Щит и меч в системах ДБО. Прикладное решение

Механизмы аутентификации и подтверждения платежа посредством электронной подписи широко применяются в системах ДБО. Эволюция технических средств электронной подписи наглядно показана в статье Щит и меч в системах ДБО ^[1]. Кратко линейку можно можно представить в виде — токены, токены с криптографией на борту, touchscreen с криптографией на борту.

Обычно устройства с криптографией на борту реализуют базовые криптографические алгоритмы — ЭП, хэш-функцию, шифрование. Но в ряде случаев в системах ДБО для аутентификации и ЭП применяются цифровые сертификаты. Для интеграции криптографических возможностей устройств и инфраструктуры PKI мы выпустили решение Рутокен WEB PKI Edition ^[2], мультиплатформенный и мультибраузерный плагин для систем с web-интерфейсом.

Новая версия плагина поддерживает наш touchscreen с криптографией на борту — устройство Рутокен PINPad ^[3]. Теперь можно проверить, что подписывается действительно платежка, отображаемая в браузере.

Таким образом, мы предлагаем разработчикам систем ДБО универсальное решение, которое по ряду показателей безопасности, возможностей и удобства использования не имеет аналогов.

На картинке показана интегральность решения — объединение возможностей различных устройств, интеграция с PKI — и все это работает в браузере.

С точки зрения безопасности Рутокен PINPad это:

• поддержка неизвлекаемых ключей
• визуальный контроль процесса аутентификации на web-ресурсе
• визуальный контроль подписываемого документа

Рутокен PINPad также может использоваться как хранилище цифровых сертификатов. Для ознакомления с возможностями решения мы модифицировали наш Демо-банк ^[4]. Теперь через единый интерфейс могут работать как пользователи с Рутокен ЭЦП или Рутокен WEB, так и пользователи с Рутокен PINPad. При этом последние имеют преимущество — визуальный контроль проводимых транзакций в доверенной среде.

Рассмотрим возможности Рутокен PINPad на примере проведения платежа через Демо-банк.

Регистрация

В Демо-банке существует возможность регистрации с помощью сертификата, уже имеющегося на устройстве. Этот сертификат может быть получен в каком-либо другом месте.

На моем устройстве уже имеется ключ и хранится сертификат. Итак, устанавливаем плагин, подключаем Рутокен PINPad к компьютеру. После этого Демо-банк автоматически определит подключенное устройство и перечислит хранящиеся на нем сертификаты.

Выбираем сертификат, по которому будем регистрироваться, вводим PIN-код. При этом специальным образом формируются
случайные данные, которые подписываются на устройстве в формате CMS, в итоговое CMS-сообщение добавляется сертификат. Запрос на регистрацию отображается на экране Рутокен PINPad.

Авторизация

Процедура аутентификациии на сайте, позволяющая пользователю попасть в его личный кабинет, также происходит посредством подписи случайных данных на устройстве в формате CMS c отображением на экране устройства запроса на аутентификацию.

Подпись платежки

Процедура электронной подписи посредством Рутокен PINPad предполагает:

• поиск на устройстве неизвлекаемого ключа, соответсвующего выбранному пользователем сертификату
• формирование платежного поручения средствами браузера в специальном формате
• отправка поручения на устройство через плагин
• отображение на устройстве, подтверждение его пользователем
• аппаратное вычисление подписи по ГОСТ Р 34.10-2001 с использованием хэш-функции по ГОСТ Р 34.11-94
• формирование высокоуровневого сообщения CMS в плагине

Платежка отображается на экране устройства в удобном для чтения виде.

После просмотра и подтверждения сформировалась подпись в формате CMS.

Наша компания готова оказать любую необходимую помощь, касающуюся встраивания решения в прикладные системы.

Автор: VicTun

Источник ^[5]