Персональний сервіс довірчих послуг (далі - Сервіс), розроблено враховуючи необхідність якісного рішення проблеми заміни Java-аплетів. Відмова від Java-аплетів ґрунтується на тому, що компоненти web-застосування для роботи з електронним підписом (ЕП) та для взаємодії з браузером використовували вразливі з точки зору безпеки інтерфейсу NPAPI. З виходом у вересні 2017 JDK 9 та попередніми відмовами від NPAPI всіх сучасних розробників web-браузерів, інтерфейс NPAPI остаточно втратив всі логічні аргументи для його використання в сучасних інформаційних системах.
Сервіс представляє собою Java застосування, побудований із застосуванням технології Java Web Start (Java WS), що дозволяє запускати його безпосередньо із браузера.
З точки зору архітектурного стилю, реалізація Сервісу ґрунтується на підмножині вимог REST та містить вбудований web-сервер для уніфікації взаємодії з клієнтським застосуванням за протоколом HTTPS. Для взаємодії із користувачем використовується користувацький інтерфейс зі стандартними елементами управління, які візуалізуються відповідно до графічної оболонки операційної системи (ОС).
Область застосування
Основними задачами, для виконання яких може бути використано Сервіс, є:
Створення ЕП.
Перевірка ЕП.
Створення електронної позначки часу (ЕПЧ).
Перевірка ЕПЧ.
Генерація ключів ЕП та шифрування.
Відправка запитів на сертифікат до Центру сертифікації ключів/Кваліфікованого надавача електронних довірчих послуг (ЦСК/КНЕДП), а також завантаження сертифікату з ЦСК/КНЕДП.
Вищевказані операції здійснюються в операційному оточенні обчислювального пристрою, на якому запущено Сервіс. Для виконання операції "Створення ЕП", "Зашифрування" та "Розшифрування" користувач має обов'язково використовувати ключовий контейнер з особистими ключами. Виконання операції "Перевірка ЕП" здійснюється без використання особистого ключа.
Даний Сервіс дозволяє створювати та перевіряти ЕП відповідно до
Персональный сервис доверительных услуг (далее Сервис) разработан с учетом необходимости качественного решения проблемы замены Java-апплетов. Отказ от Java-апплетов обоснован тем, что компоненты web-приложений для работы с электронной подписью и для взаимодействия с браузером использовали уязвимый с точки зрения безопасности интерфейс NPAPI. С выходом в сентябре 2017 JDK 9 и предшествующими отказами от NPAPI всех современных производителей web-браузеров, интерфейс NPAPI окончательно утратил разумные аргументы для его использования в современных информационных системах.
Сервис представляет собой Java приложение, построен с применением технологии Java Web Start (Java WS), что позволяет запускать его непосредственно из браузера.
С точки зрения архитектурного стиля, реализация Сервиса основана на подмножестве требований REST и содержит встроенный web-сервер для унификации взаимодействия с клиентским приложением по протоколу HTTPS. Для взаимодествия с пользователем используется пользовательский интерфейс со стандартными элементами управления, которые визуализируются согласно стилю графической оболочки операционной системы.
Область применения
Основными задачами, для выполнения которых может быть использован Сервис, являются:
Создание электронной подписи.
Проверка электронной подписи.
Создание электронной метки времени.
Проверка электронной метки времени.
Генерация ключей электронной подписи и направленного шифрования.
Отправка запроса на сертификат в ЦСК, а также загрузка сертификата из ЦСК.
Вышеуказанные операции производятся в операционном окружении вычислительного устройства, на котором запущен Сервис. Для выполнения операции "Создание электронной подписи" пользователь должен обязательно использовать ключевой контейнер с личными ключами. Остальные операции могут выполняться без использования личных ключей.
Данный Сервис позволяет создавать и проверять электронной подписи согласно Вимоги до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджені Наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20.08.2012 № 1236/5/453. Зареєстровано в Міністерстві юстиції України 20 серпня 2012 р. за № 1398/21710:
БазоваяБазовий.
С полными данными для проверкиЗ повними даними для перевірки.
...
Відмінні характеристики
В сравнении с существующими на рынке решениями (библиотеки JavaScript, платформозависимый локальный сервис, расширения У порівнянні з існуючими на ринку рішеннями (бібліотеки JavaScript, платформозалежний локальний сервіс, розширення web-браузера, стандартное стандартне Java-приложениезастосування), Сервис имеет ряд существенных технологичных преимуществ:Сервіс має ряд суттєвих технологічних переваг:
Єдине застосування для різних платформ, які підтримують Единое приложение для разных платформ, что поддерживает Java JDK/JRE.
Поддержка (А)ЦСК/КПЭДУ отечественных производителей.
Поддержка защищенных носителей.
Целостность обеспечивается промышленными средствами Java платформы.
Сервис загружается и обновляется независимо от взаимодествующего приложения.
Ограничения на размер обрабатываемых данных связаны только с аппаратными возможностями вычислительного устройства.
Взаимодествие с Сервисом происходит через доверенное и защищенное HTTPS-соединение.
Высокая производительность.
Работа в разовом и пакетном режимах.
Журналирование операций сервиса.
Асинхронное выполнение задач в несколько потоков.
Просмотр информации о данных, для которых вычисляется электронная подпись и электронная метка времени.
Підтримка КНЕДП українських розробників.
Підтримка захищених носіїв.
Цілісність забезпечується промисловими засобами Java платформи.
Сервіс завантажується та оновлюється незалежно від взаємодіючого застосування.
Обмеження на розмір оброблюваних даних пов'язані лише з апаратними можливостями обчислювального пристрою.
Взаємодія з Сервісом здійснюється через довірене та захищене HTTPS-з'єднання.
Висока продуктивність.
Робота в разовому та пакетному режимах.
Журналювання операцій Сервісу.
Асинхронне виконання задач в кількох потоках.
Перегляд інформації про дані, для яких обчислюється ЕП та ЕПЧ.
Взаємодія з ЦСК/КНЕДП напряму Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP) и та через HTTP(s)-proxy.
Взаимодействие из любых приложений, запущенных Взаємодія з будь-якими застосуваннями, які запущено локально.
Высокий потенциал Високий потенціал для развитиярозвитку.
Варианты функционирования
Варіанти функціонування
Взаємодія з ЦСК/КНЕДП напряму Взаимодействие с ЦСК напрямую (OCSP, TSP, LDAP, CMP)
Взаимодействие с Взаємодія з ЦСК/КНЕДП через HTTP(s)-proxy
...
Захищені носії
№ | ПроизводительВиробники | Модель | Тип |
1 | ООО ТОВ Автор, УкраинаУкраїна | Author Secure Token-337 Series | Token |
2 | ООО ТОВ Автор, УкраинаУкраїна | Author Secure SmartCard-336 | SmartCard |
3 | ООО МикрокриптТОВ Мікрокрипт, УкраинаУкраїна | Armorino | Token + Flash |
4 | Giesecke & Devrient, Germany | StarSign Crypto USB Token | Token, Token + Flash |
5 | Giesecke & Devrient, Germany | StarSign Crypto SmartCard | SmartCard |
6 | Технотрейд, УкраинаУкраїна | uaToken | Token |
7 | ООО ТОВ Авест УкраинаУкраїна, УкраинаУкраїна | Avest UA | Token |
8 | SafeNet, США | SafeNet Crypto eToken | Token |
9 | Gemalto, США | Gemalto ID Prime Series | Token, SmartCard |
10 | ООО Эфит ТОВ Ефіт технолоджис, УкраинаУкраїна | Efit Key | Token |
11 | ООО Алладин ТОВ Аладін-РД, УкраинаУкраїна | JaCarta | Token |
12 | АО ИИТАТ ІІТ, УкраинаУкраїна | КристаллКристал-1 | Token |
13 | АО ИИТАТ ІІТ, УкраинаУкраїна | Алмаз-1К | Token |
Демо
...
Демонстрація роботи
На видео ниже, представлено знакомство с Персональным сервисом доверительных услуг, с примером создания и проверки электронной подписивідео нижче, представлено знайомство з Персональним сервісом довірчих послуг, з прикладом створення та перевірки ЕП.
| Widget Connector | ||
|---|---|---|
|
...
Демонстрація авторизації з ключем
...
Файловий контейнер
Для авторизации с авторизації з ключем, после открытия після відкриття jnlp-файлафайлу, необходимо указатьнеобхідно вказати:
- АЦСК/КПЭДУКНЕДП;
- Тип ключа - файл на дискедиску;
- Выбрать сам Обрати ключ, нажав натиснувши кнопку "...";
- Указать Вказати пароль к ключудо ключа;
- Нажать Натиснути на кнопку "Ок".
ПримерПриклад, показан продемонстровано на рисунках нижескріншотах нижче.
...
Захищений носій (Автор Secure Token 337/338)
Для авторизации с авторизації з ключем, после открытия після відкриття jnlp-файлафайлу, необходимо указатьнеобхідно вказати:
- АЦСК/КПЭДУКНЕДП;
- Тип ключа - пассивный или активный режим;пасивний чи активний режим:
- пасивний - криптографічна операція здійснюється по аналогії, як з файловим контейнером (простими словами, це файловий контейнер, який записано на захищений носій).
- активний - криптографічна операція здійснюється на захищеному носії.
- Обрати носій, натиснувший на Выбрать носитель, нажав кнопку "...";
- Указать PIN к защищенному носителюВказати PIN до захищеного носія;
- Нажать Натиснути на кнопку "Ок".
ПримерПриклад, показан продемонстровано на рисунках нижескріншотах нижче.
Более детальную информацию можно получить в Инструкции пользователя - Инструкция пользователя для работы с Персональным сервисом доверительных услуг
Дополнительные материалы
Більш детальну інформацію можна отримати з Інструкції користувача - Інструкція користувача для роботи з Персональним сервісом довірчих послуг
Додаткові матеріали
Порівняння можливостей Персонального сервісу довірчих послуг з іншими технологіями.
Презентація Персонального сервісу довірчих послуг для роботи з КНЕДП.
Презентація Персонального сервісу довірчих послуг для роботи з КНЕДП на основі СКЗІ Сравнение возможностей Персонального сервиса доверительных услуг с другими технологиями.
Презентация Персонального сервиса доверительных услуг для работы с АЦСК.
Презентация Персонального сервиса доверительных услуг для работы с ЦСК на основе СКЗИ Шифр-X.509.
API Персонального сервиса доверительных услугсервісу довірчих послуг