- Mydss | safetech
- Offline подтверждение транзакции
- Асинхронное подтверждение транзакции
- Безопасность
- Внимание!
- Высокая отказоустойчивость и доступность
- Задание отпечатка устройства
- Модуль аутентификации mydss | криптопро dss
- Мониторинг функционирования и доступности
- Отключение mydss
- Отключение метода аутентификации
- Отключение требований подтверждения операций
- Повторная отправка кода активации пользователю
- Подтверждение операции на сервисе подписи
- Подтверждение транзакции подписи на сервисе подтверждения операций
- Поиск пользователя
- Получение qr-кода с ключом аутентификации mydss
- Получение подписанного документа на сервисе подписи
- Получение сведенией о mydss
- Получение списка операций, требующих подтверждения
- Получение схемы аутентификации пользователя
- Примечание
- Проверка назначен ли ключ аутентификации mydss пользователю
- Расширенный поиск
- Синхронное подтверждение транзакции
- Создание транзакции подписи на сервисе подписи
- Способы аутентификации
- Требования к окружению
- Удаление ключа аутентификации
Mydss | safetech
Posted on 13.08.2022 at 17:16
«VTB, as a technologically advanced and customer-oriented bank, strives to provide the most innovative services and additional digital services, imposing the highest requirements on their functionality, convenience, and security. Online registration of a business with the subsequent opening of an account has recently become one of the most discussed, expected, and sought-after services in the Russian banking industry. The first certified solution in Russia CryptoPro myDSS allowed to implement this service in full. Now, any new entrepreneur can open a business simply by sitting at home and without installing heavy software on his computer».
Spartak Solonin,
Head of Small Business Department,
Senior Vice President, VTB Bank
Official press-release
Offline подтверждение транзакции
Offline сценарий может использоваться как альтернативный способ подтверждения или отклонения транзакции.
Сценарий может использоваться когда мобильное приложение не имеет доступа в Интернет, либо по каким либо причинам не смогло загрузить с сервера
данные транзакции (сопровождающий текст, подписываемый документ)
Интегрируемая система должна отобразить пользователю QR-код (Image), полученный при первом обращении к Сервису Подтверждения Операций, и предоставить пользователю интерфейс
для ручного ввода кода подтверждения (отказа) транзакции.
Пример запроса
Асинхронное подтверждение транзакции
Если в первом запросе к Сервису Подтверждения Операций пользователь указал CallbackUri, то после подтверждения операции
на мобильном устройстве пользователя придёт оповещение о завершении транзакции.
Сообщение о завершении транзакции содержит:
Result— результат подтверждения транзакции (success или failed)TransactionId— идентификатор транзакции на Сервисе Подтверждения операций (RefId)Error— код ошибкиErrorDescription— описание ошибки
Примеры ответа на CallbackUri
Оповещение о подтверждении операции:
{
"Result":"success",
"TransactionId":"aa1a4a5d-bb4d-456b-87da-31818604fcd8",
"Error":"",
"ErrorDescription":null}
Оповещение об отказе (пользователь в мобильном приложении Отказался от подтверждения операции):
{
"Result":"failed",
"TransactionId":"2fbd0a40-77be-4a40-a688-a0249bba16a6",
"Error":null,
"ErrorDescription":null}
Оповещение об истечении строка действия транзакции.
{
"Result":"failed",
"TransactionId":"bc0ffdee-7143-439f-bf6b-d1400725d8f1",
"Error":"transaction_expired",
"ErrorDescription":"Срок действия транзакции истёк"}
Если пользователь подтвердил операцию на мобильном устройстве, необходимо обратиться на Сервис Подтверждения Операций
для получения нового AccessToken. В запросе передаётся идентификатор RefId.
Пример запроса
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
Внимание!
В Offline сценарии на мобильном устройстве пользователя не может быть отображён
подписываемый документ. Отобразить возможно только сопровождающий операцию текст.
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Задание отпечатка устройства
Отпечаток устройство однозначно связывает ключ аутентификации и мобильное устройство пользователя.
В типовом сценарии отпечаток устройство регистрируется автоматически в момент сканирования QR-кода с ключом аутентификации.
Требуется ли привязка ключа аутентификации к устройству пользователя задаётся Администратором на сервере DSS:
Set-DssMobileAuthProperties -DeviceFingerprintRequired 1
Пример запроса
Модуль аутентификации mydss | криптопро dss
Модуль аутентификации myDSS для СЭП «КриптоПро DSS» является обособленной частью
Центра Идентификации и позволяет подтверждать волеизъявление Пользователя на
выполнение различных операций с помощью мобильного приложения, а также может
применяться в качестве вспомогательной аутентификации.
Модуль аутентификации myDSS имеет следующую структуру:
1. Серверная часть.
a. Сервис взаимодействия с ЦИ.
Интегрируется с ЦИ КриптоПро DSS и выполняет следующие функции:
- генерация и обновление ключевой информации Пользователей myDSS при взаимодействии с ЦИ КриптоПро DSS;
- управление процессом подтверждения операций.
b. Сервис взаимодействия с мобильным приложением myDSS.
Выполняет функции по взаимодействию с мобильными приложениями, включая:
- регистрацию устройств пользователей для отправки PUSH-уведомлений;
- отправку PUSH-уведомлений;
- предоставление информации о операциях, необходимых для подтверждения пользователем;
- прием и проверку кодов подтверждения при помощи Сервиса взаимодействия с ЦИ.
2. Клиентская часть.
Клиентская часть представлена мобильным приложением myDSS, доступным в операционных системах iOS и Android. Приложение myDSS выполняет следующие функции:
- управление ключевой информацией Пользователя (считывание, хранение, использование, обновление, удаление);
- получение информации для подтверждения от серверной части в режиме онлайн или офлайн;
- отображение подтверждаемой информации на экране мобильного телефона;
- выработка кода подтверждения на основе данных транзакции, ключа пользователя, времени выработки и (опционально) отпечатка устройства;
- отправка кода подтверждения в серверную часть в режиме онлайн или отображение пользователю в режиме офлайн.
Схема взаимодействия компонентов, отображающая описанные логические компоненты
myDSS и их взаимодействие с другими компонентами и продуктами КриптоПро, приведена на
рисунке ниже.
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Сервис электронной подписи ООО «КРИПТО-ПРО»
Тестовый сервис электронной подписи
Приобрести ПАК «КриптоПро DSS 2.0»
Загрузить ПАК «КриптоПро DSS 2.0»
Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2.0» для работы с квалифицированной электронной подписью
Учебный курс по ПАК «КриптоПро DSS 2.0»
Учебный курс по «КриптоПро Центр мониторинга 1.0»
Отключение mydss
Отключение аутентификации через myDSS состоит из последовательности шагов:
- Отключить требования подтверждения операций
- Отключить метода аутентификации myDSS
- Удалить ключ аутентификации пользователя
Отключение метода аутентификации
Пример запроса
Отключение требований подтверждения операций
Примечание
Отключение методов аутентификации требуется, если myDSS является единственным способом вторичной аутентификации.
Если пользователю назначены другие способы аутентификации (например, одноразовые пароли по SMS),
то отключение методов не требуется.
Примечание
Если отключить метод аутентификации myDSS, не отключив требование подтверждения операций операций, то
пользователь не сможет выполнить данные операции.
Пример запроса
Повторная отправка кода активации пользователю
Если ключ аутентификации уже назначен пользователю и защищён на коде активации, то можно сделать повторную отправку кода активации ключа.
Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.
Set-DssMobileAuthProperties -KeyInfoDivideRequired 1
Подтверждение операции на сервисе подписи
Предварительные условия
В подтверждении транзакции задействованы следующие сервисы DSS:
Примечание
У Администратора DSS необходимо получить значение параметров client_id и resource.
resource — идентификатор Сервиса Подписи, имеет вид:
urn:cryptopro:dss:signserver:<SignServerAppName>
Подтверждение транзакции подписи на сервисе подтверждения операций
Для подтверждения транзакции, созданной на Сервисе Подписи, пользователь отправляет запрос содержащий:
CallbackUri— адрес для оповещения о завершении транзакции (опционально).TransactionTokenId– идентификатор транзакции, созданной на сервисе подписи.Resource– идентификатор Сервиса Подписи.ClientId— идентификатор OAuth клиента.ClientSecret— пароль OAuth клиента (для неконфиденциальных клиентов данный параметр не указывается).
Поиск пользователя
Сервис Управления пользователями предоставляет несколько возможностей поиска пользователя:
Получение qr-кода с ключом аутентификации mydss
Перед назначением пользователю метода аутентификации myDSS необходимо получить QR-код, содержащий ключ аутентификации пользователя.
QR-код должнен быть передан пользователю. Отсканировав QR-код пользователь загрузит ключ аутентификации в мобильное приложение myDSS.
Ключ аутентификации, передаваемый в QR-коде, может быть защищён на коде активации. Код активации передаётся пользователю в SMS или email сообщении.
Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.
Set-DssMobileAuthProperties -KeyInfoDivideRequired 1
Код активации состоит из цифр. Минимальная длина кода — 6 цифр.
Изменить длину кода активации может Администратор DSS выполнив команду в консоли PowerShell:
Set-DssMobileAuthProperties -SecondKeyPartLength 8
Примечание
Для отправки кода активации в SMS или Email Администратору необходимо
подключить и настроить соответствующий модуль оповещения на сервере DSS.
Примеры запросов
- Пример получения QR-кода без кода активации
Получение подписанного документа на сервисе подписи
Для получения подписанного документа необходимо отправить запрос Сервису Подписи на конечную точку /documents.
Примеры запросов
Получение сведенией о mydss
Ниже приведён список методов, которые позволяют проверить:
- назначен ли пользователю ключ аутентификации myDSS
- срок действия ключа аутентификации myDSS
- назначен ли пользователю метод аутентификации myDSS
- список действий требующих подтверждения
Получение списка операций, требующих подтверждения
Пример запроса
Получение схемы аутентификации пользователя
Пример запроса
Примечание
При обработке ответа Сервиса Подтверждения Операций вызывающее приложение должно смотреть на значение двух флагов:
IsFinal и IsError. Если получен ответ с IsError — true, то дальнейшее подтверждение транзакции не возможно. Если получен ответ с IsFinal — false, то подтверждение транзакции ещё не завершено.
Проверка назначен ли ключ аутентификации mydss пользователю
Пример запроса
Расширенный поиск
Расширенный поиск позволяет применять различные фильтры для поиска пользователей.
Результатом выполнения метода может быть группа пользователей, отвечающая параметрам фильтра.
Поиск пользователей можно выполнить по одному или нескольким параметрам:
Код параметра указывается в поле Column
Операции сравнения могут быть следующих типов:
| Тип | Код | Описание |
|---|---|---|
| Equal | 0 | Строгое равенство |
| NotEqual | 1 | Не равно |
| Like | 2 | Содержит |
| Greater | 3 | Больше |
| Less | 4 | Меньше |
Код операции указывается в поле Operation
Тип cравнения Like определяет, совпадает ли указанная символьная строка с заданным шаблоном.
Шаблон может включать обычные символы и символы-шаблоны.
Во время сравнения с шаблоном необходимо, чтобы его обычные символы в точности совпадали с символами, указанными в строке.
Символы-шаблоны могут совпадать с произвольными элементами символьной строки.
Поддерживаются следующие символы шаблоны:
| Символ-шаблон | Описание | Пример |
|---|---|---|
| % | Любая строка, содержащая ноль или более символов. | %вано% |
| (подчеркивание) | Любой одиночный символ. | _етров |
| [ ] | Любой одиночный символ, содержащийся в диапазоне ([a-f]) или наборе ([abcdef]). | [Л-С]омов |
| [^] | Любой одиночный символ, не содержащийся в диапазоне ([^a-f]) или наборе ([^abcdef]). | ‘ив[^а]% |
Параметры StartPosition и EndPosition определяют начальную и конечную позицию из итоговой выборки.
Данные параметры могут быть использованы для постраничной выборки пользователей
При поиске пользователей по времени создания значение фильтра должно иметь следующий формат: yyyy-MM-ddThh:mm:ss
Общее количество элементов подпадающих под критерии фильтра возвращается в параметре TotalCount.
Количество элементов отданных методом возвращается в параметре AffectedCount:
AffectedCount <= EndPosition — StartPosition
Синхронное подтверждение транзакции
В синхронном режиме пользователь должен периодически опрашивать Сервис Подтверждения Операция, ожидая
завершение подтверждения транзакции (флаг IsFinal = true).
Пример запроса
Создание транзакции подписи на сервисе подписи
После прохождения аутентификации пользователь инициирует подписание документа.
Для подтверждения любых операций на Сервисе Подписи используется метод /transactions
В запросе необходимо указать:
Способы аутентификации
В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:
Требования к окружению
КриптоПро DSS 2.0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Удаление ключа аутентификации
Пример запроса
