Ранее мы уже рассказывали о том, как обеспечить безопасность работы в мобильных приложениях сторонними средствами: HTTPS, DMZ, MDM, VPN. В версии DIRECTUM Solo для iOS 1.5 появилось еще одно средство – возможность шифрования документов, передаваемых в приложение и хранящихся на устройстве.

Для бизнеса

Операционная система iOS достаточно защищена сама по себе. Приложения хранятся изолировано друг от друга, данные приложений шифруются при блокировке устройства. В большинстве случаев этого бывает достаточно для работы с корпоративными данными. Однако существуют организации, для которых этого недостаточно, и дополнительно требуется обеспечить безопасность с помощью средств, прошедших процедуру подтверждения соответствия требованиям законодательства к информационной безопасности. Таким средством является КриптоПРО CSP.

Исходя из этого мы добавили возможность шифрования документов, которые передаются веб-сервисом NOMAD в Solo для iOS, ГОСТ-алгоритмом. ГОСТ-алгоритмы криптозащиты являются проверенной ФСБ и ФСТЭК России отечественной разработкой, отвечающей всем требованиям к надежности защиты информации.

Таким образом защищены оказываются как передаваемые, так и хранящиеся на устройстве данные. При попытке работы с документом, например при рецензировании, выполняется его расшифровка, а после завершения сеанса работы с документом расшифрованная версия удаляется.

Стоит отметить, что данное шифрование не зависит от шифрования документов в системе DIRECTUM с помощью пароля или сертификата. В нашем случае шифруются все передаваемые документы, независимо от того, зашифрованы ли они в системе DIRECTUM.

Техническая часть

Веб-сервис NOMAD на время сеанса работы пользователя генерирует временный ключ. Этот ключ асимметрично шифруется сертификатом пользователя. В момент передачи с сервера NOMAD в приложение содержимое документа шифруется этим временным ключом.

В качестве криптопровайдера был выбран КриптоПро, так как это сертифицированный СКЗИ. Для шифрования нужно приобрести лицензии:

• на право использования СКЗИ «КриптоПро CSP» версии 4.0 на одном рабочем месте – для каждого пользователя Solo;
• на право использования СКЗИ «КриптоПро CSP» версии 4.0 на сервере – для настройки шифрования на сервере NOMAD;
• на право использования ПО «КриптоПро.Net» на одном сервере – для настройки шифрования на сервере NOMAD.

Если указанные лицензии уже были приобретены для подписания документов, то повторно их покупать не требуется.

Перед началом работы в приложении нужно:

1. На сервер, куда установлен веб-сервис NOMAD, установить:

• КриптоПро CSP версии 4.0 и КриптоПро.Net;
• контейнер КриптоПро (ГОСТ);
• лицензию КриптоПро, так как со стороны сервера будут осуществляться крипто-операции;
• сертификат КриптоПро с возможностью шифрования для сервера.

2. Сгенерировать на iPad сертификат КриптоПро с возможностью шифрования и зарегистрировать его в системе DIRECTUM (для каждого пользователя, который будет работать в Solo).

3. Включить шифрование и указать путь и пароль к контейнеру в соответствующих настройках конфигуратора сервера NOMAD:

4. Включить шифрование в настройках клиентского приложения (если на сервере NOMAD включено шифрование, то при входе в Solo появится сообщение с предложением настройки):

При включении или выключении шифрования на сервере NOMAD или в клиентском приложении все документы загрузятся заново, соответственно в зашифрованном/незашифрованном виде.

Дальнейшему развитию безопасности работы в приложении мы планируем посвятить вторую половину 2017 года. Следите за новостями!