Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline therealmasel  
#1 Оставлено : 5 ноября 2020 г. 12:15:51(UTC)
therealmasel

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день!
В документации по КриптоПро DSS описаны три вида интерфейса работы с СЭП КриптоПро DSS.

а). HTTP API.
Насколько я понял, это решение для веб-порталов, когда при необходимости подписать документ клиентское приложение шлет запрос на КриптоПро DSS, где происходит аутентификация и асинхронно callbackом шлется подписанный документ.
Вопросы следующие:
1. Какие способы аутентификации пользователя возможны? Логин/пароль? Только идентификация, а потом OTP via SMS для подписания, и т.д.?
2. Применяются ли настройки подтверждения операций (описанные в документации в разделе п. 6.2 - Подтверждение операций) в данном случае?

б) SOAP API и REST API
В описании SOAP API сказано, что
«Процедура аутентификации выполняется различными способами, зависящими от протокола получения маркера доступа. ЦИ КриптоПро DSS предоставляет следующие протоколы:
1. WS-Trust 1.3;
2. OAuth 2.0 + OpenId Connect 1.0.»
В описании REST API:
“Аутентификация и авторизация при использовании REST интерфейса осуществляется с использованием JWT маркера доступа, получаемому по протоколу OAuth 2.0.”
3.Описание аутентификации СЭП вынесено в отдельный раздел (Раздел 6), поэтому непонятно, равнозначны ли эти сервисы (SOAP и REST) в части функционала подписей и OTP-via-SMS?
4.Нет ли примеров полного цикла взаимодействия для подписания документа?

5.Если я правильно понял, SOAP API позволяет получать подписанный документ синхронно, при этом использовать OTP-via-SMS для подтверждения подписи документа.
Я не понимаю, как происходит это взаимодействие: ведь если для подписания нужно вызвать метод SignDocument, который синхронно вернет подписанный документ, значит, где-то ранее мы должны получить подтверждение этой операции со стороны пользователя. Получение маркера безопасности связано только с аутентификацией, но при этом самого документа еще нет, ведь запрос на Sign мы не отправляли, и пользователь не понимает, что подписывает.

Спасибо!
Offline Андрей Солдатов  
#2 Оставлено : 5 ноября 2020 г. 13:43:03(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 242
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 48 раз в 44 постах
Добрый день.

>>Какие способы аутентификации пользователя возможны? Логин/пароль? Только идентификация, а потом OTP via SMS для подписания, и т.д.?
Доступные методы аутентификации перечислены в п. 4 "ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание" (входит в состав комплекта документации к DSS).

>>Применяются ли настройки подтверждения операций (описанные в документации в разделе п. 6.2 - Подтверждение операций) в данном случае?
Да, применяются.

>>Описание аутентификации СЭП вынесено в отдельный раздел (Раздел 6), поэтому непонятно, равнозначны ли эти сервисы (SOAP и REST) в части функционала подписей и OTP-via-SMS?
Мы не рекомендуем использовать интерфейс SOAP, т.к. развиваться в рамках DSS он более не будет. Развивается именно REST. Пример формирования подписи с подтверждением через СМС доступен в руководстве разработчика.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
therealmasel оставлено 05.11.2020(UTC)
Offline therealmasel  
#3 Оставлено : 5 ноября 2020 г. 16:22:57(UTC)
therealmasel

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Спасибо! Еще вопрос:

в документе указан

Цитата:
В случае со способами, описанными в разделах 4.1, 4.2, 4.3 и 4.5,
для аутентификации на рабочей станции Пользователя требуется
наличие сертифицированного ФСБ России СКЗИ КриптоПро CSP версии
3.9, 4.0 или КриптоПро JCP версии 2.0.


4.1. Аутентификация по логину и паролю.

Это значит, что при сценарии когда пользователь вводит логин и пароль через браузер, нужно иметь на его компьютере КриптоПро CSP? А зачем, ведь подписание осуществляется облачной подписью?
Offline Андрей Солдатов  
#4 Оставлено : 5 ноября 2020 г. 16:48:40(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 242
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 48 раз в 44 постах
Это обусловлено тем, что аутентификация по логину-паролю требует установки одностороннего TLS соединения.
Установить защищенное TLS ГОСТ соединение можно только в том случае, если на рабочей машине клиента установлен КриптоПро CSP.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
therealmasel оставлено 05.11.2020(UTC)
Offline therealmasel  
#5 Оставлено : 5 ноября 2020 г. 17:58:08(UTC)
therealmasel

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Получается, что если нужно подписывать документы с использованием сервера электронной подписи КриптоПро DSS, развернутом, скажем, внутри организации, без установки КриптоПро CSP на рабочие машины пользователей все равно не обойтись?
Offline Андрей Солдатов  
#6 Оставлено : 5 ноября 2020 г. 18:25:40(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 242
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 48 раз в 44 постах
Автор: therealmasel Перейти к цитате
Получается, что если нужно подписывать документы с использованием сервера электронной подписи КриптоПро DSS, развернутом, скажем, внутри организации, без установки КриптоПро CSP на рабочие машины пользователей все равно не обойтись?


Если на сервере DSS установлен только ГОСТ-овый веб-сертификат - да, без установки КриптоПро CSP на рабочем месте пользователя не обойтись.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
therealmasel оставлено 05.11.2020(UTC)
Offline therealmasel  
#7 Оставлено : 5 ноября 2020 г. 18:29:18(UTC)
therealmasel

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Цитата:
Если на сервере DSS установлен только ГОСТ-овый веб-сертификат - да, без установки КриптоПро CSP на рабочем месте пользователя не обойтись.


Не понял момент про ГОСТовый веб-сертификат. Можете пояснить?
Offline Андрей Солдатов  
#8 Оставлено : 5 ноября 2020 г. 18:52:00(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 242
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 48 раз в 44 постах
Ответил Вам в личку.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.