Программно-аппаратный комплекс MySign Cloud предоставляет функции удостоверяющего центра, централизованного защищенного хранилища ключевой информации и сервиса облачной электронной цифровой подписи в рамках единой защищенной платформы Ak Kamal Secure Platform.
Базовый функционал MySign Cloud можно условно разделить на три части:
Удостоверяющий центр
Удостоверяющий центр в составе MySign Cloud обеспечивает все необходимые функции для развертывания удостоверяющего центра, как для внутреннего использования в рамках компании, так и для предоставления услуг клиентам и сторонним организациям после прохождения аккредитации предусмотренной законодательством Республики Казахстан.
Совместимость с корневым удостоверяющим центром Республики Казахстан (root.gov.kz)
Возможности:- Регистрация пользователей;
- Генерация ключей ЭЦП;
- Выпуск и перевыпуск регистрационных свидетельств;
- Отзыв регистрационных свидетельств;
- Проверка достоверности регистрационных свидетельств;
- Постановка временной метки (Time Stamp).
Сервис облачной ЭЦП
Сервис облачной ЭЦП MySign Cloud выводит использование электронной цифровой подписи на новый уровень. Благодаря тому, что закрытые ключи хранятся не у пользователей, а непосредственно в сервисе, риск их потери или хищения значительно снижается. Кроме того, механизм облачной ЭЦП позволяет использовать свою подпись с любого устройства в рамках основного приложения (приложение Интернет-банкинга, внутреннее корпоративное приложение и т.д.) без установки дополнительного программного обеспечения.
Возможности:- Хранение ключей пользователей;
- Подписание документов в рамках защищенной среды;
- Подтверждение действий пользователя с помощью OTP или SMS;
- Контроль использования ЭЦП и логирование событий.
Защищенное хранилище ключей
Для обеспечения безопасности хранимых сервисом MySign Cloud ключей, используется защищенная платформа Ak Kamal Secure Platform. Платформа имеет криптографическую и физическую защиту, благодаря чему обеспечивается неизвлекаемость ключевой информации. Высокая производительность платформы обеспечивает необходимые ресурсы для механизмов удостоверяющего центра и облачной ЭЦП, а также других приложений, которые могут использоваться в рамках защищенной платформы.
- Форм-фактор 1U;
- Физическая защита;
- Сегментирование ресурсов для создания обособленных доменов;
- Масштабирование и отказоустойчивость.
Схема применения
В типовой схеме применения MySign Cloud интегрируется с внутренними системами заказчика, обеспечивая функционал облачной ЭЦП в бэк-енде системы, а то время как пользователи для работы с облачной ЭЦП используют привычные для них приложения.
Пример использования:
Интеграция
MySign Cloud предоставляет интерфейсы, которые позволяют интегрировать комплекс в существующие бизнес-процессы и системы.
Ключевые преимущества
Экономичность. Значительное снижение расходов благодаря использованию внутреннего удостоверяющего центра и отказу от аппаратных носителей ключевой информации для пользователей (токенов или смарт-карт).
Юридическая значимость. Сертифицированный продукт позволяет пройти аккредитацию удостоверяющего центра в государственных органах и обеспечить полную легитимность ЭЦП в соответствии с законодательством Республики Казахстан.
Гибкость. Владелец ИС самостоятельно управляет выдачей ключей пользователям и имеет возможность моментально заблокировать ключи пользователя при необходимости. Также имеется возможность автоматизировать перевыпуск ключей при истечении срока их действия. Упрощение процедур сопутствующих выпуску и перевыпуску сертификатов, как для банка, так и для пользователя.
Удобство. Нет необходимости в установке и поддержании в актуальном состоянии программного обеспечения для использования ЭЦП на устройствах пользователя. Все операции с ЭЦП проводятся в привычном для пользователя ИС окружении.
Безопасность. Ключи ЭЦП хранятся в защищенном облачном сервисе и не могут быть потеряны или похищены злоумышленниками, даже в случае прямого доступа к устройствам пользователя. Возможность повышения уровня безопасности (внедрения более современных криптографических алгоритмов) без внесения изменений в системы интернет-банкинга и приложения ДБО.
Мобильность. Использование ЭЦП возможно на любых клиентских устройствах, которые обеспечивают доступ к ИС.
Контролируемость. Полная прозрачная история использования ЭЦП пользователем, независимо от того где, когда и с каких устройств проводились операции.
Криптографические алгоритмы
Генерация ключей ЭЦП (с использованием генератора случайных чисел ПАК Ak Kamal Secure Platform) внутри ПАК согласно алгоритмам:
- ГОСТ 34.310-2004 (длина ключа 256 бит)
- СТ РК ГОСТ Р 34.11-2015 (с длиной ключа 256 или 512 бит)
- RSA (с длиной ключа 2048 или 4096 бит) согласно PKCS#1 v 2.1 - Ссылка
Формирование и проверка ЭЦП согласно алгоритмам:
- ГОСТ 34.310-2004
- СТ РК ГОСТ Р 34.11-2015
- Sha256WithRSA и Sha512WithRsa (согласно PKCS#1 v 2.1 - Ссылка и FIPS 180-2: Secure Hash Standard - Ссылка)
Способы аутентификации
В зависимости от настроек, MySign Cloud может реализовывать следующие способы аутентификации на действия с ЭЦП:
- аутентификация с помощью ключей доступа к ключам (КДК), хранящимся на устройстве пользователя;
- аутентификация с помощью одноразового пароля, доставляемого пользователю посредством SMS или e-mail.
Программное обеспечение MySign Cloud сертифицировано на соответствие второму, третьему и четвертому уровню безопасности согласно СТ РК 1073-2007. В зависимости от уровня безопасности доступны следующие следующие криптографические алгоритмы:
2 уровень
- RSA с длинами ключей 2048 и 4096 бит и алгоритмами хэширования SHA-256 и SHA-512
- ГОСТ 34.310-2004 с алгоритмом хэширования ГОСТ 34.311-95
- СТ РК ГОСТ Р 34.10-2015 с длиной ключа подписи 256 и 512 бит с алгоритмом хэширования СТ РК ГОСТ Р 34.11-2015
3 уровень
- RSA с длиной ключа 4096 бит и алгоритмами хэширования SHA-256 и SHA-512
- ГОСТ 34.310-2004 с алгоритмом хэширования ГОСТ 34.311-95
- СТ РК ГОСТ Р 34.10-2015 с длиной ключа подписи 256 и 512 бит с алгоритмом хэширования СТ РК ГОСТ Р 34.11-2015
4 уровень
- СТ РК ГОСТ Р 34.10-2015 с длиной ключа подписи 512 бит с алгоритмом хэширования СТ РК ГОСТ Р 34.11-2015
