Mecanismo de automação de assinatura da Entrust
Propriedade e integridade de documentos, automatizada
O mecanismo de automação de assinatura da Entrust é uma plataforma de assinatura local para empresas e provedores de serviços confiáveis, fornecendo uma gama completa de serviços web para integrar assinaturas digitais em aplicativos. Ele foi projetado para incorporar centralmente operações de assinatura digital de acordo com as normas da ETSI CAdES, XAdES e PAdES.
Benefícios do mecanismo de automação de assinatura da Entrust
Os serviços de geração e verificação de assinaturas podem ser acessados através de APIs web, ou usando nosso módulo de Pasta Assistida.
Os logs de auditoria são gerados para qualquer solicitação de acesso ao serviço e alterações de configuração.
Atua como repositório centralizado de certificados, chaves e gerenciamento de políticas, permitindo que você defina perfis de assinatura.
Como funciona
- Arquitetura
- Recursos
- Especificações técnicas
- Módulos Opcionais
Arquitetura
O mecanismo de assinatura automática incorpora funções que fornecem um conjunto de mecanismos de segurança e confiança como serviços que podem ser usados com diferentes estratégias de integração:
- SOAP/WS: Usando o padrão OASIS DSS como um protocolo de acesso para serviços web
- REST/WS, SOAP/WS: Usando o gateway de integração do Mecanismo de automação de assinatura da Entrust, que dá suporte à configuração de tráfego e processamento de dados com uma linguagem de pipeline XML
- Java SDK: Para fácil integração de serviços de assinatura eletrônica em aplicações nativas com Java
O diagrama a seguir ilustra uma típica integração da plataforma do Mecanismo de automação de assinatura da Entrust em sua organização.
Recursos
Suporta métodos de autenticação nativos baseados em senhas e certificados digitais. A validação pode ser delegada ao LDAP/AD.
Gerencia entidades e objetos da plataforma. Repositórios externos, tais como LDAP/AD do usuário, bancos de dados, arquivos e HSMs podem ser adicionados para proteger chaves privadas.
Fornece funções PKI para validação de cadeias de certificação e consulta do status do certificado. Suporta OCSP/CRL e mecanismos personalizados (por exemplo, bancos de dados).
Cria e valida assinaturas em conformidade com as normas PAdES, XAdES e CAdES; incluindo assinaturas de documentos, e-mails e serviços web.
Prolonga a validade de uma assinatura até a vida útil do certificado de TSA. A confiabilidade da criptografia é preservada, a cadeia de certificação é incorporada, assim como as informações de status do certificado no momento da assinatura, e um timestamp.
Os logs são armazenados com segurança de forma uniforme e centralizada. Também é possível encaminhar dados de registro para uma ferramenta SIEM externa para processar e gerar um relatório.
Especificações técnicas
- Formato: Dispositivo de software (entre em contato conosco para saber mais sobre hardware ou máquinas virtuais suportadas)
- Monitoramento de eventos: Protocolo de Gerenciamento de Rede Simples (SNMP)
- Serviços de segurança: OASIS WS-Security, DSS (Digital Signature Service) e SAML, SOAP, e SSL/TLS
- Padrões de geração de assinaturas: PKCS#7, CMS, CAdES (ETSI TS 103 173), XML-DSig, XAdES (ETSI TS 103 171), assinatura para documentos PDF (IETF), PAdES (ETSI TS 103 172) e S/MIME
- Validação de assinatura e padrões de reforço: PKCS#7, CMS, CAdES (ETSI TS 103 173 e ETSI EN 319 122), XML-DSig, XAdES (ETSI TS 103 171 e ETSI EN 319 132), assinatura para documentos PDF (IETF), PAdES (ETSI TS 103 172 e ETSI EN 319 142), e normas de criptografia S/MIME: PKCS#7, CMS, XML-Enc e S/MIME
- Suporte de timestamping digital: Servidores compatíveis com IETF RFC 3161 e RFC 5816
- Suporte à validação de certificados: Usando CRLs, servidores compatíveis IETF OCSP e mecanismos personalizados (OCSP é necessário para assinaturas LTV)
- Acesso ao banco de dados e ao diretório: Oracle, Microsoft SQL Server, PostgreSQL e MySQL, protocolo de acesso ao diretório LDAP
- Autenticação e autorização: Métodos de autenticação nativos baseados em senhas e certificados digitais. A validação da senha pode ser delegada ao LDAP/AD
- Suporte HSM: Dispositivos PKCS#11 aprovados pela Entrust Datacard (é necessária uma licença para o conector HSM)
- Sistemas de arquivos em rede suportados: SMB/CIFS e NFS
Módulos Opcionais
Um módulo que executa uma série de ações relacionadas à assinatura (por exemplo, assinatura, verificação, gravação, reforço) em qualquer arquivo adicionado às pastas selecionadas em sua rede.
Um módulo que fornece funcionalidades de criptografia e decodificação de documentos. Os formatos suportados são PKCS#7, CMS, XML-Enc e S/MIME.