Программно-аппаратный комплекс КриптоПро DSS
Техническое описание программно-аппаратного комплекса КриптоПро DSS
Программно-аппаратный комплекс КриптоПро DSS 2.0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).
КриптоПро DSS обеспечивает:
- создание электронной подписи любого формата электронного документа;
- отсутствие необходимости в установке клиентской части на стационарное рабочее место при работе с неквалифицированной подписью;
- отсутствие необходимости в установке клиентской части на стационарное рабочее место при установке клиентских компонент на мобильные устройства;
- возможность работы с квалифицированной электронной подписью в случае использования комплектаций, имеющих сертификаты соответствия требованиям ФСБ России (требуется установкауказанных в документации на данные комплектации клиентских компонент);
- широкий охват платформ и устройств, с которых пользователь может работать с КриптоПро DSS;
- снижение стоимости развертывания и владения инфраструктурой ЭП, т.к. нет необходимости установки средства ЭП на каждое стационарное рабочее место пользователя, а управление всей инфраструктурой сосредоточено на одном сервере;
- снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения;
- возможность использования стандартного интерфейса CryptoAPI с помощью дополнительного модуля КриптоПро Cloud CSP на базе КриптоПро CSP версии 5.0 для обеспечения совместимости с традиционными приложениями;
- возможность работы с локальными ключами электронной подписи на рабочих местах пользователей (режим КриптоПро DSS Lite);
- возможность работы с локальными ключами электронной подписи на мобильных устройствах пользователей (режим мобильной подписи);
- лёгкость встраивания функций создания ЭП в прикладные системы за счёт наличия простых интерфейсов автоматизации на базе стандартных средств протокола HTTP и веб-сервисов (API), включая SOAP и REST;
- возможность усиления ранее созданной электронной подписи до усовершенствованного формата (CAdES-T или CAdES-X Long Type 1) путем добавления штампов времени и информации о статусе сертификата.
- возможность применения различных схем аутентификации пользователя для доступа к его ключам, включая возможность интеграции со сторонними центрами идентификации по протоколам SAML (WS-Security) и OAuth (в т.ч. с корпоративным доменом на безе MS AD и OpenLDAP);
- централизованное /локальное шифрование/расшифрование электронных документов;
- пакетная обработка электронных документов (подписание/шифрование по API одной командой набора однотипных электронных документов);
- Поддержка нескольких экземпляров сервисов электронной подписи и центров идентификации с различными параметрами настройки функционирования на одном сервере КриптоПро DSS
- Визуализация (отображение) подписываемых электронных документов формата PDF, docx, txt, xml. Возможно расширение перечня форматов отображаемых файлов.
- создание видимой подписи с логотипом и текстом и в виде изображения (image appearance) с учетом требований Приказа Минкомсвязи и ФСО России от 27.05.2015 №186/258При для документов формата PDF с использованием API (SOAP/REST);
- возможность интеграции с корпоративными хранилищами документов, поддерживающими стандарт CMIS;
- возможность кастомизации графического веб-интерфейса (цветовой гаммы, логотипов, шрифтов и т.п.) в соответствии с корпоративным стилем и требованиями Заказчика.
Обращаем внимание: до издания ФСБ России требований, предусмотренных пунктом 2.1 части 5 статьи 8 Федерального закона "Об электронной подписи", и до осуществления подтверждения соответствия КриптоПро DSS 2.0 изданным требованиям комплекс не может применяться для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона "Об электронной подписи".
Поддерживаемые форматы электронной подписи
- Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
- Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
- Подпись XML-документов (XMLDSig);
- Подпись документов PDF;
- Подпись документов Microsoft Office.
Требования к окружению
КриптоПро DSS предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
- создание пользователя;
- блокирование и удаление пользователя;
- генерация ключа электронной подписи пользователя;
- формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
- установку полученного сертификата пользователю;
- настройку параметров аутентификации пользователей;
- аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
- сброс пароля в случае его утраты пользователем.
Способы аутентификации
В зависимости от настройки, КриптоПро DSS может реализовывать следующие способы аутентификации пользователя:
- классическая однофакторная аутентификация по логину и паролю с дополнительной защитой доступа по протоколу TLS (только для неквалифицированной подписи или при работе в одной контролируемой зоне);
- криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения myDSS или специального апплета на SIM-карте;
- двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
- двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) "КриптоПро Центр Мониторинга" для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.