Сервис электронной
подписи
на базе ПАКМ «КриптоПро HSM» и СКЗИ «КриптоПро CSP» с возможностью подключения стороннего Удостоверяющего Центра
Сервис электронной подписи (СЭП) на базе ПАКМ «КриптоПро HSM» и СКЗИ «КриптоПро CSP» с возможностью подключения стороннего Удостоверяющего Центра предназначен для централизованного применения усиленной электронной подписи в прикладных информационных системах Уполномоченных организаций, заключивших с ООО «КРИПТО-ПРО» договор на подключение Оператора СЭП.
СЭП позволяет реализовать функции управления запросами на создание и прекращение действия сертификатов ключей проверки электронной подписи (далее – сертификаты) с передачей их в УЦ, с передачей их в сторонний УЦ, принадлежащий самой Уполномоченной организации или оказывающий услуги на основании договора с Уполномоченной организацией.
Также СЭП позволяет выполнять создание и проверку электронной подписи (в том числе мобильной) различного формата криптографических сообщений.
Уполномоченная организация для получения применяемых в СЭП сертификатов может использовать как неаккредитованный, так и аккредитованный УЦ. Взаимодействие с УЦ определяется Порядком, устанавливаемым Регламентом деятельности УЦ и договором Уполномоченной организации с этим УЦ.
Передача запроса на сертификат в формате PKCS#10 может осуществляться при помощи программного интерфейса в подключенный УЦ на базе ПАК «КриптоПро УЦ», посредством интегрированной с СЭП прикладной информационной системы или путем ручной выгрузки с помощью веб-интерфейса СЭП и передачи Оператору УЦ.
Полученный в УЦ сертификат может быть загружен в СЭП при помощи программного интерфейса, посредством интегрированной ИС или веб-интерфейса.
Режимы использования ключей подписи и схемы обслуживания пользователей
-
Серверный («облачный»)
Уполномоченная организация, заключившая договор на подключение Оператора СЭП, получает возможность самостоятельно определять необходимые режимы использования ключей подписи – может применять как централизованное создание и хранение ключей электронной подписи с помощью ПАКМ «КриптоПро HSM», так и локальное на рабочих местах пользователей с применением СКЗИ «КриптоПро CSP».
Порядок обслуживания пользователей СЭП определяется Регламентом предоставления услуг СЭП, Регламентом Уполномоченной организации с учетом используемого вида электронной подписи и требований законодательства.
-
Мобильная подпись
СЭП предоставляет пользователям возможность хранения ключей подписи на собственном мобильном устройстве при помощи мобильного приложения на базе SDK (например, DSS Client). В этом случае рабочее место пользователя не требует установки какого-либо дополнительного программного обеспечения. СКЗИ "КриптоПро CSP" входит в состав модулей мобильного приложения (или SDK). Оказание услуг пользователям аккредитованного УЦ при использовании мобильной подписи осуществляется по распределенной схеме обслуживания с Оператором СЭП, обрабатывающим заявки на регистрацию пользователей СЭП и запросы на создание и аннуллирование квалифицированных сертификатов, передаваемые затем в УЦ.
Пользователям доступно создание электронной подписи различных форматов как непосрественно в мобильном приложении, так из веб-интерфейса СЭП или интегрируемой прикладной системы.
Подключение Оператора СЭП осуществляется после заключения договора с Уполномоченной организацией.
Аутентификация пользователей
-
1
Уполномоченная организация самостоятельно определяет необходимые методы аутентификации Пользователей СЭП с учетом применяемого вида электронной подписи.
-
2
Рекомендуется использование криптографических методов аутентификации, в частности мобильного приложения на базе SDK (например, DSS Client), использующего российские криптографические алгоритмы HMAC, описанные в Рекомендациях по стандартизации Р 50.1.113–2016.
Интеграция с прикладными системами
Уполномоченной организации при использовании СЭП доступны все стандартные возможности по интеграции с прикладными информационными системами по протоколам SOAP, REST и HTTP API, а также подключению сторонних центров идентификации по протоколам OAuth 2.0 и WS-Federation с поддержкой SAML 1.1/2.0.
Интеграция осуществляется в соответствии с Руководством разработчика СЭП.
Адреса и технические условия подключения прикладных ИС и сторонних ЦИ могут быть уточнены после заключения договора с Уполномоченной организацией.
Использование облачного криптопровайдера
(КриптоПро Cloud CSP)
"Облачный" криптопровайдер КриптоПро Cloud CSP на базе СКЗИ «КриптоПро CSP» версии 5.0 позволяет использовать СЭП совместно с любыми прикладными информационными системами, в которых функции электронной подписи реализованы с помощью стандартных криптопровайдеров типа СКЗИ «КриптоПро CSP» по протоколу MS CryptoAPI, с учетом типа сертификатов, создаваемых сторонним УЦ.
Авторизация операторов и пользователей
-
Авторизация пользователей СЭП
Схема обслуживания распределенная
с Оператором СЭПАдрес подключения предоставляется Оператору СЭП после заключения договора.