Основные характеристики Signal-COM DSS Server:
• выполнен в виде Java EE приложения и может исполняться на любом сервере приложений, поддерживающем спецификацию JAX-WS 2.2 и выше;
• предоставляет программный интерфейс по протоколу SOAP;
• реализует следующие протоколы электронной подписи:

— CMS в соответствии с RFC 5652, RFC 4490 и рекомендациями ТК 26,
— XMLDSig в соответствии с рекомендациями W3C и ТК 26;

• реализует следующие алгоритмы электронной подписи:

— ГОСТ Р 34.10-2012,
— ГОСТ Р 34.10-2001 (только проверка электронной подписи),
— RSA;

• позволяет добавлять в подпись штампы времени в соответствии с RFC 5126 и RFC 3161;
• использует сертификаты ключей проверки электронной подписи и списки отозванных сертификатов (CRL) в формате ITU-T X.509 в соответствии с RFC 3280, RFC 4491 и рекомендациями ТК 26;
• при проверке статуса сертификатов может использовать протокол OCSP.

Сервер «Signal-COM DSS Server» успешно эксплуатируется в системе электронных паспортов (СЭП) на территории Российской Федерации для придание юридической значимости электронных документов с использованием электронной (электронно-цифровой) подписи в рамках сотрудничества с АО «Электронный паспорт», являющегося администратором СЭП на территории ЕАЭС.

Основными функциями сервера «Signal-COM DSS Server» в СЭП являются:
•    подписание и проверка электронных подписей пользователей/участников СЭП под электронными документами, создаваемыми и хранимыми в СЭП;
•    подписание и проверка электронных подписей участников СЭП при взаимодействии СЭП с внешними (смежными) информационными системами (через СМЭВ, веб-сервисы СЭП, при загрузке файлов согласованного формата, при автоматизированном обмене файлами согласованного формата);
•    использование механизма электронной подписи для аутентификации пользователей СЭП.

Варианты использования Signal-COM DSS Server:

1. Создание электронной подписи в «облаке»

При создании электронной подписи с использованием облачного сервиса применяется схема централизованного хранения ключей ЭП пользователей в специальном аппаратном модуле (HSM), отвечающем за сохранность ключей на протяжении всего жизненного цикла.

Электронная подпись нужного формата формируется на сервере электронной подписи (DSS), который использует в качестве хранилища ключей HSM.

Удалённые пользователи могут получать доступ к услуге электронной подписи, пользуясь веб-приложением, не содержащим реализации криптографических функций. При этом веб-приложение может исполняться как на настольном персональном компьютере, так и на планшете или смартфоне.

Пример упрощенной схемы создания электронной подписи в «облаке» при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания (ДБО):

1. Удалённый пользователь в веб-приложении, загружаемом с сервера ДБО, заполняет форму, данные которой необходимо заверить электронной подписью, и нажимает кнопку «Подписать».

2. Сервер ДБО перенаправляет пользователя на сервер аутентификации (IdP), где выполняется его идентификация и аутентификация*. После её проведения сервер аутентификации выдаёт (или не выдаёт) пользователю заверенное разрешение на допуск к серверу подписи.

3. Веб-приложение пользователя передаёт данные формы вместе с разрешением на допуск серверу подписи (DSS). Сервер подписи создаёт электронную подпись для данных формы, взаимодействуя с аппаратным хранилищем ключей подписи пользователей (HSM).

4. Веб-приложение пользователя перенаправляет электронную подпись на сервер ДБО, где производится её проверка и обработка данных формы.

В ходе реализации конкретных проектов отдельные компоненты, приведённые на схеме, могут объединяться (например, сервер подписи и сервер аутентификации или сервер ДБО и сервер аутентификации).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.

* — Методы аутентификации пользователей могут быть самыми разными, например, двухфакторная аутентификация с использованием одноразового пароля (OTP). Этот пароль может передаваться пользователю по SMS, либо генерироваться OTP-токеном или специальной программой генерации одноразовых паролей.

2. Создание электронной подписи в «облаке» с использованием временных ключей (сессионная электронная подпись)

Пользователь может создавать юридически значимые электронные подписи не имея долговременных ключей ЭП и квалифицированного сертификата. Для этого он может воспользоваться услугами сервиса по созданию ЭП в «облаке» с применением временных (одноразовых) ключей.

Удалённые пользователи могут получать доступ к услуге электронной подписи, обратившись к оператору веб-сервера ЭП. Веб-сервер ЭП является доверенным посредником между пользователем, удостоверяющим центром и сервером создания ЭП, а также обеспечивает отправку подписанных документов на сервер услуг.

Пример упрощенной схемы создания электронной подписи в «облаке» с использованием временных ключей при взаимодействии удалённого пользователя с сервером услуг:

1. Пользователю необходимо направить документ с электронной подписью на сервер услуг (это может быть, например, Росреестр, ПФР и т.  д.). Для этого он предоставляет оператору удостоверение личности, а также данные, необходимые для заполнения документа. Оператор идентифицирует пользователя.

2. Оператор на основании предоставленного пользователем удостоверения личности и документов заполняет форму в веб-приложении и нажимает кнопку «Создать сертификат и подписать».

3. Приложение на веб-сервере посылает команду на создание ключей серверу создания ЭП (DSS). Сервер ЭП создаёт ключи и запрос на сертификат открытого ключа ЭП.

4. Приложение на веб-сервере, взаимодействуя по защищённому каналу с аккредитованным УЦ, получает сертификат открытого ключа ЭП на имя пользователя.

5. Приложение на веб-сервере формирует команду на создание ЭП и последующее уничтожение ключа ЭП.

6. Приложение веб-сервера осуществляет отправку документа и электронной подписи на сервер услуг, где производится проверка ЭП и обработка документа. Как альтернатива, подписанный ЭП документ может быть скопирован пользователю на электронный носитель (флешку).

Все каналы взаимодействия между компонентами защищаются по протоколу HTTPS.

3. Проверка и создание ЭП с использованием сервера электронной подписи

Сервер электронной подписи (DSS) может использоваться в любой прикладной системе, где требуется заверение с помощью ЭП документов произвольного формата и содержания.

При этом DSS может использоваться как для проверки, так и для создания ЭП. Формат подписи – CMS или XMLDSig.

При проверке или создании в ЭП могут быть добавлены штампы времени (согласно протоколам TSP, CAdES).

При построении цепочки и проверке сертификата открытого ключа ЭП сервер DSS может пользоваться сетевыми справочниками (LDAP) и службами проверки актуального статуса сертификата (OCSP).

Помимо проверки ЭП пользователей DSS может применяться для создания ЭП под электронными документами при взаимодействии с внешними системами и/или с пользователем.

Пример упрощенной схемы проверки электронной подписи при взаимодействии удалённого пользователя с системой дистанционного банковского обслуживания:

1. Пользователь формирует документы для отправки и выполняет операцию подписания с помощью локального средства ЭП (ключ электронной подписи хранится на локальном носителе, например, на токене). Документы с подписью отправляются в систему ДБО.

   1. Система ДБО отправляет полученные электронные документы с подписью на проверку. Сервер подписи (DSS) осуществляет проверку ЭП, используя связи со справочниками и онлайновыми службами УЦ. По результатам проверки DSS формирует протокол проверки. В процессе проверки в подпись могут быть добавлены штампы времени, продлевающие время жизни ЭП.

Стоимость лицензии на право использования Signal-COM DSS Server на одном сервере – 450 000 руб.
Годовая техническая поддержка – 12% от стоимости ПО.
Гарантийное обслуживание — 1 год.

Отзыв — Государственная корпорация «Ростех». Акционерное общество «Электронный паспорт»