Работа с ключем РУТОКЕН в облаке

Коллеги, здравствуйте

Могли бы Вы проконсультировать по следующим вопросам:
У меня есть положительный опыт ручной работы в среде Windows связки РуТокен от УЦ + софт от CryptoPRO.
Сейчас стоит задача создать набор сервисов, для автоматизации интеграции с гос. системой
Сервисы работают в облачной среде Linux, написаны на Java.
Для того, чтобы подписывать передаваемые данные, мне нужен набор криптографических ключей.
Насколько я понимаю, закрытые ключи не экспортируемы с физического носителя и предназначены для работы только в режиме браузера\COM-объектов, т.е. предполагается размещение ключа на конкретной машине, и использование программного решения там же.

Вопросы:
-->Можно ли как-то использовать физический ключ для работы из облака, где нет возможностью подключить флешку?
-->Существует ли набор ключей в «облачном формате», которые можно купить\выпустить дополнительно?
-->Есть ли у Вас рекомендации по использованию криптографических ключей для облачных систем?

Заранее спасибо

С уважением,
Юрий

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Что посоветовать решение в этом случае, нам надо больше подробностей.
У вас на Linux серверах софт от КритоПро и судя по Вашим сообщениям подпись Вы хотите создавать и проверять на них же.
А как пользователь будет с этой системой работать? Будет подключаться к серверам? По каким протоколам?
Или он будет работать из браузера с Web-интерфейсом? Или работать через API?

Re: Работа с ключем РУТОКЕН в облаке

Владимир, добрый день

Для автоматизации множественных процессов, точка с конкретным пользователем, который руками куда-то авторизается и что-то делает это "bottleneck", который необходимо исключить.
Т.е. идея автоматизации в том, чтобы конкретный пользователь ничего в ситеме не делал.
Разрабатываемая система на основании тригеров сама будет соединяться с гос. системой по API, отправлять подписаные запросы, получать ответы и агрегировать полученные данные внутри своей собственной базы.

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

То есть, Вы хотите автоматически подписывать какие-то запросы без ведома пользователя по триггеру?

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Вопрос ещё актуален?

Re: Работа с ключем РУТОКЕН в облаке

Владимир Салыкин пишет:

Добрый день, tideymiem.

То есть, Вы хотите автоматически подписывать какие-то запросы без ведома пользователя по триггеру?

Добрый день, Владимир

Да, именно так.
Задача стоит автоматизировать работу с системой.
Для обращения к гос.системе требуется подписывать API вызовы ключем. т.е. ключ необходимо интегрировать в облачное решеение, т.к. флешку воткнуть некуда.
Для автоматизации будет использоваться отдельно выпущенный ключ, специально для работы системы (т.е. не чей-то, чтобы без ведома пользователя, но специально для системы).
Вопрос, в том, как можно использовать RuToken в облачном окружении Java?
Есть ли специальные "облачные ключи", выпущенные сразу в формате jks?
Или может быть есть официальные рекомендации по конвертации экспортированных PFX --> pem -->jks?
Заранее спасибо

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Если это некоторая специальная подпись, то похоже она не должна быть квалифицированная. Тогда Вы можете использовать любую библиотеку для программной подписи. Для Java тот же BouncyCastle

Re: Работа с ключем РУТОКЕН в облаке

Владимир Салыкин пишет:

Добрый день, tideymiem.

Если это некоторая специальная подпись, то похоже она не должна быть квалифицированная. Тогда Вы можете использовать любую библиотеку для программной подписи. Для Java тот же BouncyCastle

К сожалению, сервис, с которым необходим обмен данными принимает только запросы подписаные "квалифицированной подписью"
Я имел в виду, что планируется выпустить отдельный сертификат, который будет использоваться в работе автоматической системы, но этот сертификат будет выпущен для конкретного пользователя т.к. это требования сервиса.

https://forum.rutoken.ru/post/12592/#p12592
Дефакто получается да, пользователь, на которого будет выпущен сертификат, не будет знать, что и в какой момент конкретно запрашивала автоматическая система с помощью его подписи, но он безусловно будет знать, что его подпись используется в работе автоматической системы.

Т.е. вопросы остаются прежними:
-->Можно ли использовать RuToken в облачном окружении Java?
-->Есть ли специальные "облачные ключи", выпущенные сразу в формате jks?
-->Есть ли официальные рекомендации по конвертации экспортированных PFX --> pem -->jks?

Заранее спасибо

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Если в системе "Дефакто получается да, пользователь, на которого будет выпущен сертификат, не будет знать, что и в какой момент конкретно запрашивала автоматическая система с помощью его подписи" то, Вы хотите создать систему, которая будет противоречить приказу ФСБ РФ от 27.12.2011 № 796.

Цитирую:
" При создании ЭП средства ЭП должны:
- показывать лицу, подписывающему электронный документ, содержание информации, которую он
подписывает;
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по
созданию ЭП;
- однозначно показывать, что ЭП создана."

В этом случае подпись становится не легитимной и потеряет свою квалифицированность. Если Вы планируете игнорировать требования закона, то просто используйте BouncyCastle.

Re: Работа с ключем РУТОКЕН в облаке

tideymiem, дополнительно:

  • PFX --> pem -->jks. Официальных рекомендаций нет. jks очень редко используемая вещь. У меня вообще нет уверенности, что в jks будут работать все сценарии с GOST. Мы для Java предлагаем другой набор интерфейсов по работе с ключами.

  • Можно ли использовать RuToken в облачном окружении Java? - токен, как вы понимаете физическое устройство. Оно может быть проброшено на любой сервер, в том числе облачный, чтобы там шла работа с ключами, в том случае если нет физической возможности его туда вставить. Это весьма распространенный сценарий.

  • Есть ли специальные "облачные ключи", выпущенные сразу в формате jks? - у нас точно нет. Я не слышал, чтобы такое делали производители СКЗИ в России, так как, повторюсь, jks очень редкий формат

(2019-02-07 13:23:41 отредактировано tideymiem)

Re: Работа с ключем РУТОКЕН в облаке

Владимир Салыкин пишет:

tideymiem, дополнительно:

  • PFX --> pem -->jks. Официальных рекомендаций нет. jks очень редко используемая вещь. У меня вообще нет уверенности, что в jks будут работать все сценарии с GOST. Мы для Java предлагаем другой набор интерфейсов по работе с ключами.

Владимир, добрый день

Спасибо за подробные ответы!
Теперь придется крепко подумать, что и как делать, чтобы быть legally compliant и не уходить в серые зоны морали...=\
Скажите пожалуйста, есть ли ссылочка, где можно ознакомиться с набором интерфейсов по работе с ключами, которые Вы предлагаете для работы в JAVA окружении?
Заранее спасибо!

Re: Работа с ключем РУТОКЕН в облаке

Добрый день, tideymiem.

Вы можете найти наши интерфейсы в SDK (https://www.rutoken.ru/developers/sdk/).