Рубрика: Без рубрики

Современные бизнес-процессы трудно представить себе без использования информационных технологий и электронной подписи (ЭП). ЭП применяется в различных сферах деятельности, и степень ее использования в бизнесе и взаимоотношениях с государственными структурами постоянно растет. Во многих крупных компаниях и банках для обеспечения работы всех информационных систем, в которых используется ЭП, развернуты корпоративные Удостоверяющие центры (УЦ), выдающие всем заинтересованным  лицам сертификаты ЭП.

Для того, чтобы получить в УЦ сертификат ЭП, их будущие владельцы должны сформировать ключи и запрос на сертификат, а затем передать полученные запросы в Удостоверяющий центр по любому доступному им каналу (web-форма, файловая система, электронная почта и т.д.). Сотрудники УЦ, получив запросы на сертификаты, должны проверить предоставленные им в запросе данные и выпустить сертификат (или отказать в его выпуске). Поэтому в крупных компаниях (например, в крупных банках), имеющих большую клиентскую базу и, плюс к этому, достаточный штат собственных сотрудников, нуждающихся в получении сертификатов ЭП, остро встает вопрос возможности автоматизации предварительной обработки поступающих в УЦ запросов на сертификаты.  Это позволило бы снять часть нагрузки с сотрудников Удостоверяющего центра за счет предотвращения размещения в базе данных УЦ некорректно сформированных запросов,  не соответствующих принятым шаблонам или являющихся спамом.

Для решения описанной выше задачи компания «Сигнал-КОМ» совместно с компанией «Инверсия» разработали программный комплекс (ПК) Notary Verify, позволяющий  авто­матизировать операции по приему запросов на сертификаты от различных клиентов УЦ «Notary-PRO» и выдаче им готовых сертификатов. В качестве клиентов могут выступать как конечные пользователи, так и различные информационные системы. Каналами связи, посредством которых запросы передаются в Notary Verify, а готовые сертификаты выдаются клиентам, могут выступать электронная почта, файловая система, Web-интерфейс Удостоверяющего центра «Notary-PRO» (Notary-PRO Web Pages) или буферная база данных самого Notary Verify. Для каждого клиента может быть предусмотрено несколько каналов связи.

Схему работы ПК Notary Verify можно представить следующим образом:

Мамынов А. И.: Как автоматизировать обработку запросов на сертификаты электронной подписи? Программный комплекс Notary Verify v.2.x
12 марта 2019 БЛОГ
Современные бизнес-процессы трудно представить себе без использования информационных технологий и электронной подписи (ЭП). ЭП применяется в различных сферах деятельности, и степень ее использования в бизнесе и взаимоотношениях с государственными структурами постоянно растет. Во многих крупных компаниях и банках для обеспечения работы всех информационных систем, в которых используется ЭП, развернуты корпоративные Удостоверяющие центры (УЦ), выдающие всем заинтересованным  лицам сертификаты ЭП.

Для того, чтобы получить в УЦ сертификат ЭП, их будущие владельцы должны сформировать ключи и запрос на сертификат, а затем передать полученные запросы в Удостоверяющий центр по любому доступному им каналу (web-форма, файловая система, электронная почта и т.д.). Сотрудники УЦ, получив запросы на сертификаты, должны проверить предоставленные им в запросе данные и выпустить сертификат (или отказать в его выпуске). Поэтому в крупных компаниях (например, в крупных банках), имеющих большую клиентскую базу и, плюс к этому, достаточный штат собственных сотрудников, нуждающихся в получении сертификатов ЭП, остро встает вопрос возможности автоматизации предварительной обработки поступающих в УЦ запросов на сертификаты.  Это позволило бы снять часть нагрузки с сотрудников Удостоверяющего центра за счет предотвращения размещения в базе данных УЦ некорректно сформированных запросов,  не соответствующих принятым шаблонам или являющихся спамом.

Для решения описанной выше задачи компания «Сигнал-КОМ» совместно с компанией «Инверсия» разработали программный комплекс (ПК) Notary Verify, позволяющий  авто­матизировать операции по приему запросов на сертификаты от различных клиентов УЦ «Notary-PRO» и выдаче им готовых сертификатов. В качестве клиентов могут выступать как конечные пользователи, так и различные информационные системы. Каналами связи, посредством которых запросы передаются в Notary Verify, а готовые сертификаты выдаются клиентам, могут выступать электронная почта, файловая система, Web-интерфейс Удостоверяющего центра «Notary-PRO» (Notary-PRO Web Pages) или буферная база данных самого Notary Verify. Для каждого клиента может быть предусмотрено несколько каналов связи.

Схему работы ПК Notary Verify можно представить следующим образом:

запрос на сертификат посредством одного из каналов связи, привязанного к клиенту, импортируется в ПК Notary Verify;
полученный запрос анализируется на предмет его корректности, и по результатам обработки формируется ответ;
в случае положительного результата запрос попадает в буферную базу УЦ «Notary-PRO», после чего он обрабатывается самим УЦ;
в случае положительного результата в буферную базу УЦ  укладывается готовый сертификат (иначе — сообщения об ошибке) и формируется ответ; готовый сертификат передается соответствующему клиенту по одному или нескольким доступным для него каналам связи.
Анализ корректности запросов производится на основе различных критериев, описанных в виде шаблонов, связанных с любым полем или расширением запроса. Проверка выполняется на соответствие условий «Допустимое» или «Недопустимое» значение. Каждый шаблон может быть связан с любым клиентом, как и клиент может быть связан с любым набором шаблонов. Запросы, не соответствующие хотя бы одному критерию проверки, дальнейшей обработке не подлежат.

Еще одной функциональной возможностью ПК Notary Verify является возможность организации балансировки нагрузки между несколькими УЦ «Notary-PRO», работающими по схеме горячего резервирования, при больших объемах обрабатываемых данных. Данный функционал реализован только в отношении самоподписанных запросов формата PKCS#10. Запросы формата CMC могут обрабатываться только в том УЦ, который является издателем сертификата подписи CMC-запроса. Критерием загруженности основного УЦ для Notary Verify является превышение порогового значения времени появления ответа от УЦ. При наступлении такого события запрос отправляется в следующий (по приоритетности) Удостоверяющий центр из списка доступных УЦ.

Администратор ПК Notary Verify имеет возможность получать большой спектр информации в виде сообщений и статистических данных, представленных в удобном для восприятия виде (графики, таблицы отчеты), позволяющей эффективно контролировать работу комплекса, а именно:

информационные сообщения через систему сообщений комплекса или по электронной почте о возникновении ошибок при обработке запросов (превышение времени обработки, превышение минимального порога количества ошибочных запросов, массовые ошибки обработки запросов, количества ошибок по конкретным клиентам за период времени);
информация (в виде таблицы с возможностью фильтрации по клиентам и датам) по каждому запросу с указанием, был ли он принят, обработан или отклонен, а так же информации по общему числу принятых, обработанных и отклоненных запросов;
представление в графическом виде информации по общему количеству запросов и числу успешно обработанных запросов;
контрольная информация (в виде таблицы) о времени обработки запросов и простоев в каналах клиента;
получение в графическом виде информации обо всех обработанных запросах за определенный период времени (день, месяц, год) с указанием для каждого запроса времени его регистрации и времени, затраченного на его обработку;
формирование графика рабочего времени;
формирование отчета (в виде таблицы) по качеству оказания услуги за год — отношение количества случаев сбоев в обработке запросов к временному периоду.
Компания «Сигнал-КОМ» имеет положительный опыт внедрения  ПК Notary Verify в ряде банков.

С техническими требованиями и ценовыми характеристиками ПК Notary Verify можно ознакомиться здесь.

Технология облачной электронной подписи «SIGNAL-COM CLOUD»
17 марта 2021 БЛОГ
Облачная электронная подпись (ОЭП) представляет собой очередной этап в эволюции технологии электронной подписи.  ОЭП избавляет пользователя от необходимости самостоятельного хранения ключей ЭП и обеспечивает ее использование на стационарных и мобильных устройствах при соблюдении всех необходимых мер безопасности.

При переходе на электронную подпись в облаке пользователю больше нет необходимости носить с собой электронный ключ (токен) и устанавливать специализированное программное обеспечение на компьютер. Теперь подписание и проверка ЭП производится в «облаке», а доступ в «облако», равно как и в прикладную систему электронный документооборот (ЭДО) обеспечивается на основе двухфакторной аутентификации. При этом, технология «Signal-COM Cloud» обеспечивает единую точку входа (систему регистрации) как для «облака», так и для системы ЭДО.

Решение «Signal-COM Cloud» позволяет достаточно быстро перевести любые системы ЭДО, использующие стандартные технологии ЭП, на облачные и обеспечить более высокий уровень сервиса для своих клиентов с одновременным снижением затрат на их техническую поддержку.

Технология облачной электронной подписи «SIGNAL-COM CLOUD»
17 марта 2021 БЛОГ
Облачная электронная подпись (ОЭП) представляет собой очередной этап в эволюции технологии электронной подписи.  ОЭП избавляет пользователя от необходимости самостоятельного хранения ключей ЭП и обеспечивает ее использование на стационарных и мобильных устройствах при соблюдении всех необходимых мер безопасности.

При переходе на электронную подпись в облаке пользователю больше нет необходимости носить с собой электронный ключ (токен) и устанавливать специализированное программное обеспечение на компьютер. Теперь подписание и проверка ЭП производится в «облаке», а доступ в «облако», равно как и в прикладную систему электронный документооборот (ЭДО) обеспечивается на основе двухфакторной аутентификации. При этом, технология «Signal-COM Cloud» обеспечивает единую точку входа (систему регистрации) как для «облака», так и для системы ЭДО.

Решение «Signal-COM Cloud» позволяет достаточно быстро перевести любые системы ЭДО, использующие стандартные технологии ЭП, на облачные и обеспечить более высокий уровень сервиса для своих клиентов с одновременным снижением затрат на их техническую поддержку.

В состав «Signal—COM Cloud» входят следующие модули:
— ПАК «Signal—COM HSM» – программно-аппаратный криптографический модуль, предназначенный для защищённого хранения ключей электронной подписи без возможности их экспорта;

— «Signal-COM DSS Server» – сервер, реализующий протоколы электронной подписи (CMS, XMLDSig), в том числе с использованием штампов времени (CAdES, XAdES);

— «Signal-COM Identity Server» – сервер идентификации и аутентификации; поддерживает различные двухфакторные протоколы аутентификации (HOTP, TOTP, PUSH, SMS и др.);

— ПАК «Signal-COM Cloud DSS» (включает в себя «Signal-COM DSS Server» и «Signal-COM DSS Identity Server») — набор приложений и веб-сервисов, реализующих технологию облачной ЭП.

— «Signal-COM SmartId» – мобильное приложение, реализующее протокол аутентификации владельца ключа электронной подписи; обеспечивает визуализацию подписываемых данных, а также услугу неотказуемости.

— «Signal-COM CSP Cloud» — облачный криптопровайдер, работающий с ключами ЭП, хранящимися в облаке; позволяет интегрировать существующие приложения с сервисом облачной ЭП без их модификации.

— УЦ «Notary-PRO» – удостоверяющий центр, предназначенный для создания и управления жизненным циклом сертификатов ключей ЭП.

Подробное описание всех модулей представлено на сайте разработчика.

Основные преимущества системы облачной подписи «Signal—COM Cloud» по отношению к другим решениям, представленным на рынке, заключаются в:
— простоте развёртывания, настройки, сопровождения и масштабирования;

— гибкой системе администрирования, основанной на ролевом разделении доступа.

В качестве дополнительных достоинств «Signal-COM Cloud» можно отметить:

возможность регистрации пользователей в системе «облачной» подписи, удостоверяющем центре и прикладной системе в один клик;
хранение ключей ЭП в HSM без возможности их экспорта;
надёжная защита ключей ЭП от несанкционированного доступа и использования (в том числе членами группы администраторов HSM);
использование российских и международных криптографических стандартов ЭП: ГОСТ Р 34.10-2012, RSA;
различные методы аутентификации пользователей, включая двухфакторные (например, с использованием Google Authenticator (HOTP/TOTP), одноразовых паролей, передаваемых через SMS и др.);
возможность встраивания в прикладные системы путём использования развитых программных интерфейсов (API) SOAP и REST;
интеграция с удостоверяющими центрами, позволяющая получать сертификаты ключей ЭП в режиме реального времени;
интерактивный веб-интерфейс для управления криптографическими ключами и сертификатами;
возможность кастомизации графического веб-интерфейса в соответствии с корпоративным стилем;
возможность интеграции со сторонними центрами идентификации;
гибко настраиваемая система оповещений о различных событиях в системе (например, о генерации ключей, создании ЭП, истечении срока действия сертификатов и др.);
возможность добавления меток доверенного времени в подписанный электронный документ;
возможность масштабирования и балансировки нагрузки;
удалённый мониторинг всех компонентов системы.
В качестве подготовительного этапа при использовании технологии «Signal—COM Cloud» заказчикам предоставляется описание интерфейса (API) для интеграции своей информационной системы с системой ОЭП «Signal-COM Cloud», а также БЕСПЛАТНАЯ возможность подключения к ДЕМО порталу ОЭП «Signal-COM Cloud».

Компания Сигнал-КОМ предлагает своим клиентам широкий спектр серверных криптографических решений, при этом выбор конкретного решения определяется на основе требований заказчика по количеству подписываемых и проверяемых документов, необходимости обеспечения защищенного клиент-серверного взаимодействия, перспектив развития бизнеса, необходимостью поддержки криптографических решений различных производителей и других факторов. Если раньше основным поставляемым решением были библиотеки Message-PRO и SSL-PRO или криптопровайдер Signal-COM CSP, устанавливаемые на сервер приложений, то теперь в основном используется ПО Сервера создания и проверки электронной подписи (ЭП) — Signal-COM DSS Server, предназначенное для построения автономных серверов с высокой нагрузочной способностью, часто объединяемых в кластеры.

       Последнее решение наряду с обеспечением масштабируемости по «горизонтали» и «вертикали» позволяет выводить криптографию с серверов приложений в отдельный сегмент, обеспечивая тем самым дополнительное удобство в поддержке, эксплуатации и развитии всей ИС.

       Если, например, увеличилось число документов в системе и основной сервер с ПО Signal-COM DSS Server уже не справляется, достаточно просто поставить рядом еще один (масштабирование по «горизонтали»), или если потребовалось поддержать дополнительные криптографии, например, зарубежные (масштабирование по «вертикали»), в этом случае достаточно в ПО Signal-COM DSS Server активировать дополнительные опции.

       Конкретным примером использования ПО Signal-COM DSS Server, включающим упомянутые выше возможности, является система электронных паспортов (СЭП), действующая на территории Российской Федерации и стран ЕАЭС.

     В этом проекте Серверу создания и проверки электронной подписи   Signal-СОМ DSS Server отводится роль универсального криптографического сервера за счет интеграции с ним  криптопровайдеров, поддерживающих национальные стандарты государств-членов ЕАЭС.

       В качестве дополнительных технических аспектов можно отметить, что сопряжение Signal-COM DSS Server с прикладными информационными системами осуществляется на основе стандарта OASIS Digital Signature Service (по протоколу SOAP), а для хранения ключей ЭП часто используются специальные HSM-модули, взаимодействующие с Signal-COM DSS Server и позволяющие свести к минимуму требования по настройке рабочих мест пользователей ИС. 

       На рис. 1 приведена схема взаимодействия при построении защищенных ИС с использованием Signal-COM DSS Server в комплекте с HSM.

Рис. 1 Схема взаимодействия при использовании Signal-COM DSS Server

   Типовая схема подписания электронных документов (ЭД) в облаке основывается на использовании двухфакторной аутентификации при обеспечении доступа пользователя к своему секретному ключу, хранящемуся в HSM. Как правило, информационные системы (ИС), работающие с облачной ЭП, не накладывают ограничения на время между появлением документа и его подписанием, но иногда случаются исключения, требующие поточного подписания ЭД по мере их появления.

     Понятно, что в последнем случае основным фактором, влияющем на потенциальное быстродействие, является выбор второго фактора аутентификации, поскольку не все из поддерживаемых, например, одноразовые пароли — ОТП, SMS, принципиально могут обеспечить работу в режиме on line.

     С учетом вышесказанного, для создания в ИС «робота», настраиваемого на поточное подписание ЭД, выбор типа второго фактора для аутентификации является принципиальным.

     Одним из реализованных в облачной технологии Signal-COM Cloud DSS методов двухфакторной аутентификации является аутентификация пользователя по сертификату X.509.

     Метод делает возможным избежать необходимости интерактивного взаимодействия с пользователем в ходе его аутентификации и авторизации его действий.

     Это позволяет сделать процесс подписания документов максимально быстрым и может использоваться при автоматическом подписании большого потока электронных документов, например, формируемых серверами.
Источник: https://www.signal-com.ru/blog/avtomatizirovannoe-podpisanie-dokumentov-pri-ispolzovanii-oblachnyh-tehnologij-elektronnoj-podpisi-ep-ot-kompanii-signal-kom

Удостоверяющий центр является необходимым компонентом при организации инфраструктуры открытых ключей для поддержки ИС с использованием электронной подписи (ЭП) и предназначен для изготовления и обслуживания сертификатов ЭП.

Компания «Сигнал-КОМ» предлагает своим клиентам сертифицированное решение Удостоверяющего Центра Notary-PRO v.2.8

УЦ Notary-PRO v.2.8  — это программно-аппаратный комплекс, предназначенный для изготовления/обслуживания сертификатов электронной подписи с поддержкой алгоритмов ГОСТ Р 34.10-2012, RSA,  SHA-1, SHA-256, SHA-384, SHA-512.

УЦ Notary-PRO v.2.8  соответствует всем требованиям 63 ФЗ «об электронной подписи» и рекомендациям ITU-T X.509 v.3, IETF RFC 5280 и имеет положительное заключение ФСБ РФ

УЦ позволяет выпускать усиленные квалифицированные и усиленные неквалифицированных сертификаты электронной подписи под различные нужды Заказчика.

С более подробной информацией об УЦ и других компонентах для организации Инфраструктуры открытых ключей можно познакомиться в разделе — Решения для организации PKI.
Источник: https://www.signal-com.ru/blog/organizatsiya-udostoveryayuschego-tsentra-i-infrastruktury

Сегодня все больше компаний и организаций используют электронные подписи (ЭП), чтобы подписывать документы в различных системах ЭДО. Однако, для того чтобы использовать ЭП, необходимо иметь специализированный токен/носитель ЭЦП, который является ее ключевым хранилищем. На рынке существует множество подобных изделий — от флешек до специализированных криптографических токенов (Рутокен ЭЦП, ESMART Token GOST, JaCarta GOST и др.).

Компания Сигнал-КОМ предлагает новый продукт — токен в виде приложения для мобильного устройства «SmartToken-PRO». Приложение позволяет превратить ваш смартфон в криптографический токен с функциями визуализации подписываемых данных. Такое сочетание делает использование токена более удобным и безопасным т.к. ЭП всегда с вами, а подписываемая информация видна на экране.

Основным отличием SmartToken-PRO от классических является его форм-фактор. Ключи и сертификат ЭП находится в вашем смартфоне в специально зашифрованной области памяти телефона, а соединение с компьютером осуществляется через интерфейс PKCS#11 с защитой соединения по протоколу TLS и доступом по каналам Bluetoot, Wi-Fi (локально или через Интернет). Данная особенность позволяет делегировать все работы по подготовке электронных документов к процедуре подписания доверенным лицам (сотрудникам), а процедуру непосредственного подписания конкретного документа оставить за собой.

В настоящий момент времени, испытательной лабораторией «Сигнал-КОМ» завершены тематические исследования мобильного приложения SmartToken-PRO (ОС Android) на соответствие требованиям безопасности и защиты информации. Все материалы переданы в ФСБ России для его сертификации в качестве отдельного средства криптографической защиты информации (СКЗИ).

Приложение распространяется бесплатно и на текущий момент работает со всеми СКЗИ разработки компании Сигнал-КОМ.

Познакомиться с более подробной информацией, запросить дистрибутивы ПО, скачать инструкцию по работе и провести тестирование в рамках демо-системы можно на сайте продукта:

Сайт SmartToken-PRO
Если Вы хотите использовать SmartToken-PRO в качестве криптографического токена в конкретной ИС просим вас направить нам соответствующее обращение и продублировать его владельцам ИС.