Сервис электронной
подписи
на базе ПАКМ «КриптоПро HSM», ПАК "КриптоПро DSS" и СКЗИ «КриптоПро CSP» с возможностью подключения неаккредитованного Удостоверяющего Центра "КриптоПро УЦ 2.0"
Сервис электронной подписи (СЭП) на базе неаккредитованного Удостоверяющего Центра, ПАКМ «КриптоПро HSM», ПАК «КриптоПро DSS» и СКЗИ "КриптоПро CSP" предназначен для централизованного применения усиленной неквалифицированной электронной подписи в прикладных информационных системах организаций, заключивших с ООО «КРИПТО-ПРО» договор на подключение Оператора СЭП.
СЭП позволяет реализовать функции управления запросами на создание и прекращение действия сертификатов ключей проверки электронной подписи (далее – сертификаты) с передачей их в УЦ, создания и проверки электронной подписи (в том числе мобильной) различного формата криптографических сообщений.
СЭП также позволяет добавлять к созданной электронной подписи дополнительные свойства, такие как метки времени и актуальные статусы сертификатов (расширение формата электронной подписи документа CAdES-BES до CAdES-T или CAdES-X Long Type 1).
Режимы использования ключей подписи и схемы обслуживания пользователей
-
Серверный («облачный»)
Уполномоченная организация, заключившая договор на подключение Оператора СЭП, получает возможность самостоятельно определять необходимые режимы использования ключей подписи – может применять как централизованное создание и хранение ключей электронной подписи с помощью ПАКМ «КриптоПро HSM», так и локальное на рабочих местах пользователей с применением СКЗИ «КриптоПро CSP».
Порядок взаимодействия с Оператором СЭП определяется Регламентом УЦ, Регламентом Уполномоченной организации с учетом используемого вида электронной подписи и требований законодательства.
-
Мобильная подпись
СЭП предоставляет пользователям возможность хранения ключей подписи на собственном мобильном устройстве при помощи мобильного приложения на базе SDK (например, DSS Client). В этом случае рабочее место пользователя не требует установки какого-либо дополнительного программного обеспечения. СКЗИ "КриптоПро CSP" входит в состав модулей мобильного приложения (или SDK). Оказание услуг пользователям неаккредитованного УЦ при использовании мобильной подписи осуществляется по распределенной схеме обслуживания с Оператором СЭП, обрабатывающим заявки на регистрацию пользователей СЭП и запросы на создание и аннуллирование сертификатов, передаваемые затем в УЦ.
Пользователям доступно создание электронной подписи различных форматов как непосрественно в мобильном приложении, так из веб-интерфейса СЭП или интегрируемой прикладной системы.
Подключение Оператора СЭП осуществляется после заключения договора с Уполномоченной организацией.
-
Локальный (DSS Lite)
Режим DSS Lite предоставляет пользователям неаккредитованного УЦ возможность локального хранения ключей подписи на рабочих местах (ключевых носителях) с централизованной сборкой различных форматов электронной подписи (CAdES-BES, CAdES-Т, CAdES-X Long Type 1 (отделенная и присоединенная), PAdES, MS Office и пр.). Сервис DSS Lite также позволяет добавлять дополнительные свойства к отделенной подписи формата CMS (CAdES-BES), что позволяет формировать электронную подпись форматов CAdES-Т и CAdES-X Long Type 1.
Оказание услуг пользователям неаккредитованного УЦ при использовании DSS Lite осуществляется как по распределенной схеме обслуживания с Оператором УЦ, так и по централизованной схеме. В этом случае ключи подписи создаются на рабочем месте Оператора УЦ и на ключевом носителе передаются пользователю. На рабочем месте пользователя должны быть установлены СКЗИ «КриптоПро CSP» и КриптоПро ЭЦП Browser plug-in, никаких дополнительных компонентов для поддержки различных форматов подписи на рабочем месте пользователей не требуется.
Аутентификация пользователей
-
1
Уполномоченная организация самостоятельно определяет необходимые методы аутентификации Пользователей СЭП с учетом применяемого вида электронной подписи.
-
2
Рекомендуется использование криптографических методов аутентификации, в частности мобильного приложения на базе SDK (например, DSS Client), использующего российские криптографические алгоритмы HMAC, описанные в Рекомендациях по стандартизации Р 50.1.113–2016.
Интеграция с прикладными системами
Уполномоченной организации при использовании СЭП доступны все стандартные возможности по интеграции с прикладными информационными системами по протоколам SOAP, REST и HTTP API, а также подключению сторонних центров идентификации по протоколам OAuth 2.0 и WS-Federation с поддержкой SAML 1.1/2.0.
Интеграция осуществляется в соответствии с Руководством разработчика СЭП.
Адреса и технические условия подключения прикладных ИС и сторонних ЦИ могут быть уточнены после заключения договора с Уполномоченной организацией.
Использование облачного криптопровайдера
(КриптоПро Cloud CSP)
"Облачный" криптопровайдер КриптоПро Cloud CSP на базе СКЗИ «КриптоПро CSP» версии 5.0 позволяет использовать СЭП совместно с любыми прикладными информационными системами, в которых функции электронной подписи реализованы с помощью стандартных криптопровайдеров типа СКЗИ «КриптоПро CSP» по протоколу MS CryptoAPI, с учетом типа сертификатов, создаваемых сторонним УЦ.
Авторизация операторов и пользователей
-
Авторизация пользователей СЭП
Схема обслуживания распределенная
с Оператором СЭП неаккредитованного УЦАдрес подключения предоставляется Оператору СЭП после заключения договора.
-
Авторизация пользователей DSS Lite
Схема обслуживания распределенная или централизованная:
Схема обслуживания распределенная
с Оператором неаккредитованного УЦ:- Вход для Оператора DSS Lite
- Вход для пользователя DSS Lite
(зарегистрированных оператором) - Личный кабинет пользователя DSS Lite
(зарегистрированных Оператором)
Инструкции
-
Инструкция Оператора СЭП неаккредитованного УЦ
-
Инструкция Пользователя СЭП неаккредитованного УЦ
-
Инструкция по использованию КриптоПро myDSS в СЭП неаккредитованного УЦ
-
Инструкция Оператора DSS Lite неаккредитованного УЦ
-
Инструкция Пользователя DSS Lite неаккредитованного УЦ
-
Руководство Разработчика СЭП