Обзор криптографической платформы Litoria Crypto Platform

Обзор криптографической платформы Litoria Crypto Platform


Обзор криптографической платформы Litoria Crypto Platform

Безопасность электронного документооборота обеспечивается применением технологий электронной подписи (ЭП) и шифрования данных: ЭП наделяет документ юридической значимостью, а шифрование позволяет передавать по открытым каналам конфиденциальные данные, исключив риски их компрометации. Рассмотрим криптографическую платформу Litoria Crypto Platform разработки компании «Газинформсервис», решающую множество задач, связанных с внедрением и использованием ЭП в организациях.

Сертификат AM Test Lab

Номер сертификата: 211

Дата выдачи: 19.12.2017

Срок действия: 19.12.2022

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Условия применения
  3. Функциональные возможности
    1. 3.1. Управление СОС
    2. 3.2. Создание УЭП
    3. 3.3. Добавление УЭП
    4. 3.4. Заверение УЭП
    5. 3.5. Проверка УЭП
    6. 3.6. Сервисы ДТС
    7. 3.7. Шифрование
    8. 3.8. Расшифровывание
    9. 3.9. Гарантированное удаление
    10. 3.10. Реализация сервисов службы штампов времени
    11. 3.11. Сервис пролонгации
  4. Примеры успешных решений
    1. 4.1. Интеграция с системой электронного документооборота Directum
    2. 4.2. Интеграция с решениями Citrix
    3. 4.3. Интеграция с SharePoint
    4. 4.4. Интеграция с сервисами службы ДТС
    5. 4.5. Интеграция с медицинской информационной системой qMS
  5. Входные и выходные данные
  6. Чем обусловлена простота интеграции
  7. Выводы

 

Введение

Год от года число государственных ведомств и коммерческих структур, осуществляющих переход к электронному юридически значимому и конфиденциальному взаимодействию, неуклонно растет. Катализаторами этого процесса являются нормативно-правовые акты, принятые на государственном уровне (ФЗ-263 от 13.07.2015 «Об отмене ограничений на электронный документооборот»; программа «Цифровая экономика Российской Федерации»), а также наличие необходимой технической составляющей. Параллельно с этим нестабильная ситуация на международной арене стала толчком к повсеместному импортозамещению решений иностранного производства и укреплению позиций российских вендоров.

В сфере электронного взаимодействия и электронного документооборота мы догнали и даже обогнали Европу, что проявилось в создании технических решений, обеспечивающих корректную работу с ЭП и сертификатами ключей проверки ЭП, сформированных с использованием иностранной и российской криптографий, несмотря на специфичность утвержденных в РФ на государственном уровне криптографических стандартов (создание технических решений, реализующих сервисы Доверенной третьей стороны).

Бизнес любых масштабов заинтересован в переходе к электронному юридически значимому и конфиденциальному взаимодействию, поскольку это напрямую связано с ростом производительности предприятия и эффективности труда сотрудников. Одновременно этот путь сопряжен с проблемами материальных и интеллектуальных инвестиций, а также сложностью восприятия нововведений рядовыми пользователями, особенно остро эта проблема встает для сотрудников старшего поколения. При этом внедрение большинства из представленных на рынке средств, реализующих технологии ЭП и шифрования, характеризуются длительным периодом развертывания, тестирования, сложностью управления, высокими затратами на внедрение и последующее обслуживание

Решениями, на основе которых могут быть реализованы задачи электронного документооборота, являются продукты линейки Litoria.

В данной статье будет приведен обзор одного из продуктов линейки — криптографической платформы Litoria Crypto Platform, а также входящего в его состав сервиса, позволяющего выполнить интеграцию платформы быстро и легко.

Криптографическая платформа Litoria Crypto Platform вобрала в себя достижения специалистов компании в направлении PKI более чем за 10 лет существования на рынке информационной безопасности. Она соответствует требованиям российского законодательства в части реализации технологий ЭП и шифрования и при этом учитывает лучшие мировые практики (успешно проходит все тесты PKI, разработанные Национальным институтом стандартов и технологий США — NIST).

При использовании криптографической платформы Litoria Crypto Platform разработчику доступны следующие возможности:

  • создание, добавление, заверение и проверка ЭП различного типа (простая, усовершенствованная ЭП (УЭП), отделенная);
  • создание и добавление ЭП документа без предоставления данных (подпись хеш-значения документа);
  • шифрование, расшифровывание, гарантированное удаление файлов;
  • работа с ключевой информацией и сертификатами:
    • cоздание ключевой пары и запроса на сертификат;
    • создание ключевой пары и запроса на сертификат, с использованием уже существующего сертификата;
    • установка сертификата в хранилище «Личное» и в контейнер;
    • создание связки «ключ ЭП — ключ проверки ЭП»;
    • создание самоподписанного сертификата;
    • создание пользовательского сертификата;
    • создание атрибутного сертификата;
    • установка сертификата в заданное хранилище;
    • получение сертификата из хранилища;
    • получение информации о сертификате;
    • проверка статуса сертификата по спискам отзыва сертификатов (СОС) и по протоколу Online Certificate Status Protocol (OCSP);
  • управление СОС: создание, импорт, экспорт, удаление, детальный просмотр;
  • применение для работы с ЭП различных криптопровайдеров, как программных (Base CSP, КриптоПро CSP, ViPNet CSP, ВАЛИДАТА CSP, Avest CSP и др.), так и аппаратных (JaCarta, eToken ГОСТ, РУТОКЕН ЭЦП);
  • реализация функций службы актуальных статусов сертификатов согласно RFC2560 Online Certificate Status Protocol (OCSP);
  • реализация функций службы штампов времени согласно RFC3161 Time-Stamp Protocol (TSP);
  • формирование и проверка ЭП электронных сообщений в соответствии с рекомендациями RFC3029 Data Validation and Certification Server Protocol (DVCS);
  • интеграция сервисов пролонгации (для реализации сервисов пролонгации УЭП поддерживается стандарт CAdES-A);
  • интеграция в системы электронного документооборота, включая SharePoint, Citrix, веб-сервер MS IIS (Internet Information Servies);
  • предоставление интерфейсов (Com, Java, C#, SilverLight, ASP.net) для встраивания в различные среды и системы.

 

Условия применения

Криптографическая платформа Litoria Crypto Platform функционирует под управлением следующих операционных систем:

  • MS Windows 2000/XP/2003/Vista/2008/7/2008R2/8/2012/8.1/2012R2/10/ 2016 (32- и 64-bit);
  • Linux, удовлетворяющие стандарту LSB 4.x/3.х;
  • Mac OS Х (x64);
  • iOS версии 4.2 и выше.

Для работы платформы требуется установка следующего программного обеспечения:

  1. Криптопровайдера, реализованного в соответствии с технологией Microsoft CSP, или драйверов к используемому аппаратному криптопровайдеру.
  2. Драйверов к электронному идентификатору, использующемуся для хранения сертификатов.

 

Функциональные возможности

Управление СОС

Криптографической платформа Litoria Crypto Platform предоставляет интерфейс создания СОС для приложений с функциями удостоверяющего центра. Для пользовательских приложений платформа предоставляет функции импорта, экспорта, удаления и просмотра СОС.

Создание УЭП

УЭП представляет собой структурированную запись в формате ASN.1 (X.209: Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1)). В УЭП включаются следующие элементы:

  • подписываемый ЭД;
  • подписываемые атрибуты (хеш-код сообщения, хеш-коды отдельных полей сертификата, тип документа и др.);
  • ЭП документа;
  • штамп времени, полученный на данные, указанные выше;
  • ссылки на сертификаты и OCSP-ответ;
  • штамп времени, полученный на данные, указанные выше;
  • сертификат пользователя и данные по СОС.

Таким образом, УЭП содержит в себе не только доказательства подлинности ЭП в электронном документе (неотказуемость, целостность), но и подтверждение момента формирования ЭП, а также действительности сертификата ключа проверки ЭП на момент ее формирования.

 

Рисунок 1. Схема создания УЭП

 Схема создания УЭП

Добавление УЭП

Если в подписании документа участвует несколько лиц и каждый должен поставить в нем свою ЭП (например, в листе согласования), используется операция добавления УЭП. В отличие от операции создания, добавление ЭП производится в уже подписанный ранее документ.

Криптографическая платформа Litoria Crypto Platform предоставляет возможность добавления ЭП, созданной на криптографическом алгоритме, отличном от ГОСТ, например, RSA или AES. Основной областью применения такой ЭП является система доверенной третьей стороны (юридически значимый документооборот между различными странами или регионами, в которых используются национальные криптографические стандарты).

Заверение УЭП

Помимо операций создания и добавления УЭП, криптографическая платформа Litoria Crypto Platform предоставляет возможность создания заверяющей ЭП. Под заверяющей УЭП понимается ЭП, утверждающая ЭП другого пользователя, содержащаяся в документе (например, ЭП директора организации на финансовом документе никогда не появится раньше ЭП главного бухгалтера, так же как одна лишь ЭП главного бухгалтера без ЭП директора не будет иметь юридической ценности).

Проверка УЭП

Проверка УЭП подразумевает подтверждение подлинности УЭП в электронном документе, то есть:

  • подтверждение принадлежности ЭП в электронном документе владельцу сертификата ключа проверки ЭП;
  • подтверждение отсутствия искажений в подписанном документе;
  • подтверждение момента формирования ЭП;
  • подтверждение действительности сертификата ключа проверки ЭП на момент формирования ЭП.

 

Рисунок 2. Схема проверки УЭП

 Схема проверки УЭП

Сервисы ДТС

Криптографическая платформа Litoria Crypto Platform предоставляет следующие сервисы (при взаимодействии со службой ДТС):

1) создание и отправка 4 типов DVCS-запросов:

  • подтверждение ЭП электронного документа (Validation of Digitally Signed Document — VSD);
  • подтверждение действительности сертификата ключа проверки ЭП (Validation of Public Key Certificates — VPKC);
  • удостоверение обладания информацией в указанный момент времени с предоставлением ее сервису (Certification of Possession of Data — CPD);
  • удостоверение обладания информацией без предоставления ее сервису (по хеш) (Certification of Claim of Possession of Data — CCPD);

2) анализ результатов выполненных запросов (DVC-квитанции) и вывод этой информации.

Шифрование

Шифрование производится на ключе проверки ЭП, содержащемся в сертификате получателя зашифрованных данных. Ключ ЭП есть только у владельца использованного сертификата ключа проверки ЭП, и только он может получить доступ к зашифрованным данным. Платформа способна выполнять шифрование сразу для нескольких получателей. Для каждого сертификата получателя отправитель может просмотреть его статус и сделать вывод о пригодности данного сертификата к шифрованию.

Расшифровывание

Расшифровывание данных пройдет успешно при наличии ключа ЭП, связанного с одним из ключей проверки ЭП, на которых производилось шифрование. Если пользователь располагает несколькими ключами ЭП, которым соответствуют несколько ключей проверки ЭП, участвующих при шифровании, то расшифровывание будет выполнено на первом из ключей ЭП. После расшифровывания пользователь может получить информацию о том, на каком сертификате была произведена операция расшифровывания.

Гарантированное удаление

Удаление файлов происходит трехкратным затиранием содержимого по специальному алгоритму, исключающему считывание остаточной информации на диске после удаления.

Реализация сервисов службы штампов времени

Криптографическая платформа Litoria Crypto Platform предоставляет функции как для создания запроса в службу штампов времени, так и для создания программного обеспечения, которое осуществляет функции сервисов службы штампов времени.

Сервис пролонгации

Для реализации сервисов пролонгации УЭП платформа Litoria Crypto Platform поддерживает стандарт CAdES-A.

 

Примеры успешных решений

Силами специалистов ООО «Газинформсервис», а также собственными силами заказчиков компании реализован не один успешный проект по интеграции криптографической платформы Litoria Crypto Platform, среди которых можно выделить встраивание в следующие системы:

  • система электронного документооборота Directum;
  • решения терминального доступа на основе Citrix;
  • порталы SharePoint;
  • веб-сервера IIS;
  • служба ДТС;
  • медицинская информационная система qMS.

Для интеграции в различные среды и системы поддерживаются интерфейсы Com, Java, C#, SilverLight, ASP.net.

Интеграция с системой электронного документооборота Directum

Пример алгоритма решения задачи встраивания платформы в систему электронного документооборота  (СЭД) изображен на рисунке 3.

 

Рисунок 3. Алгоритм решения задачи встраивания платформы в СЭД

 Алгоритм решения задачи встраивания платформы в СЭД

 

В качестве примера успешно реализованного решения по интеграции криптографической платформы Litoria Crypto Platform с СЭД может послужить информационная система компании «Газинформсервис». Интеграция платформы выполнена с СЭД Directum и успешно эксплуатируется внутри компании.

Интеграция с решениями Citrix

Весьма интересным является решение по интеграции криптографической платформы Litoria Crypto Platform с решениями терминального доступа на основе Citrix Virtual Channel (CVC).

 

Рисунок 4. Интеграция с Citrix

 Интеграция с Citrix

 

На схеме синим цветом изображены компоненты, разработанные компанией «Газинформсервис»; фиолетовым — дополнительно устанавливаемые компоненты, которые используются компонентами компании «Газинформсервис»; оранжевым — компоненты, разрабатываемые заказчиком.

В данном решении интерфейсный модуль реализован как COM-сервер (на схеме — COM service), который посредством COM-интерфейсов осуществляет связь между Java-апплетом и основными функциями платформы Litoria Crypto Platform и предоставляет доступ к каналу передачи данных (Citrix Virtual Channel).

Интеграция с SharePoint

Применение платформы Litoria Crypto Platform для защиты электронного документооборота, реализованного на базе Microsoft SharePoint, является еще одним фундаментальным решением компании «Газинформсервис».

Общая схема взаимодействия компонентов интеграции библиотеки с порталом Microsoft SharePoint представлена на рисунке 5.

 

Рисунок 5. Интеграция с ShareРoint

 Интеграция с ShareРoint

 

В этом решении для серверных операционных систем создан интерфейсный модуль С#, посредством которого осуществляется связь между серверным программным обеспечением и основными функциями платформы. Для пользовательских операционных систем создан интерфейсный модуль Java, с помощью которого пользователь указывает тип и параметры необходимой операции.

Интеграция с сервисами службы ДТС

Служба ДТС предназначена для проверки математической корректности ЭП, актуального статуса сертификата ключа проверки ЭП, удостоверения обладания пользователем информацией с предоставлением ее сервисам службы ДТС и без такового (по хеш-значению данных) в соответствии с нормами российского и иностранного законодательств. При этом для подключения к уже существующей службе ДТС в ИТ-инфраструктуру заказчика должна быть интегрирована платформа Litoria Crypto Platform, которая будет обеспечивать трансляцию запросов на проверку в ДТС (это может быть встраивание библиотеки в серверное ПО, на базе которого функционируют веб-службы, обеспечивающие возможность работы пользователя через личный кабинет в веб-интерфейсе, или же интеграция в программное обеспечение толстого клиента).

Схема взаимодействия Litoria Crypto Platform с сервисами службы ДТС приведена на рисунке 6.

 

Рисунок 6. Схема формирования запроса к сервисам службы ДТС

 Схема формирования запроса к сервисам службы ДТС

 

Для формирования запроса на проверку и приема отчета о проверке на Клиентах Пользователь ДТС1, Пользователь ДТС2 в серверное программное обеспечение, на базе которого функционирует веб-интерфейс личного кабинет пользователя или «толстый» клиент какого-либо программного обеспечения выполняется интеграция криптографической платформы Litoria Crypto Platform. Для серверов службы DVCS ДТС 1…ДТС N платформа поставляется в составе программного комплекса «Службы доверенной третьей стороны «Litoria DVCS».

Примером успешного внедрения может послужить ДТС, развернутый в ООО «УЦ ГИС», который обрабатывает запросы, транслируемые платформой Litoria Crypto Platform, от ряда заказчиков.

Интеграция с медицинской информационной системой qMS

Одним из примеров успешной интеграции криптографической платформы Litoria Crypto Platform в стороннее программное обеспечение силами заказчика является решение, позволяющее обмениваться электронными листами нетрудоспособности между медицинской организацией и Фондом социального страхования Российской Федерации (ФСС России). Медицинская информационная система qMS в этом решении формирует soap-пакеты, а Litoria Crypto Platform — подписанную структуру данных в соответствии с требованиями спецификации ФСС России.

Интеграция и тестирование корректности реализуемых функций были выполнены в очень короткий период силами разработчиков qMS, что еще раз подтверждает простоту работ по встраиванию.

 

Входные и выходные данные

Входные данные

Криптографическая платформа Litoria Crypto Platform выполняет функции шифрования/расшифровывания и создания/проверки ЭП файлов следующих типов:

  • файл любого типа *.* (для генерации УЭП);
  • подписанные ЭП файлы, в которых ЭП совмещена с исходным файлом;
  • подписанные ЭП файлы, в которых ЭП отделена от исходного файла;
  • файл сертификата.

Выходные данные

На выходе криптографическая платформа Litoria Crypto Platform может формировать следующую информацию:

  • байтовый массив данных (обработанный оригинал файла с ЭП);
  • байтовый массив данных (файлы отделенных ЭП);
  • сертификаты (из ЭП);
  • четыре статуса проверок достоверности подписи (ЭП на документ, ЭП на штампе времени, ЭП на OCSP ответе, ЭП на «закрывающем» штампе);
  • дату и время из штампа времени;
  • сообщение об ошибке (при наличии).

 

Чем обусловлена простота интеграции

В составе Litoria Crypto Platform имеется специализированный сервис, основная функция которого — предоставление пользователю доступа к базовым функциям криптографической платформы Litoria Crypto Platform через REST-интерфейс.

Этот сервис позволяет:

  • обращаться к сертификатам ключей проверки ЭП в хранилище сертификатов;
  • выполнять подписание данных с использованием сертификата ключа проверки ЭП;
  • проверять ЭП;
  • шифровать/расшифровывать данные;
  • отправлять DVCS-запросы (vsd, vpkc).

После развертывания сервиса запускается локальная веб-служба, принимающая REST-запросы. Для выполнения функций приложения можно использовать любой REST-клиент, например Advanced REST client для Google Chrome (Рисунки 7, 8, 9).

 

Рисунок 7. Интерфейс Advanced REST-client

 Интерфейс Advanced REST-client

 

Рисунок 8. Получение сертификата ключа проверки ЭП из хранилища с использованием Advanced REST-client

 Получение сертификата ключа проверки ЭП из хранилища с использованием Advanced REST-client

 

Рисунок 9. Создание ЭП с использованием Advanced REST-client

 Создание ЭП с использованием Advanced REST-client

 

Выводы

Компания «Газинформсервис» — разработчик криптографической платформы Litoria Crypto Platform — работает более 13 лет на рынке информационной безопасности в качестве интегратора и вендора, продукты компании зарекомендовали себя у крупных заказчиков, имеют десятки тысяч инсталляций. Следует отметить, что продукты собственной разработки компания внедряет самостоятельно силами специалистов департамента внедрения и пуско-наладочных работ, а также через различных интеграторов России и близлежащих стран.

Рассмотренная в обзоре криптографическая платформа Litoria Crypto Platform имеет множество интерфейсов (в том числе REST-интерфейс) для встраивания и может быть легко интегрирована в любую информационную систему, систему электронного документооборота, программное обеспечение, на серверы.

Внедрение Litoria Crypto Platform позволяет достичь следующих производственно-экономических показателей:

  • повысить оперативность процессов согласования и утверждения документов внутри компании, а также с партнерами и контрагентами (российскими и иностранными);
  • сократить материальные затраты на услуги третьих лиц по пересылке документов, содержащих конфиденциальные сведения, а также исключить риски их хищения злоумышленниками;
  • сократить текущие затраты на расходные материалы (бумага, краска для принтера) и на аренду помещений за счет исключения площадей, отводимых под громоздкие бумажные архивы;
  • сократить трудозатраты и повысить оперативность поиска необходимого документа, за счет создания электронного хранилища на рабочем месте пользователя и исключения складирование бумаги;
  • снизить вероятность компрометации ключа ЭП при генерации его в УЦ, поскольку платформа позволяет это выполнить непосредственно на рабочем месте пользователя.

Достоинства:

  • Весь спектр функциональных возможностей PKI.
  • Работа с иностранной ЭП и сертификатами (в соответствии с RFC3029).
  • Может быть использована в качестве базы для создания системы длительного архивного хранения документов при поддержании свойств их юридической значимости, а также автоматизации процессов проверки электронных документов при значительных потоках входящих данных.
  • Мультиплатформенность.
  • Простота интеграции.
  • Соответствие требованиям законодательства РФ и лучшим международным практикам.

Недостатки:

  • Необходимость оценивания корректности встраивания платформы в информационные системы, СЭД, программное обеспечение.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.