Персональный сервис доверительных услуг
Персональный сервис доверительных услуг (далее Сервис) разработан с учетом необходимости качественного решения проблемы замены Java-апплетов. Отказ от Java-апплетов обоснован тем, что компоненты web-приложений для работы с электронной подписью и для взаимодействия с браузером использовали уязвимый с точки зрения безопасности интерфейс NPAPI. С выходом в сентябре 2017 JDK 9 и предшествующими отказами от NPAPI всех современных производителей web-браузеров, интерфейс NPAPI окончательно утратил разумные аргументы для его использования в современных информационных системах.
Сервис представляет собой Java приложение, построен с применением технологии Java Web Start (Java WS), что позволяет запускать его непосредственно из браузера.
С точки зрения архитектурного стиля, реализация Сервиса основана на подмножестве требований REST и содержит встроенный web-сервер для унификации взаимодействия с клиентским приложением по протоколу HTTPS. Для взаимодествия с пользователем используется пользовательский интерфейс со стандартными элементами управления, которые визуализируются согласно стилю графической оболочки операционной системы.
Область применения
Основными задачами, для выполнения которых может быть использован Сервис, являются:
-
Создание электронной подписи.
-
Проверка электронной подписи.
-
Создание электронной метки времени.
-
Проверка электронной метки времени.
-
Генерация ключей электронной подписи и направленного шифрования.
-
Отправка запроса на сертификат в ЦСК, а также загрузка сертификата из ЦСК.
Вышеуказанные операции производятся в операционном окружении вычислительного устройства, на котором запущен Сервис. Для выполнения операции "Создание электронной подписи" пользователь должен обязательно использовать ключевой контейнер с личными ключами. Остальные операции могут выполняться без использования личных ключей.
Данный Сервис позволяет создавать и проверять электронной подписи согласно Об установлении требований к техническим средствам, процессам их создания, использования и функционирования в составе информационно-телекоммуникационных систем во время предоставления электронных доверительных услуг, утвержденных Приказом Министерства юстиции Украины, Администрация Государственной службы специальной связи и защиты информации Украины от 18.11.2019 № 3563/5/610:
-
Базовая.
-
С полным набором данных проверки.
Отличительные характеристики
В сравнении с существующими на рынке решениями (библиотеки JavaScript, платформозависимый локальный сервис, расширения web-браузера, стандартное Java-приложение), Сервис имеет ряд существенных технологичных преимуществ:
-
Единое приложение для разных платформ, что поддерживает Java JDK/JRE.
-
Поддержка (А)ЦСК/КПЭДУ отечественных производителей.
-
Поддержка защищенных носителей.
-
Целостность обеспечивается промышленными средствами Java платформы.
-
Сервис загружается и обновляется независимо от взаимодествующего приложения.
-
Ограничения на размер обрабатываемых данных связаны только с аппаратными возможностями вычислительного устройства.
-
Взаимодествие с Сервисом происходит через доверенное и защищенное HTTPS-соединение.
-
Высокая производительность.
-
Работа в разовом и пакетном режимах.
-
Журналирование операций сервиса.
-
Асинхронное выполнение задач в несколько потоков.
-
Просмотр информации о данных, для которых вычисляется электронная подпись и электронная метка времени.
-
Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP) и через HTTP(s)-proxy.
-
Взаимодействие из любых приложений, запущенных локально.
-
Высокий потенциал для развития.
Варианты функционирования
Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP)
Взаимодействие с ЦСК через HTTP(s)-proxy
_ru.png)
Защищенные носители
|
№
|
Производитель
|
Модель
|
Тип
|
|
1
|
ООО Автор, Украина
|
Author Secure Token-337/338 Series
|
Token
|
|
2
|
ООО Автор, Украина
|
Author Secure SmartCard-337/338
|
SmartCard
|
|
3
|
ООО Микрокрипт, Украина
|
Armorino
|
Token + Flash
|
|
4
|
ООО Авест Украина, Украина
|
Avest UA
|
Token
|
|
5
|
Thales, США
|
Thales|Gemalto|SafeNet|Aladdin Crypto eToken
|
Token
|
|
6
|
ООО Эфит технолоджис, Украина
|
Efit Key
|
Token
|
|
7
|
ООО Алладин-РД, Украина
|
JaCarta
|
Token
|
|
8
|
АО ИИТ, Украина
|
Кристалл-1
|
Token
|
|
9
|
АО ИИТ, Украина
|
Алмаз-1К
|
Token
|
Демо
Демонстрация работы
На видео ниже, представлено знакомство с Персональным сервисом доверительных услуг, с примером создания и проверки электронной подписи.
Демонстрация авторизации с ключем
Файловый контейнер
Для авторизации с ключем, после открытия jnlp-файла, необходимо указать:
-
АЦСК/КПЭДУ;
-
Тип ключа - файл на диске;
-
Выбрать сам ключ, нажав кнопку "...";
-
Указать пароль к ключу;
-
Нажать на кнопку "Ок".
Пример, показан на рисунках ниже.
Защищенный носитель (Автор Secure Token)
Для авторизации с ключем, после открытия jnlp-файла, необходимо указать:
-
АЦСК/КПЭДУ;
-
Тип ключа - пассивный или активный режим;
-
Выбрать носитель, нажав кнопку "...";
-
Указать PIN к защищенному носителю;
-
Нажать на кнопку "Ок".
Пример, показан на рисунках ниже.
Более детальную информацию можно получить в Инструкции пользователя - Инструкция пользователя для работы с Персональным сервисом доверительных услуг
Документы продукта
«Персональный сервис доверительных услуг» имеет авторское свидетельство Министерства экономического развития и торговли Украины от 18.06.2019 №89869.
«Персональный сервис доверительных услуг» построен на основе Java бибилиотек из состава СКЗИ «Шифр-Х.509», которая имеет позитивное экспертное заключение Госспесвязи Украины от 05.05.2021 № 04/05/02-1278.