Инструкция по установке и настройке СКЗИ для сервиса ГосДоки

Общие сведения

TrustCryptoBase (TCB) - встраиваемый в мобильные приложения модуль, предоставляющий технологическую инфраструктуру для создания усиленной неквалифицированной и квалифицированной электронных подписей, построения защищённых соединений, проверки электронных подписей, защищенного хранения и применения ключей электронной подписи пользователей при подписании электронных документов.

Регистрация СКЗИ (система криптографической защиты информации) – обязательный процесс в соответствии с требованиями регулятора. Цели данной функции:

• проверить, что на используемое внешнее мобильное приложение и встроенную в него версию TCB получено заключение испытательное лаборатории;
• зарегистрировать уникальный экземпляр СКЗИ.

Особенностями работы СКЗИ являются:

• До успешного завершения этой функции работа с другой функциональностью невозможна.
• Функция работает совместно с серверным компонентом (для исполнений TLS1 и TLS1+V, он может быть развёрнут заказчиком самостоятельно. Для исполнения FULL сервис является частью СЗАС).

Пример

1. Бизнес-логика внешнего мобильного приложения запускает/инициализирует TCB и передаёт серийный номер (SN) (серийный номер –UUID (пример -2b5186f0-4f7e-453a-933a-75563990c135), который задаётся в конфигурации на этапе сборки приложения).
2. TCB переходит в режим блокирования криптографии.
3. Внешнее мобильное приложение запрашивает статус регистрации СКЗИ (либо пытается сразу вызывать другую функцию).
4. TCB сообщает, что СКЗИ заблокирован.
5. Внешнее мобильное приложение даёт команду TCB на расчёт параметров для регистрации и синхронно ждёт результата.
6. TCB вычисляет код устройства (CC).
7. TCB вычисляет контрольную сумму (CS).
8. TCB проверяет наличие ранее завершённых регистраций СКЗИ: - читает сохранённый серийный номер (SN) код устройства (CC), и подпись под контрольной суммой; - сравнивает полученный и прочитанный SN; - сравнивает вычисленный и прочитанный CC; - проверяет подпись под полученной контрольной суммой. Если значения сравниваемых параметра совпадают и проверка подписи успешна, TCB разблокирует криптографию, затем TCB возвращает внешнему мобильному приложению признак разблокировки криптографии, затем произойдет завершение сценария. Если хотя бы одно из значений прочитать не удалось ИЛИ проверка подписи не прошла, то TCB возвращает внешнему мобильному приложению признак необходимости регистрации СКЗИ, а затем произойдет продолжение сценария.
9. Внешнее мобильное приложение даёт команду на отправку данных для регистрации СКЗИ и синхронно ожидает результата.
10. TCB устанавливает соединение с СКЗИ по протоколу ГОСТ-TLS1.
11. TCB отправляет в сервис регистрации: идентификатор инсталляции (вместо телефонного номера TN); серийный номер SN (получен при запуске TCB); код устройства CC (вычислен на предыдущих шагах); контрольную сумму CS (вычислена на предыдущих шагах).
12. Сервис регистрации убеждается в соответствии контрольной суммы, подписи Лаборатории под контрольной суммой, подтверждает регистрацию и высылает подпись под контрольной суммой. Если СКЗИ не подтвердил регистрацию или полученная подпись не проходит проверку, то TCB блокирует криптографию и завершает сценарий с ошибкой.
13. TCB сохраняет в файл SN, CC и подпись к контрольной сумме.
14. TCB разблокирует криптографию и возвращает ответ внешнему мобильному приложению.

Результат

В результате инициализации СКЗИ, пользователи МП ГУ получают возможность повысить безопасность передачи данных, а также доступ к функциональности, требующей наличия сертификатов ГостТЛС.