Модуль удаленного подписания Entrust
Более удобный и безопасный способ подписания документов — электронная подпись без токена
Модуль удаленного подписания Entrust — это локальное решение для поставщиков доверенных услуг, которое позволяет развертывать соответствующую требованиям закона облачную службу подписей, доступ к которой можно легко получить через веб-API. Модуль HSM обеспечивает централизованную защиту ключей подписи, а пользователи удаленно подтверждают подписи документов со своих устройств без использования аппаратного или программного токена.
Преимущества модуля удаленного подписания Entrust
Модуль удаленного подписания Entrust соответствует стандартам eIDAS и выполняет операции подписания на квалифицированных устройствах для создания подписей (QSCD).
Платформа обеспечивает очень высокий уровень доверия и взаимодействия с отраслевыми продуктами, требующими цифровых подписей.
Процесс адаптации и подписания не требует специальных знаний и может быть выполнен с любого устройства.
Как это работает
- Архитектура
- Принцип работы
- Технические характеристики
- Дополнительные модули
Архитектура
Модуль удаленного подписания Entrust предоставляет возможности удаленного подписания и активации подписей на основе двухфакторной аутентификации через веб-службы, управляемые поставщиком доверенных услуг. На представленном далее рисунке показана схема взаимодействия между модулем удаленного подписания Entrust, дополнительным модулем для мобильных идентификаторов и инфраструктурой (IdP не представлен).
Принцип работы
Модуль удаленного подписания Entrust выступает в качестве поставщика подписей на основе сервера, обеспечивая аутентификацию пользователей для активации ключей и авторизацию подписания документов или хэш-данных документов.
Поставщик электронных подписей (eSigP)
Данные PKI для зарегистрированных пользователей обрабатываются как свойства идентификационных данных в безопасном хранилище на основе HSM. Каждый пользователь может получить один или несколько цифровых сертификатов для удаленного подписания документов после аутентификации.
Функции подписи доступны через веб-API или через компонент Entrust TrustedX Desktop Virtual Card (VC) при необходимости.
Поставщик идентификационных данных (IdP)
Платформа предназначена для использования существующего федеративного поставщика идентификационных данных, но она также может выступать в качестве IdP при определенных условиях. Свяжитесь с нами, чтобы получить дополнительную информацию о поддерживаемых сторонних IdP.
Модуль удаленного подписания Entrust включает методы двухфакторной аутентификации, такие как отправка одноразовых паролей с помощью SMS или электронной почты и TrustedX Mobile ID.
Благодаря интеграции с IntelliTrust или IdentityGuard компании Entrust или с существующими IdP с помощью нашего разъема SAML 2.0 можно добавить больше служб аутентификации.
Технические характеристики
- Формат: виртуальные устройства или аппаратное обеспечение. Аппаратное обеспечение необходимо для модуля активации подписи. Свяжитесь с нами, чтобы получить дополнительную информацию о поддерживаемом аппаратном обеспечении или виртуальных машинах.
- Модуль активации подписи (SAM): модуль удаленного подписания Entrust, версия 4.2, использует модуль SAM в соответствии со стандартом CEN EN 419 241-2 «Профиль защиты для QSCD для серверных подписей».
- Стандарты аутентификации: OASIS SAML 2.0 и OAuth 2.0/OpenID Connect.
- Собственные методы аутентификации: пароли, цифровые сертификаты, OTP-методы для SMS/электронной почты, TrustedX Mobile ID.
- Дополнительные службы аутентификации: интеграция с продуктами IntelliTrust или IdentityGuard компании Entrust или со сторонним IdP с использованием предоставленного разъема SAML 2.0 или пользовательского разъема.
- Классификация аутентификации: уровни надежности eIDAS (LoA), уровни надежности аутентификации NIST (AAL), ITU-T X.1254, ISO/IEC 29115.
- Стандарты облачной электронной подписи: PAdES (ETSI TS 103 172 and ETSI EN 319 142), XAdES (ETSI TS 103 171 and ETSI EN 319 132), CAdES (ETSI TS 103 173 and ETSI EN 319 122), RSA PKCS № 1 и Cloud Signature Consortium/ETSI TS 119 432.
- Внешние TSA и OCSP: продукты TSA и OCSP компании Entrust или серверы, совместимые с IETF TSA и IETF OCSP, для создания подписей LTV, срок действия которых увеличивается до срока действия сертификата TSA.
- Внешние службы PKI: PKI компании Entrust или сторонняя PKI с использованием предусмотренного механизма пользовательских разъемов.
- Поддержка HSM: nShield Connect+ and nShield Connect XC. Доступные функции могут меняться в зависимости от выбранной модели (для SAM требуется nShield Connect XC).
- Мониторинг событий: простой протокол управления сетью (SNMP). Syslog и необработанный формат для обработки с помощью внешнего инструмента SIEM.
- Системы базы данных: Oracle, Microsoft SQL Server и PostgreSQL. Свяжитесь с нами, чтобы узнать о поддержке других баз данных.
- Шлюз SMS/электронной почты: для OTP-методов требуется SMS-шлюз и (или) SMTP-сервер.
Дополнительные модули
Дополнительный модуль, позволяющий активировать подпись с помощью мобильного устройства. Он поставляется либо как специальное приложение, либо как SDK (пакет средств разработки ПО) для интеграции с вашим собственным приложением.
Устанавливаемый на компьютере пользователя небольшой плагин, который позволяет подписывать документы непосредственно на компьютере с помощью удаленных ключей, надежно хранящихся на платформе модуля удаленного подписания Entrust.
Компания Antel создает для уругвайцев безопасную национальную инфраструктуру электронной идентификации и использования подписей с различных устройств на основе инфраструктуры PKI и решений для цифровых подписей Entrust.