Безопасность: Шифрование документов в Solo

6 9

Ранее мы уже рассказывали о том, как обеспечить безопасность работы в мобильных приложениях сторонними средствами: HTTPS, DMZ, MDM, VPN. В версии DIRECTUM Solo для iOS 1.5 появилось еще одно средство – возможность шифрования документов, передаваемых в приложение и хранящихся на устройстве.

Для бизнеса

Операционная система iOS достаточно защищена сама по себе. Приложения хранятся изолировано друг от друга, данные приложений шифруются при блокировке устройства. В большинстве случаев этого бывает достаточно для работы с корпоративными данными. Однако существуют организации, для которых этого недостаточно, и дополнительно требуется обеспечить безопасность с помощью средств, прошедших процедуру подтверждения соответствия требованиям законодательства к информационной безопасности. Таким средством является КриптоПРО CSP.

Исходя из этого мы добавили возможность шифрования документов, которые передаются веб-сервисом NOMAD в Solo для iOS, ГОСТ-алгоритмом. ГОСТ-алгоритмы криптозащиты являются проверенной ФСБ и ФСТЭК России отечественной разработкой, отвечающей всем требованиям к надежности защиты информации.

Таким образом защищены оказываются как передаваемые, так и хранящиеся на устройстве данные. При попытке работы с документом, например при рецензировании, выполняется его расшифровка, а после завершения сеанса работы с документом расшифрованная версия удаляется.

Стоит отметить, что данное шифрование не зависит от шифрования документов в системе DIRECTUM с помощью пароля или сертификата. В нашем случае шифруются все передаваемые документы, независимо от того, зашифрованы ли они в системе DIRECTUM.

Техническая часть

Веб-сервис NOMAD на время сеанса работы пользователя генерирует временный ключ. Этот ключ асимметрично шифруется сертификатом пользователя. В момент передачи с сервера NOMAD в приложение содержимое документа шифруется этим временным ключом.

В качестве криптопровайдера был выбран КриптоПро, так как это сертифицированный СКЗИ. Для шифрования нужно приобрести лицензии:

  • на право использования СКЗИ «КриптоПро CSP» версии 4.0 на одном рабочем месте – для каждого пользователя Solo;
  • на право использования СКЗИ «КриптоПро CSP» версии 4.0 на сервере – для настройки шифрования на сервере NOMAD;
  • на право использования ПО «КриптоПро.Net» на одном сервере – для настройки шифрования на сервере NOMAD.

Если указанные лицензии уже были приобретены для подписания документов, то повторно их покупать не требуется.

Перед началом работы в приложении нужно:

1. На сервер, куда установлен веб-сервис NOMAD, установить:

  • КриптоПро CSP версии 4.0 и КриптоПро.Net;
  • контейнер КриптоПро (ГОСТ);
  • лицензию КриптоПро, так как со стороны сервера будут осуществляться крипто-операции;
  • сертификат КриптоПро с возможностью шифрования для сервера.

2. Сгенерировать на iPad сертификат КриптоПро с возможностью шифрования и зарегистрировать его в системе DIRECTUM (для каждого пользователя, который будет работать в Solo).

3. Включить шифрование и указать путь и пароль к контейнеру в соответствующих настройках конфигуратора сервера NOMAD:

4. Включить шифрование в настройках клиентского приложения (если на сервере NOMAD включено шифрование, то при входе в Solo появится сообщение с предложением настройки):

При включении или выключении шифрования на сервере NOMAD или в клиентском приложении все документы загрузятся заново, соответственно в зашифрованном/незашифрованном виде.

 

Дальнейшему развитию безопасности работы в приложении мы планируем посвятить вторую половину 2017 года. Следите за новостями!

6
Авторизуйтесь, чтобы оценить материал.
3
Денис Архипов

с 5.3.1 будет работать? или надо до 5.4 обновляться?

Mikhail Kislitsyn

Функциональность работает с NOMAD 2.5 и выше.

Сейчас NOMAD 2.5 вышел только с DIRECTUM 5.4. К выходу обновления 5.4.1 планируем реализовать поддержку версий 5.0 - 5.4.1.

Денис Архипов

Двухфакторная аутентификация планируется?

Mikhail Kislitsyn

/*Двухфакторная аутентификация планируется?
Пока в планах не было:
- с одной стороны запросов немного
- с другой есть вопросы по тому что делать вторым фактором, чтобы это не мешало оффлайн работе и было полезно большинству клиентов.
Сейчас в приложении аутентификационные данные вводятся один раз, далее приложению нужны реквизиты для синхронизации.

В этом плане мы планировали реализовывать поддержку pin/touchID, для входа в приложение.

Денис Архипов

чтобы это не мешало оффлайн работе

Далеко не всем она нужна. А вот параноидальные безопасники есть практически везде.

Mikhail Kislitsyn

/*Далеко не всем она нужна. А вот параноидальные безопасники есть практически везде.
Согласитесь вводить пароль пользователю из 13 символов, число-буквенный со спец символами, для того чтобы войти в приложение это как минимум неудобно.

"Параноидальных безопасников" так же должно смущать то что пользователь будет часто вводить пароль находясь в разных местах (кафе, самолёт и т.д.). Именно поэтому и предлагается замена на pin или touchID. Дополнительно планируем организовать возможность ограничения по устройствам и эта связка будет вторым фактором в данном случае, при подключении пользователя.

Многие MDM решения так же могут обеспечить дополнительные механизмы безопасности.

Денис Архипов
  • контейнер КриптоПро (ГОСТ);

А что это такое и как его сделать? 

Денис Архипов
  • сертификат КриптоПро с возможностью шифрования для сервера.

И куда это привязать? 

Анна Перевозчикова

Порядок настройки шифрования на сервере NOMAD подробно описан в инструкции: http://support.directum.ru/doc.aspx?Id=8669564. Цитата одного из шагов настройки:

  • Сгенерируйте сертификат КриптоПро с возможностью шифрования. На странице запроса сертификата укажите необходимые данные. В поле Тип требуемого сертификата укажите значение Сертификат проверки подлинности сервера.

По терминологии: в данном случае под сертификатом мы имели ввиду открытый ключ, а под контейнером - закрытый ключ, который будет сгенерирован при запросе сертификата.

Авторизуйтесь, чтобы написать комментарий