«Актив» corporate blog
Information Security
January 2013 24

Щит и меч в системах ДБО. Прикладное решение

Механизмы аутентификации и подтверждения платежа посредством электронной подписи широко применяются в системах ДБО. Эволюция технических средств электронной подписи наглядно показана в статье Щит и меч в системах ДБО. Кратко линейку можно представить в виде — токены, токены с криптографией на борту, trustscreen с криптографией на борту.

Обычно устройства с криптографией на борту реализуют базовые криптографические алгоритмы — ЭП, хэш-функцию, шифрование. Но в ряде случаев в системах ДБО для аутентификации и ЭП применяются цифровые сертификаты. Для интеграции криптографических возможностей устройств и инфраструктуры PKI мы выпустили решение Рутокен WEB PKI Edition, мультиплатформенный и мультибраузерный плагин для систем с web-интерфейсом.



Новая версия плагина поддерживает наш trustscreen с криптографией на борту — устройство Рутокен PINPad. Теперь можно проверить, что подписывается действительно платежка, отображаемая в браузере.



Таким образом, мы предлагаем разработчикам систем ДБО универсальное решение, которое по ряду показателей безопасности, возможностей и удобства использования не имеет аналогов.

На вышеприведенной картинке показана интегральность решения — объединение возможностей различных устройств, интеграция с PKI — и все это работает в браузере.

С точки зрения безопасности Рутокен PINPad это:
  • поддержка неизвлекаемых ключей
  • визуальный контроль процесса аутентификации на web-ресурсе
  • визуальный контроль подписываемого документа


Рутокен PINPad также может использоваться как хранилище цифровых сертификатов. Для ознакомления с возможностями решения мы модифицировали наш Демо-банк. Теперь через единый интерфейс могут работать как пользователи с Рутокен ЭЦП или Рутокен WEB, так и пользователи с Рутокен PINPad. При этом последние имеют преимущество — визуальный контроль проводимых транзакций в доверенной среде.

Рассмотрим возможности Рутокен PINPad на примере проведения платежа через Демо-банк.

Регистрация



В Демо-банке существует возможность регистрации с помощью сертификата, уже имеющегося на устройстве. Этот сертификат может быть получен в каком-либо другом месте.

На моем устройстве уже имеется ключ и хранится сертификат. Итак, устанавливаем плагин, подключаем Рутокен PINPad к компьютеру. После этого Демо-банк автоматически определит подключенное устройство и перечислит хранящиеся на нем сертификаты.



Выбираем сертификат, по которому будем регистрироваться, вводим PIN-код. При этом специальным образом формируются
случайные данные, которые подписываются на устройстве в формате CMS, в итоговое CMS-сообщение добавляется сертификат. Запрос на регистрацию отображается на экране Рутокен PINPad.



Авторизация



Процедура аутентификациии на сайте, позволяющая пользователю попасть в его личный кабинет, также происходит посредством подписи случайных данных на устройстве в формате CMS c отображением на экране устройства запроса на аутентификацию.







Подпись платежки



Процедура электронной подписи посредством Рутокен PINPad предполагает:
  • поиск на устройстве неизвлекаемого ключа, соответсвующего выбранному пользователем сертификату
  • формирование платежного поручения средствами браузера в специальном формате
  • отправка поручения на устройство через плагин
  • отображение на устройстве, подтверждение его пользователем
  • аппаратное вычисление подписи по ГОСТ Р 34.10-2001 с использованием хэш-функции по ГОСТ Р 34.11-94
  • формирование высокоуровневого сообщения CMS в плагине




Платежка отображается на экране устройства в удобном для чтения виде.



После просмотра и подтверждения сформировалась подпись в формате CMS.



Наша компания готова оказать любую необходимую помощь, касающуюся встраивания решения в прикладные системы.
+11
10.3k 60
Comments 44