Отправляет email-рассылки с помощью сервиса Sendsay

BIS Journal - Информационная безопасность банков

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 9 RSS
  Сентябрь 2025  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней 51 выпусков (6-7 раз в неделю)


Сайт рассылки: http://www.ib-bank.ru/bis/
Открыта: 03-12-2012

Автор
События

Статистика

9 подписчиков
0 за неделю
  Все выпуски  

КриптоПро Ключ. Инновационное решение для мобильной подписи


  РЕГУЛЯТОРЫ  БАНКИ  УГРОЗЫ И РЕШЕНИЯ  ИНФРАСТРУКТУРА  СУБЪЕКТЫ

2025-09-22 00:00 КриптоПро Ключ. Инновационное решение для мобильной подписи

В условиях стремительной цифровизации общества и постоянного роста количества услуг, предоставляемых в электронном виде, электронная подпись становится все более востребованной. Крупные организации и предприятия, стремящиеся предоставлять дистанционные сервисы и оказывать цифровые услуги, нуждаются в надежной инфраструктуре электронной подписи, позволяющей обеспечить высокий уровень безопасности, удобства и юридической значимости электронного документооборота. Создание подобной инфраструктуры возможно на основе продуктов компании КриптоПро, главным компонентом которой является решение КриптоПро Ключ.

КриптоПро Ключ — это первое в России сертифицированное ФСБ решение для мобильной электронной подписи на основе инновационной технологии распределённого хранения и использования ключей электронной подписи, обеспечивающее качественно новый уровень безопасности мобильной подписи.

КриптоПро Ключ — это результат труда нескольких лет кропотливой работы: в основе решения лежит семейство новейших криптографических протоколов DKSSP, не имеющих аналогов в мире, которые разработаны и обоснованы специалистами КриптоПро.

КриптоПро Ключ предоставляет пользователям ряд преимуществ. Во-первых, это централизованное управление, позволяющее развертывать решение в корпоративной ИТ-инфраструктуре с поддержкой импортозамещённых технологий. Во-вторых, решение работает со всеми современными видами и форматами подписи и шифрования документов.

Решение поддерживает несколько режимов хранения и использования ключей:

  • распределённо в мобильном приложении и на серверной стороне в программно-аппаратном криптографическом модуле КриптоПро HSM;
  • локально, с поддержкой ключевых носителей, подключаемых к мобильному устройству бесконтактно по NFC или контактно с использованием совместимых носителей;
  • локально на рабочем месте пользователя на традиционных ключевых носителях при работе через веб-интерфейс (режим КриптоПро Ключ Lite).

Наиболее защищённый режим работы — распределённый, реализованный при помощи протоколов DKSSP. В данном режиме обеспечивается безопасность пользовательских ключей даже в случае компрометации клиентского устройства. Ключ подписи пользователя не появляется в открытом виде ни на одной из сторон — ни на клиентском устройстве, ни на сервере — на протяжении всего жизненного цикла. Все операции, связанные с электронной подписью, выполняются исключительно при взаимодействии между мобильным приложением пользователя и защищённым сервером, в частности — в программно-аппаратном криптографическом модуле КриптоПро HSM. Такой подход позволяет надёжно защитить ключ в самых критических ситуациях. Даже если пользователь теряет мобильное устройство или происходит компрометация сервера, ключ подписи остаётся в безопасности и не может быть скомпрометирован.

Решение предоставляет возможность интеграции с корпоративными информационными системами через REST API для реализации различных сценариев работы. Пользователи могут взаимодействовать с программным комплексом при помощи веб-интерфейса на своем рабочем месте и в мобильных приложениях на основе КриптоПро Ключ SDK и КриптоКлюч SDK.Сохраняя преемственность, КриптоПро Ключ поддерживает программные интерфейсы (API), унаследованные от КриптоПро DSS 2.0. Это обеспечивает лёгкий переход на новый продукт и современные API, как серверный, так и API для разработки мобильных приложений (КриптоПро Ключ SDK и КриптоКлюч SDK).

КриптоПро Ключ — первое и единственное на данный момент массово доступное решение для мобильной электронной подписи с сертифицированным SDK, который можно встраивать в мобильные приложения и создавать собственные решения в экосистемах крупнейших банков, удостоверяющих центров и госсектора.

КриптоПро Ключ создавался с учётом того, что пользователю, использующему электронную подпись со смартфона, важна оперативность. Он может не разбираться в особенностях криптографии и технологиях, его цель — быстро и просто подписать нужный документ. Поэтому в мобильных приложениях КриптоПро Ключ и КриптоКлюч спроектирован максимально короткий клиентский путь.

 

КриптоПро Ключ предоставляет следующие основные возможности:

— Управление учётными записями Пользователей с возможностью разделения на группы с различными настройками и политиками.
— Выполнение криптографических операций с применением отечественных алгоритмов:

  • аутентификация Пользователей и Операторов;
  • генерация ключей ЭП, ключей проверки ЭП, закрытых и открытых ключей шифрования;
  • формирование запросов на сертификаты;
  • создание ЭП документов;
  • зашифрование и расшифрование документов.

— Поддержка различных форматов подписи:

  • необработанная подпись по ГОСТ Р 34.10–2012;
  • подпись в формате CMS (CAdES-BES);
  • усовершенствованная ЭП (CAdES-T, CAdES-X Long Type 1);
  • подпись XML-документов (XMLDSig, XadES-BES, XadES-T);
  • подпись PDF-документов (с использованием форматов семейства CAdES, а также PAdES-B-B, PAdES-B-T, PAdES с включением доказательств проверки).

— Пакетное подписание(нескольких документов за одно подтверждение операции).
— Подписание документов в асинхронном режиме с возвращением результата (Callback) в вызывающую систему по завершении операции.
— Реализация множества способов аутентификации Пользователей, в том числе:

  • по логину и паролю с защитой канала по протоколу TLS c односторонней аутентификацией;
  • по сертификату с защитой канала по протоколу TLS с двусторонней аутентификацией (возможно использование USB-токенов и смарт-карт);
  • аутентификация и подтверждение операций пользователей по алгоритму HMAC, описанному в Рекомендациях по стандартизации ТК 26  Р 50.1.113–2016, в мобильном приложении на базе КриптоПро Ключ SDK;
  • вспомогательная аутентификация при помощи одноразовых паролей (OTP), доставляемых в SMS-сообщениях или по электронной почте.

— Интеграция со сторонними центрами идентификации по протоколу OAuth 2.0 и OpenID Connect 1.0 (в т. ч. с корпоративным доменом на базе MS AD (посредством ADFS) и OpenLDAP).
— Интеграция с удостоверяющим центром (далее — УЦ) на базе ПАК «КриптоПро УЦ» для автоматизации создания запросов на сертификаты, обработка запросов на сертификат в соответствии с требованиями выбранного УЦ.
— Визуализация (конвертация и отображение) электронных документов форматов, перечисленных в документе «ЖТЯИ.00118-01 96 01 КриптоПро Ключ. Общее описание», перед выполнением операции с ними.
— Добавление в PDF-документы видимой подписи (штампа) (отображение произвольных изображений, логотипов и текстов на штампе).
— Предоставление веб-интерфейса для Пользователей и Операторов.
— Предоставление программного интерфейса (RESTAPI) для интеграции в бизнес-процессы.
— Предоставление SDK для встраивания в мобильные приложения.
— Реализация системы оповещений Пользователей о событиях и операциях с их ключами ЭП:

  • PUSH-уведомления;
  • SMS-сообщения;
  • E-mail-сообщения.

— Ведение аудита событий, связанных с действиями Пользователей, Операторов и эксплуатацией программного комплекса.

 

Реклама. «КРИПТО ПРО», ИНН: 7707845421, Erid: 2VfnxwVhA4G

2025-09-22 00:00 CISA обвинили в пустой трате федеральных средств

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) растратило деньги налогоплательщиков и поставило под угрозу свою миссию по защите страны, говорится в новом отчёте, подготовленном Управлением генерального инспектора (OIG) Министерства внутренней безопасности (DHS). Проверка была проведена после получения в 2023 году жалобы на то, что агентство неэффективно управляло своей программой «киберпоощрения».

Программа, о которой идёт речь, была разработана для стимулирования «критически важных» сотрудников ИБ-служб, которые в противном случае могли бы уйти. Однако, как утверждается, при её реализации имели место «широко распространённые растраты, мошенничество и злоупотребления». OIG установило, что ведомство не использовало федеральные средства «эффективно и результативно» для удержания своих специалистов: 240 сотрудников, выполнявших вспомогательные функции, не связанные с кибербезопасностью, получили поощрительные выплаты. И это могло демотивировать настоящих безопасников.

В документе также говорится, что директор по персоналу CISA (OCHCO) не вёл учёт получателей таких выплат (а это более 40% штата). Их сумма варьировалась от 21 тыс. до 25 тыс. долларов в год на человека. За четырёхлетний период, с 2020 года, агентство освоило более 138 млн долларов из федерального бюджета. В нарушение федеральных правил и собственных процедур Управление по контролю за кибербезопасностью CISA породило 1,4 млн долларов задолженности по заработной плате 348 получателям «киберпремии» за 2022 и 2024 годы без объяснения причин.

Генеральный инспектор потребовал от ведомства проверить программу и ограничить её только квалифицированными специалистами, установить минимум рабочего времени, дающий сотрудникам право на поощрения, разработать «точную, надёжную и проверяемую методологию и процесс», передать управление инициативой отдельному офису, определить целесообразность взыскания неправомерных выплат с персонала и обеспечить со стороны OCHCO периодический контроль программы на предмет её соответствия политике DHS. Как сообщается, CISA согласилось со всеми этими требованиями.

 

Усам Оздемиров


©  Все права защищены Об издании
В избранное