vrr/doc
2
0
Fork 0
mirror of https://github.com/bpmbpm/doc.git synced 2026-05-01 21:10:37 +00:00
Code Issues Projects Releases Packages Wiki Activity Actions

Update cryptopro-dss.md

Browse source
This commit is contained in:
Dmitry 2025-11-17 13:46:08 +03:00 committed by GitHub
parent a89a8ef57b
commit cd40d4f0d1
No known key found for this signature in database
GPG key ID: B5690EEEBB952194
1 changed files with 63 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

63
IT/CADES/AI/cryptopro-dss.md
View file

@ -381,3 +381,66 @@ sequenceDiagram
- CADESBES/XL/A.
- XMLDSig.
- PDF (с использованием Adobe CDS).
### Вопрос 3
Интересует описание решений с техническими подробностями, где есть КриптоПро DSS и КриптоПро HSM, но нет необходимости покапать каждому клиенту КриптоПро CSP 5.0.
КриптоПро DSS и КриптоПро HSM позволяют централизовать криптографические операции и хранение ключей, минимизируя необходимость установки КриптоПро CSP 5.0 на клиентских устройствах. Это достигается за счёт использования облачных технологий и альтернативных методов аутентификации и взаимодействия с системой. Рассмотрим ключевые решения и технические детали.
### Централизованное хранение ключей в КриптоПро HSM
КриптоПро HSM обеспечивает защищённое хранение закрытых ключей пользователей и сертификатов в неизвлекаемом виде. Все операции с ключами (формирование, проверка подписей, шифрование/расшифровка данных) выполняются на сервере КриптоПро DSS с использованием функций HSM. Это исключает необходимость хранения ключей на клиентских устройствах и установки КриптоПро CSP. [```1```](https://www.anti-malware.ru/reviews/cryptopro-DSS-2-0)[```4```](https://it-enigma.ru/produktyi/sredstva-kriptograficheskoj-zashhityi/kripto-pro/kriptopro-dss)
**Технические особенности:**
- HSM оснащён датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, защитой от утечек по побочным каналам и от внутреннего нарушителя (администратора). [```1```](https://www.anti-malware.ru/reviews/cryptopro-DSS-2-0)
- Ключи становятся неизвлекаемыми, что снижает риск их компрометации.
- Доступ к ключам предоставляется только после многофакторной аутентификации в КриптоПро DSS. [```1```](https://www.anti-malware.ru/reviews/cryptopro-DSS-2-0)
### Работа через веб-интерфейс и мобильное приложение
Для взаимодействия с КриптоПро DSS пользователю достаточно веб-браузера или мобильного приложения КриптоПро myDSS. Это позволяет подписывать документы с любого устройства без установки дополнительного ПО. [```1```](https://www.anti-malware.ru/reviews/cryptopro-DSS-2-0)[```4```](https://it-enigma.ru/produktyi/sredstva-kriptograficheskoj-zashhityi/kripto-pro/kriptopro-dss)
**Процесс подписания документа:**
1. Пользователь загружает документ в систему через веб-интерфейс или мобильное приложение.
2. КриптоПро DSS направляет запрос на подписание в КриптоПро HSM.
3. HSM выполняет криптографические операции и возвращает подписанный документ.
4. КриптоПро DSS передаёт документ обратно пользователю или в интегрированную систему (например, СЭД). [```1```](https://www.anti-malware.ru/reviews/cryptopro-DSS-2-0)
### Многофакторная аутентификация
Для подтверждения операций (подписание, расшифровка документов) используются различные методы аутентификации:
- **Мобильное приложение КриптоПро myDSS**: пользователь подтверждает операцию через приложение, вводя пароль или используя биометрию (Touch ID/Face ID). [```1```](https://www.anti-malware.ru/reviews/cryptopro-DSS-2-0)
- **SMS-коды**: пользователю отправляется код подтверждения, который он вводит в веб-интерфейсе. [```6```](https://cryptopro.ru/products/dss/usage)
- **OTP-токены (eToken PASS)**: генерация одноразовых паролей. [```2```](https://dss.cryptopro.ru/)
- **Криптографические токены типа Рутокен Web**: требуется установка специального плагина и стороннего центра идентификации. [```2```](https://dss.cryptopro.ru/)
### Интеграция с внешними системами
КриптоПро DSS поддерживает интеграцию с корпоративными системами через стандартные протоколы:
- **SOAP и REST API**: для автоматизации процессов подписания документов в бизнес-приложениях. [```2```](https://dss.cryptopro.ru/)[```4```](https://it-enigma.ru/produktyi/sredstva-kriptograficheskoj-zashhityi/kripto-pro/kriptopro-dss)
- **HTTP API**: для взаимодействия с системами ДБО, ЭДО и другими сервисами. [```6```](https://cryptopro.ru/products/dss/usage)
**Пример интеграции с 1С:Документооборот:**
1. Пользователь регистрируется в КриптоПро DSS и получает учётные данные.
2. В 1С настраиваются параметры подключения к DSS-серверу.
3. При подписании документа система 1С передаёт его в КриптоПро DSS, которая выполняет криптографические операции с использованием HSM. [```5```](https://dokumentooborot24.ru/poleznosti/ispolzovanie-oblachnoj-elektronnoj-podpisi-po-tehnologii-kriptopro-dss-v-1s-dokumentooborot-redakcziya-3-0/)
### КриптоПро Cloud CSP как альтернатива
Для совместимости с приложениями, требующими стандартного интерфейса CryptoAPI, можно использовать КриптоПро Cloud CSP. Этот модуль позволяет интегрировать КриптоПро DSS с традиционными приложениями без установки КриптоПро CSP на клиенте. [```2```](https://dss.cryptopro.ru/)[```4```](https://it-enigma.ru/produktyi/sredstva-kriptograficheskoj-zashhityi/kripto-pro/kriptopro-dss)
**Особенности:**
- Сочетает преимущества КриптоПро CSP и облачных технологий.
- Обеспечивает безопасность хранения ключей в HSM и удобство управления пользователями.
- Позволяет использовать облачную ЭП в приложениях, поддерживающих CryptoAPI. [```2```](https://dss.cryptopro.ru/)
### Сравнение сценариев использования
| Сценарий | Необходимость КриптоПро CSP 5.0 | Преимущества |
|----------|--------------------------------|--------------|
| Работа через веб-интерфейс/myDSS | Нет | Простота использования, доступность с любого устройства |
| Интеграция с системами через API | Нет | Автоматизация процессов, отсутствие клиентского ПО |
| Использование КриптоПро Cloud CSP | Нет (заменяет CSP) | Совместимость с приложениями, требующими CryptoAPI |
| Локальные операции с документами | Да | Требуется для офлайн-работы или интеграции с legacy-системами |
### Рекомендации
- Для большинства сценариев (облачный документооборот, интеграция с корпоративными системами) достаточно КриптоПро DSS и HSM без клиентского CSP.
- В случаях, где требуется локальная работа с документами или интеграция с устаревшими системами, может понадобиться КриптоПро CSP.
- Рассмотрите использование КриптоПро Cloud CSP для совместимости с приложениями, ожидающими стандартный CryptoAPI.
Таким образом, КриптоПро DSS и HSM предоставляют гибкие возможности для централизации криптографических операций, снижая зависимость от клиентского ПО. Выбор конкретного решения зависит от требований к интеграции, мобильности пользователей и специфики бизнес-процессов.