Облачные сервисы цифровых подписей

zhv--dkwz44zjun5qjehlcljazi.png

Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.

Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.

Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.

Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:

  • Безбумажный документооборот. Экономия времени, денег и ресурсов.
  • Эффективные бизнес-процессы. Подписание в электронном виде делает каждую транзакцию более гладким процессом.
  • Мобильные возможности. Взаимодействие внутри организации и с клиентами становится проще.


Инфраструктура открытых ключей (PKI) обеспечивает целостность и подтверждает авторство каждого документа. Метки времени удостоверяют время подписи документа, что необходимо для транзакций, привязанных к определённому времени, обеспечения невозможности отказа от авторства и сохранения данных для аудита. Разумеется, вся система документооборота с цифровыми подписями должна соответствовать необходимым требованиям, действующим в стране юрисдикции, а также в странах, где работают партнёры и клиенты.

Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11.

Самые большие в мире доверенные службы для электронных документов — доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.

fu7po7slqocqipvfttnf7eiplmi.png

Что такое Digital Signing Service (Облачный сервис цифровых подписей)?


Digital Signing Service (DSS) — это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:

  • Цифровую подпись хэша любого документа или цифровую транзакцию в настройке PKI
  • Выдачу сертификата подписи
  • Поддержку AATL и Microsoft Root
  • Хранение приватных ключей на базе HSM
  • Проверку отзыва, требуемого для аудита
  • Продвинутые электронные печати и после аккредитации квалифицированные подписи, соответствующие стандарту eIDAS


Теоретически, можно организовать «облачный» сервис внутри собственной компании на своих серверах, открыв для пользователей доступ к API. Например, в рамках европейского проекта CEF Digital разработано open-source решение Digital Signature Service (код на GitHub, демо).

Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.

Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.

Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности — с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.

Digital Signing Service Традиционная реализация
Интеграция с приложениями для подписи документов Через простой REST API Требует внутренней криптографической экспертизы для конфигурации и поддержки
Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки
Масштабируемость Высокая масштабируемость — не требуется дополнительная настройка или интеграция Может понадобиться закупка дополнительного оборудования и конфигурация
Высокая доступность и аварийное восстановление Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети Требует дополнительных инвестиций в оборудование
Управление секретными ключами и их хранение Через REST API, внутренние ресурсы или оборудование не используются Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM)
Удостоверения подписи Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия) Не все решения поддерживают оба типа удостоверений


Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.

7bnmgpzv-2knzax4ikhcvjp1ypc.png

Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.

Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.

  • Поставщики решений документооборота или приложений, желающие интегрировать цифровые подписи или печати. Другой вариант: предложить их клиентам в качестве премиальной опции как гарантированную защиту документов от подделки. Здесь поддерживается гибкая модель: цифровые подписи можно добавить в качестве дополнительного слоя или опции.
  • Предприятия, которые хотят интегрировать цифровые подписи или печати в свой документооборот.
  • Системные интеграторы, которые внедряют цифровые подписи в существующие и новые системы документооборота.


В конечном счёте каждая организация сама определяет, какой вариант DSS подходит лучше всего, исходя из имеющихся требований к проекту. Здесь учитываются и требования регулирующих органов, и размер организации, и другие факторы, часто уникальные в каждом конкретном случае.

© Habrahabr.ru