Общие сведения о КриптоПро SVS
Служба проверки сертификатов и электронной подписи КриптоПро SVS имеет следующие ключевые особенности:
- Реализует проверку сертификатов и электронной подписи с учетом использования российских криптографических алгоритмов.
- Использует встроенный веб-сервер Microsoft IIS, поддерживающий различные методы аутентификации и протокол TLS (SSL).
- Поддерживает развертывание нескольких экземпляров службы на одном компьютере.
- Может получать информацию о статусах сертификатов из следующих источников:
- Локально установленные списки отзыва сертификатов (CRL);
- CRL, доступные по сети;
- Сервисы OCSP.
- Процесс проверки статусов сертификатов реализуется средствами ОС Windows и средствами КриптоПро PKI SDK (см. документ «ЖТЯИ.00094-03 94 04. ПАК Службы УЦ. КриптоПро PKI SDK. Руководство разработчика»).
- Устанавливается с помощью Windows Installer.
Поддерживаемые форматы электронной подписи
КриптоПро SVS поддерживает проверку электронной подписи следующих видов:
- Подпись формата CMS (PKCS#7/CAdES-BES)
- Присоединенная подпись;
- Отделенная подпись;
- Усовершенствованная подпись (CAdES-T, CAdES-X Long Type 1);
- Присоединенная подпись;
- Отделенная подпись;
- Подпись XML-документов (XAdES-BES (B-B), XAdES-T (B-T), XMLDSig);
- Необработанная (чистая) электронная подпись ГОСТ Р 34.10-2012;
- Подпись документов PDF с использованием форматов CAdES (CAdES-BES (B-B), CAdES-T (B-T), CAdES-X Long Type 1 (B-LT), CAdES-E-A).
Примечание
С более детальной информацией о форматах подписи и ссылками на нормативную документациюможно ознакомиться, например, в разделе 11 документа "ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание".
Возможности КриптоПро SVS
На сервере, обеспечивающем работу КриптоПро SVS, устанавливаются следующие компоненты:
- Веб-интерфейс Пользователя,
- REST-сервис проверки подписи.
Настройка конфигурации и администрирование сервиса производится с помощью Windows PowerShell.
КриптоПро SVS использует встроенный в ОС механизм проверки цепочки сертификатов, используя собственное хранилище корневых сертификатов УЦ. Это означает, что необходимые для построения цепочки сертификаты, CRL или OCSP-ответы берутся из системных хранилищ или скачиваются автоматически.
При проверке документов в веб-интерфейсе КриптоПро SVS в браузере может отображаться содержимое документов. Поддерживаются следующие форматы документов: PDF, DOC, DOT, DOCM, DOTM, DOCX, DOTX, XML, FlatOpc, FlatOpcMacroEnabled, FlatOpcTemplate, FlatOpcTemplateMacroEnabled, ODT, OTT, OOXML, WordML, RTF, HTML, XHTML, MHTML и TXT.
Набор отображаемых документов может быть расширен путем написания плагинов для нужных форматов.
В качестве криптопровайдера может быть использовано СКЗИ «КриптоПро CSP» версии 5.0 R2 варианта исполнения 2-Base или 3-Base.
В качестве OCSP-сервера может использоваться КриптоПро OCSP Server или другая совместимая служба OCSP, соответствующая требованиям RFC 6960. Проект Рекомендаций по стандартизации, устаналивающий требования к службам OCSP, использующим российские криптографические алгоритмы, находится в разработке и доступен в виде проекта.
Требования к клиентскому рабочему месту
Операции верификации сертификата ключа проверки электронной подписи и подтверждения подлинности электронных подписей документов выполняются на стороне сервера, что не требует установки на компьютер клиента специализированного программного обеспечения (например, КриптоПро PDF, КриптоАРМ). Вся работа клиента с КриптоПро SVS производится через веб-браузер.
Для обеспечения доверия к ответам сервиса КриптоПро SVS взаимодействие с ним может производиться по протоколу TLS.
Ролевая модель
КриптоПро SVS не имеет встроенной системы разграничения прав доступа, поэтому используемые при его эксплуатации роли должны быть определены организационными мерами или соответствующими настройками общесистемного программного обеспечения сервера, на котором установлен КриптоПро SVS.
| Роль | Описаниe |
|---|---|
| Пользователь | Пользователь веб-интерфейса или клиентское приложение, которое обращается к КриптоПро SVS с целью проверки подписи и/или сертификата. |
| Оператор | КриптоПро SVS не подразумевает наличия роли привилегированного пользователя, поэтому в роли Оператора выступает учетная запись (УЗ), под которой запускается служба. |
| Администратор SVS | Администратор КриптоПро SVS имеет доступ к управлению КриптоПро SVS при помощи командлетов, что позволяет ему настраивать экземпляр КриптоПро SVS, управлять лицензией на КриптоПро SVS и администрировать специальное программное обеспечение КриптоПро SVS. |
| Системный администратор | Системный администратор КриптоПро SVS выполняет следующие задачи: * Установка общесистемного и специального программного обеспечения КриптоПро SVS; * Создание, удаление и обновление экземпляров компонентов КриптоПро SVS; * Администрирование общесистемного программного обеспечения. |
| Оператор резервного копирования | Оператор резервного копирования выполняет архивирование и восстановление настроек общесистемного программного обеспечения сервера, на котором развернут КриптоПро SVS, а также резервное копирование и восстановление журналов SVS и его дистрибутива. |
| Аудитор | Аудитор выполняет мониторинг и анализ журналов SVS, веб-сервера и операционной системы, в которой функционирует КриптоПро SVS. |
| Издатель ответов SVS | Издатель ответов SVS представляет собой учетную запись, под которой запускается служба. |
Примечание
Роли Администратора SVS, Системного администратора, Оператора резервного копирования и Аудитора могут принадлежать как одному сотруднику, так и быть разделены между несколькими лицами.