Опис

Опис

Сервіс шифрування (далі Сервіс) є мікросервісом, який реалізовано на мові Java із застосуванням Spring Boot v1.5.4. Рішення направлено на використання в інформаційних системах з архітектурами, які ґрунтуються на підходах PaaS (Platform as a service) та CaaS (Container as a service), а також гармонізація Європейської директиви CEN/TS 419 241 «Security Requirements for Trustworthy Systems Supporting Server Signing» в національно-правовому полі Закон України "Про електронні довірчі послуги".

Сервіс призначено для проведення зашифрування та розшифрування даних на стороні серверу.
Сервіс може функціонувати:

1. як Java застосування, яке надається у вигляді jar-архіву;
2. як окремий Docker-контейнер;
3. як Docker-контейнер у складі системи управління контейнерами (Kubernetes, Swarm, Rancher, Nomad, Kontend і т.д.);

4. під управліннями PaaS (CloudFoundry).

Варіанти 3 та 4 дозволяють ефективно та з мінімальними капіталовкладеннями впроваджувати промислові підходи для вирішення задач щодо управління масштабуванням, навантаження, забезпечення відмовостійкості, моніторингу та контролю стану.

З точки зору архітектурного стилю, реалізація Сервісу шифрування ґрунтується на підмножині вимог REST та містить вбудований web-сервер для уніфікації взаємодії з клієнтським застосуванням за протоколом HTTPS.

Особливості застосувань

Основними задачами для виконання яких може бути використаний Сервіс шифрування, є:

• Зашифровані дані.
• Розшифровані.

Вищевказані операції здійснюються в операційному середовищі обчислювального пристрою, на якому запущено Сервіс. Для виконання операції "Зашифрування даних" та "Розшифрування даних" Сервіс має обовʼязково використовувати ключовий контейнер з особистими ключами звʼязку. Один екземпляр Сервісу в конкретний момент часу використовує для зашифрування та розшифрування один ключовий контейнер з ключами звʼязку. Ключовий контейнер та пароль доступу до нього вказується завдяки параметрів конфігурації Сервісу.

Сервіс дозволяє виконувати зашифрування та розшифрування даних згідно:

• Закон України про електронні довірчі послуги
• Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 18.12.2012 № 739 "Про затвердження Вимог до форматів криптографічних повідомлень". Зареєстровано в Міністерстві юстиції України 14 січня 2013 р. за № 108/22640

Один з варіантів застосуванням, є зашифрування повідомлень з персональними даними в рамках системи ідентифікації BankID НБУ.

Відмінні характеристики

• Широкі можливості інтеграції в існуючі та нові інформаційні системи.
• Функціонує на базі відкритих стандартів та технологій.
• Підтримка КНЕДП, які представлені на ринку України.
• Підтримка захищених носіїв/HSM, які підтримують інтерфейс PKCS#11:
  • Пасивний режим.
  • Активний режим. Мається на увазі використання зовнішнього HSM.
• Обмеження на розмір оброблених даних повʼязані лише з апаратними можливостями обчислювального пристрою.
• Висока продуктивність.
• Журналювання операцій сервісу.
• Асинхронне виконання задач з кількох потоків.
• Взаємодія з ЦСК на пряму (OCSP, TSP, LDAP) та через HTTP(s)-proxy.
• Високий потенціал для розвитку.