Мобильная электронная цифровая подпись для Республики Беларусь

Следующий проект

Задача

Необходимо было реализовать решение, позволяющее подписывать электронные документы в мобильном приложении Solo, обеспечив их юридическую силу. 

Особенности мобильной электронной подписи

В Республике Беларусь документы, подписанные мобильной электронной цифровой подписью (далее - мобильная ЭЦП), и документы на бумажном носителе, которые подписаны собственноручно, обладают равной юридической силой.  

Для придания документам юридической силы при подписании документов на мобильном устройстве применяется технология мобильная ЭЦП.

Главным отличием мобильной ЭЦП от других технологий является простота использования: нет необходимости в отдельном устройстве (смарт-карте или USB-токене), все функции ЭЦП выполняет специализированная SIM-карта на мобильном устройстве.

Процесс подписания электронного документа представляет собой отправку специальных зашифрованных сообщений – бинарных SMS – и подтверждается вводом PIN-кода.

На территории Республики Беларусь специализированные SIM-карты предлагают мобильные операторы А1 и  МТС.

Решение

Архитектура решения

Описание схемы процесса подписания документов мобильной ЭЦП

Для подписания документа мобильной ЭЦП пользователь выбирает соответствующий документ (задача на подписание документа может формироваться автоматически) и нажимает кнопку "Подписать" в интерфейсе мобильного приложения DIRECTUM Solo. В этот момент в системе направляется запрос к серверу Nomad для получения списка доступных пользователю сертификатов, ответ со списком доступных сертификатов возвращается пользователю в виде диалогового окна. После выбора пользователем соответствующего сертификата в работу включается "Плагин подписания", который направляет запрос "Серверу авторизации" для прохождения аутентификации. "Сервер авторизации" обращается к мобильному оператору абонента, который в свою очередь направляет USSD-запрос с предложением ввести пин-код (PIN1) для прохождения аутентификации. После ввода PIN1 ответное сообщение уходит мобильному оператору, которое в свою очередь переадресовывается "Серверу авторизации" и "Плагину подписания".

Далее NOMAD-сервер обращается к подписываемому документу и передает его "Плагину подписания", который в свою очередь передает содержимое документа и запрос на создание цифровой подписи "Серверу авторизации".  Для подтверждения операции подписания пользователем необходимо ввести пин-код (PIN2) в ответ на USSD-запрос. В случае подтверждения операции подписания "Плагину авторизации" возвращается сгенерированная электронная цифровая подпись. Если пользователь отменил операцию - возвращается ответ пользователя об отмене операции. В том случае, когда мобильная ЭЦП получена, информация о ней передается в систему DIRECTUM и связывается с соответствующим документом, а информация о факте подписании доступна в интерфейсе DIRECTUM Solo.

Результат проекта

Получен удобный механизм подписания электронных документов, позволяющий повысить оперативность движения электронных документов как внутри компании, так и за ее пределами.

Состав команды проекта

Специалист по продажам - Чеботарь Юлия

Разработчик - Сайнук Станислав

 

Номинация: Передовые решения
Утверждено

Поделись проектом и участвуй в Directum Like

Комментарии (6)

Наталья Демина

Юлия, отличное решение, спасибо что поделились!

Уточните, пожалуйста, пару моментов:

1. Насколько быстро происходит подписание документов при наличии такого количества архитектурных составляющих? Заметно ли это для пользователя?

2. Специальная и личная SIM-карты сотрудника - это две отдельные карты? Сотрудников обеспечивают отдельными корпоративными мобильными устройствами?

Юлия Чеботарь

Наталья, общий процесс подписания документа занимает около 20 сек. Все зависит от качества связи. Для пользователя практически не заметно. 

Требуется специальная SIM-карта, поддерживающая технологию SIM-ID. В том числе возможна замена текущей SIM-карты на карту, поддерживающую технологию SIM-ID (с сохранением номера). В части использования мобильных устройств (корпоративных или личных) решается каждым  Заказчиком индивидуально.

Руслан Бапин

Добрый день, коллеги! Спасибо за рассказ о решении, очень интересно, но маловато подробностей. В частности, просьба пояснить формулировку "все функции ЭЦП выполняет специализированная SIM-карта на мобильном устройстве". Какие именно "функции ЭЦП" имеются в виду?

В описании говорится, что содержимое документа передается "Плагину подписания", а затем "Серверу авторизации", а вот о передаче содержимого документа (или хотя бы хэша документа) на мобильное устройство ничего не сказано. Из этого можно сделать предположение, что формирование ЭП происходит на сервере авторизации, но не хотелось бы строить догадки, хочется получить информацию в явном виде . А именно - где конкретно происходят криптографические операции - формирование хэша (если применимо), формирование собственно ЭП, проверка ЭП (если применимо)? 

Юлия Чеботарь

Добрый день, Руслан! На SIM-карте зашит сертификат пользователя. Формирование ЭП происходит на сервере авторизации. Тело документа перенаправляется Плагином серверу авторизации.

Наиль Сарагулов

Добрый день, Юлия! Хочу немного уточнить Ваш ответ. На сервере авторизации производится только расчет хэша, но формирование ЭЦП для этого хэша осуществляет SIM-карта. Таким образом, закрытый ключ, которым производится подписание, не "покидает" мобильного устройства пользователя (стр. 4 абзац 3 https://nces.by/wp-content/uploads/2016/08/opisanie-m-ecp-v1-0.pdf). Руслан, для информации.

Наиль Сарагулов: обновлено 14.01.2020 в 11:58
Руслан Бапин

Юлия, Наиль, большое спасибо за ответы!

Авторизуйтесь, чтобы написать комментарий