Подтверждение операций с помощью myDSS | КриптоПро DSS

Что нового

Помимо подтверждения операций подписи, аутентификации и др., мобильное приложение DSS Client предоставляет следующие возможности3:

Внимание!Для проверки возможности перехода с myDSS на DSS Client необходимо обратиться в организацию, предоставившую Вам учетную запись.

Offline подтверждение транзакции

Offline сценарий может использоваться как альтернативный способ подтверждения или отклонения транзакции.
Сценарий может использоваться когда мобильное приложение не имеет доступа в Интернет, либо по каким либо причинам не смогло загрузить с сервера
данные транзакции (сопровождающий текст, подписываемый документ)

Интегрируемая система должна отобразить пользователю QR-код (Image), полученный при первом обращении к Сервису Подтверждения Операций, и предоставить пользователю интерфейс
для ручного ввода кода подтверждения (отказа) транзакции.

Пример запроса

Асинхронное подтверждение транзакции

Если в первом запросе к Сервису Подтверждения Операций пользователь указал CallbackUri, то после подтверждения операции
на мобильном устройстве пользователя придёт оповещение о завершении транзакции.

Сообщение о завершении транзакции содержит:

• Result — результат подтверждения транзакции (success или failed)
• TransactionId — идентификатор транзакции на Сервисе Подтверждения операций (RefId)
• Error — код ошибки
• ErrorDescription — описание ошибки

Примеры ответа на CallbackUri

Оповещение о подтверждении операции:

{
    "Result":"success",
    "TransactionId":"aa1a4a5d-bb4d-456b-87da-31818604fcd8",
    "Error":"",
    "ErrorDescription":null}

Оповещение об отказе (пользователь в мобильном приложении Отказался от подтверждения операции):

{
    "Result":"failed",
    "TransactionId":"2fbd0a40-77be-4a40-a688-a0249bba16a6",
    "Error":null,
    "ErrorDescription":null}

Оповещение об истечении строка действия транзакции.

{
"Result":"failed",
"TransactionId":"bc0ffdee-7143-439f-bf6b-d1400725d8f1",
"Error":"transaction_expired",
"ErrorDescription":"Срок действия транзакции истёк"}

Если пользователь подтвердил операцию на мобильном устройстве, необходимо обратиться на Сервис Подтверждения Операций
для получения нового AccessToken. В запросе передаётся идентификатор RefId.

Пример запроса

Безопасность

Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS.

Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:

Внимание!

В Offline сценарии на мобильном устройстве пользователя не может быть отображён
подписываемый документ. Отобразить возможно только сопровождающий операцию текст.

Высокая отказоустойчивость и доступность

Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.

В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т.ч. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.

Задание отпечатка устройства

Отпечаток устройство однозначно связывает ключ аутентификации и мобильное устройство пользователя.
В типовом сценарии отпечаток устройство регистрируется автоматически в момент сканирования QR-кода с ключом аутентификации.

Требуется ли привязка ключа аутентификации к устройству пользователя задаётся Администратором на сервере DSS:

Set-DssMobileAuthProperties -DeviceFingerprintRequired 1

Пример запроса

Как использовать мобильную подпись

Мобильная подпись может применяться для создания квалифицированной электронной подписи, поскольку в мобильных приложениях DSS Client, myDSS 2.0 и других мобильных приложениях на базе DSS SDK используется сертифицированное встроенное средство ЭП КриптоПро CSP 5.0 R2.

Мобильная подпись позволяет создавать подписанные документы следующих форматов:

Требования эксплуатационной документации на КриптоПро CSP выполняются при создании подписи формата CMS (включая усовершенствованные форматы CAdES) или необработанной подписи ГОСТ Р 34.10–2022 (ГОСТ 34.10-2022) с передачей исходного документа в мобильное приложение.

Действия по конвертации документов, предоставлению программного интерфейса интегрированной системе, контроля доступа, журналирования и др. выполняет серверная часть системы мобильной подписи, которой является КриптоПро DSS.

КриптоПро DSS не хранит ключи пользователей, использующих мобильную подпись.

Сложные форматы подписи, требующие включения дополнительной информации (например, метки доверенного времени для подписи CAdES-T), создаются при помощи КриптоПро DSS. В этом случае мобильное приложение выполняет только криптографические операции, необходимые для вычисления значения подписи, или формирует исходную подпись формата CMS.

Мониторинг функционирования и доступности

В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр Мониторинга» для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.

Сервис электронной подписи ООО «КРИПТО-ПРО»

Тестовый сервис электронной подписи

Приобрести ПАК «КриптоПро DSS 2.0»

Загрузить ПАК «КриптоПро DSS 2.0»

Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2.0» для работы с квалифицированной электронной подписью

Учебный курс по ПАК «КриптоПро DSS 2.0»

Учебный курс по «КриптоПро Центр мониторинга 1.0»

Отключение mydss

Отключение аутентификации через myDSS состоит из последовательности шагов:

1. Отключить требования подтверждения операций
2. Отключить метода аутентификации myDSS
3. Удалить ключ аутентификации пользователя

Отключение метода аутентификации

Пример запроса

Отключение требований подтверждения операций

Пример запроса

Переход к мобильной подписи в криптопро dss

В случае если мобильное приложение на основе DSS SDK еще не используется или используется приложение предыдущего поколения myDSS, требуется планирование внедрения DSS SDK.

1 Мобильная подпись будет доступна в DSS Client SDK в скором времени.

2 Перечень поддерживаемых ключевых носителей уточняется.

Повторная отправка кода активации пользователю

Если ключ аутентификации уже назначен пользователю и защищён на коде активации, то можно сделать повторную отправку кода активации ключа.

Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.

 Set-DssMobileAuthProperties -KeyInfoDivideRequired 1

Подтверждение транзакции подписи на сервисе подтверждения операций

Для подтверждения транзакции, созданной на Сервисе Подписи, пользователь отправляет запрос содержащий:

• CallbackUri — адрес для оповещения о завершении транзакции (опционально).
• TransactionTokenId – идентификатор транзакции, созданной на сервисе подписи.
• Resource – идентификатор Сервиса Подписи.
• ClientId — идентификатор OAuth клиента.
• ClientSecret — пароль OAuth клиента (для неконфиденциальных клиентов данный параметр не указывается).

Поиск пользователя

Сервис Управления пользователями предоставляет несколько возможностей поиска пользователя:

Получение qr-кода с ключом аутентификации mydss

Перед назначением пользователю метода аутентификации myDSS необходимо получить QR-код, содержащий ключ аутентификации пользователя.
QR-код должнен быть передан пользователю. Отсканировав QR-код пользователь загрузит ключ аутентификации в мобильное приложение myDSS.

Ключ аутентификации, передаваемый в QR-коде, может быть защищён на коде активации. Код активации передаётся пользователю в SMS или email сообщении.

Требование защиты ключа аутентификации на коде активации настраивается Администратором на сервере DSS и распространяется на всех пользователей.

 Set-DssMobileAuthProperties -KeyInfoDivideRequired 1

Код активации состоит из цифр. Минимальная длина кода — 6 цифр.

Изменить длину кода активации может Администратор DSS выполнив команду в консоли PowerShell:

 Set-DssMobileAuthProperties -SecondKeyPartLength 8

Примеры запросов

• Пример получения QR-кода без кода активации

Получение подписанного документа на сервисе подписи

Для получения подписанного документа необходимо отправить запрос Сервису Подписи на конечную точку /documents.

Примеры запросов

Получение сведенией о mydss

Ниже приведён список методов, которые позволяют проверить:

• назначен ли пользователю ключ аутентификации myDSS
• срок действия ключа аутентификации myDSS
• назначен ли пользователю метод аутентификации myDSS
• список действий требующих подтверждения

Получение списка операций, требующих подтверждения

Пример запроса

Получение схемы аутентификации пользователя

Пример запроса

Примечание

При обработке ответа Сервиса Подтверждения Операций вызывающее приложение должно смотреть на значение двух флагов:
IsFinal и IsError. Если получен ответ с IsError — true, то дальнейшее подтверждение транзакции не возможно. Если получен ответ с IsFinal — false, то подтверждение транзакции ещё не завершено.

Проверка назначен ли ключ аутентификации mydss пользователю

Пример запроса

Разработчикам

Раздел содержит руководство разработчика по интеграции с myDSS:

Расширенный поиск

Расширенный поиск позволяет применять различные фильтры для поиска пользователей.
Результатом выполнения метода может быть группа пользователей, отвечающая параметрам фильтра.

Поиск пользователей можно выполнить по одному или нескольким параметрам:

Код параметра указывается в поле Column

Операции сравнения могут быть следующих типов:

Код операции указывается в поле Operation

Тип cравнения Like определяет, совпадает ли указанная символьная строка с заданным шаблоном.
Шаблон может включать обычные символы и символы-шаблоны.
Во время сравнения с шаблоном необходимо, чтобы его обычные символы в точности совпадали с символами, указанными в строке.
Символы-шаблоны могут совпадать с произвольными элементами символьной строки.

Поддерживаются следующие символы шаблоны:

Параметры StartPosition и EndPosition определяют начальную и конечную позицию из итоговой выборки.
Данные параметры могут быть использованы для постраничной выборки пользователей

При поиске пользователей по времени создания значение фильтра должно иметь следующий формат: yyyy-MM-ddThh:mm:ss

Общее количество элементов подпадающих под критерии фильтра возвращается в параметре TotalCount.
Количество элементов отданных методом возвращается в параметре AffectedCount:
AffectedCount <= EndPosition — StartPosition

Синхронное подтверждение транзакции

В синхронном режиме пользователь должен периодически опрашивать Сервис Подтверждения Операция, ожидая
завершение подтверждения транзакции (флаг IsFinal = true).

Пример запроса

Создание транзакции подписи на сервисе подписи

После прохождения аутентификации пользователь инициирует подписание документа.
Для подтверждения любых операций на Сервисе Подписи используется метод /transactions
В запросе необходимо указать:

Способы аутентификации

В зависимости от настройки, КриптоПро DSS 2.0 может реализовывать следующие способы аутентификации пользователя:

Удаление ключа аутентификации

Пример запроса