Щит и меч в системах ДБО. Прикладное решение

от автора

Механизмы аутентификации и подтверждения платежа посредством электронной подписи широко применяются в системах ДБО. Эволюция технических средств электронной подписи наглядно показана в статье Щит и меч в системах ДБО. Кратко линейку можно можно представить в виде — токены, токены с криптографией на борту, touchscreen с криптографией на борту.

Обычно устройства с криптографией на борту реализуют базовые криптографические алгоритмы — ЭП, хэш-функцию, шифрование. Но в ряде случаев в системах ДБО для аутентификации и ЭП применяются цифровые сертификаты. Для интеграции криптографических возможностей устройств и инфраструктуры PKI мы выпустили решение Рутокен WEB PKI Edition, мультиплатформенный и мультибраузерный плагин для систем с web-интерфейсом.

Новая версия плагина поддерживает наш touchscreen с криптографией на борту — устройство Рутокен PINPad. Теперь можно проверить, что подписывается действительно платежка, отображаемая в браузере.

Таким образом, мы предлагаем разработчикам систем ДБО универсальное решение, которое по ряду показателей безопасности, возможностей и удобства использования не имеет аналогов.

На картинке показана интегральность решения — объединение возможностей различных устройств, интеграция с PKI — и все это работает в браузере.

С точки зрения безопасности Рутокен PINPad это:

  • поддержка неизвлекаемых ключей
  • визуальный контроль процесса аутентификации на web-ресурсе
  • визуальный контроль процесса электронной подписи

Рутокен PINPad также может использоваться как хранилище цифровых сертификатов. Для ознакомления с возможностями решения мы модифицировали наш Демо-банк. Теперь через единый интерфейс могут работать как пользователи с Рутокен ЭЦП или Рутокен WEB, так и пользователи с Рутокен PINPad. При этом последние имеют преимущество — визуальный контроль проводимых транзакций в доверенной среде.

Рассмотрим возможности Рутокен PINPad на примере проведения платежа через Демо-банк.

Регистрация

В Демо-банке существует возможность регистрации с помощью сертификата, уже имеющегося на устройстве. Этот сертификат может быть получен в каком-либо другом месте.

На моем устройстве уже имеется ключ и хранится сертификат. Итак, устанавливаем плагин, подключаем Рутокен PINPad к компьютеру. После этого Демо-банк автоматически определит подключенное устройство и перечислит хранящиеся на нем сертификаты.

Выбираем сертификат, по которому будем регистрироваться, вводим PIN-код. При этом специальным образом формируются
случайные данные, которые подписываются на устройстве в формате CMS, в итоговое CMS-сообщение добавляется сертификат. Запрос на регистрацию отображается на экране Рутокен PINPad.

Авторизация

Процедура аутентификациии на сайте, позовляющая пользователю попасть в его личный кабинет, также происходит посредством подписи случайных данных на устройстве в формате CMS c отображением на экране устройства запроса на аутентификацию.

Подпись платежки

Процедура электронной подписи посредством Рутокен PINPad предполагает:

  • поиск на устройстве неизвлекаемого ключа, соответсвующего выбранному пользователем сертификату
  • формирование платежного поручения средствами браузера в специальном формате
  • отправка поручения на устройство через плагин
  • отображение на устройстве, подтверждение его пользователем
  • аппаратное вычисление подписи по ГОСТ Р 34.10-2001 с использованием хэш-функции по ГОСТ Р 34.11-94
  • формирование высокоуровневого сообщения CMS в плагине

Платежка отображается на экране устройства в удобном для чтения виде.

После просмотра и подтверждения сформировалась подпись в формате CMS.

Наша компания готова оказать любую необходимую помощь, касающуюся встраивания решения в прикладные системы.

ссылка на оригинал статьи http://habrahabr.ru/company/aktiv-company/blog/165887/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *