Механизмы аутентификации и подтверждения платежа посредством электронной подписи широко применяются в системах ДБО. Эволюция технических средств электронной подписи наглядно показана в статье Щит и меч в системах ДБО. Кратко линейку можно можно представить в виде — токены, токены с криптографией на борту, touchscreen с криптографией на борту.
Обычно устройства с криптографией на борту реализуют базовые криптографические алгоритмы — ЭП, хэш-функцию, шифрование. Но в ряде случаев в системах ДБО для аутентификации и ЭП применяются цифровые сертификаты. Для интеграции криптографических возможностей устройств и инфраструктуры PKI мы выпустили решение Рутокен WEB PKI Edition, мультиплатформенный и мультибраузерный плагин для систем с web-интерфейсом.
Новая версия плагина поддерживает наш touchscreen с криптографией на борту — устройство Рутокен PINPad. Теперь можно проверить, что подписывается действительно платежка, отображаемая в браузере.
Таким образом, мы предлагаем разработчикам систем ДБО универсальное решение, которое по ряду показателей безопасности, возможностей и удобства использования не имеет аналогов.
На картинке показана интегральность решения — объединение возможностей различных устройств, интеграция с PKI — и все это работает в браузере.
С точки зрения безопасности Рутокен PINPad это:
- поддержка неизвлекаемых ключей
- визуальный контроль процесса аутентификации на web-ресурсе
- визуальный контроль подписываемого документа
Рутокен PINPad также может использоваться как хранилище цифровых сертификатов. Для ознакомления с возможностями решения мы модифицировали наш Демо-банк. Теперь через единый интерфейс могут работать как пользователи с Рутокен ЭЦП или Рутокен WEB, так и пользователи с Рутокен PINPad. При этом последние имеют преимущество — визуальный контроль проводимых транзакций в доверенной среде.
Рассмотрим возможности Рутокен PINPad на примере проведения платежа через Демо-банк.
Регистрация
В Демо-банке существует возможность регистрации с помощью сертификата, уже имеющегося на устройстве. Этот сертификат может быть получен в каком-либо другом месте.
На моем устройстве уже имеется ключ и хранится сертификат. Итак, устанавливаем плагин, подключаем Рутокен PINPad к компьютеру. После этого Демо-банк автоматически определит подключенное устройство и перечислит хранящиеся на нем сертификаты.
Выбираем сертификат, по которому будем регистрироваться, вводим PIN-код. При этом специальным образом формируются
случайные данные, которые подписываются на устройстве в формате CMS, в итоговое CMS-сообщение добавляется сертификат. Запрос на регистрацию отображается на экране Рутокен PINPad.
Авторизация
Процедура аутентификациии на сайте, позволяющая пользователю попасть в его личный кабинет, также происходит посредством подписи случайных данных на устройстве в формате CMS c отображением на экране устройства запроса на аутентификацию.
Подпись платежки
Процедура электронной подписи посредством Рутокен PINPad предполагает:
- поиск на устройстве неизвлекаемого ключа, соответсвующего выбранному пользователем сертификату
- формирование платежного поручения средствами браузера в специальном формате
- отправка поручения на устройство через плагин
- отображение на устройстве, подтверждение его пользователем
- аппаратное вычисление подписи по ГОСТ Р 34.10-2001 с использованием хэш-функции по ГОСТ Р 34.11-94
- формирование высокоуровневого сообщения CMS в плагине
Платежка отображается на экране устройства в удобном для чтения виде.
После просмотра и подтверждения сформировалась подпись в формате CMS.
Наша компания готова оказать любую необходимую помощь, касающуюся встраивания решения в прикладные системы.
Автор: VicTun