Первый шаг. Авторизоваться в КриптоПро DSS.
Для этого нужно пройти регистрацию или войти с уже имеющимися учетными данными.
После авторизации становится доступен раздел «Сертификаты». Если нет действующих сертификатов, то можно создать запрос на новый сертификат. Для этого нужно выбрать УЦ и заполнить необходимые поля. При создании запроса в сервисе будет создан контейнер с ключами, и получен сертификат электронной подписи. В реальном обстоятельствах, ключ электронной подписи выдает Удостоверяющий центр.
Суть технологии
Технология «облачной» электронной подписи базируется на 2 основных элементах: КриптоПро DSS 2.0* и КриптоПро HSM 2.0*, поддерживающие новый ГОСТ Р 34.10-2012. Подробнее о переходе на новый ГОСТ формирования электронной подписи можно прочитать в статье «Старт выпуска подчиненных сертификатов аккредитованных УЦ по новому ГОСТ».
* Продукты компании ООО «КРИПТО-ПРО» – лидера рынка производства и распространения средств криптографической защиты информации (СКЗИ) и электронной подписи.
КриптоПро DSS — это сервер «облачной» ЭП, веб-интерфейс или, проще говоря, «оболочка», которую видит и с которой взаимодействует пользователь. КриптоПро DSS может использоваться как сам по себе, так и в составе других систем (ДБО, ЭДО, ЭТП, приложения для ПК и мобильных устройств), для интеграции с которыми предоставляются различные API (базовая часть интерфейса прикладного программирования, на основе которой легко надстроить нужный функционал в различных системах).
КриптоПро HSM — это программно-аппаратный криптографический модуль, предназначенный для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей. КриптоПро HSM выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных.
Реализованное компанией ООО «КРИПТО-ПРО» решение позволяет перенести ключ ЭП в «облако», позволяя владельцам обрести мобильность и забыть о риске компрометации подписи, потери токена и о ряде других сопутствующих проблем.
Второй шаг. Установить КриптоПро Cloud CSP.
Криптопровайдер КриптоПро Cloud CSP доступен для скачивания по ссылке. Помимо дистрибутива в архиве будет также краткая инструкция по использованию. Установка дистрибутива не вызовет сложностей. Но есть одно условие, перед установкой КриптоПро Cloud CSP нужно предварительно удалить все другие криптопровайдеры.
В начале открываем программу КриптоПро CSP. Выбираем вкладку «Сервис» и кнопку «Просмотреть сертификаты в контейнере…».
В списке ключевых контейнеров находим тот, чей тип считывателя называется DSS keys.
Выбрав нужный контейнер, нажать «OK» и «Далее». Затем в окне «Сертификат для просмотра» нажимаем «Установить». Появится сообщение об успешной установке сертификата в хранилище «Личные». Нажимаем «Готово».
Сертификат из облачного хранилища КриптоПро DSS успешно установлен. Открываем программу КриптоАРМ находим его в «Личном хранилище сертификатов». С этого момента, данный сертификат можно использовать для подписи любых файлов, находящихся на локальном компьютера.
Ключ подписи по прежнему хранится в облаке. Интернет и телефон по прежнему необходимы для подписи. Но теперь вы можете подписывать любые файлы без ограничений. Можете подписывать их прямо с рабочего стола не запуская браузер и не заходя на страницу веб-сервиса. Или подписывать из знакомого приложения.
https://www.youtube.com/watch?v=ytabout
Резюмируя, порталы и веб-сервисы, предлагающие облачную подпись становятся с каждым годом все более доступными и массовыми. Но в силу своей специфики у такого вида подписей есть ряд ограничений, главное из которых привязанность к определенной информационной системе. Решение КриптоПро Cloud CSP расширяет спектр применения облачной подписи, предлагая способ использовать ее в популярных приложениях, наподобие КриптоАРМ.
Внедрение и стоимость «облачной» квалифицированной электронной подписи
Пользователь ЭП освобождается от «жесткой» привязки к настроенному рабочему месту. Цикл работ по настройке криптографических механизмов и форматов, например, установка средства криптографической защиты – программы КриптоПро CSP, и по управлению ключами берут на себя серверные компоненты решения. Теперь доступ к ключу электронной подписи можно получить и с настольного компьютера, и с ноутбука, и с планшета, и со смартфона и даже с телефона, не имеющего подключения к Интернету. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации.
Варианты аутентификации пользователей «облачной» КЭП
a. доступное и для iOS, и для Android мобильное приложение myDSS;b. SIM-карта с криптографическим апплетом;c. смарт-карта или USB-токен с криптографией;d. использование средств протокола TLS (протокол защиты транспортного уровня).
Хранилище ключей — КриптоПро HSM, снабжено датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, «барьером» от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.
Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.
4 — Надежность
С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.
a. систему электронного документооборота, поскольку не будет необходимости дорабатывать или менять действующую систему;b. программное обеспечение для работы с ЭП, так как не будет необходимости отказываться от привычного ПО, например, КриптоПро CSP при установке «облачного» криптопровайдера Cloud CSP «бесшовно» сможет использовать ключи, хранящиеся в «облаке»;c.
Кроме этого, актуальный для 2018 года переход на новый ГОСТ Р 34.10-2012 не потребует от пользователей решения дополнительных вложений ни в покупку новых токенов, ни нового ПО при условии подключения расширенной технической поддержки.
Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании.
https://www.youtube.com/watch?v=ytpress
Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации – конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.
** АО «Аналитический Центр» – центр авторизации УЦ при Ассоциации Электронных Торговых Площадок, поставщик продуктов и услуг в сфере информационной безопасности, аутентификации и идентификации.
Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».
Вопрос «квалифицированности» «облачной» ЭП
Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.
10 августа 2018 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.
https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin
Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.
