Проблема
Для получения доступа к своим цифровым активам и выполнения действий в рамках своих электронных кошельков (создание электронных кошельков, транзакции цифрового рубля между кошельками) пользователь платформы цифрового рубля (далее – ПлЦР) осуществляет взаимодействие с коммерческим банком, используя приложение банка, через автоматизированную систему дистанционного банковского обслуживания (далее – АС ДБО). Электронные сообщения, передаваемые приложением банка и используемые для взаимодействия с АС ДБО, подписываются электронной подписью (ЭП), шифруются и передаются по защищенному каналу путем организации ГОСТ TLS-соединений.
В связи с этим возникла необходимость создания надежной автоматизированной системы для выпуска и управления сертификатами безопасности и электронными подписями. Пользователи платформы цифрового рубля (ПлЦР) должны иметь возможность безопасно и удобно взаимодействовать с коммерческими банками через мобильные и web-приложения, обеспечивая защиту своих цифровых активов и транзакций. Для этого потребовался сервис, который будет автоматизировать процесс выпуска сертификатов, обеспечивать их проверку и актуальность, а также интегрироваться с единой системой идентификации и аутентификации (ЕСИА).
В соответствии с «Временными требованиями по обеспечению информационной безопасности для автоматизации выпуска сертификатов пользователя платформы цифрового рубля» Банка России от 25 декабря 2023г. компанией «ИнфоТеКС» было разработано решение для автоматизации выпуска сертификатов для пользователей платформы цифрового рубля - ViPNet САВС.
Решение
ViPNet САВС – комплекс технических и программных средств, предназначенный для выпуска сертификатов пользователей ПлЦР. ViPNet САВС обеспечивает автоматизированный процесс выпуска сертификатов безопасности и сертификатов ключей проверки ЭП.
ViPNet САВС включает в себя следующие компоненты:
- программный комплекс ViPNet EDI Flow;
- программно-аппаратный комплекс ViPNet EDI Soap Gate 3 (ViPNet ЭДО Шлюз безопасности 3).
Пользователь ПлЦР авторизовывается через ЕСИА для идентификации в ПлЦР, формирует запрос на издание сертификата ЭП или безопасности, который через АС ДБО передается в ViPNet САВС (в ПК ViPNet EDI Flow). Для выполнения логической и семантической проверки запроса, получения и сверки пользовательских данных ПК ViPNet EDI Flow передает полученные данные в ПАК ViPNet EDI Soap Gate 3, который, в свою очередь, отправляет запрос в ЕСИА для получения маркера доступа и данных о пользователе. ViPNet САВС выполняет сверку данных пользователя, полученных из ЕСИА, с данными из запроса на создание сертификата.
После успешного выполнения ряда проверок (проверка ЭП файла запроса, форматно-логический контроль полей файла запроса, сверка данных файла запроса с данными ЕСИА и выпущенного сертификата) ViPNet САВС передаёт файл запроса в УЦ. УЦ выпускает сертификат пользователя ПлЦР и передаёт его в ViPNet САВС. ViPNet САВС выполняет форматно-логический контроль полей выпущенного сертификата и при положительном результате отправляет выпущенный сертификат в внешнюю информационную систему.
ViPNet САВС так же периодически запрашивает списки отозванных сертификатов (CRL) из УЦ.
Для каких задач
ViPNet САВС обеспечивает:
- первичный выпуск сертификатов для физических лиц, юридических лиц и индивидуальных предпринимателей в автоматическом режиме по запросу (PKCS#10) от АС ДБО;
- повторный выпуск сертификатов для физических лиц, юридических лиц и индивидуальных предпринимателей в автоматическом режиме по запросу (PKCS#7);
- проверку файлов запроса для первичного и повторного выпуска сертификата перед отправкой в УЦ;
- проверку соответствия идентификационной информации пользователя платформы цифрового рубля, полученной из единой системы идентификации и аутентификации (ЕСИА), с данными из запроса на выпуск сертификата;
- отправку в УЦ запросов на издание сертификатов безопасности и сертификатов ЭП;
- форматно-логический контроль полей выпущенного сертификата в соответствии с требованиями ЦБРФ.62.0.39725.ПЕ.Э;
- предоставление списков аннулированных сертификатов по запросу от внешней системы;
- запрос списков аннулированных сертификатов в УЦ не реже 1 раза в 12 часов;
- регистрацию событий в журнале событий. Обязательной регистрации подлежат:
- сведения о результатах сверки информации, полученной из ЕСИА с информацией из запроса на сертификат;
- сведения о направлении запроса на сертификат в сторону УЦ ЭП и УЦ Безопасности;
- сведения о результате выпуска сертификата.
В соответствии с «Временными требованиями …» пользователь ПлЦР должен иметь подтвержденную учетную запись в ЕСИА.
Для открытия цифрового кошелька пользователю ПлЦР необходимо иметь 2 сертификата неквалифицированной электронной подписи:
- сертификат безопасности;
- сертификат ЭП.
На основании файла запроса сертификат выпускается в УЦ в зависимости от типа:
- сертификат ЭП выпускается в УЦ ЭП. УЦ ЭП является подчинённым удостоверяющим центром, сертифицированным по классу защиты не ниже КС3.
- сертификат безопасности выпускается в УЦ Безопасности, сертифицированным по классу защиты не ниже КС3.
Пользователь ПлЦР может запросить:
- первичный выпуск сертификатов ЭП и безопасности;
- повторный выпуск сертификатов ЭП и безопасности (при наличии у Пользователя ПлЦР действующего ключа ЭП, соответствующего действующему сертификату ключа проверки ЭП или действующего закрытого ключа безопасности, соответствующего действующему сертификату безопасности).
ViPNet САВС поддерживает обязательные роли администраторов:
- системный администратор (совмещает роль администратора резервного копирования и восстановления) с полномочиями:
- управления учётными записями пользователей;
- настройкой параметров журнала учёта событий;
- администратор аудита;
- администратор средства ЭП.
Все компоненты ViPNet САВС должны располагаться в одной контролируемой зоне.