Сервис электронной подписи ООО «КРИПТО-ПРО» на базе ПАК «КриптоПро DSS» и ПАКМ «КриптоПро HSM» (СЭП) предназначен для шифрования и расшифрования электронных документов, формирования запросов на создание и управление сертификатами ключей проверки электронной подписи (далее — сертификаты), создания и проверки электронной подписи различного формата криптографических сообщений.
СЭП также позволяет выполнять «усиление» ранее созданной электронной подписи путем добавления меток времени и актуального статуса сертификата (расширения формата электронной подписи документа CAdES-BES до CAdES-T или CAdES-X Long Type1).
Проверка электронной подписи различного формата осуществляется с помощью Службы проверки КриптоПро SVS 2.0
Функциональность, предоставляемая Сервисом электронной подписи, абсолютно аналогична получаемой заказчиком при внедрении ПАК «КриптоПро DSS» и ПАКМ «КриптоПро HSM» на своей площадке, но при этом исключается необходимость покупки каких-либо программных или технических средств.
СЭП DSS предоставляет интерфейс интеграции с внешними информационными системами по протоколам SOAP, REST и HTTP API, а также подключения сторонних центров аутентификации по протоколам OAuth 2.0 и WS-Federation с поддержкой SAML 1.1/2.0.
Также посредством дополнительного модуля КриптоПро Cloud CSP на рабочих местах пользователей возможно использование СЭП DSS совместно с информационными системами, уже поддерживающими СКЗИ «КриптоПро CSP» по стандартному CryptoAPI.
Интеграция осуществляется в соответствии с Руководством разработчика ПАК «КриптоПро DSS»
Централизованное создание и хранение ключей электронной подписи осуществляется с использованием ПАКМ «КриптоПро HSM». В этом случае никаких дополнительных компонент на рабочее место пользователя устанавливать не требуется, электронная подпись создается на сервере СЭП.
Ключи создаются и используются на рабочих местах (ключевых носителях) пользователей, для использования требуется установка СКЗИ «КриптоПро CSP» и КриптоПро ЭЦП Browser plug-in. Режим доступен для пользователей услуг неаккредитованного УЦ ООО «КРИПТО-ПРО» (при наличии в полученном сертификате лицензии на право использования ПО «КриптоПро DSS Lite»)
Первичная аутентификация по логин и паролю, формируемыми при регистрации пользователя в СЭП (используется штатный Центр аутентификации ПАК «КриптоПро DSS»).
Вторичная аутентификация пользователя с помощью мобильного приложения КриптоПро myDSS – применяется для подтверждения транзакций (создания ключа подписи, подписания или расшифрования документа). Реализация в мобильном приложении сертифицированных алгоритмов HMAC позволяет использовать его для квалифицированной электронной подписи.
Применение криптографических токенов
типа Рутокен Web (требуется установка специального плагина и стороннего центра идентификации).
Вторичная аутентификация пользователя по одноразовому паролю, высылаемому по СМС на зарегистрированный номер мобильного телефона пользователя или формируемому с использованием ОТР-токена типа eToken PASS.
Вторичная аутентификация пользователя по одноразовому паролю, высылаемому на зарегистрированный адрес электронной почты пользователя.
Дополнительным фактором защиты служит индивидуальный ПИН-код на ключевом контейнере, который знает только владелец сертификата – пользователь СЭП.
Данная схема позволяет пользователям использовать личные ключи подписи и сертификаты в Сервисе электронной подписи. В СЭП могут использоваться как квалифицированные сертификаты ключей проверки электронной подписи, так и неквалифицированные сертификаты ключей проверки электронной подписи. Порядок подключения и работы в СЭП осуществляется в соответствии с Регламентом предоставления услуг Сервиса электронной подписи ООО «КРИПТО-ПРО».
Пользователей в СЭП регистрирует Оператор. Сформировать запрос на создание сертификата может Оператор или сам Пользователь СЭП. Создание сертификатов по запросу Пользователей подтверждает Оператор СЭП после проверки полученных от пользователя заявительных документов.
Порядок взаимодействия Удостоверяющего центра с Оператором СЭП определяется в соответствии с:
Порядок взаимодействия Оператора с Пользователями СЭП определяется Регламентом Уполномоченной организации, разрабатываемым самостоятельно в соответствии с условиями договора на подключение Оператора СЭП.
Для проверки электронной подписи предоставляется бесплатный сервис на базе ПО «КриптоПро SVS». Сервис позволяет осуществлять проверку сертификатов ключей проверки электронной подписи, созданных удостоверяющими центрами ООО «КРИПТО-ПРО»:
Для поддержки на рабочих местах пользователей СЭП стандартного протокола MS CryptoAPI при использовании «облачных» ключей подписи в ПАК «КриптоПро DSS» в рамках СКЗИ «КриптоПро CSP» версии 5.0 разработан т.н. «облачный» провайдер — КриптоПро Cloud CSP, обеспечивающий возможность автоматического бесшовного подключения к ПАК «КриптоПро DSS» любых информационных систем и приложений, уже поддерживающих работу с СКЗИ «КриптоПро CSP».
КриптоПро Cloud CSP сочетает в себе преимущества лучших продуктов компании «КриптоПро»: привычный программный интерфейс MS CryptoAPI, безопасность хранения ключей и выполнения криптографических операций с использованием ПАКМ «КриптоПро HSM», удобство управления пользователями и интеграция с Удостоверяющими центрами посредством ПАК «КриптоПро DSS». Администраторы безопасности получают возможность оперативного управления ключами пользователей, у пользователей исключается необходимость использовать ключевые носители, а дополнительное подтверждение критично важных операций может выполняться с помощью любых методов, поддерживаемых в ПАК «КриптоПро DSS».
Для авторизации пользователей используется: