Опис
Сервіс шифрування (далі Сервіс) є мікросервісом, який реалізовано на мові Java із застосуванням Spring Boot v1.5.4. Рішення направлено на використання в інформаційних системах з архітектурами, які ґрунтуються на підходах PaaS (Platform as a service) та CaaS (Container as a service), а також гармонізація Європейської директиви CEN/TS 419 241 «Security Requirements for Trustworthy Systems Supporting Server Signing» в національно-правовому полі Закон України "Про електронні довірчі послуги".
Сервіс призначено для проведення зашифрування та розшифрування даних на стороні серверу.
Сервіс може функціонувати:
- як Java застосування, яке надається у вигляді jar-архіву;
- як окремий Docker-контейнер;
- як Docker-контейнер у складі системи управління контейнерами (Kubernetes, Swarm, Rancher, Nomad, Kontend і т.д.);
під управліннями PaaS (CloudFoundry).
Варіанти 3 та 4 дозволяють ефективно та з мінімальними капіталовкладеннями впроваджувати промислові підходи для вирішення задач щодо управління масштабуванням, навантаження, забезпечення відмовостійкості, моніторингу та контролю стану.
З точки зору архітектурного стилю, реалізація Сервісу шифрування ґрунтується на підмножині вимог REST та містить вбудований web-сервер для уніфікації взаємодії з клієнтським застосуванням за протоколом HTTPS.
Особливості застосувань
Основними задачами для виконання яких може бути використаний Сервіс шифрування, є:
- Зашифровані дані.
- Розшифровані.
Вищевказані операції здійснюються в операційному середовищі обчислювального пристрою, на якому запущено Сервіс. Для виконання операції "Зашифрування даних" та "Розшифрування даних" Сервіс має обовʼязково використовувати ключовий контейнер з особистими ключами звʼязку. Один екземпляр Сервісу в конкретний момент часу використовує для зашифрування та розшифрування один ключовий контейнер з ключами звʼязку. Ключовий контейнер та пароль доступу до нього вказується завдяки параметрів конфігурації Сервісу.
Сервіс дозволяє виконувати зашифрування та розшифрування даних згідно:
- Закон України про електронні довірчі послуги
- Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 18.12.2012 № 739 "Про затвердження Вимог до форматів криптографічних повідомлень". Зареєстровано в Міністерстві юстиції України 14 січня 2013 р. за № 108/22640
Один з варіантів застосуванням, є зашифрування повідомлень з персональними даними в рамках системи ідентифікації BankID НБУ.
Відмінні характеристики
- Широкі можливості інтеграції в існуючі та нові інформаційні системи.
- Функціонує на базі відкритих стандартів та технологій.
- Підтримка КНЕДП, які представлені на ринку України.
- Підтримка захищених носіїв/HSM, які підтримують інтерфейс PKCS#11:
- Пасивний режим.
- Активний режим. Мається на увазі використання зовнішнього HSM.
- Обмеження на розмір оброблених даних повʼязані лише з апаратними можливостями обчислювального пристрою.
- Висока продуктивність.
- Журналювання операцій сервісу.
- Асинхронне виконання задач з кількох потоків.
- Взаємодія з ЦСК на пряму (OCSP, TSP, LDAP) та через HTTP(s)-proxy.
- Високий потенціал для розвитку.