Персональний сервіс довірчих послуг (далі - Сервіс), розроблено враховуючи необхідність якісного рішення проблеми заміни Java-аплетів. Відмова від Java-аплетів ґрунтується на тому, що компоненти web-застосування для роботи з електронним підписом (ЕП) та для взаємодії з браузером використовували вразливі з точки зору безпеки інтерфейсу NPAPI. З виходом у вересні 2017 JDK 9 та попередніми відмовами від NPAPI всіх сучасних розробників web-браузерів, інтерфейс NPAPI остаточно втратив всі логічні аргументи для його використання в сучасних інформаційних системах.
Сервіс представляє собою Java застосування, побудований із застосуванням технології Java Web Start (Java WS), що дозволяє запускати його безпосередньо із браузера.
З точки зору архітектурного стилю, реалізація Сервісу ґрунтується на підмножині вимог REST та містить вбудований web-сервер для уніфікації взаємодії з клієнтським застосуванням за протоколом HTTPS. Для взаємодії із користувачем використовується користувацький інтерфейс зі стандартними елементами управління, які візуалізуються відповідно до графічної оболонки операційної системи (ОС).
Область застосування
Основними задачами, для виконання яких може бути використано Сервіс, є:
Створення ЕП.
Перевірка ЕП.
Створення електронної позначки часу (ЕПЧ).
Перевірка ЕПЧ.
Генерація ключів ЕП та шифрування.
Відправка запитів на сертифікат до Центру сертифікації ключів/Кваліфікованого надавача електронних довірчих послуг (ЦСК/КНЕДП), а також завантаження сертифікату з ЦСК/КНЕДП.
Вищевказані операції здійснюються в операційному оточенні обчислювального пристрою, на якому запущено Сервіс. Для виконання операції "Створення ЕП", "Зашифрування" та "Розшифрування" користувач має обов'язково використовувати ключовий контейнер з особистими ключами. Виконання операції "Перевірка ЕП" здійснюється без використання особистого ключа.
Даний Сервіс дозволяє створювати та перевіряти ЕП відповідно до Вимоги до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджені Наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20.08.2012 № 1236/5/453. Зареєстровано в Міністерстві юстиції України 20 серпня 2012 р. за № 1398/21710:
Базовий.
З повними даними для перевірки.
Відмінні характеристики
У порівнянні з існуючими на ринку рішеннями (бібліотеки JavaScript, платформозалежний локальний сервіс, розширення web-браузера, стандартне Java-застосування), Сервіс має ряд суттєвих технологічних переваг:
Єдине застосування для різних платформ, які підтримують Java JDK/JRE.
Підтримка КНЕДП українських розробників.
Підтримка захищених носіїв.
Цілісність забезпечується промисловими засобами Java платформи.
Сервіс завантажується та оновлюється незалежно від взаємодіючого застосування.
Обмеження на розмір оброблюваних даних пов'язані лише з апаратними можливостями обчислювального пристрою.
Взаємодія з Сервісом здійснюється через довірене та захищене HTTPS-з'єднання.
Висока продуктивність.
Робота в разовому та пакетному режимах.
Журналювання операцій Сервісу.
Асинхронне виконання задач в кількох потоках.
Перегляд інформації про дані, для яких обчислюється ЕП та ЕПЧ.
Взаємодія з ЦСК/КНЕДП напряму (OCSP, TSP, LDAP, CMP) та через HTTP(s)-proxy.
Взаємодія з будь-якими застосуваннями, які запущено локально.
Високий потенціал для розвитку.
Варіанти функціонування
Взаємодія з ЦСК/КНЕДП напряму (OCSP, TSP, LDAP, CMP)
Взаємодія з ЦСК/КНЕДП через HTTP(s)-proxy
Захищені носії
№ | Виробники | Модель | Тип |
1 | ТОВ Автор, Україна | Author Secure Token-337 Series | Token |
2 | ТОВ Автор, Україна | Author Secure SmartCard-336 | SmartCard |
3 | ТОВ Мікрокрипт, Україна | Armorino | Token + Flash |
4 | Giesecke & Devrient, Germany | StarSign Crypto USB Token | Token, Token + Flash |
5 | Giesecke & Devrient, Germany | StarSign Crypto SmartCard | SmartCard |
6 | Технотрейд, Україна | uaToken | Token |
7 | ТОВ Авест Україна, Україна | Avest UA | Token |
8 | SafeNet, США | SafeNet Crypto eToken | Token |
9 | Gemalto, США | Gemalto ID Prime Series | Token, SmartCard |
10 | ТОВ Ефіт технолоджис, Україна | Efit Key | Token |
11 | ТОВ Аладін-РД, Україна | JaCarta | Token |
12 | АТ ІІТ, Україна | Кристал-1 | Token |
13 | АТ ІІТ, Україна | Алмаз-1К | Token |
Демо
Демонстрація роботи
На відео нижче, представлено знайомство з Персональним сервісом довірчих послуг, з прикладом створення та перевірки ЕП.
Демонстрація авторизації з ключем
Файловий контейнер
Для авторизації з ключем, після відкриття jnlp-файлу, необхідно вказати:
- КНЕДП;
- Тип ключа - файл на диску;
- Обрати ключ, натиснувши кнопку "...";
- Вказати пароль до ключа;
- Натиснути на кнопку "Ок".
Приклад, продемонстровано на скріншотах нижче.
Захищений носій (Автор Secure Token 337/338)
Для авторизації з ключем, після відкриття jnlp-файлу, необхідно вказати:
- КНЕДП;
- Тип ключа - пасивний чи активний режим:
- пасивний - криптографічна операція здійснюється по аналогії, як з файловим контейнером (простими словами, це файловий контейнер, який записано на захищений носій).
- активний - криптографічна операція здійснюється на захищеному носії.
- Обрати носій, натиснувший на кнопку "...";
- Вказати PIN до захищеного носія;
- Натиснути на кнопку "Ок".
Приклад, продемонстровано на скріншотах нижче.
Більш детальну інформацію можна отримати з Інструкції користувача - Інструкція користувача для роботи з Персональним сервісом довірчих послуг
Додаткові матеріали
Порівняння можливостей Персонального сервісу довірчих послуг з іншими технологіями.
Презентація Персонального сервісу довірчих послуг для роботи з КНЕДП.
Презентація Персонального сервісу довірчих послуг для роботи з КНЕДП на основі СКЗІ Шифр-X.509.
API Персонального сервісу довірчих послуг