Электронная подпись (ЭП) в клиент-серверных приложениях

Сертифицированные Средства криптографической защиты информации (СКЗИ), разработанные компанией «Сигнал-КОМ», поддерживают российские и зарубежные криптографические стандарты: ГОСТ Р 34.10-2012,  ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89, RSA, AES, 3DES, SHA-2, SHA-1, и позволяют встраивать алгоритмы шифрования, квалифицированной и усиленной неквалифицированной ЭП в приложения, в соответствии с требованиям Федерального Закона Российской Федерации от 6 апреля 2011г. №63-ФЗ «Об электронной подписи».

СКЗИ НА СТОРОНЕ КЛИЕНТА

• Толстый клиент (автономные клиентские приложения)

Формирование ЭП в клиентских приложениях может быть реализовано с помощью следующих продуктов:

• Криптографическая библиотека Message-PRO

Основные особенности:

• поставляется в составе приложения (не требует предварительной установки);

поддержка платформ на базе ОС Windows, Linux, macOS, FreeBSD, Solaris;

• оптимальное решение с т.з. цена/качество;

Примечание: для поддержки протокола SSL/TLS на стороне клиента может быть дополнительно использована криптобиблиотека SSL-PRO

• Криптопровайдер Signal-COM CSP

Основные особенности:

• требует предустановки при наличии прав администратора;
• обеспечивает формирование ЭП в любых приложениях, работающих через интерфейс CryptoAPI 2.0;
• поддерживает протокол SSL/TLS;
• работает на  платформах на базе ОС Windows;

• Криптопровайдер Signal-COM JCP

Основные особенности:

• используется с Java 2 Platform Standard Edition;
• поддержка платформ на базе ОС Windows, Linux, macOS, Solaris, AIX, z/OS.

Примечание: для поддержки протокола SSL/TLS на стороне клиента может быть дополнительно использована криптобиблиотека Signal-COM Java TLS

• Тонкий клиент (работа через браузер)

Формирование ЭП может быть реализовано путем скачивания через Интернет и установки криптоплагинов, поддерживающих работу в современных Web-браузерах:  Internet Explorer, Google Chrome, Mozilla Firefox, Opera, Яндекс.Браузер, Safari и др.

Обычно разработка криптоплагинов производится под заказ исходя из требуемого функционала Заказчика, но иногда могут быть использованы и универсальные решения.

Примеры криптоплагинов

Криптоплагины с использованием библиотеки Message-PRO:

SC Signature Plug-in – обеспечивает формирование ЭП для файлов и строковых данных;

SC BCO Plug-in (частное решение для одного из банков)  — предназначен для использования в системе БКО (Банк-Клиент Онлайн) для генерации ключей и запросов на сертификаты, управления ключевой информацией, формирования ЭП для файлов и строковых данных; 

SC KeyGen Plug-in – предназначен для использования в составе Web-приложения Notary-PRO Web Pages для генерации ключей и запросов на сертификаты.

Основные особенности:

• • библиотека Message-PRO входит в состав криптоплагинов;
  • решения являются кроссплатформенными и  мультибраузерными;

Плагин с использованием криптопровайдеров:

SC Signature CSP Plug-in — предназначен для формирования ЭП с использованием криптопровайдеров различных разработчиков, в том числе Signal-COM CSP.

Основные особенности:

• • требует предустановки криптопровайдера;
  • решение мультибраузерное для платформ на базе ОС Windows;
  • плагин распространяется бесплатно.

Все, указанные выше программные продукты, предполагают использование различных типов ключевых носителей (Рутокен, eToken PRO (Java), USB Flash-накопителей и др.) и криптографических токенов (Рутокен ЭЦП, JaCarta ГОСТ, eToken ГОСТ, MS_Key и др.).

СКЗИ НА СТОРОНЕ  СЕРВЕРА

Решения для формирования и проверки ЭП на сервере:

2.1 Криптографическая библиотека Message-PRO

Основные особенности:

• поставляется на основе серверной лицензии;
• встраивается в серверные приложения;
• поддержка платформ на базе ОС Windows, Linux, FreeBSD, Solaris;

Примечание: для поддержки протокола SSL/TLS на стороне сервера дополнительно может быть использована криптобиблиотека SSL-PRO, поставляемая на основе серверной лицензии.

• Криптопровайдер Signal-COM CSP

Основные особенности:

• поставляется на основе серверной лицензии;
• встраивается в серверные приложения с поддержкой интерфейса CryptoAPI 2.0;
• поддерживает протокол SSL/TLS;
• поддержка платформ на базе ОС Windows Server.

• Signal-COM DSS сервер

Основные особенности:

• автономное, серверное, высокопроизводительное и масштабируемое решение;
• поддержка взаимодействия с серверными приложениями на основе стандарта OASIS Digital Signature Service (по протоколу SOAP);
• сфера применения: серверные решения с высокой нагрузочной способностью в части формирования и проверки ЭП.

3. ШТАМПЫ ВРЕМЕНИ

При работе с ЭП часто требуется установление и подтверждение момента создания документа и формирования подписи.  Для решения этой задачи используются решения на основе штампов времени, которые также позволяют практически неограниченно продлевать срок жизни ЭП (подпись остается действительной после окончания периода действия ключа подписи и даже после его компрометации).

3.1 Решения на стороне клиента

3.1.1 Линейка продуктов Signal-COM TSP

Особенности:

• работают совместно с библиотекой «Message-PRO»и криптопровайдером «Signal-COM CSP»;
• работают на платформах Windows, Linux, FreeBSD, Solaris.

3.1.2 Signal-COM Java TSP

Особенности:

• используется с Java 2 Platform Standard Edition;
• поддержка платформ на базе ОС Windows, Linux, macOS, Solaris, AIX, z/OS;
• работает совместно с криптопровайдером Signal-COM JCP и библиотекой Signal-COM Java CMS.

3.2 Решения на стороне сервера.

3.2.1  Signal-COM TSP Server

Особенности:

• предназначен для организации автономных служб штампов времени для использования в корпоративных информационных системах.

3.2.2 Служба штампов времени (time stamping authority, TSA)

Особенности:

• предоставление услуг формирования штампов времени для корпоративных информационных систем и приложений;
• в качестве источника точного времени используется NTP-сервер АО «Центр взаимодействия компьютерных сетей «МСК-IX»;