Персональный сервис доверительных услуг

sjwsa-client-logo.png

Персональный сервис доверительных услуг (далее Сервис) разработан с учетом необходимости качественного решения проблемы замены Java-апплетов. Отказ от Java-апплетов обоснован тем, что компоненты web-приложений для работы с электронной подписью и для взаимодействия с браузером использовали уязвимый с точки зрения безопасности интерфейс NPAPI. С выходом в сентябре 2017 JDK 9 и предшествующими отказами от NPAPI всех современных производителей web-браузеров, интерфейс NPAPI окончательно утратил разумные аргументы для его использования в современных информационных системах.
Сервис представляет собой Java приложение, построен с применением технологии Java Web Start (Java WS), что позволяет запускать его непосредственно из браузера.
С точки зрения архитектурного стиля, реализация Сервиса основана на подмножестве требований REST и содержит встроенный web-сервер для унификации взаимодействия с клиентским приложением по протоколу HTTPS. Для взаимодествия с пользователем используется пользовательский интерфейс со стандартными элементами управления, которые визуализируются согласно стилю графической оболочки операционной системы.

Область применения

Основными задачами, для выполнения которых может быть использован Сервис, являются:
  • Создание электронной подписи.
  • Проверка электронной подписи.
  • Создание электронной метки времени.
  • Проверка электронной метки времени.
  • Генерация ключей электронной подписи и направленного шифрования.
  • Отправка запроса на сертификат в ЦСК, а также загрузка сертификата из ЦСК.
Вышеуказанные операции производятся в операционном окружении вычислительного устройства, на котором запущен Сервис. Для выполнения операции "Создание электронной подписи" пользователь должен обязательно использовать ключевой контейнер с личными ключами. Остальные операции могут выполняться без использования личных ключей.
Данный Сервис позволяет создавать и проверять электронной подписи согласно Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем во время предоставления электронных доверительных услуг, утвержденных Приказом Министерства юстиции Украины, Администрация Государственной службы специальной связи и защиты информации Украины от 18.11.2019 № 3563/5/610:
  • Базовая.
  • С полным набором данных проверки.

Отличительные характеристики

В сравнении с существующими на рынке решениями (библиотеки JavaScript, платформозависимый локальный сервис, расширения web-браузера, стандартное Java-приложение), Сервис имеет ряд существенных технологичных преимуществ:
  • Единое приложение для разных платформ, что поддерживает Java JDK/JRE.
  • Поддержка (А)ЦСК/КПЭДУ отечественных производителей.
  • Поддержка защищенных носителей.
  • Целостность обеспечивается промышленными средствами Java платформы.
  • Сервис загружается и обновляется независимо от взаимодествующего приложения.
  • Ограничения на размер обрабатываемых данных связаны только с аппаратными возможностями вычислительного устройства.
  • Взаимодествие с Сервисом происходит через доверенное и защищенное HTTPS-соединение.
  • Высокая производительность.
  • Работа в разовом и пакетном режимах.
  • Журналирование операций сервиса.
  • Асинхронное выполнение задач в несколько потоков.
  • Просмотр информации о данных, для которых вычисляется электронная подпись и электронная метка времени.
  • Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP) и через HTTP(s)-proxy.
  • Взаимодействие из любых приложений, запущенных локально.
  • Высокий потенциал для развития.

Варианты функционирования

Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP)

Structure-sjws-light-structure_ru.png (58 KB)

Взаимодействие с ЦСК через HTTP(s)-proxy

Structure-sjws-light-structure(proxy)_ru.png (59 KB)

Защищенные носители

Производитель
Модель
Тип
1
ООО Автор, Украина
Author Secure Token-337/338 Series
Token
2
ООО Автор, Украина
Author Secure SmartCard-337/338
SmartCard
3
ООО Микрокрипт, Украина
Armorino
Token + Flash
4
ООО Авест Украина, Украина
Avest UA
Token
5
Thales, США
Thales|Gemalto|SafeNet|Aladdin Crypto eToken
Token
6
ООО Эфит технолоджис, Украина
Efit Key
Token
7
ООО Алладин-РД, Украина
JaCarta
Token
8
АО ИИТ, Украина
Кристалл-1
Token
9
АО ИИТ, Украина
Алмаз-1К
Token

Демо

Демонстрация работы

На видео ниже, представлено знакомство с Персональным сервисом доверительных услуг, с примером создания и проверки электронной подписи.

Демонстрация авторизации с ключем

Файловый контейнер

Для авторизации с ключем, после открытия jnlp-файла, необходимо указать:
  • АЦСК/КПЭДУ;
  • Тип ключа - файл на диске;
  • Выбрать сам ключ, нажав кнопку "...";
  • Указать пароль к ключу;
  • Нажать на кнопку "Ок".
Пример, показан на рисунках ниже.

sjwsa-1.png  

Защищенный носитель (Автор Secure Token)

Для авторизации с ключем, после открытия jnlp-файла, необходимо указать:
  • АЦСК/КПЭДУ;
  • Тип ключа - пассивный или активный режим;
  • Выбрать носитель, нажав кнопку "...";
  • Указать PIN к защищенному носителю;
  • Нажать на кнопку "Ок".
Пример, показан на рисунках ниже.

  

Более детальную информацию можно получить в Инструкции пользователя - Инструкция пользователя для работы с Персональным сервисом доверительных услуг

Документы продукта

«Персональный сервис доверительных услуг» имеет авторское свидетельство Министерства экономического развития и торговли Украины от 18.06.2019 №89869.
«Персональный сервис доверительных услуг» построен на основе Java бибилиотек из состава СКЗИ «Шифр-Х.509», которая имеет позитивное экспертное заключение Госспесвязи Украины от 05.05.2021 № 04/05/02-1278.

Дополнительные материалы