключ ЭЦП. Временный административный ключ после этого блокируется.
• Ответственные сотрудники приступают к выполнению своих обязанностей. Менеджеры персонала, в частности, осуществляют раздачу прав доступа своим подчиненным сотрудникам по мере их подключения.
• Пользователям, подключающимся в дальнейшем, выдается клиентское приложение, или же они могут скачивать его с сайта. Приложение не требует установки, может запускаться с флэшки и без административных прав.

Максимально упрощенная интеграция.

Серверная часть isCrypto предоставляет другим системам в локальной сети интерфейс для проверки ЭЦП под документами. Для проверки подписи отправляется запрос к веб-сервису по протоколу XML-RPC поверх HTTPS. По результатам проверки возвращается успех/неуспех плюс различная информация, идентифицирующая подписавшего пользователя.

Таким образом, для интеграции сторонней серверной системы с isCrypto необходимо всего лишь уметь отправлять XML-RPC запрос определенного вида.

Широкий диапазон поддерживаемых криптографических провайдеров.

И клиентское приложение и серверная часть isCrypto не содержат собственных криптоалгоритмов - фактическую выработку электронных подписей и их проверку выполняют специализированные криптографические библиотеки, которые поставляются различными сторонними поставщиками. Встраивание конкретной библиотеки в isCrypto производится путем написания небольшой промежуточной библиотеки-переходника.

В настоящее время реализована поддержка следующих криптографических библиотек:

• Крипто-КОМ 3.2

  Сертифицированная библиотека от компании Signal-COM, поддерживающая ЭЦП в соответствии с алгоритмом ГОСТ Р 34.10-2001. Использование данного криптопровайдера в составе isCrypto требует дополнительного приобретения заказчиком лицензии на использование библиотеки Крипто-КОМ от компании Signal-COM.

• OpenSSL 1.0

  Данный криптопровайдер использует стандартный open-source продукт OpenSSL, работающий с ключами ЭЦП в соответствии с алгоритмом RSA. Поскольку OpenSSL не имеет государственной сертификации, данный криптопровайдер может быть использован для внутреннего документооборота в организации, а также при внедрении и тестировании isCrypto, поскольку использование OpenSSL не требует приобретения дополнительных лицензий.

• Криптографические токены Мультисофт MS_Key (RuToken Magistra)

  Криптографические токены на основе СЗИ "Криптомодуль-С" (производитель ЗАО “Терна СБ”) сертифицированы ФСБ (СФ/114-1009) по классу КС2. Генерация ключа и выработка ЭЦП по алгоритму ГОСТ происходит полностью внутри устройства.

• Криптографические токены Рутокен ЭЦП

  Криптографические токены Рутокен ЭЦП (производитель - Актив/Анкад) сертифицированы ФСБ (СФ/124-1674) по классу КС2. Генерация ключа и выработка ЭЦП по алгоритму ГОСТ происходит полностью внутри устройства.

• Криптографические токены eToken Pro Java

  Данный криптопровайдер поддерживает устройства типа Aladdin Java Card с загруженным апплетом Java Pro. В число этих устройств входят eToken Java, eToken Pro Java и eToken GT. Генерация ключа и выработка ЭЦП по алгоритму RSA осуществляется полностью внутри устройства.

• Криптографические токены eToken ГОСТ

  Криптографические токены eToken ГОСТ сертифицированы ФСБ (СФ/124-1671) по классу КС2. Генерация ключа и выработка ЭЦП по алгоритму ГОСТ происходит полностью внутри устройства.

• AGSES-карты

  Биометрическая идентификационная AGSES-карта — полностью автономное устройство, размером с банковскую карту служит для генерации кодов защещенных отпечатком пальца, используется по аналогии с одноразовыми паролями. AGSES-карта персонализирована под своего владельца, находится в его пользовании и содержит цифровые удостоверения личности, которые могут быть использованы для независимого доступа к различным информационным ресурсам, электронным услугам и физическим процессам. Уровень безопасности протокола аутентификации, который проверяет личность владельца карты, может быть адаптирован к типу транзакции.

Помимо работы с собственными ключами, токены всех типов могут быть использованы в качестве средства НСД для хранения ключей ЭЦП, выработанных программными средствами (например библиотекой КриптоКом). В этом случае они выступают в роли защищенной пин-кодом "флэшки".

isCrypto поддерживает генерацию и одновременное независимое использование нескольких ключей ЭЦП на одном токене. При этом каждый ключ защищается своим отдельными аппаратным паролем.

В развернутой isCrypto могут одновременно использоваться различные криптопровайдеры, различные типы ключей, работа с приложениями с точки зрения пользователя не изменяется.

Произвольный выбор ПО удостоверяющего центра.

В рекомендуемой конфигурации isCrypto, для выпуска сертификатов ЭЦП используется внешнее специализированное ПО удостоверяющего центра, поддерживающее ключи ЭЦП в формате ГОСТ Р 34.10-2001. Рекомендуется использование сертифицированных продуктов, таких, как "Notary-PRO" от компании Signal-COM или "Крипто-Про УЦ" от компании Крипто-Про.

Полученные от пользователей запросы на выпуск сертификатов накапливаются на сервере isCrypto, откуда их в виде файлов забирает сотрудник, входящий в группу "Операторы удостоверяющего центра" и передает в удостоверяющий центр. Выпущенные сертификаты тот же сотрудник загружает в виде файлов на сервер isCrypto.

Возможен также выпуск сертификатов сторонней организацией - удостоверяющим центром, для этого необходимо решить юридические вопросы и обеспечить передачу запросов туда и сертификатов обратно.

В качестве опции предлагается вариант развертывания удостоверяющего центра непосредственно на сервере isCrypto. При этом сертификаты выпускаются автоматически, как только запрос на сертификат будет заверен электронной подписью операциониста, занимающегося подключением пользователя. Выпущенные таким образом сертификаты не отличаются от выпущенных внешним удостоверяющим центром, но степень доверия им существенно ниже.

Вне зависимости от того, использует ли заказчик для организации удостоверяющего центра внешнее ПО или сервер isCrypto, возможно использование в isCrypto нескольких ключей удостоверяющих центров, в том числе иерархически организованных. Так, например, возможен вариант, при котором каждый сотрудник УЦ имеет собственный ключ для выпуска сертификатов, заверенный корневым сертификатом УЦ.

Использование для хранения ключевых файлов различных носителей.

Практически важно, чтобы ключевые файлы ЭЦП хранились на отсоединяемом носителе. По умолчанию, клиентское приложение isCrypto запускается с флэшки и сохраняет ключевые файлы на этой же флэшке. Дополнительно реализована поддержка таблеток Touch Memory iButton, для использования которых необходимо наличие в компьютере специального считывателя.

Использование iButton для хранения ключей ЭЦП особенно удобно в случае, когда работа с ЭЦП требуется в сети, состоящей из терминалов, на которых нет USB портов, или подключение USB носителей запрещено. В этом случае, компьютеры оборудуются внешними считывателями iButton, подключаемыми через COM, LPT или USB порты и пользователи прикладывают ключевые таблетки при подписании документов.

Масштабирование и отказоустойчивость.

Серверная часть isCrypto подвергается горизонтальному масштабированию путем запуска нескольких ее копий. Распространение запросов между различными копиями производится внешним механизмом, каким-либо балансировщиком. Подобный подход обеспечивает одновременно отказоустойчивость по коду isCrypto и распределение нагрузки.

Тем не менее, пока база данных, содержащая сертификаты пользователей, остается в единственном экземпляре, обеспечение ее отказоустойчивости остается серьезной проблемой и решается в каждом конкретном случае отдельно, кластеризацией, резервированием или иным способом, в зависимости от текущих требований.

Программные платформы и совместимость

Клиентское приложение isCrypto "Ключ электронной цифровой подписи" работает под Windows 2000/XP/Vista/7, а также без проблем запускается под Linux под управлением Wine.