Обеспечение юридической значимости электронного документооборота в соответствии с приказом № 186/258 Минкомсвязи России и ФСО РФ для ФОИВ;
Простота встраивания в уже функционирующие системы электронного документооборота;
Не требуется прохождение процедуры контроля встраивания СКЗИ в ФСБ России;
Аутентификация пользователей в ЕСИА по алгоритмам ГОСТ;
Высокая скорость проверки и усиления электронной подписи – от 700 проверок в секунду на одном сервере.
Сценарии использования
Обеспечение юридической значимости электронного документооборота;
Выполнение требований регуляторов перед отправкой в МЭДО или СМЭВ;
Проверка и усиление ЭП под котировками в режиме реального времени;
Снижение нагрузки на серверы приложений выделением функций ЭП.
Возможности
Усиление электронной подписи меткой времени.
Усиление электронной подписи(ЭП)XAdes-BeS доXAdes-T,XAdes-CиXAdes-A,а также формирование ЭП в форматах XAdes-BeS и WS- Security и усиление до CAdES-T, CAdES-CиCAdES-A.
Усиление ЭП производится путем фиксации метки времени и подписанием технологической ЭП.
Использование метки времени от любого источника точного времени, работающего по протоколу NTP.
Разбор конфликтных ситуаций.
Сбор, хранение и предоставление по запросу информации, необходимой для разбора конфликтных ситуаций, возникающих при использовании ЭП.
Своевременное уведомление в случае наличия проверяемого сертификата в списке отозванных.
Разбор конфликтных ситуаций даже по истечении срока действия списка отозванных сертификатов.
Хранение архива списков отозванных сертификатов и сертификатов удостоверяющих центров. .
Подтверждение действительности сертификатов.
Отдельный сервис для проверки сертификата на соблюдение требований законодательства и стандартов к формату сертификата.
Проверка сертификата на действительность и валидность (отсутствие в списке отозванных сертификатов (СОС)) в процессе проверки ЭП под документом..
Формирование электронной подписи.
Формирование хэша и электронной подписи в соответствии с алгоритмами, описанными в ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012.
Общая схема развертывания компонентов ПАК Jinn-Server
Jinn Server сертифицирован ФСБ России на соответствие требованиям:
СКЗИ класса КС1/КС2;
Средство ЭП класса КС1/КС2 (согласно приказу ФСБ России №796)
№ 63-ФЗ и может использоваться для создания и проверки электронной подписи для данных, не содержащих государственную тайну;
ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Технические характеристики платформ
Платформа
Количество проверяемых/усиливаемых подписей в сутки для файла размером 10 Мб,тип подписи «cades-bes»
Интерфейсы
Криптосервер
IPC-3000
3 200 000
1х 1000BASE-T RJ45 4x 10GB SFP+
IPC-R3000
2 000 000
8 х 10/100/1000BASE-T RJ45; 8 х 10G SFP
IPC-R1000
1 300 000
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R800
1 000 000
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R550
900 000
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/ SFP; 2 х 10G SFP+
Сервер архивирования
IPC-500
6х 1000BASE-T RJ45
IPC-R3000
8 х 10/100/1000BASE-T RJ45; 8 х 10G SFP
IPC-R1000
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R800
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R550
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/ SFP; 2 х 10G SFP+
IPC-R300
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/ SFP; 2 х 10G SFP+
АРМ разбора конфликтных ситуаций
IPC-50
4х 1000BASE-T RJ45 1x 1G SFP
IPC-R550
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/SFP; 2 х 10G SFP+
IPC-R300
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/SFP; 2 х 10G SFP+
IPC-R50
4 х 10/100/1000BASE-T RJ45; 1 х 1G SFP
Вопрос-ответ
Для чего предназначена подсистема администрирования Jinn Server?
Подсистема предназначена для мониторинга и управления компонентами ПАК, в том числе она:
Обеспечивает мониторинг компонентов системы с автоматическим восстановлением работоспособности ПАК в случае программных сбоев и уведомлением администратора в случае необходимости.
Обеспечивает настройку ПАК для использования эталонного источника времени по протоколу NTP.
Предоставляет средства управления списком доверенных издателей и параметрами сервиса архивирования CRL, в том числе:
средства импорта/экспорта сертификатов доверенных издателей и соответствующих им CRL. Средства экспорта обеспечивают выгрузку данных как для одного, так и для нескольких или всех установленных издателей;
возможность отметить определенного издателя как неактивного (в этом случае загрузка/обновление соответствующих CRL производиться не будет) либо полностью удалить издателя и все соответствующие ему CRL;
возможность задания/изменения точки публикации CRL по умолчанию для определенного издателя;
возможность задания упреждающего периода для загрузки очередного регулярного CRL;
возможность принудительной загрузки/обновления CRL для одного, нескольких или всех активных издателей.
Предоставляет средства управления сертификатами и ключами, используемыми для выработки штампов времени и формирования ЭП в SS. В настоящее время установленные в системе контейнеры CSP защищены фиксированным предопределенным паролем.
Как происходит синхронизация времени аппаратных платформ ПАК?
Для синхронизации событий и журналов различных компонентов ПАК на каждой отдельной аппаратной платформе комплекса размещен специальный сервис в режиме подстройки локальных аппаратных часов по внешнему эталонному источнику времени. Реализация данного сервиса основана на использовании сетевого протокола синхронизации времени Network Time Protocol (NTP).
Какие средства криптографической информации используются в ПАК?
Для формирования и проверки электронной подписи в ПАК используется сертифицированное ФСБ России СКЗИ (вплоть до класса КС2 включительно, в части защиты информации, не содержащей сведений, составляющих государственную тайну) "КриптоПро CSP" 4.0 для платформы Linux (ia32, x64) производства компании ООО "КРИПТО-ПРО". Более полная информация приведена в сопроводительной документации на изделие, входящей в комплект поставки СКЗИ. Для формирования итеративного хэша используется встраиваемая библиотека SCCrypt.
На Jinn Server скапливаются CRL файлы, занимая дисковое пространство
Сrl, которые "накапливаются" в кэше (/var/opt/tccs/crls) могут удаляться без потери работоспособности ПАК. При обработке очередного запроса к сервисам необходимые данные будут загружены в кэш из БД.
Из каких веб-сервисов состоит ПО Jinn-Server?
Программное обеспечение Jinn-Server построено по модульному принципу и состоит из следующих веб-сервисов:
сервис проверки ЭП (SVS — SignatureValidationService) — предназначен для проверки данных, подписанных ЭП, и усиления ЭП (в зависимости от параметров запроса), а также проверки сертификатов ЭП на действительность и соответствие требованиям к квалифицированным сертификатам;
сервис формирования ЭП (SS — SigningService) — предназначен для выработки ЭП;
сервис архивирования СОС/CRL (CAS — CRLArchivingService) — предназначен для сбора и автоматического обновления списков отозванных сертификатов и обновлений к ним с целью последующего использования хранимых CRL другими компонентами ПАК. Этот сервис разделен на два модуля — внутренний сборщик CRL (CAS–1) и внешний (CAS–2);
графический интерфейс подсистемы администрирования (WebUI, сервис ADMIN) — предназначен для мониторинга и конфигурации компонентов комплекса, а также для работы с сертификатами;
сервис разбора конфликтов — предназначен для рассмотрения спорных ситуаций, возникающих при проверке ЭП, а также получения дополнительной информации по действительности сертификатов и ЭП на заданный момент времени. Данная информация используется в дальнейшем для урегулирования всех спорных юридических вопросов, связанных с особенностями PKI инфраструктуры.
Задайте свой вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
