Персональный сервис доверительных услуг (далее Сервис) разработан с учетом необходимости качественного решения проблемы замены Java-апплетов. Отказ от Java-апплетов обоснован тем, что компоненты web-приложений для работы с электронной подписью и для взаимодействия с браузером использовали уязвимый с точки зрения безопасности интерфейс NPAPI. С выходом в сентябре 2017 JDK 9 и предшествующими отказами от NPAPI всех современных производителей web-браузеров, интерфейс NPAPI окончательно утратил разумные аргументы для его использования в современных информационных системах.
Сервис представляет собой Java приложение, построен с применением технологии Java Web Start (Java WS), что позволяет запускать его непосредственно из браузера.
С точки зрения архитектурного стиля, реализация Сервиса основана на подмножестве требований REST и содержит встроенный web-сервер для унификации взаимодействия с клиентским приложением по протоколу HTTPS. Для взаимодествия с пользователем используется пользовательский интерфейс со стандартными элементами управления, которые визуализируются согласно стилю графической оболочки операционной системы.
Область применения
Основными задачами, для выполнения которых может быть использован Сервис, являются:
Создание электронной подписи.
Проверка электронной подписи.
Создание электронной метки времени.
Проверка электронной метки времени.
Генерация ключей электронной подписи и направленного шифрования.
Отправка запроса на сертификат в ЦСК, а также загрузка сертификата из ЦСК.
Вышеуказанные операции производятся в операционном окружении вычислительного устройства, на котором запущен Сервис. Для выполнения операции "Создание электронной подписи" пользователь должен обязательно использовать ключевой контейнер с личными ключами. Остальные операции могут выполняться без использования личных ключей.
Данный Сервис позволяет создавать и проверять электронной подписи согласно Вимоги до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджені Наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20.08.2012 № 1236/5/453. Зареєстровано в Міністерстві юстиції України 20 серпня 2012 р. за № 1398/21710:
Базовая.
С полными данными для проверки.
Отличительные характеристики
В сравнении с существующими на рынке решениями (библиотеки JavaScript, платформозависимый локальный сервис, расширения web-браузера, стандартное Java-приложение), Сервис имеет ряд существенных технологичных преимуществ:
Единое приложение для разных платформ, что поддерживает Java JDK/JRE.
Поддержка (А)ЦСК/КПЭДУ отечественных производителей.
Поддержка защищенных носителей.
Целостность обеспечивается промышленными средствами Java платформы.
Сервис загружается и обновляется независимо от взаимодествующего приложения.
Ограничения на размер обрабатываемых данных связаны только с аппаратными возможностями вычислительного устройства.
Взаимодествие с Сервисом происходит через доверенное и защищенное HTTPS-соединение.
Высокая производительность.
Работа в разовом и пакетном режимах.
Журналирование операций сервиса.
Асинхронное выполнение задач в несколько потоков.
Просмотр информации о данных, для которых вычисляется электронная подпись и электронная метка времени.
Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP) и через HTTP(s)-proxy.
Взаимодействие из любых приложений, запущенных локально.
Высокий потенциал для развития.
Варианты функционирования
Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP)
Взаимодействие с ЦСК через HTTP(s)-proxy
Защищенные носители
№ | Производитель | Модель | Тип |
1 | ООО Автор, Украина | Author Secure Token-337 Series | Token |
2 | ООО Автор, Украина | Author Secure SmartCard-336 | SmartCard |
3 | ООО Микрокрипт, Украина | Armorino | Token + Flash |
4 | Giesecke & Devrient, Germany | StarSign Crypto USB Token | Token, Token + Flash |
5 | Giesecke & Devrient, Germany | StarSign Crypto SmartCard | SmartCard |
6 | Технотрейд, Украина | uaToken | Token |
7 | ООО Авест Украина, Украина | Avest UA | Token |
8 | SafeNet, США | SafeNet Crypto eToken | Token |
9 | Gemalto, США | Gemalto ID Prime Series | Token, SmartCard |
10 | ООО Эфит технолоджис, Украина | Efit Key | Token |
11 | ООО Алладин-РД, Украина | JaCarta | Token |
12 | АО ИИТ, Украина | Кристалл-1 | Token |
13 | АО ИИТ, Украина | Алмаз-1К | Token |
Демо
Демонстрация работы
На видео ниже, представлено знакомство с Персональным сервисом доверительных услуг, с примером создания и проверки электронной подписи.
Демонстрация авторизации с ключем
Файловый контейнер
Для авторизации с ключем, после открытия jnlp-файла, необходимо указать:
- АЦСК/КПЭДУ;
- Тип ключа - файл на диске;
- Выбрать сам ключ, нажав кнопку "...";
- Указать пароль к ключу;
- Нажать на кнопку "Ок".
Пример, показан на рисунках ниже.
Защищенный носитель (Автор Secure Token)
Для авторизации с ключем, после открытия jnlp-файла, необходимо указать:
- АЦСК/КПЭДУ;
- Тип ключа - пассивный или активный режим;
- Выбрать носитель, нажав кнопку "...";
- Указать PIN к защищенному носителю;
- Нажать на кнопку "Ок".
Пример, показан на рисунках ниже.
Более детальную информацию можно получить в Инструкции пользователя - Инструкция пользователя для работы с Персональным сервисом доверительных услуг
Дополнительные материалы
Сравнение возможностей Персонального сервиса доверительных услуг с другими технологиями.
Презентация Персонального сервиса доверительных услуг для работы с АЦСК.
Презентация Персонального сервиса доверительных услуг для работы с ЦСК на основе СКЗИ Шифр-X.509.
API Персонального сервиса доверительных услуг