Обеспечение юридической значимости электронного документооборота в соответствии с приказом № 186/258 Минкомсвязи России и ФСО РФ для ФОИВ;
Простота встраивания в уже функционирующие системы электронного документооборота;
Не требуется прохождение процедуры контроля встраивания СКЗИ в ФСБ России;
Аутентификация пользователей в ЕСИА по алгоритмам ГОСТ;
Высокая скорость проверки и усиления электронной подписи – от 700 проверок в секунду на одном сервере.
Сценарии использования
Обеспечение юридической значимости электронного документооборота;
Выполнение требований регуляторов перед отправкой в МЭДО или СМЭВ;
Проверка и усиление ЭП под котировками в режиме реального времени;
Снижение нагрузки на серверы приложений выделением функций ЭП.
Возможности
Усиление электронной подписи меткой времени.
Усиление электронной подписи(ЭП)XAdes-BeS доXAdes-T,XAdes-CиXAdes-A,а также формирование ЭП в форматах XAdes-BeS и WS- Security и усиление до CAdES-T, CAdES-CиCAdES-A.
Усиление ЭП производится путем фиксации метки времени и подписанием технологической ЭП.
Использование метки времени от любого источника точного времени, работающего по протоколу NTP.
Разбор конфликтных ситуаций.
Сбор, хранение и предоставление по запросу информации, необходимой для разбора конфликтных ситуаций, возникающих при использовании ЭП.
Своевременное уведомление в случае наличия проверяемого сертификата в списке отозванных.
Разбор конфликтных ситуаций даже по истечении срока действия списка отозванных сертификатов.
Хранение архива списков отозванных сертификатов и сертификатов удостоверяющих центров. .
Подтверждение действительности сертификатов.
Отдельный сервис для проверки сертификата на соблюдение требований законодательства и стандартов к формату сертификата.
Проверка сертификата на действительность и валидность (отсутствие в списке отозванных сертификатов (СОС)) в процессе проверки ЭП под документом..
Формирование электронной подписи.
Формирование хэша и электронной подписи в соответствии с алгоритмами, описанными в ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012.
Общая схема развертывания компонентов ПАК Jinn-Server
Jinn Server сертифицирован ФСБ России на соответствие требованиям:
СКЗИ класса КС1/КС2;
Средство ЭП класса КС1/КС2 (согласно приказу ФСБ России №796)
№ 63-ФЗ и может использоваться для создания и проверки электронной подписи для данных, не содержащих государственную тайну;
ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Технические характеристики платформ
Платформа
Количество проверяемых/усиливаемых подписей в сутки для файла размером 10 Мб,тип подписи «cades-bes»
Интерфейсы
Криптосервер
IPC-3000
3 200 000
1х 1000BASE-T RJ45 4x 10GB SFP+
IPC-R3000
2 000 000
8 х 10/100/1000BASE-T RJ45; 8 х 10G SFP
IPC-R1000
1 300 000
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R800
1 000 000
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R550
900 000
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/ SFP; 2 х 10G SFP+
Сервер архивирования
IPC-500
6х 1000BASE-T RJ45
IPC-R3000
8 х 10/100/1000BASE-T RJ45; 8 х 10G SFP
IPC-R1000
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R800
8 х 10/100/1000BASE-T RJ45; 4 х 10G SFP+
IPC-R550
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/ SFP; 2 х 10G SFP+
IPC-R300
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/ SFP; 2 х 10G SFP+
АРМ разбора конфликтных ситуаций
IPC-50
4х 1000BASE-T RJ45 1x 1G SFP
IPC-R550
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/SFP; 2 х 10G SFP+
IPC-R300
4 х 10/100/1000BASE-T RJ45; 2 х Combo 1G RJ45/SFP; 2 х 10G SFP+
IPC-R50
4 х 10/100/1000BASE-T RJ45; 1 х 1G SFP
Вопрос-ответ
Из каких веб-сервисов состоит ПО Jinn-Server?
Программное обеспечение Jinn-Server построено по модульному принципу и состоит из следующих веб-сервисов:
сервис проверки ЭП (SVS — SignatureValidationService) — предназначен для проверки данных, подписанных ЭП, и усиления ЭП (в зависимости от параметров запроса), а также проверки сертификатов ЭП на действительность и соответствие требованиям к квалифицированным сертификатам;
сервис формирования ЭП (SS — SigningService) — предназначен для выработки ЭП;
сервис архивирования СОС/CRL (CAS — CRLArchivingService) — предназначен для сбора и автоматического обновления списков отозванных сертификатов и обновлений к ним с целью последующего использования хранимых CRL другими компонентами ПАК. Этот сервис разделен на два модуля — внутренний сборщик CRL (CAS–1) и внешний (CAS–2);
графический интерфейс подсистемы администрирования (WebUI, сервис ADMIN) — предназначен для мониторинга и конфигурации компонентов комплекса, а также для работы с сертификатами;
сервис разбора конфликтов — предназначен для рассмотрения спорных ситуаций, возникающих при проверке ЭП, а также получения дополнительной информации по действительности сертификатов и ЭП на заданный момент времени. Данная информация используется в дальнейшем для урегулирования всех спорных юридических вопросов, связанных с особенностями PKI инфраструктуры.
На Jinn Server скапливаются CRL файлы, занимая дисковое пространство
Сrl, которые "накапливаются" в кэше (/var/opt/tccs/crls) могут удаляться без потери работоспособности ПАК. При обработке очередного запроса к сервисам необходимые данные будут загружены в кэш из БД.
Какие средства криптографической информации используются в ПАК?
Для формирования и проверки электронной подписи в ПАК используется сертифицированное ФСБ России СКЗИ (вплоть до класса КС2 включительно, в части защиты информации, не содержащей сведений, составляющих государственную тайну) "КриптоПро CSP" 4.0 для платформы Linux (ia32, x64) производства компании ООО "КРИПТО-ПРО". Более полная информация приведена в сопроводительной документации на изделие, входящей в комплект поставки СКЗИ. Для формирования итеративного хэша используется встраиваемая библиотека SCCrypt.
Как происходит синхронизация времени аппаратных платформ ПАК?
Для синхронизации событий и журналов различных компонентов ПАК на каждой отдельной аппаратной платформе комплекса размещен специальный сервис в режиме подстройки локальных аппаратных часов по внешнему эталонному источнику времени. Реализация данного сервиса основана на использовании сетевого протокола синхронизации времени Network Time Protocol (NTP).
Для чего предназначена подсистема администрирования Jinn Server?
Подсистема предназначена для мониторинга и управления компонентами ПАК, в том числе она:
Обеспечивает мониторинг компонентов системы с автоматическим восстановлением работоспособности ПАК в случае программных сбоев и уведомлением администратора в случае необходимости.
Обеспечивает настройку ПАК для использования эталонного источника времени по протоколу NTP.
Предоставляет средства управления списком доверенных издателей и параметрами сервиса архивирования CRL, в том числе:
средства импорта/экспорта сертификатов доверенных издателей и соответствующих им CRL. Средства экспорта обеспечивают выгрузку данных как для одного, так и для нескольких или всех установленных издателей;
возможность отметить определенного издателя как неактивного (в этом случае загрузка/обновление соответствующих CRL производиться не будет) либо полностью удалить издателя и все соответствующие ему CRL;
возможность задания/изменения точки публикации CRL по умолчанию для определенного издателя;
возможность задания упреждающего периода для загрузки очередного регулярного CRL;
возможность принудительной загрузки/обновления CRL для одного, нескольких или всех активных издателей.
Предоставляет средства управления сертификатами и ключами, используемыми для выработки штампов времени и формирования ЭП в SS. В настоящее время установленные в системе контейнеры CSP защищены фиксированным предопределенным паролем.
Задайте свой вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
