Облачная электронная подпись
с использованием смартфона

Квалифицированная электронная подпись документов и контроль действий пользователя в системах дистанционного банкинга, ЭДО, торговых площадках и других

Certificate Manager

При использовании облачной реализации электронной подписи возникает вопрос однозначной аутентификации пользователя, SMS не позволяют обеспечить необходимый уровень защиты для операций юридически значимой электронной подписи. Кроме того, необходимо передать пользователю по защищенному каналу детали производимой транзакции (сумма перевода, получатель), что также не может быть реализовано с помощью SMS.

Описание задачи

Задачи по организации облачной электронной подписи в общем виде сводятся к следующим пунктам:

    • Необходимо сертифицированное решение - сервер электронной подписи - которое обеспечит формирование квалифицированной электронной подписи.
    • Для аутентификации конечных пользователей платформы облачной подписи и подтверждения ими операций подписи необходимо использовать безопасный канал связи на базе смартфона, использование SMS не допускается.

Решение

Серверную инфраструктуру сервиса электронной подписи обеспечивает программно-аппаратный комплекс КриптоПро DSS.

Для решения задач аутентификации пользователей и контроля транзакций Компании КриптоПро и Индид реализовали совместную платформу - КриптоПро AirKey Lite. Платформа сочетает в себе криптографические технологии КриптоПро с мобильными и клиент-серверными разработками Индид.

Для организации облачной юридически значимой электронной подписи на базе КриптоПро DSS используется следующая схема:

    • Целевая система (ДБО, СЭД и др.) интегрируются на серверной стороне с КриптоПро DSS. После этого запросы на формирование электронной подписи направляются непосредственно в DSS сразу с сервера целевой системы. Это дает возможность пользователю работать на любом устройства: ПК, планшет, смартфон.
    • Для аутентификации на сервисе электронной подписи (КриптоПро DSS) пользователь устанавливает на смартфоне приложение КриптоПро AirKey Lite. Помимо строгой аутентификации, приложение обеспечивает отображение деталей совершаемой транзакции на экране смартфона, позволяя пользователю контролировать процесс формирования подписи.
    • Сценарий формирования электронной подписи состоит из следующих основных шагов:
    1. Пользователь в интерфейсе целевой системы формирует запрос на подписание документа.
    2. Целевая системы, используя штатные механизмы КриптоПро DSS (HTTP API), перенаправляет пользователя на веб-интерфейс КриптоПро DSS, передавая в этом перенаправлении подписанный маркер доступа (SAML-токен), содержащий информацию о пользователе (имя пользователя, номер мобильного телефона и т.п.), и подписываемый документ.
    3. Для подтверждения подписания документа КриптоПро DSS через сервер Indeed AirKey Server направляет пользователю уведомление, содержащее детали выполняемой операции (данные транзакции и т.п.) и запрос на одобрение операции подписи.
    4. Пользователь получает уведомление в мобильном приложении КриптоПро AirKey Lite и подтверждает формирование электронной подписи на смартфоне.
    5. КриптоПро DSS, используя документированные функции ПАКМ «КриптоПро HSM», отправляет запрос на подписание документа с использованием закрытого ключа пользователя и получает подписанный документ.
    6. КриптоПро DSS перенаправляет пользователя в интерфейс целевой системы, передавая в перенаправлении подписанный документ.

Ниже приведена архитектурная схема описываемого решения.

Схема работы облачной электронной подписи

Особенности решения

Высокий уровень безопасности

Хранение закрытых ключей и выполнение операций электронной подписи происходит на серверной стороне в аппаратном модуле HSM (Hardware Security Module). Управление ключами производится централизованно и в случае необходимости, сертификаты ЭП могут быть оперативно отозваны, а ключи уничтожены.

Выполнение требований регуляторов

Платформа КриптоПро AirKey Lite использует сертифицированные ФСБ программные и аппаратные решения, что позволяет выполнить требования к обеспечению юридически значимой электронной подписи.

Удобство работы пользователя

Платформа КриптоПро AirKey Lite работает без использования индивидуальных аппаратных носителей, что кардинально облегчает работу конечных пользователей ЭП. При выполнение операции электронной подписи пользователь получает push- уведомление и видит на экране смартфона все необходимые детали транзакции, которую необходимо подписать. Процесс подтверждения происходит на смартфоне за пару касаний.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Владимир Солонин
В модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными.
Владимир Солонин
директор по информационной безопасности, «СДМ-Банк»
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»